去年底,一个做化工的朋友找我吃饭,全程皱着眉头。
他们公司一个干了八年的技术副厂长跳槽去了竞争对手那边。人走了两个月后,他们发现对方开始生产一款跟他们主力产品几乎一模一样的配方。公司马上报案。
警察来了,首要个问题不是"损失多少",而是——
"你们的配方做过定密吗?有保密措施记录吗?"
朋友愣了一下。他说配方肯定是秘密啊,全厂都知道不能往外说。警察又问:那书面定密记录呢?保密措施台账呢?谁有权接触配方的审批记录呢?
一个都拿不出来。
案子拖了半年,最后不了了之。
朋友跟我说这事的时候,我脑子里冒出一个念头——大多数中国企业的商业秘密,其实是"裸奔"的。
老板觉得是秘密,员工觉得是秘密,但在法律上,它就是一堆没有保护的普通信息。
一个被反复验证的规律
我做企业保密咨询这些年,看过太多类似的案子。大企业也有翻车的。华为海思诉尊湃那个案子,14个人被判了刑,很多人都觉得是华为法务强。但你仔细看判决书就会发现,真正让这个案子打下来的,不是法务多厉害,而是华为在定密这件事上,基本功做到了极致。
每一个技术密点都有书面记录。每一份保密措施都有台账。每一个接触过涉密信息的人,授权记录清清楚楚。
这才叫定密。
现在很多企业理解的定密是什么?文件夹名字加个"机密",入职的时候让员工签个保密协议。然后就觉得万事大吉了。
你问他:密点清单在哪?他指着一堆文件夹说"都在里面"。你问具体哪些参数、哪些数据构成商业秘密?他说不上来。你问保密措施记录?他翻出几张纸,上面只有签名和日期。
这种定密,上了法庭跟没有一样。
法院看什么?
我帮大家把这个问题拆开。《反不正当竞争法》对商业秘密的定义其实很简单:不为公众所知悉、有商业价值、采取了保密措施。三句话。
但到了司法实践里,法院审商业秘密案件,本质上是审三样东西:
首要,你的密点清单。 不能笼统地说"我们的技术资料是商业秘密",你得精确到"XX工序的温度控制参数在105到110度之间"。越具体越好。一个有用的检验标准是:如果你写的东西,同行看了也不知道你具体在保护什么,那就太虚了。
第二,你的保密措施记录。 签保密协议是起点,不是全部。最高法院的司法解释里对"合理保密措施"有具体规定。你的措施够不够,法院会综合判断——比如你定了"绝密",结果全公司200个人都能随便访问,这在法律上叫"措施与密级不匹配"。
第三,你的知悉范围管控。 这是九成企业做得最差的一环。很多公司只记录"谁有权看",不记录"谁实际看了""权限什么时候回收了"。人离职了,系统账号还能登录,离职员工带走的可不只是工位上的私人物品。
五个最常见的坑
说几个我见过较多的翻车姿势:
口头定密。 开会的时候领导说了"这个要保密",大家都点头。结果出事了翻记录——找不到。法庭上,没有书面记录就等于没有定过密。
台账太粗。 定密台账上写"技术秘密",笼统得像个文件夹名字。法官要的是具体内容、载体位置、定密依据,这些全没有。
措施和密级不配。 密级定得高,措施做得松。定了"绝密",结果没有访问控制、没有加密、没有任何物理隔离。法律上视为没采取合理措施。
只管进不管出。 授权的时候很认真,回收权限的时候没人管。离职员工、调岗员工、项目结束后的外部合作方——他们的访问权限还在。
一次定终身。 产品都迭代两代了,定密清单还是最初那一版。该解密的不解密,该升级密级的不升级。定密不是一次性动作,它是活的管理过程。
六个字:先判断,后留痕
这些年我一直在推一个很简单的口诀给客户——先判断,后留痕。
先判断:这件事到底是不是商业秘密?具体是什么?密级该定多高?谁应该知道、谁不应该知道?
后留痕:你把上面这些判断和决策,全部写下来、批下来、存下来。不是存在脑子里,是存在一个能拿出来给人看的地方。
这套动作看起来简单,但如果你真的让公司里每个涉密岗位都照着做一遍,你会发现——绝大多数企业连首要步的"判断"都做得不完整。
刑法上的代价
最后说一下法律底线。很多人觉得泄密了较多赔钱。
刑法第219条,侵犯商业秘密罪。修正案十一以后,不再是"造成重大损失"才入罪,改成"情节严重"。什么意思呢?不是只看你账上亏了多少钱,而是综合判断——比如你是不是有组织地窃取、你是不是多次作案、你是不是利用职务便利。
还有第219条之一——为境外机构窃取、刺探、收买、非法提供商业秘密的,独立成罪。量刑更重。
所以你问定密重不重要?当你的核心技术变成了别人工厂里的产品,你连告都告不赢的时候,你就知道答案了。
*发布于:微信公众号 / 官网*
*北京企密安信息安全技术有限公司 · 专注企业保密管理*
