定密是商业秘密保护的起点,也是很多企业最头疼的问题。定得太宽,什么都往保密箱子里塞,结果管理成本居高不下,员工也疲于应付,真正需要保护的核心信息反而淹没在一堆废纸里。定得太窄,核心机密没有纳入保护范围,一旦泄露追责都找不到依据。所以定密的思路不是越多越好,而是精准二字。
第一步是区分商业秘密与一般内部信息。不是所有公司不想公开的信息都属于商业秘密。按照反不正当竞争法的规定,商业秘密需要同时具备三个特征:不为公众所知悉、具有商业价值、权利人采取了相应的保密措施。简单来说,如果一个信息在公开渠道可以检索到,或者行业内同行普遍掌握,那它就不具备秘密性。如果一个信息泄露后不会对公司经营造成实质影响,那它就不具备价值性。如果一个信息公司压根没有采取任何保护措施,员工随便就可以带走,那后续主张保密权利也非常困难。所以企业在定密时,先对照这三个特征做一次初筛,把明显不符合条件的剔除出去。
第二步是做好信息分类。不同企业的主营业务不同,商业秘密的类型也千差万别。从实践来看,大致可以归为四类。技术信息类,包括产品配方、工艺流程、设计图纸、技术方案、实验数据、源代码等。经营信息类,包括客户名单、供应商信息、采购渠道、定价策略、营销计划、市场调研报告等。管理信息类,包括企业战略规划、组织架构调整方案、绩效考核体系、内部审计报告等。财务信息类,包括未公开的财务报表、成本构成、利润预期、投融资计划等。每家企业可以根据自身情况在这四类基础之上做细化,但核心原则是一个信息在哪个类别里都要能说清楚它到底属于哪一类,而不是笼统地说这个是商业机密。
第三步才是确定密级。实践中用得比较多的是三级制,核心秘密、重要秘密和内部秘密。核心秘密的判定标准是,泄露后会导致企业丧失核心竞争力或遭受重大经济损失。这类信息通常有明确的排他性,比如独有技术、核心配方、关键客户名单等。重要秘密的判定标准是,泄露后会给企业造成较大经济损失或市场被动,但并不直接致命。内部秘密的判定标准是,泄露后影响有限,但公司不希望外传,比如内部会议纪要、一般性工作流程等。每个密级对应的保护措施、接触范围、审批流程都要有明确差异,不能核心秘密和内部秘密一个管法,那分级就失去了意义。
第四步是定密责任的分配。定密不能只靠法务或者行政部闭门造车,因为具体哪些信息有价值、哪些已经公开、哪些是核心,只有业务部门最清楚。建议企业建立定密责任人制度,由各部门的负责人担任本部门定密的第一责任人,负责识别和申报本部门的商业秘密。法务或者保密管理部门负责审核认定和统一编码管理。定密结果要形成正式的保密信息清单,在各部门之间共享,方便后续的权限管理和执行。
第五步也是关键的一步,是动态评估和调整。商业秘密不是一成不变的,一项技术在公司拿到的第一版可能还是核心秘密,但随着行业技术进步和公司产品迭代,几年后可能已经不再是秘密。同样,原来不重要的客户信息随着业务增长可能升级为重要秘密。所以企业需要建立定密信息的定期复审机制,建议每年至少复审一次,重点审查现有保密信息是否还需要继续保持原密级,以及是否有新增的保密信息需要纳入管理。复审结果要形成书面记录,密级调整的要通知到所有相关人员和部门。
最后说一个容易被忽视的点,就是定密的标准要写进制度里。很多企业定密全凭领导拍脑袋,这个月的标准和下个月的标准不一样,这个人的标准和那个人的标准也不一样。没有统一标准的定密必然导致管理混乱。所以企业在正式定密之前,先把定密的标准用制度文件明确下来,让所有定密责任人有据可循,也便于后续内部审核和争议处理时有据可查。
