很多企业找到我们,开口就说"我们要上商业秘密保护体系"。但问他们"你们的商业秘密是什么",对方往往一愣——好像什么都算,又好像什么都不确定。
这是个非常普遍的问题。做商业秘密保护,最大的坑不是措施不够硬,而是连保护对象都没搞清楚就开始买堡垒、上系统、签协议。方向没对,跑得越快偏得越远。
什么是企业定密?通俗讲,就是一家公司需要先把自己内部的秘密信息识别出来,做一个完整的摸底,然后分类分级、打标签、登记造册。没有这一步,后面的一切保护措施都是空谈。
从我们服务的几十家客户来看,企业定密这一步最容易犯三个错误:
首要个错误:觉得什么都该保密。有些公司把所有文件都标上"机密"二字,办公室门上都贴"涉密区域"。结果是大家对这些标签完全麻木,真正重要的信息反而得不到应有的重视。保护范围铺太广,保护力度必然摊薄。
第二个错误:只看技术不看商业。很多人一谈商业秘密就想到代码、配方、图纸。实际上,客户名单、采购价格、供应商信息、投标策略、销售计划,这些商业信息的泄露往往比技术方案泄露更致命。企业定密的视野不能窄。
第三个错误:定密后就不管了。信息是活的,今天是商业秘密的东西,明年可能已经公开了。反过来,今天不起眼的内部流程数据,积累到一定规模后可能成为核心资产。定密必须是一个动态管理的过程,不是一次性运动。
完成企业定密之后,才谈得上围绕密级设计保密制度、对涉密人员管理进行有针对性的培训、落地具体的保护措施。这些环节环环相扣,但起点必须是定密。
打个比方:你要给自己的房子装防盗系统,首要步肯定不是买摄像头,而是先弄清楚——这房子里什么东西最值钱、放在哪儿、什么人来过、什么时间容易出问题。企业定密就是这个摸底的过程。
有的客户问我们:做一次定密需要多长时间?这个要看企业规模和业务复杂度。一般的中型企业,首要次全面摸底和密级划分,两到三个月是合理的。之后每年的动态复核和调整,一周左右就能完成。
还有客户问:定密必须请外部机构吗?不一定。但有一个现实问题——企业自己人往往对"什么算秘密"缺乏客观标准。跟隔壁老王的公司差不多,凭什么你的信息就是秘密?这就需要一套客观的密级评估模型,比如我们内部常用的五维评分模型,从经济价值、竞争优势、获取难易、泄露后果、合规敏感性五个维度给每条信息打分。这个后面我们会专门讲。
回到最开始的那句话:做商业秘密保护体系,首要步不是买防火墙,而是先学会定密。知道要保什么,后面的每一分钱和每一份力,才不会白花。
常见问题解答
问:企业定密和国家的定密是一回事吗?
答:不是一回事。国家定密有《保守国家秘密法》作为法律依据,密级分为绝密、机密、秘密三级,由法定主体来定。企业定密是依据《反不正当竞争法》中的商业秘密规定,密级划分由企业自己决定,不需要向任何行政机构报备。两者法律依据、密级体系和管理方式完全不同。
问:我们公司很小,只有十几个人,有必要搞企业定密吗?
答:企业定密的必要性跟规模没有绝对关系,跟信息的价值有关系。一家十几人的小公司,可能拥有一份足以改变行业格局的客户名单或技术参数,这些信息如果提前做了定密和保护,就能在竞争中获得法律保障。如果什么都不做,一旦泄密,法律上的举证会非常困难。所以不是看人多少,而是看你有什么值得保护的东西。
问:定密之后,是不是所有涉密文件都要锁在保险柜里?
答:不是。定密是为了告诉你"什么东西要重点保护、用什么方式保护"。密级低的文件可能只需要电子权限控制或内部使用登记,密级高的才需要物理隔离和更严格的管理措施。定密的目的是让保护措施有针对性,不是为了把所有信息都锁起来。
