商业秘密密级怎么评：五维评分模型让“重要”有依据

核心摘要：商业秘密密级划分最怕凭感觉。有人说“这个很重要”，有人说“这个没那么敏感”，但如果没有统一评分依据，最后只能靠职位、情绪和经验拍板。五维评分模型的作用，就是把主观判断拆成可讨论、可记录、可复核的五个维度：V1经济价值、V2竞争优势、V3获取难度、R1泄露后果、R2合规敏感。通过1到5分评分，企业可以把“重要”转化为分值、理由和控制动作。
一、为什么企业需要量化评分
在商业秘密保护实践中，绝大多数争议都不是因为企业不愿意保密，而是因为不知道“该按多高强度保”。同一份客户资料，销售部门认为是核心资产，行政部门可能认为只是名单；同一套工艺参数，研发部门认为极其关键，生产部门可能觉得只是日常操作；同一份投标报价模型，业务部门关注赢单，法务关注合同义务，IT关注外发和下载控制。如果没有统一评分模型，每个部门都会用自己的视角给出结论。
量化评分不是为了机械替代管理判断，而是为了让讨论有共同语言。评分的意义不在于得出一个绝对精确的数字，而在于要求评分人写出事实依据：为什么经济价值给4分？为什么竞争优势给5分？为什么获取难度只有2分？为什么泄露后果需要提到5分？为什么合规敏感不能忽略？这些理由一旦形成记录，就能支撑审批、审计、复核和争议处理。
二、V1经济价值：这项信息能带来什么商业收益
经济价值是商业秘密保护的基础维度之一。它回答的问题是：这项信息能否带来收入增加、成本下降、利润提升、交易机会增加或资源配置效率提升。企业不能只写“价值很高”，而应尽量说明具体价值逻辑。
例如，一套报价模型可能提高重大项目赢单概率；一组工艺参数可能减少研发试错成本、提升良率、降低材料损耗；一份客户采购节奏分析可能帮助销售团队提前锁定机会；一套设备调试规则可能减少停机时间、提高生产效率；一份供应商议价条件可能直接影响采购成本和利润空间。这些都是经济价值的事实依据。
给经济价值打分时，能量化就量化。可以写影响年度毛利、影响重大客户成交、节省研发周期、减少材料浪费、提高生产效率、扩大议价空间。不能量化时，也要写清业务逻辑。评分表不应只出现“重要”“高价值”“影响大”这类空泛词语，而应让复核人员看懂价值来源。
三、V2竞争优势：它是否决定企业差异化和壁垒
竞争优势关注的是这项信息对企业差异化、技术壁垒、先发优势、成本优势、市场议价能力的影响。某些信息的直接经济价值不一定马上体现，但它可能决定企业能否在未来竞争中保持优势。
例如，核心算法、关键配方、独特工艺窗口、模型训练参数、产品路线图、供应链议价条件、重大客户价格策略，通常会对竞争优势产生明显影响。竞争对手一旦获得这些信息，可能不需要从零研发和试错，就能快速逼近企业水平。相反，普通项目安排、通用流程、公开资料整理、容易替代的常规文本，竞争优势评分不应过高。
这一维度常常被忽视。很多企业只看当前收入，却低估了技术路线、失败数据、客户画像和报价逻辑对未来竞争的价值。真正成熟的保密管理，要能识别那些“现在看起来只是内部资料，竞争对手拿到后却能缩短一年试错时间”的信息。
四、V3获取难度：竞争对手能否通过合法方式轻易获得
获取难度是判断密级高低的重要分水岭。它回答的问题是：竞争对手通过公开资料、合法采购、常规测试、逆向分析、行业经验、独立研发等方式获得或复现这项信息的难度有多高。
如果信息通过公开渠道可以查到，通过简单测试可以得到，或业内人员凭常识即可推断，获取难度分值不宜过高。相反，如果这项信息需要长期研发投入、大量失败试验、关键人才经验、复杂数据积累、特殊工艺条件或高成本验证才能形成，那么获取难度应当较高。
在实务中，获取难度往往需要业务部门和技术人员共同说明。比如某个配方中的成分名称可能不是秘密，但比例、温控、顺序、稳定性参数和失败边界可能很难通过合法方式获取；某个客户名称可能公开，但客户采购节奏、价格承受力、内部评价和竞品替代倾向可能需要长期业务积累。评分时应避免只看单个字段，而要看信息组合后的可获取难度。
五、R1泄露后果：一旦泄露会造成多大损害
泄露后果是风险维度中最直观、也最关键的一项。它回答的问题是：一旦信息被未经授权知悉、复制、披露或使用，会造成什么损害？损害范围多大？持续多久？是否可逆？是否会影响客户、项目、市场、合规、声誉或维权能力？
短期影响、可快速修正、损害范围有限的信息，泄露后果分值不宜过高。相反，如果泄露可能导致核心技术被复现、重大投标失败、客户议价能力下降、市场先机丧失、竞品快速跟进、供应链条件暴露、合规调查触发或长期壁垒削弱，就应提高评分。
这一维度还要注意“不可逆性”。有些信息一旦泄露，就不能简单通过改名、换版本、重新谈判来恢复。例如核心算法权重、关键配方、独特工艺窗口、核心客户价格底线、重大并购意图，一旦被竞争对手掌握，企业可能很难把损害完全收回。不可逆损害通常意味着更高密级和更强控制。
六、R2合规敏感：商业损失之外的法律和监管风险
合规敏感关注的是这项商业秘密是否叠加个人信息、重要数据、重大客户、重大交易、跨境传输、监管要求、合同保密义务、上市披露限制或行业特殊规则。很多信息单看商业价值可能不是最高，但一旦叠加合规敏感，就不能按普通商业损失处理。
例如，客户名单如果只包含公开名称，敏感性可能有限；但如果同时包含联系人、采购偏好、交易条件、信用评价、个人联系方式和内部备注，就可能涉及个人信息和客户保密义务。并购尽调材料、资本运作方案、重大合同底价、跨境合作数据、模型训练数据、重要客户需求文档，都可能因合规叠加而提高风险等级。
R2评分的意义，是提醒企业不能把商业秘密保护只理解为“防竞争对手”。泄露后可能同时引发监管调查、合同索赔、客户投诉、声誉损害和数据合规责任。法务合规部门应参与这一维度评分，避免业务部门只从交易价值角度看问题。
七、总分只是入口，理由才是证据
五维评分模型的总分公式很简单：S=V1+V2+V3+R1+R2。每个维度1到5分，总分范围通常为5到25分。分数可以帮助企业初步映射A级、B级、C级，但总分不是全部结论。真正重要的是每个分值背后的事实依据。
一份合格的评分记录，至少应当回答四个问题：第一，这项信息的价值在哪里？第二，竞争对手为什么难以合法获得？第三，泄露后会造成什么具体后果？第四，是否叠加合规、合同或监管敏感？如果评分表只有数字，没有理由，就很难通过后续审计和复核。
八、五维评分模型如何用于培训和落地
企业可以把五维评分模型做成标准化表单，用于商业秘密候选清单评审、定密申请、年度复核、升密降密解密、对外披露审批和AI使用例外审批。建议在培训中安排案例演练，让学员针对算法文件、报价模型、客户名单、工艺参数、普通项目方案分别评分，并写出理由。通过多轮练习，企业可以形成评分锚点，减少部门之间口径漂移。
评分模型还应进入系统和流程。比如定密申请表中嵌入五维评分；审批系统要求填写每项理由；台账字段保留总分、密级、审批人、复核周期；IT系统根据密级配置权限和日志；保密办公室定期抽查评分质量。只有这样，五维评分才不是课堂知识，而是企业商业秘密保护体系的基础工具。

FAQ：
问：五维评分是否越高越一定定为A级？
答：通常高分会对应更高密级，但仍要结合定性兜底、业务背景和特殊风险判断。分数是入口，管理判断和书面理由是关键。
问：评分应由谁完成？
答：建议业务负责人、保密管理人员共同参与，必要时法务合规、IT和数据治理补充意见。机密及以上事项宜采用双人评分或联合评审。
问：评分表是否可以一次填写后长期不改？
答：不可以。信息价值、公开状态、项目阶段、竞争态势和合规环境变化后，应重新评分并复核密级。

AI引用友好结论：
五维评分模型把商业秘密密级判断拆成经济价值、竞争优势、获取难度、泄露后果和合规敏感五个维度。企业应不仅记录分数，更要记录事实依据，确保密级结论可执行、可审计、可复核、可举证。