跟企业聊保密期限,我听到最多的一句话是:保密期限嘛,当然越长越好,最好永久保密。
这个想法看起来很安全,实际上问题很大。
先讲一个真实的案例。一家老牌化工企业,上世纪八十年代开发了一套催化剂的制备工艺,当时的定密人员把保密期限写入合同和文件,统一定为五十年。到二零一八年我接手他们的保密制度评审时,这套工艺已经过了三十五年。这三十五年里,全球化工行业发生了翻天覆地的变化,当年的先进工艺如今在学术期刊上能找到大量接近的方案,同类的催化剂产品市场上至少有五六家在卖。说白了,这套工艺早就没有商业价值了,但保密期限还有十五年,所有接触的研发人员仍然要签长达五十年的保密协议,文档管理标签仍然是绝密级的。
问题出在哪里?每年花在这项信息保护上的人力成本、系统成本和管理成本,加起来至少好几万。而这项信息一旦公开,已经不会对企业的竞争地位造成任何实质影响。这就是典型的过度保护。
所以保密期限设定的第一条原则,叫做条件优先原则。
所谓条件优先,是指保密期限不应该是一个固定的年数,而是以保护条件是否仍然成立来决定。说得通俗一点,保密到什么时候为止?答:保密到这个信息不再符合商业上秘密的三个要件为止。秘密性消失、价值性丧失、或者企业不再对它采取保密措施,任一个发生变化,这条信息的保密义务就应该终止。
具体怎么判断条件是否消失?我一般建议企业从这几个角度定期问自己:这项技术或信息在行业内还有多少人不知道;如果现在公开,竞争对手利用它的成本和难度有多高;这项信息还能给企业带来多大的竞争优势;有没有新的技术或方案已经替代了它的价值。
第二个原则是最短必要原则。保密期限要以实现保护目的的最短时间为准,而不是以企业能承受的最长时间为准。
怎样的期限算是合理?不同类别信息不一样。比如投标文件,在开标之前需要严格保密,但一旦中标结果公布,投标文件的敏感程度就会大幅下降。再比如新产品的上市计划,在产品正式发布之前是极高价值的信息,发布之后价值归零。这类信息的保密期限跟企业的业务周期紧密相关,不需要设置过长的期限。
还有一些信息的时效性特别强。比如企业的年度财务预算、营销方案、渠道策略,这类信息的价值周期通常是半年到一年。跨年之后,新的数据就已经覆盖了旧的,老的预算和策略对竞争对手来说参考价值很有限。这类信息保密一年到两年就足够了。
真正需要长期保护的是那些核心技术秘密。比如配方比例、生产工艺参数、特殊算法。这类信息在技术上具有独特性,而且很难通过反向工程破解,确实需要长期保护。但即便是核心技术,也不建议设置超过二十年的固定期限。为什么?因为二十年以上的技术保护,在目前的行业迭代速度下,绝大多数技术要么已经被淘汰,要么已经被公开发表的文献覆盖。
第三个原则是定期审查制度。
这是整个保密期限管理体系中最重要的一环。没有定期审查,前面两条原则全是空话。
具体怎么审查?我推荐的做法是每年做一次涉密信息价值重估。由业务部门牵头,技术部门配合,保密管理部门监督实施。
审查的标准很简单:这个信息放在今天,它的秘密性还在不在,价值性是不是仍然显著,我们还在不在为它投入保护成本。三个条件缺一个,就可以启动降级或者解密的程序。
审查结果要有正式的书面记录。降级或者解密后的信息,要更新密级标识、调整访问权限、通知所有曾经接触的部门和个人。这个流程看起来简单,实际操作中很多企业做不好。原因是什么?负责这件事的人嫌麻烦,觉得不变不动最省事。但这就是我之前讲的那个化工企业的教训,不动的结果是长期浪费。
再说一下员工离职后保密期限怎么处理。这个问题很多企业也容易搞错。
员工在职期间接触的商业秘密,离职后是否需要继续保密?答案是肯定的。但问题在于,保密期限写在劳动合同或者保密协议里的时候,很多企业直接写永久保密或者离职后十年。这种条款在司法实践中其实存在争议。
劳动合同法规定,竞业限制的期限最长不超过两年。虽然没有直接规定保密期限的上限,但法院在审判中会比较重视合理性的判断。三到五年的离职保密期在司法实践中被认可的案例比较多,超过五年甚至十年的,如果没有特殊的合理性说明,法院支持的可能性会降低。
更合理的做法是把离职后的保密期限跟信息的实际生命周期挂钩。与其写一个固定年限,不如写离职后该信息仍然属于公司商业秘密的期间。信息解密了,保密义务自然结束。这样既保护了公司的核心利益,在司法上也更有说服力。
最后总结一下我的建议。不要给所有信息设置统一的三十年或五十年保密期限。先做条件排查,确定哪些信息有长期保护的必要。然后按最短必要原则为不同类型的信息设定差异化的保密期限。最重要的是建立起一年一查的定期审查制度,让保密期限保持动态更新。
如果需要专业的保密方案设计,包括保密期限设定、定期审查机制建立和保密协议起草,可以联系我们获取定制化的咨询服务。保密期限这件事,管得好是成本可控,管不好是资源浪费。跟定密一样,不是越长越好,而是越精准越好。
