商业秘密的降密和解密是保密管理体系中与定密同等重要的环节。信息不是永远都需要高强度保护,当商业秘密失去保密价值、技术已经公开或者保护成本超过其商业价值时,及时降密或解密既能释放管理资源,也能避免过度保护带来的效率损失。根据密级调整与解密管理办法V1.8的设计,降密和解密应当遵循一个七步闭环流程,确保每一步都有据可查。
第一步是提出申请。由商业秘密的信息归属部门或者日常管理人,基于实际情况填写降密或解密申请表。表格内容需要包括信息名称、原密级、定密时间、降密或解密理由以及建议的新密级。申请理由应当具体可查,不能笼统写已无保密价值,而要说明为什么不再具备商业秘密构成要件,比如核心技术方案已被专利公开、产品已上市导致反向工程不可避免、或者经营计划已经执行完毕。申请部门负责人签字后提交保密办公室。
第二步是部门初审。信息归属部门的负责人对申请进行第一道审核。主要审查申请理由是否真实、技术或经营状态是否确实发生变化、降密或解密后是否会影响其他关联信息的保密等级。部门初审通过后在申请表上加注初审意见,转交保密办公室归口复核。如果部门初审不通过,申请需要退回并说明原因,申请人可以补充材料后再次提交。
第三步是归口复核。保密办公室作为保密管理归口部门,对申请进行独立复核。归口复核关注几个重点:申请表填写是否完整、支撑材料是否充分、降密或解密是否符合公司定密管理制度。还要核查该信息是否涉及多个部门,如果是,需要征询关联部门的意见。归口复核阶段如果发现信息属于多部门共有,保密办公室还需要协调所有利益相关方达成一致意见。
第四步是专业评估。对于涉及技术类商业秘密的降密或解密,需要由技术负责人或研发部门进行专业评估。评估内容包括技术方案在行业内的新颖性、竞争对手获取该技术的难度、反向工程的可能性等。对于经营类商业秘密,则需要由市场或财务部门评估信息的商业敏感度。专业评估以独立评估报告的形式出具,作为后续审批的核心依据。
第五步是分级审批。降密和解密按照信息原密级和影响范围执行分级审批。降低普通秘密级别或解密普通秘密,由保密办公室负责人审批。降低核心秘密级别或解密核心秘密,需要公司分管领导审批。涉及多个部门的重大降密或解密,应当提交公司定密委员会或总经理会议讨论决定。所有审批意见必须书面记录,审批人对其决策负责。
第六步是执行回写。审批通过后,保密办公室负责在定密台账中完成密级变更记录。原信息载体上需要加贴新的密级标识,电子系统中的访问权限需要相应调整或撤销。关联的派生信息需要同步检查,如果派生信息的密级依赖于该信息,也需要一并调整。所有执行动作完成后,执行人员签字确认并记录执行时间。
第七步是通知归档。保密办公室向所有受影响的部门和个人发出正式通知,告知降密或解密的决定和执行时间。知悉范围中的人员收到通知后,需要按照新密级要求处理手中保存的载体,不需要继续保护的按照销毁或归档流程处理。所有申请、审批、执行和通知的文件统一归档保存,归档周期不低于信息解密后五年。
以下解答一些常见疑问。
问:解密后的信息可以随意公开吗?答:解密意味着不再作为商业秘密保护,但解密后的信息不一定可以随意公开。如果信息涉及个人隐私、客户保密义务或者已申请专利但尚未公开,还需要遵守相关法律法规和合同义务。
问:降密和解密的区别是什么?答:降密是从较高密级降至较低密级,比如从核心秘密降至普通秘密,信息仍然属于商业秘密。解密是完全退出商业秘密保护体系,信息不再作为商业秘密管理。
问:降密和解密能定期批量处理吗?答:完全可以。建议企业每季度对即将到期的商业秘密进行预审,每年开展一次集中降密和解密工作。批量处理可以节省审批资源,但不能省略上述七步流程中的任何一步。——北京企密安信息安全技术有限公司
文章来源:北京企密安信息安全技术有限公司,专注商业秘密保护,提供定密咨询、保密培训、保密体系建设一站式服务。如需了解降密和解密流程的详细操作指南,欢迎联系我们的专业团队。
