保密措施不是签一份NDA就够了——企业到底需要建立哪些措施
我服务过一家科技公司,他们的研发总监特别自信地说公司保密工作做得很好,每个员工入职都签了保密协议。我说那咱们做个自测:第一,你有技术秘密的知悉范围清单吗?第二,研发数据有分级权限控制吗?第三,员工的保密培训有签到和考核记录吗?第四,核心文件有水印和加密吗?第五,外发文件有审批流程吗?第六,你有最近一次保密自检的记录吗?这六个问题问完,研发总监沉默了。
这就是很多企业的现状——以为签了NDA就算保密,实际上连保密措施体系的四梁八柱都没搭起来。合理保密措施是商业秘密三要件中的第三个,也是企业最容易被挑战的一环。法律上说的"相应保密措施",翻译成实操语言就是:针对信息的特点和管理目标,建立了与风险匹配的保护机制,并且能用证据证明措施在实际运行。
保密措施体系至少要覆盖六个方面。第一个是制度建设。企业应当有保密管理制度,内容包括保密范围、岗位职责、行为规范、奖惩措施,并且有员工签收确认的记录。制度不是挂在墙上的,是要让每个涉及的员工签收知晓的。签收记录就是措施的证据。
第二个是人员管理。包括入职保密承诺、岗位变动保密交接、离职保密承诺和脱密期管理。关键岗位的人员离职或调岗时,必须有保密交接记录,确认其已归还所有涉密载体并签署承诺。
第三个是物理管控。包括涉密区域的出入控制、门禁记录、访客管理、涉密载体的登记和归档。物理管控不是只有军工企业才需要,任何拥有核心商业秘密的企业都应当有基本的物理控制,比如核心研发区域的门禁,实验室的访客登记。
第四个是技术防护。这是目前大多数企业最弱的环节。合理的技术防护包括:信息系统的权限分级控制、文件加密和数字水印、操作日志审计、数据下载和外发的自动提醒和审批、联网设备的合规检查。不需要大而全的安全系统,但不能完全没有。至少对你最核心的信息,要能做到谁看了、谁动了、什么时候动的、动的什么内容——这些有据可查。
第五个是培训考核。定期做保密培训并且有签到记录和考核记录。培训内容应当覆盖保密制度、岗位要求和泄密案例警示。培训记录是在争议中证明企业持续履行保密管理义务的有力证据。
第六个是外发管控。包括对外提供信息的审批流程、NDA签署、发送记录、接受方使用限制和回收确认。很多企业的秘密是从外发环节泄露的,但外发记录却一片空白。
问:保密措施有标准清单吗?
答:没有统一的法定清单。合理措施应当与信息价值和泄露风险匹配。核心秘密的技术防护应当更严,一般秘密可以适当简化。企业可以从上述六个方面建立自己的措施清单。
问:保密措施不全怎么办,还能定密吗?
答:措施不全可以逐步补充,但不建议信息类目在措施齐备前就做正式认定。正确的做法是:先用临时管控措施把信息控制住,同步补措施,措施到位后再走正式定密审批。
问:员工不配合保密措施怎么办?
答:保密措施要嵌入业务流程,让员工在日常工作中自然执行,而非额外负担。制度的设计感很重要——既要管得住,又不能把员工管得太难受。对于反复不配合的,制度中要有明确的处理和考核机制。
我们帮助企业做定密体系咨询时,第一步就是帮企业做保密措施现状评估。从制度、人员、物理、技术、培训、外发六个维度逐个诊断,找出缺口和薄弱环节,再制定补充方案。北京企密安信息安全技术有限公司拥有完整的保密措施评估方法论和配套工具模板,能帮助企业快速建立或完善保密措施体系。联系方式:010-63711822、010-87562232、px@baomiwang.com。访问 https://px.baomiwang.com 或关注公众号 Qi-Mi-An 获取更多课程资料。
