“如何梳理风险、制定保护机制？怎样分级和固化商业机密元数据？管理机制、管理流程和制度如何准确、高效衔接？”

  商业秘密是企业的重要非货币性资产，慢慢的变成了其在市场之间的竞争中的有力武器。企业对商业机密的管理程度，无疑反映出企业整体的管理上的水准，更是企业凸显核心竞争力的重要管理机制。商业机密保护与管理机制已是企业一把手来抓的重点之一，这在我们的一手调研中得到直接印证。

  如何梳理风险、制定保护机制？怎样分级和固化商业机密元数据？管理机制、管理流程和制度如何准确、高效衔接？本文结合理论与实践，回答上述这些对企业切实落地商业机密保护而言意义非凡的问题。

  本文以科创企业为例，从商密风险防范及管理的企业场景出发，梳理风险点。同时，从商业机密数据的定级、固化以及员工意识培养三个维度为大家提供建议。

  科学技术加快速度进行发展，科学技术人才快速流动，科创企业在对外进行技术合作或技术许可时，以及核心技术人员离职后引发商业机密纠纷等情形时常发生。科学技术创新型企业未来的发展过程中实际面临的挑战，决定了企业商业机密保护需求之重要性和迫切性。从企业属性看，科创型企业的业务发展快、产品更新换代快，需要短时间之内召集有经验的人才、快速提取智力内容，营造有利于创造的环境，实现产品的高速复制。反向工程对标分析是这类创新性企业技术开发过程中的常用方式，目的是不断迭代、寻求突破，第一时间掌握核心技术，从而形成追赶龙头的加速度，成为中国乃至世界赛道的创新引领者。对这种的企业，商业机密的价值远远前置于产品实现市场价值的过程，因为产品可能在数年之后才会落地、产生现金流。在此过程中，如果商业机密被侵害，不仅影响产品的价值，企业的生存与稳定发展甚至也会受到意料之外的阻力。需要强调的是，商业机密可能随着人员的流动被带走。对企业主而言，一方面要留住人才，另一方面也要寻找快速汲取人才技能的应对之法。难点在于，一是如何清楚区分人本身的技能和商业机密；二是科创型企业的研发人员占比重、涉及人员多，商业机密以各种各样的形式散落在各个角落，同时新的商业机密也在企业的发展过程中不断生成，导致商业机密的保护看似无从着手。尽管面临着种种困难，慢慢的变多的科创企业管理者有建立商业机密管理体系的意识，并且花精力、肯投入。但这并非管理者个人的事，它需要集团众多部门和人员通力合作，而需要正视和警惕的是，初创型企业的组织架构未必百分百完善。从商业机密管理的支持部门来讲，有的初创型企业完全倾斜于研发，甚至法务部、知识产权部、人事部、合规部等的配置并未齐全，比如法务部兼顾知识产权部，面向成百上千的研发人员，专项事务只有一两个人应对。这种情况下，要高效建立和完善商业机密管理体系，并在日常具有实操性，做到防患于未然，保障追溯和留痕，且不至于禁锢组织内分享和创造的活力，要求不可谓不高。

  商业秘密在产生和使用的过程中形成，只有在流动中才产生价值。建立商业机密保护以及防泄漏等机制，源头在于，甄别什么是商业机密？商业机密属于什么密级？商业机密在业务流程中产生，无论是怎样的业务流程，总体可以被透视和归纳为：信息流、人才流、物理流：信息流：不同主体产生的信息在内外部交互；人才流：人员的流动，包括招聘、换岗、离职等；物理流：所有可能涉及商业机密的载体与可能接触到这些载体的空间、事件，比如：访客接待、研发空间管理、工厂管理、图纸管理等。用这三个“流”透视业务流程，并在甄别的商业机密元数据基础上设置关键节点管理措施，使得制定的商业机密保护机制落到实处。对技术型公司而言，理清商业机密的产生与使用方法，最关键的是梳理与关注“信息流”和“人才流”。信息本身由人产生，所以信息流和人才流关系紧密。假设某位员工从一个项目调整至另一个项目或离职等，人才流的保密机制就会启动，是故信息流和人才流环环相扣。信息流聚焦于源头，即根据产生的主体来锁定主体，观察分析该主体在具体的业务过程中产生的新信息，以及以何种方式和载体呈现。信息流梳理能够使用从上至下的透视方式层层剥离。不同企业的功能和交互千差万别，笔者在经过十数个案例访谈后，总结出如下技巧诀窍——明确生成潜在商业机密信息最多的部门是哪个，比如研发部门内最多，同时研发部门和其他部门交互也较多，甚至涉及较频繁的外部交互。那么交互传递了哪些信息？过程中，内部和外部产生了什么风险？可据此梳理，层层明确。在研发部门内部的不同项目组中，比如按照工种分为算法、软件工程、光学镜头设计、机电设计等。一种常见风险是，尽管有不同分工和各自职责所在，但是所有项目人能无差别获得所有材料；另一个风险点是，研发人员要对采购部、生产部等其他部门人员发指令，即部门内信息分发至所有其它有关部门。企业内部各部门间的信息交互尚且风险可控，而另一方面，一旦涉及研发人员因产品定制等客观需求与供应商等外部交互时，情况会更为复杂。供应商从前期与研发部门单向联系，转变为中后期与品控部、采购部等内部多个部门多线沟通，信息分发面逐步扩大；供应商的管控难度有增无减，如果供应商相对集中，企业过于依赖少数供应商，甚至会分享整套关键物料，在双方保密协议不到位，或者保密条款落实不到位，或者缺少核心零部件供应商的定期保密审计等情况下，非常容易导致商业机密泄露。另外，对商业机密本身的识别不够透彻，也可能会引起风险。例如，客服人员带着完整产品到达客户场域调试，现场根据实际问题产出的解决方案没有被固化，久而久之，积少成多，会造成严重后果。沿着信息流，按照内外部使用信息不妥当，以及商业机密未得到识别两大类风险进行梳理，能形成完整的风险报告，这在之后制定体系机制和明确各部门负责人的责任范围时，将其作为企业“信息流”“人才流”详细情况的分析基础。

  在企业持续不断的发展、创新产品持续迭代升级的当下，过程中所产生的数量庞大的商业机密，需要切实可行的管理流程和措施，便于企业方厘清等级并实施保护。这对企业主、相关负责人甚至普通公司员工，提出了更细节、细致的要求。

  商业机密在动态中产生并发挥作用，其核心本质是技术的源头。比如研发人员在项目进程中产生的所有信息，即商业秘密的基础来源，本质上都是保密信息。在技术和产品研究开发过程中，部分信息可能面临在第二阶段被公开，作为对外宣传和客户要的信息，类如设备的安装参数，设备的功耗、能耗和性能等。极端一点说，反向工程能够得到的所有技术秘密，必须要在某一阶段根据专利布局的需求，进行专利保护。换言之，原始保密信息中，若是不必要公开及不用专利保护的，始终属于企业的商业机密。保密信息产生到专利申请完成的中间过程可能会持续一段时间，期间所有信息都是商业机密保护的对象。锁定保护对象的一个重要概念是“商业机密元数据”。面对数量众多的商业机密，确定密级很重要，类似日常管理中要提高效能：并非所有东西都值得管理，也绝非以统一标准实施管理。比如，一些项目负责人倾向于对所有保密信息都用绝密的方式实施保护，导致非常大的管理成本投入。分层管理商业机密才是效率最大化的明确之举。值得一提的是，并非项目中的任何一个人都需要具备识别商业机密及分等级的能力或承担对应责任，更有效的方式是由研发负责人统筹密级。因为密级的定义并不是特别容易，其难点在于，将不一样的商业机密放入同一个等级体系，这一过程存在很多方法论，例如技术和产品结构分析、与竞争对手相比的优劣势比较，需要紧扣产品本身和核心卖点做综合考虑。评估可以量化成打分制，既需要企业端的技术人员、产品经理，也需要律所等专业机构的专利和技术分析人员，共同商议决定。例如前述的客户调试现场，客服人能将商业机密元数据固定下来，其密级根据本身价值确定，存在共性的问题或对产品迭代有较大启示的内容，定为“机密”；普遍的个案问题定为普通商业机密。比如，芯片研发制造领域，核心原理都掌握在排名靠前的国际企业手中。如果一家芯片检测设备供应商经过多年投入和研发，获得一种独一无二的检验测试方案，能大大的提升检测准确度和反应度，从而提升检测效率，可以定为“绝密”级别的商业机密；原理的载体（如纸质图纸、数据化图纸），以及测试时的各种数据和算法模型，和其存放的数据库、代码库，可根据详细情况定为“机密/绝密”级别；系统背后的光学和机械部件等关键客制化组件，可定在“机密”级别。

  商业秘密的权限范围、密级、载体以及保护方式，最终可通过Excel工作表等形式呈现，重点是描述的到位程度和全面性，好比是给IT和信息安全部的一个指令表，对方能够准确的通过表上要求做实操，有助于商业机密保护的实际落地。此处有两个诀窍。如果沿着一条技术线厘清某个产品或项目后，企业内部其他技术和产品的相关保护流程具备一定的可类比性，某一些程度上可举一反三。此外，商业机密和专利存在动态切换，需要协同保护。在识别商业机密元数据时，建议将专利状态与专利进程的过程保护系统实行对接，做好商业机密留痕到主动通过专利化公开的记录。固化以外，能够最终靠保密信息分层的方式制定保密流程。结合保密信息机制的“最小化”和“只知道必须知道”的原则，大幅度的降低管控成本。比如食品、饮料相关企业的配方管理：公司只有少数几个人知道其配方本身，大多数员工只知道其中一部分；配方存在数个甜味不同子配方；工厂不同生产线掌握不同配方要素，需要特定加工指标以及调配方式指引，最终产出产品。总而言之，没有一点一人能从头至尾掌控全流程，每一层级对应不同信息。另一个常见案例是财务报表。财务报表一般建议采取瀑布式分拆，根据不同职位、按照“必须知道”的原则进行。比如，销售只知道售价，但不知道成本，必须和知晓成本端信息的市场部门人员进行制度化隔断，例如签订保密协议。有了组织架构和管控机制，下一步是如何真正在业务流程中落地？一个关键概念是——设置IP控制点，在特定节点上，必须要执行跟商业机密保护或者是专利化有关的具体动作。比如项目立项时，应确定商业机密元数据负责的人是不是为项目负责人；拿到项目初审报告时，商业机密元数据以及背后有几率存在的专利意向，包括其密级等，应该有相应的记录和更新；项目过程中，出现人员调动、转岗或离职情况，人才流设置的IP控制点立即启动。

  企业商业机密保护的落地，从人才选择的环节就慢慢的开始——人员来自哪类公司，决定了他对商业机密保护意识的起点。在整个商业机密管理体系中，除了员工保密意识的培训外，在商业机密元数据以及商业机密和专利协同保护层面，也应安排深入的培训。一般培训形式是教授和问答为主，结合考评进行培训效果验收。同时，教导和警示要从入职第一天开始，比如要求研发人员不可与外部人员单独会议。类似的教育要贯穿职业生涯始终，形成商业机密保护的企业文化。改变可以从企业自我诊断开始：企业一把手对商业机密管控的重视程度如何？如果理念不到位，怎样去影响和提升？若公司内部还没有管理体系，首先明确商业机密含金量最高的部门是哪些？重点的产品线能否做试点、立榜样，形成最佳实践？如何与客户在商业机密保护的理念上达成共识、实现同步？如何利用业务方面的痛点，采用“三个流”（“信息流”“人才流”“物理流”）方式来进行风险梳理？能够内部完成还要借力外部专业团队？同时，群众的眼睛是雪亮的。可以询问员工，从他们的观察视角如何评价公司的商业机密保护意识和能力？有哪些需要改进的地方？从前的工作经验中有哪些可借鉴的经验教训？当然，各家公司情况各异，某些特定的程度上寻求专业机构的客制化、高效化的支持，可以事半功倍。

  值得强调的是，任何理念和方法的意义在于实践。借用管理界鼻祖彼得·德鲁克的话：管理是一种实践，其本质不在于知道，而在于行；其验证不在于逻辑，而在于成果。从当下开始梳理风险、制定相关保护机制并寻求落地之法，不断在过程中察觉缺陷、处理问题，人和事的管理高效配合，使商业机密管理机制如虎添翼。

  （原标题：从风险梳理体系、元数据的密级与固化论商业机密管理体系的有效制定之法）