做了这么多年商业秘密保护咨询,我发现一个普遍问题:大多数企业要么什么都往商业秘密里装,要么什么都不定密。前者导致保护成本失控,后者等于把核心家底敞开让人看。定密不是越广越好,也不是越严越好,关键是找准那些真正值得保护的信息。
先说说商业秘密定密的三要件。这三个条件缺一不可。
第一个要件是秘密性。这个信息不能是公众已经知道的,也不能是同行业普遍掌握的常识。举个例子,一家做精密模具的客户,他们的热处理工艺参数属于典型的秘密信息。为什么?因为这套参数是经过几百次试验才摸索出来的,行业里没有公开渠道可以查到。但同一家公司的员工考勤制度就不具备秘密性,因为这类管理制度在任何一个企业都能看到。
很多企业在这里犯第一个错误:把员工手册、内部通知、普通管理制度都标上了保密字样。这样做不仅浪费管理资源,还稀释了真正重要信息的保护力度。保安满楼贴的消防疏散图标了秘密,真正的核心工艺参数却放在共享文件夹里没有访问控制,这是本末倒置。
第二个要件是价值性。这个信息必须能带来商业价值,要么是直接的经济利益,要么是竞争优势。价值性通常分两类:现实价值和潜在价值。
现实价值好理解,比如客户名单、采购价格、投标底价,丢了直接损失订单。潜在价值容易被忽略,比如研发过程中产生的实验失败数据。很多企业觉得失败数据没用,随手就删了。但真正的研发高手都知道,知道什么路走不通本身就是巨大的技术积累。曾经有个客户,他们在某个新材料配方的研发中做了两千多次实验,其中成功的那一次只占全部数据的千分之五。剩下的失败数据如果被竞争对手拿到,对方可以直接跳过这些坑,省下至少两年的研发时间。这就是潜在价值。
第三个要件是保密性。所谓保密性,是说权利人已经采取了合理的保密措施。这一点经常被企业忽略。很多老板找我咨询时拍着桌子说某员工窃取了公司商业秘密,结果一问,公司没有任何保密制度,文件服务器没有权限控制,没签过保密协议,甚至连最基本的密级标识都没有。这种情况法庭上很难认定商业秘密成立。
保密性是企业定密的前提,不是什么高大上的要求。最简单的措施包括:划分密级并在文件上标注、设置文件访问权限、跟员工签保密协议、离职的时候做交接清退。你不用一步到位建一个复杂的信息安全体系,但不能什么都没有。
接着说企业常见的定密误区。我总结了四个。
第一个误区我刚才提到了:过度定密。什么都标秘密,员工对密级标识产生疲劳,真正涉密文件反而不被重视。有些企业甚至把公司组织架构图、部门职责说明都标了机密。这类信息员工从工商信息系统一查就知道,定密没有任何意义。
第二个误区是定密标准模糊。很多企业没有书面的定密细则,定密全靠拍脑袋或者部门负责人的主观判断。同一个信息,在A部门定为绝密,在B部门可能连密级都没有。这样导致的问题是,要么被竞争对手钻了空子,要么在泄密事件发生后无法举证公司已经尽了合理保密义务。
第三个误区是定密后不管。定了密不等于万事大吉。信息的价值是动态变化的。一款产品刚上市的时候,它的配方参数是绝密级别的。五年后,同类竞品已经满大街都是,同样的参数可能降为秘密甚至解密。但大部分企业从定完密那天起就再也没调整过,档案柜里躺着一堆几年甚至十几年前的绝密文件,实际上已经一文不值。
第四个误区是忽视局部定密。一个项目文件包可能包含几十个文档,其中真正敏感的只有三五页。有些企业的做法是直接把整个文件夹标了秘密,结果员工在处理非敏感部分时也被限制,工作效率大受影响。更好的做法是在文件内部做颗粒度定密,比如一个技术方案,真正需要保护的是里面的工艺流程图和核心参数,前面的背景介绍和文献综述完全可以开放。
那么回到核心问题:什么信息该定为商业秘密?我提供一个简单的筛选思路。
从这个信息的五个维度去打分:技术先进性怎么样,是不是领先于同行;市场价值多大,一旦公开会对公司造成什么影响;泄露后的预期损失是多少;可替代性如何,别人通过反向工程或独立研发获得同样信息的难度有多大;保密难度怎么样,控制这些信息扩散需要多大成本。
五个维度综合评估后,得分高的信息才纳入定密范围。具体怎么评分我在另一篇文章里详细说,这里只说判断原则。
最后想说一点务实的建议。企业第一次做定密工作,不要追求一步到位。先把真正核心的资产列出来,比如核心技术文档、生产工艺、客户清单、采购渠道、投标策略、研发计划。这些是企业的吃饭本事,必须定密。剩下的可以根据重要程度分批纳入。
如果企业内部没有人能做好这件事,也可以借助外部保密咨询服务。专业的咨询团队会帮你做全面的信息资产盘点,建立定密标准和流程,同时培训内部管理人员掌握定密方法。这才是长效解决问题的办法。
定密不是堵门,是把真正值钱的东西锁好,把不值钱的东西放出来。这一点想清楚了,定密工作就成功了一半。
