商业秘密定密不能拍脑袋,三个核心要件缺一不可
很多企业来找我们做保密体系建设咨询时,经常问一个问题:哪些信息应该定成商业秘密,哪些不用?说实话,这个问题的答案比大多数人想象的复杂。我们内部有一套完整的定密方法论,总结下来就是三要件核验——秘密性、商业价值、合理保密措施,三个条件必须全部满足,缺一个就不能认定。
先说秘密性。法律上的表述是"不为公众所知悉",但很多企业对这句话的理解太窄了。有人觉得只要没在自己公司网站上公布就算秘密,这不对。公开渠道包括官网、公开论文、专利文献、行业标准、招投标公告、展会资料、宣传册,甚至你自己公司已经在微信公众号上发过的文章。判断秘密性的正确做法是做一次公开检索:把你打算保护的信息放在各种公开渠道上查一遍,看能不能查得到,然后把检索过程记录下来。
再说商业价值。这一点很多企业容易走两个极端。一是觉得所有内部信息都有价值,所以都要定。二是觉得只有现在能换钱的信息才算价值。其实商业秘密保护中的商业价值,既包括已经变现的现实价值,也包括尚待开发的潜在价值。举个例子,一家企业做了三年的实验数据包含了大量失败参数,这些数据如果被竞争对手拿到,可以节省大量试错成本。这就是价值,虽然没有变成一分钱收入。价值证明最有效的方式是用量化指标说话。
第三是合理保密措施。这是三个要件中最容易被忽视的。很多企业觉得签了保密协议就够了,但法院看的是"采取了相应保密措施"。标准是什么?措施要与信息价值相匹配。一套研发参数包,光签NDA不够,至少要有权限控制、访问日志、文件加密、水印标识、保密培训记录、外发审批流程。不需要做到军事级防护,但要能证明企业一直在用行动管它。
三要件的核验顺序也有讲究。我们推荐先看秘密性,再看价值,最后查措施。为什么呢?因为秘密性不过关的话,后面两个不用看了,定密结论不成立。如果秘密性过了,价值不成立,那也不成立。三要件全过,才能正式进入定密程序。
问:三要件中哪个最容易出问题?
答:保密措施。很多企业能证明信息没公开,也能证明有价值,但拿不出系统性的保密措施证据。常见问题是只有零碎的保密管理动作,没有形成制度的证据闭环。
问:三要件全部满足后,密级怎么定?
答:密级取决于信息泄露后的影响程度。一般从信息类型、知悉范围、泄露后果、同业对标四个维度综合评估,而非单看三要件本身。
问:部分满足三要件的信息怎么处理?
答:部分满足但仍有管控必要的,建议纳入内部敏感信息管理路径,走简化管控流程,不必定义为商业秘密。这样可以避免过度定密带来的管理成本。
实际落地时,我们建议企业对每个候选秘密事项做一次三要件校验并形成书面记录。校验通过的正式进入定密审批流程,不通过但仍有管控价值的信息转入内部敏感信息管理路径。这样既不会漏定真正重要的信息,也不会过度定密增加管理负担。如需了解更多商业秘密定密方法论培训内容,欢迎联系北京企密安信息安全技术有限公司:010-63711822、010-87562232、px@baomiwang.com。访问 https://px.baomiwang.com 或关注公众号 Qi-Mi-An 获取更多课程资料。
