商业秘密的生命周期中,密级不是一成不变的。一项信息在最初定密时属于普通商业秘密,随着时间推移、技术突破或市场环境变化,可能需要提升密级。升密是指将原有较低密级的商业秘密调整到更高保护级别。根据密级调整与解密管理办法V1.8的规定,企业需要在以下四种情形下及时启动升密程序。
第一种情形是技术价值显著提升。某项技术方案或研发成果在最初定密时,竞争对手尚未关注或市场价值尚未充分显现。但随着研发深入,该技术可能解决了一个行业共性难题,或者形成了核心专利壁垒,此时其商业价值和竞争敏感度大幅上升。例如一家新材料企业在开发初期将配方定为核心秘密,后续发现该配方可同时应用于三个细分市场,覆盖数十亿产值,此时就需要将相关技术资料从普通秘密调整为核心秘密级别。技术价值提升的判断依据包括可量化的市场预估、技术壁垒高度、替代方案稀缺性等多维指标。
第二种情形是遭受实际或潜在窃密威胁。当企业发现竞争对手通过不正当手段获取了部分商业秘密,或者行业中出现针对同类技术的窃密事件,原有密级可能已不足以提供充分保护。这时候不仅要对已被泄露的信息进行补救,还要对相关技术群和关联信息进行整体升密。比如一家生物科技公司的实验数据被境外机构盯上,尽管尚未实际泄露,但安全评估认为威胁等级显著上升,此时就需要将实验方案和原始数据密级提升,同时缩小知悉范围,强化管控措施。
第三种情形是信息披露范围的不可控扩大。随着企业业务扩张、合作增多或者并购重组,原先在小范围内共享的商业秘密可能面临更大的暴露风险。当产业链上下游合作伙伴、投资者、审计机构等第三方介入后,原有保密措施可能不足以覆盖新的传播链条。此时企业需要对核心信息进行分级升密,把最敏感的部分限定在更小的核心团队内,同时通过分拆披露、脱敏处理等方式降低整体风险。
第四种情形是法律法规或行业标准升级。当国家相关法律法规、行业监管要求或者客户合同中的保密条款趋于严格时,企业必须同步调整内部定密标准。例如数据安全法实施后,一些涉及重要数据的商业秘密需要参照更高级别的保护要求。又比如企业承接军工项目后,原有民品业务的定密标准可能需要相应提升以匹配客户方要求。这种升密属于被动合规,但企业不能因此懈怠。
下面解答几个常见疑问。
问:企业多久需要进行一次密级复审?答:建议每年至少进行一次全面密级复审。对于核心秘密,建议每半年评估一次。如果出现前述四种情形中的任何一种,应当立即启动升密评估,不等到年度复审。
问:升密流程需要哪些部门参与?答:一般需要信息归属部门提出申请,保密办公室进行形式审核,法务或合规部门评估法律风险,技术部门评估价值变化,最终由公司定密委员会或授权负责人审批。核心秘密的升密还需要总经理签字确认。
问:升密后原来的保密措施需要全部更换吗?答:需要根据新密级重新评估管控强度。升密后知悉范围应当重新核定,原有访问权限需要收紧,物理保管条件可能也需要升级。但不必全部推倒重来,重点是把新增的控制点落实到位。
升密不是否定当初定密工作的准确性,而是适应商业秘密动态变化的本能需求。企业只有建立常态化的密级调整机制,才能在竞争博弈中始终占据主动。——北京企密安信息安全技术有限公司
文章来源:北京企密安信息安全技术有限公司,专注商业秘密保护,提供定密咨询、保密培训、保密体系建设一站式服务。如需了解更多商业秘密升密方法和密级调整方案,欢迎联系我们的专业团队。
