公司从十几个人发展到五六十人,内部沟通方式、人员结构、业务复杂度和早期完全不一样了。这个时候如果还没有正式的保密制度,风险就不是偶发性的,而是结构性的。我辅导过好几家处在四五十人这个阶段的企业,他们的共同感受是再靠口头念叨已经管不住了,必须有一套书面的制度框架。
做保密制度之前,先得搞清楚自己公司到底哪些东西最值钱。不是所有的信息都需要保护,保护成本太高反而会拖累业务。我一般建议把公司信息分成三个等级。绝密级包括核心技术方案、核心算法、重大合同条款、完整客户清单。机密级包括产品路线图、商务策略、内部财务数据、未公开的组织调整。内部级就是一般制度、流程手册、培训资料这些。分级之后再决定每类信息谁能碰、怎么存、怎么传。
五十人公司的保密制度框架通常包括这几个模块。第一是组织架构。这个阶段很好指定一个兼职或专职的保密负责人,比如让行政主管或技术负责人兼任。不一定要设单独岗位,但必须有人对保密这件事持续负责,不能大家都觉得是别人的事。
第二是入职和离职的保密流程。入职时签的保密协议和知识产权归属协议要作为劳动合同的附件,不能后补。新员工还要参加保密培训并签字确认。离职时的保密提醒也很重要,明确告知涉密信息范围以及违反后果,同时收回所有公司资产。这个环节特别容易漏掉的是合作方人员,比如外聘的顾问和兼职人员,他们同样要签协议。
第三是信息访问控制。五十人时各部门已经初步成型,技术部、销售部、财务部的信息边界要划清楚。推荐做法是使用企业网盘或知识库的分级权限,比如飞书知识空间、语雀或者Notion都可以做细粒度的权限控制。技术代码可以放私有Git仓库,销售线索用CRM系统自带权限。核心原则是最小够用原则,每个人只能看到自己工作必需的信息。
第四是物理和数字环境的双重管理。办公区域的涉密文件不能随手放桌面,下班时要锁柜子。打印复印要有登记,用完的涉密废纸要碎纸处理。数字方面要推行强密码策略,敏感系统开启双因素认证。很多小公司出问题往往不是被黑客攻击,而是密码太简单被猜出来了。
第五是外部沟通的保密要求。五十人阶段已经需要和供应商、合作伙伴、客户频繁打交道,保密协议就不只是对内,对外也要签。给外部提供的资料要打水印标注内部资料严禁外传,尽量用预览模式而不是发原始文件。远程演示时注意不要共享到不该展示的内容,这个失误我见过不止一次。
第六是定期检查和违规处理。制度不是写了就完事的,半年做一次保密自查,看有没有人违规存储、违规分享。发现违规要有明确的处理办法,轻微违规警告加培训,严重违规按协议追责甚至解除劳动关系。处罚要落到纸面上,案例在公司内部适当通报,起到警示作用。
最后说一点经验。五十人的制度建设最怕步子迈太大。建议先起草一个简易版保密制度试行三个月,收集反馈后再细化。让员工理解保密不是管他们,而是保护公司和大家的共同利益,制度的执行阻力会小很多。从零搭建听起来工程量大,但核心框架搭起来后,后面一百人、两百人扩规模就是在这个基础上的修补和升级了。
