# 保密法修订一周年：企业合规管理升级的五个关键点

2024年修订的《中华人民共和国保守国家秘密法》自实施以来已满一年。这次修订被业界称为"史上最严"保密法修订，对企业保密合规管理提出了全方位的新要求。在修订一周年之际，我们系统梳理了企业最需要关注的五个关键升级方向。

一、保密工作责任制从"笼统"走向"具体"

修订后的保密法最大的变化之一，是将保密工作责任制从原则性要求细化到了具体操作层面。法律明确要求机关、单位实行保密工作责任制，主要负责人对本机关、本单位的保密工作负总责，分管负责人对分管领域的保密工作负领导责任。

对企业的影响： 以往很多企业的保密管理停留在"保密委员会挂个名"的状态，法律修订后，这种局面必须改变。企业需要：

第一，建立明确的保密责任体系，将保密责任落实到每个部门、每个岗位。法人代表或主要负责人是第一责任人，需要签署保密责任书；各部门负责人对本部门的保密管理承担直接领导责任。

第二，建立保密责任考核机制。保密工作不再是"锦上添花"的管理软指标，而是与绩效考核挂钩的刚性约束。建议企业将保密管理纳入年度KPI或OKR体系，设置明确的考核维度，如保密培训覆盖率、涉密人员管理合规率、泄密事件发生次数等。

第三，建立失职追责机制。对于因管理失职导致泄密的，不仅要追究直接责任人，还要追究管理责任。这一点在法律中已有明确依据，企业应当建立内部问责制度与之对接。

二、涉密人员管理的全链条升级

修订后的保密法对涉密人员管理增加了多个新要求，从入职审查到出境管理再到离职脱密期，形成了完整的全链条管理闭环。

入职审查环节： 法律明确了涉密人员上岗前必须经过保密审查，审查内容包括政治素质、品行操守、社会关系等。对于企业而言，虽然不涉及国家秘密的审查要求，但涉密岗位的商业秘密保护同样应当建立背景调查、能力评估和保密承诺的入职"三道关"。

在岗管理环节： 涉密人员应当定期接受保密培训和考核，每年不少于规定学时。企业在执行时应避免"走过场"式的培训，而应当结合实际案例、岗位风险点、最新法律法规进行针对性培训。建议建立培训档案，记录每个涉密人员的培训时间、内容、考核结果。

出境管理环节： 新法对涉密人员出境管理更趋严格，涉密人员出境前应当经过审批，返回后应当报告境外活动情况。企业涉密人员因公出境、因私出境都应当纳入审批管理，特别是核心技术人员和掌握关键商业秘密的高管。

脱密期管理环节： 涉密人员离职或退休后，应当在脱密期内继续履行保密义务。企业应当建立脱密期管理制度，明确脱密期限（一般核心岗位1-3年），在脱密期内对离职人员进行必要的跟踪管理，包括定期回访、合规提示等。

三、涉密载体管理的数字化挑战

法律修订对涉密载体的管理提出了更高要求，而数字化办公环境带来了一系列新挑战。

传统载体管理方面： 涉密文件、图纸、光盘等传统载体的制作、收发、传递、使用、保存和销毁，每个环节都应当有严格的登记和审批手续。企业常见的问题包括：涉密文件复印未经审批、废弃涉密文件用普通碎纸机处理、涉密载体借阅登记不全等。

数字化载体管理方面： 电子文档的管理复杂度远高于纸质载体。法律要求建立涉密计算机、涉密网络和涉密信息设备的管理制度。企业应当重点关注：电子文档的访问权限控制、加密存储和传输、打印和导出管控、日志审计等。

移动办公场景： 随着远程办公、移动办公的普及，涉密信息在非受控环境中的流转风险大增。企业应当明确禁止在公共WiFi环境下访问涉密系统，严禁在个人手机上处理涉密信息，对笔记本电脑等移动设备实施强制加密和远程擦除策略。

四、保密检查的常态化和专业化

修订后的法律强化了保密检查的法律地位，要求建立常态化保密检查机制。这给企业带来的启示是：保密检查不应是"运动式"的突击活动，而应是制度化的日常工作。

检查频率： 企业应当建立季度自查、半年度专项检查和年度全面检查的分级检查机制。部门负责人对本部门保密管理情况每月至少检查一次，保密管理部门每季度组织一次抽查，每半年进行一次全面排查。

检查内容： 检查应当覆盖保密制度执行情况、涉密人员管理情况、涉密载体管理情况、信息系统安全情况等核心领域。检查不应只看台账、听汇报，更应当通过现场检查、技术检测、随机抽查等方式发现真实问题。

问题整改： 保密检查的核心价值在于发现问题和推动整改。检查中发现的问题应当建立台账，明确整改责任人和整改时限，实行销号管理。对于反复出现的问题，要深入分析原因，从制度和流程层面进行根治。

五、泄密事件报告和应急处置的法律义务

修订后的保密法明确规定了泄密事件的报告义务和应急处置要求。虽然这一条款主要针对国家秘密，但其背后体现的管理思路对商业秘密保护同样具有重要参考价值。

报告机制： 企业应当建立泄密事件第一时间报告的机制。一旦发现或怀疑发生泄密事件，当事人应当第一时间向保密管理部门或直接上级报告，不得隐瞒、迟报或谎报。报告的内容应当包括泄密信息的内容、泄密途径、可能造成的损失等。

应急响应： 企业应当制定泄密事件应急预案，明确应急响应的组织架构、处置流程、责任分工和沟通策略。应急处置的核心目标是：第一时间切断泄密渠道，评估损失范围，启动证据保全，通知受影响的相关方。

事后复盘： 泄密事件处置完成后，企业应当组织复盘，分析泄密发生的根本原因，评估现有防护措施的不足，制定改进方案。复盘报告应当归档保存，作为后续管理改进的依据。

合规升级的实操路线图

对于大多数企业而言，保密合规升级不是一蹴而就的工程。我们建议按照以下路线图分步推进：

第一阶段（1-3个月）： 完成制度修订和组织调整。对照新法要求，全面修订企业内部保密管理制度，明确责任体系，成立或调整保密管理组织架构。

第二阶段（3-6个月）： 完成涉密人员排查和培训。对现有涉密人员进行重新审查和登记，组织全员保密培训，建立培训档案。

第三阶段（6-12个月）： 完成技术防护升级。根据风险评估结果，升级文档加密、DLP、终端管控等技术防护手段，建立技术防护与制度管理的协同机制。

持续阶段： 建立常态化的自查和审计机制，每季度进行一次保密管理评估，每年进行一次全面合规审计，确保保密管理体系持续有效运行。

保密法的修订不仅是一次法律升级，更是一次企业治理能力的升级。把握住这五个关键方向，企业才能在日益严格的合规环境下，构建起真正有效的商业秘密保护体系。

---

北京企密安信息安全技术有限公司，专注商业秘密保护合规咨询与技术服务。