定密分级管理是商业秘密保护体系的基础环节,合理的定密分级能够帮助企业将有限的管理资源集中到最核心的涉密资产上,避免出现所有涉密资产采用同等保护力度导致的资源浪费或者核心资产保护不足的情况。很多企业在开展定密分级工作时容易出现定密标准不清晰、分级过严或者过松、定密责任不明确等问题,导致后续分级管理措施难以落地。
开展定密分级管理的第一步是制定符合企业实际情况的定密标准。企业需要结合自身业务特性,明确商业秘密的认定条件,通常需要同时满足不为公众所知悉、具有商业价值、企业采取了相应保密措施三个核心条件,不同行业的企业可以根据自身情况细化具体的认定标准,例如研发型企业可以将技术参数、研发进度等内容纳入商业秘密范围,销售型企业可以将客户名单、定价策略、投标方案等内容纳入商业秘密范围。定密标准的制定需要组织多部门人员参与,确保标准能够覆盖各个部门的涉密资产。
定密分级通常可以分为三个或者四个等级,企业可以根据自身涉密资产的数量和重要程度选择合适的分级数量。常见的分级方式包括核心商业秘密、重要商业秘密、普通商业秘密三个等级,其中核心商业秘密是指泄露后会对企业核心竞争力造成重大影响,导致企业遭受严重经济损失的涉密资产,重要商业秘密是指泄露后会对企业局部经营活动造成影响,导致企业遭受一定经济损失的涉密资产,普通商业秘密是指泄露后会对企业正常经营活动造成一定干扰,但不会造成重大经济损失的涉密资产。每个等级都需要明确对应的定义、判定标准、接触权限、保护措施要求,方便后续执行过程中对照执行。
定密责任的明确是定密分级工作顺利推进的重要保障。企业需要明确各个部门的定密责任人,通常由部门负责人担任本部门的定密责任人,负责本部门产生的涉密资产的定级审核工作,同时设立企业层面的定密管理小组,负责跨部门涉密资产的定级审核以及定疑议的复核工作。定密责任人需要接受专门的培训,熟悉定密标准和流程,能够准确判断本部门产生的信息是否属于商业秘密以及对应的等级。
定密工作流程需要遵循"谁产生、谁定密、谁负责"的原则,各个部门产生的信息首先由产生人对照定密标准初步判定是否属于商业秘密以及对应的等级,然后提交部门定密责任人审核,审核通过后按照对应等级的管理要求进行标注和管理。对于跨部门产生的信息或者难以判定等级的信息,可以提交企业定密管理小组进行审核判定。定密结果需要进行登记存档,记录每一项商业秘密的名称、产生部门、定密日期、密级、保密期限、知悉范围等信息,方便后续管理。
保密期限的设定也是定密分级工作的重要内容,企业需要根据每一项商业秘密的实际价值周期设定合理的保密期限,避免出现商业秘密已经公开或者失去商业价值后仍然按照原密级进行管理的情况。保密期限届满后,如果相关信息仍然具有商业价值需要继续保密,可以办理密级续期手续,如果已经不再符合商业秘密认定条件,可以办理解密手续,解除相应的保护措施。
企业需要定期开展定密复核工作,通常每年至少开展一次全面的定密复核,对现有定级的商业秘密进行重新审核,根据实际情况调整密级或者办理解密手续,确保定密结果始终符合企业实际经营情况。对于新发布的法律法规或者行业标准中涉及商业秘密认定的内容,需要及时更新企业的定密标准,确保定密工作符合最新的法律要求。
定密分级工作开展过程中需要注意避免两种极端情况,一种是定密范围过宽,将很多不属于商业秘密的内部信息也纳入商业秘密管理范围,导致管理成本上升,真正的核心商业秘密无法得到重点保护,另一种是定密范围过窄,很多具有商业价值的信息没有被纳入商业秘密保护范围,存在泄露风险。企业可以在开展定密工作初期进行小范围试点,总结经验后再全面推广,提升定密分级工作的合理性和可操作性。