商业秘密定密两条红线：先控后定与外部平台禁入如何执行？

企业发生泄密，往往不是没人知道资料敏感，而是大家在关键窗口期抱有侥幸。流程还没走完，先发给客户；只是让AI帮忙总结一下，应该没事；公共网盘只是临时中转；领导口头同意了，就不必写审批。风险正是在这些临时方便只是一下的动作里被放大。

本课程界定两条高风险红线。第一条红线是先控后定。争议事项但泄露后果明显的，不能等流程审批全部完成再做保护。具体动作包括：限制知悉范围至项目核心成员，暂停所有外发审批通道，在系统中加定密中或待核验临时标签，保全相关系统日志和访问记录。临时控制不是永久定密，后续通过正式核验后可以解除控制或转入分级管理。

第二条红线是外部平台禁入。未完成核验前，不得把候选高敏事项原文上传到非受控外部AI平台、个人网盘、个人邮箱或公共IM。AI工具、在线翻译、公共文档协作平台都可能形成外部存储、训练、检索、转发或二次使用风险。确有业务需求的，应书面提交例外审批，至少说明原因、对象、脱敏方式、责任人、时限和补偿控制措施。例外审批同样需要留痕和后续复核。

两条红线不是阻碍业务，而是在业务还要推进时，先把损失半径控制住。

深化理解

- 商业秘密还没完成定密，可以先发给客户或输入AI吗？ - 这是一个风险很高的问题，也是企业日常经营中最常见的压力场景之一。客户催着要资料，个人觉得AI工具能提高效率，公共网盘只是临时中转——这些场景下，大家往往会选择先发再说先用再说。 - 但从商业秘密保护的角度来看，这个问题的明确答案是：不应该。未经核验的候选高敏事项，原则上不得外发原件或上传到未受控的外部平台。 - 为什么？因为一旦信息脱离企业的控制范围——无论是发给客户、上传到AI平台还是存入个人网盘——企业就失去了对信息的后续控制力。外部AI工具可能将输入纳入训练数据，客户可能转发给第三方，公共网盘可能被未授权人员访问。这些风险不会因为只是临时只是帮个忙而降低。

从企业实操角度看，上述要点直接决定了制度能否从纸面走向执行。许多企业在培训阶段理解到位，但在实际执行中仍出现偏差，根本原因在于缺乏将理论转化为具体岗位动作的桥梁。因此，建议企业在完成核心制度设计后，配合至少一轮岗位级别的实操演练，确保每个环节都有明确的执行标准和交付物。

实践中常见的问题包括：制度理解停留在管理层、各岗位对自身职责边界不清晰、缺少可量化的考核指标、复核机制流于形式等。要解决这些问题，企业需要建立分级培训机制、明确岗位职责清单、以及配套的定期复核与改进制度。

长远来看，规范的密级管理体系不仅能够防范商业秘密泄露风险，还能帮助企业优化信息资源配置、提升运营效率、增强客户与合作伙伴的信任度。这正是北京企密安持续推动企业商业秘密保护能力建设的核心理念。

常见问题

问：先控后定是不是把所有资料都当商业秘密？ 答：不是。先控后定是临时风险收口机制，后续仍要完成三要件核验，不成立的可以解除控制或转入内部敏感信息路径。

问：候选高敏资料可以输入外部AI吗？ 答：原则上不得输入非受控外部AI。确有必要，也必须先审批、脱敏、限定时限并留输出复核记录。

问：什么是外部平台裸奔？ 答：指没有审批、脱敏、权限、日志、责任人、时限和输出复核，就把候选高敏资料上传或发送到外部平台。

问：客户催得急能不能先发？ 答：时间紧不能替代定密审查。可在审批后提供净化版、摘要版或受控披露版本，而不是直接发送原件。

联系方式 课程咨询及企业内训定制，欢迎联系北京企密安信息安全技术有限公司/ 010-87562232 邮箱：px@baomiwang.com 官网：https://px.baomiwang.com 公众号：Qi-Mi-An