有家企业找我做咨询,老板开口就说,我们所有技术资料都是绝密。我问他,你们公司的门禁密码多少?他说所有人都知道。我接着问,供应商能不能看你们的图纸?他说合作五年的老供应商了,不看没法做。这就尴尬了——号称绝密的资料,门禁不防人,供应商随便看,这叫哪门子保护。
定密是商业秘密保护体系的基石。基石都没砌好,上面的房子再漂亮也白搭。那到底怎么定密?先说清楚定密的三要件,这是法定和实操层面的共同门槛。
第一,价值性。这个信息必须具有现实的或者潜在的经济价值。说白了,丢了它会亏钱,别人拿了能赚钱。比如配方、客户名单、采购底价、源代码,都符合这一条。但有些企业把全员通讯录都列成机密,这就过了——通讯录丢了虽然不好,但没有独立的经济价值。
第二,秘密性。信息不为公众所知悉,或者说不是容易获取的东西。公开发表的论文、申请过的专利、行业通用的工艺参数,这些都不符合秘密性。我做定密培训经常举一个例子:你的产品结构图如果是根据一本公开手册改了几个尺寸,那这个图很可能不具备秘密性。
第三,保密性。这是容易被忽略也是最要命的一点——权利人是否采取了合理的保密措施。法律上说,你没有措施,法院就不认你是商业秘密。很多企业输了官司不是因为信息没价值,而是法官问你们采取了什么保密措施,回答不上来。签了保密协议、设置了涉密区域、加了访问权限、贴了保密标识——这些都必须有。
三要件都满足了,再用我们内部的一套五维评分模型来定密级。这五个维度分别是:经济价值大小——泄露一次损失有多大;竞争优势高低——这个信息决定了你跟竞争对手的差距有多大;获取难度高低——对方要拿到这个信息需要花多大代价;泄露后果严重程度——会不会引发连锁风险,比如市场份额骤降、客户流失、监管处罚;合规敏感性——有没有涉及国家秘密或行业强监管。
每个维度按1到5打分,汇总之后分三个区间。总分20分以上的定为绝密,这是企业的核心命脉,控制在个位数人员范围内。12到20分的定为机密,重要但扩散面可以稍宽,部门级管控。12分以下的定为秘密,常规管控即可。
举个例子,一个生物医药企业的核心化合物分子式,经济价值5分,竞争优势5分,获取难度4分,泄露后果5分,合规敏感性2分(不涉国家安全),总分21分,妥妥的绝密。而同一家企业的商务谈判策略模板,经济价值2分,竞争优势1分,获取难度1分,泄露后果2分,合规敏感性1分,总分7分,秘密级就够了。
定密不是定死。秘密是会流动的——产品上市后,曾经的核心配方可能变成公开信息,需要降密或解密。我们的做法是每年做一次定密审核,遇到重大业务变化及时调整。
最后说一句大实话:定密最难的不是评分模型,是说服老板接受"这个不该定密"。很多老板总觉得不定绝密就不够重视。我通常会反问——如果绝密级的文件所有人都能通过公司内网下载,它还是绝密吗?定密不是给信息面子,是给它配锁。
北京企密安信息安全技术有限公司
/ 邮箱:jess@baomiwang.com
