商业秘密的泄密和保护原理

商密卫士-商业秘密保护网

商业秘密是企业重要的资产，决定了现代企业的竞争优势和持续发展能力。有的企业没有任何的商业秘密保护概念，导致自己的商业秘密被轻易泄密，投巨资研发或毕生心血积累的商业秘密毁于一旦，企业发展受阻或夭折；还有的企业对商业秘密很重视，也采取了一些保密措施，配备了许多防窃密设施，但最终商业秘密还是被泄露了，同样导致企业不能正常发展。到底是什么因素决定了商业秘密能否被泄露以及泄密的可能性？哪些措施能杜绝或降低泄密事件的发生？如何以最低的成本保证商业秘密的安全？

要真正的保护商业秘密，就有必要了解商业秘密的泄密和保护原理，分析商业秘密泄密的影响因素，有的放矢的采取控制措施，防止泄密。

泄密事件的发生以及发生的可能性，实质就是泄密风险的构成和大小，当各种因素构成了泄密风险，商业秘密就可能被泄露，风险越高，泄露的可能性越大，反之亦然。

商业秘密的泄密风险，由三个要素构成，这三个要素的此消彼长，决定了商业秘密是否存在泄密风险以及风险的大小。同样，根据三个因素的现实状况，采取准确的控制措施，可以用最少的成本，将泄密的风险控制到最小。

一、 商业秘密泄密风险三要素

1. 三要素

商业秘密被泄露的风险，取决商业秘密的价值、商业秘密存在的薄弱点、对商业秘密的威胁这三个要素。详见图一。

• 商业秘密的价值越高，吸引力就越大，就越容易受到各种威胁的攻击。
• 威胁是指能够对商业秘密造成泄密破坏的各种潜在原因。
• 薄弱点是指商业秘密存在的能够被威胁所利用的弱点。

实例:力拓商业间谍案中，中国钢铁企业矿石原料库存的周转天数、进口矿石平均成本、吨钢单位毛利、生铁的单位消耗等数据属于商业秘密，具有很高的价值，澳大利亚力拓公司的胡士泰等人属于威胁，利用中国钢铁企业、行业协会管理和制度上的薄弱点，采取拉拢收买等手段，将上述中国钢铁企业的机密数据窃取到手，并在与中方的谈判中，利用这些宝贵的数据，迫使中国钢企在近乎讹诈的进口铁矿石价格上多付出7000多亿元人民币的沉重代价，相当于全国钢铁行业同期利润总和的一倍多，澳大利亚GDP的10%。

图一：商业秘密泄密风险三要素构成

2. 三要素的相互关系

商业秘密具有价值，威胁利用商业秘密存在的薄弱点，对商业秘密造成损害，导致商业秘密失密。详见图二。

图二：商业秘密泄密风险三要素的相互关系

3. 泄密风险随三要素的变化规律：

• 泄密风险与三要素存在正相关的函数关系，三要素的作用越大，风险就越大，反之亦然；
  R=F(Vs,Vv,Vt)
  R：泄密风险
  Vs=商业秘密价值
  Vv=薄弱点
  Vt=威胁
• 缺少任何一个要素，就不存在商业秘密泄密的风险。
  理解：
• 如果商业秘密没有价值，自然也就不会成为商业秘密，就不存在泄密的风险。
• 如果没有薄弱点，就没有威胁可以利用的漏洞，威胁就不可能对商业秘密造成伤害，也就不会出现泄密。
• 如果没有威胁，天下太平，商业秘密不会受到破坏，自然不会出现泄密。

4. 三要素举例

示例
商业秘密	工艺流程 产品模型 化学配方 设计图纸 关键数据 计算机源代码 试验结果 竞争方案 发展规划 销售计划 客户信息
薄弱点	职责不明 缺乏商业秘密资产管理 过程不统一 缺乏意识 人员管理不到位 物理防护不当 信息系统无有效控制 缺少必要的软硬件技术 没有监督和监控手段
威胁	盗窃 抢劫 收买 黑客 木马 病毒 窃听 拦截 监守自盗 操作失误 无意泄密 故意泄密

二、 商业秘密保护原理

因为泄密风险取决于商业秘密的价值、薄弱点、威胁三个要素，只要控制了这三个要素，就可以降低泄密的风险，所以商业秘密保护，实质就是控制影响泄密风险的商业秘密的价值、薄弱点、威胁这三要素。

图三：商业秘密泄密风险三要素作用示意图

1、 降低商业秘密的价值

将商业秘密的价值降低，使其对威胁的吸引力变小，而且一旦泄密，造成的负面影响也小，最终导致泄密风险减少。

图四：降低商业秘密价值示意图

降低商业秘密价值的方法举例：

• 数据加密
• 技术替代
• 转化为专利

该方法的实施是有限的，因为绝大多数商业秘密有其自身的使用价值，不可能被降低。

2、 减少威胁

各种威胁是导致商业秘密泄密的主动因素，将威胁减少，意味着对商业秘密的破坏因素或强度减少了，商业秘密的泄密风险自然也就降低了。

图五：减少威胁示意图

降低威胁的方法举例：

• 通过网络隔离，避免黑客攻击导致的泄密
• 通过对人员的甄别，减少商业间谍的混入
• 通过标准化的操作流程，避免人员失误导致的泄密

减少威胁的实施也是有限的，能够减少的威胁性质多属于无意识的失误，对于主动性的威胁，很难避免和减少。

3、 减少薄弱点

薄弱点的存在，是商业秘密被泄露的必要条件，如果没有薄弱点，商业秘密就不会暴露，再多的威胁也不会导致商业秘密的泄密。因此，减少薄弱点，也可以降低商业秘密的泄密风险。

图六：减少薄弱点示意图

降低薄弱点的方法举例：

• 加强物理隔离，可以防止入室盗窃的威胁
• 安装使用反病毒软件，可以防止恶意软件的威胁
• 实施员工培训，可以防止操作失误的威胁

薄弱点是一个企业自身存在的，属于企业可控的范畴，实施减少薄弱点的控制，是企业内部自身的活动。因此，在所有降低泄密风险的控制方法中，降低薄弱点的方法最具有可操作性，应用也最广泛。

4、 综合应用

在实践中，一般将上述三种保护商业秘密，降低泄密风险的方法综合应用，以减少薄弱点为主要控制手段，辅以降低商业秘密价值，减少威胁，达到全面控制泄密风险的目的。

图七：同时减少商业秘密风险三要素示意图

三、 商业秘密保护方法

根据商业秘密的泄密和保护原理，我们可以采取两种不同的方法对商业秘密实施保护，一种方法是“深度保护”方法（Detailed Protection Approach）”，另一种是“基线保护方法（Baseline Protection Approach）”，有关两种保护方法的详细内容，请见“商业秘密的两种保护方法”。

本文章是“商密卫士”原创，版权所有，请按规定转载或引用，并注明“稿件来源：商密卫士-商业秘密保护网www.ipr007.com”

商业秘密基线保护方法（Baseline Protection Approach）

商密卫士-商业秘密保护网

基线保护方法以“商业秘密泄密和保护原理”为基础，综合了全球优秀企业商业秘密保护最佳实践惯例而形成的商业秘密保护方法。该保护方法包含完整的保护基线（20多类，300多个保护内容）、能力判断和风险计算模型，能够快速发现存在的泄密隐患，自动计算泄密风险，提供风险控制建议，最后形成TSBPM(商业秘密基线保护手册)。

其中，保护基线所包含的300多个保护内容根据商业秘密泄密风险的变化趋势动态调整，以维持其完整性和适用性。

商业秘密基线保护方法的特点是应用简单、使用方便、内容齐全，特别适合中小企业用于商业秘密的保护，大型企业也可以借助该方法，快速分析判断自己企业的商业秘密保护现状，建立基本、全面的保护机制。

1. 基线保护方法的构成：

• 基线保护内容
• 保护能力判断
• 风险计算模型
• 泄密风险计算
• 泄密风险比对分析
• 泄密风险控制建议
• 泄密风险报告
• TSBPM(商业秘密基线保护手册)

2. 基线保护方法的应用流程

注：TSBPM—商业秘密基线保护手册

3. “商业秘密基线保护”特点

• 简单实用，直接给出操作步骤和方法
• 保护内容完整，覆盖了商业秘密保护的各个方面
• 可以作为深度商业秘密保护的基础
• 通用性强，应用广泛
• 能够根据保护能力和泄密风险状况，设计编制的个性化TSBPM
• 允许各企业根据实际保护效果，对TSBPM增删调整
• 可以反复测评自己的泄密风险，进行比对，发现变化趋势

4. 实施基线保护方法，企业可以获得的信息

通过实施基线保护方法，企业可以获得丰富的商业秘密保护信息：

• 自己拥有的商业秘密类别和数量
• 所拥有商业秘密的重要程度
• 企业对商业秘密的保护能力（综合及分类）
• 企业的泄密风险大小
• 企业自身保护能力的变化趋势（综合及分类）
• 企业保护能力与同行业比较分析
• 企业保护能力与全行业比较分析
• 企业泄密风险的变化趋势
• 企业泄密风险与同行业比较分析
• 企业泄密风险与全行业比较分析
• 提高保护能力，降低泄密风险的措施建议
• 综合风险分析报告
• 符合自己企业特点的TSBPM

5. 基线保护的优点

• 简单实用，无需学习了解繁琐的风险评估理论，直接给出操作步骤和方法
• 对企业的组织架构、人力资源要求低
• 实施成本低
• 保护内容完整，覆盖了商业秘密保护的各个方面
• 风险测评结果具有可比性，能够通过比较，判断自己的泄密风险程度
• 测评周期短
• 可以通过反复多次测评校准自己的保护基线
• 实施过程通用性强，而形成的TSBPM完全个性化，符合企业的实际状况

6. 基线保护的缺点

• 对具体商业秘密资产的针对性不强
• 对组织架构复杂的企业适用性差

7. 基线保护的应用范围

• 中小企业发现自己的泄密风险，采取有针对性的控制措施
• 大型企业快速测量现有的商业秘密保护现状，发现商业秘密保护存在的隐患，为建立有的放矢的商密保护机制提供依据
• 发现企业保护能力和泄密风险的变化趋势
• 与同行业的保护能力和泄密风险进行比对分析
• 与深度保护方法结合使用，为深度保护提供实施参考
• 在实施深度保护方法风险评估时，将基线保护内容作为风险参考点
• IP转移实施前，对接受IP一方的保护能力进行测评，判断IP转移后的保护能力
• 对合作伙伴的商业秘密保护能力进行测评，判断对外合作时商业秘密的安全

8. “商业秘密基线保护”与“深度保护方法比较”

商业秘密的深度保护方法是一个动态的识别关键要素、分析数据、判断决策、落实实施、效果评估、持续改进的完整科学管理过程，按照该商业秘密保护过程，各类企业可以完整、有效的保护自己的商业秘密。

对于大型企业，由于其具有充分的组织架构、人力资源和技术能力，所以不难完成上述商业秘密保护过程，实现对商业秘密的有效保护。但对于中小企业，则受上述因素的限制，很难按照上述过程对自己的商业秘密进行保护，而不实施完整的商业秘密保护过程，宝贵的商业秘密就处于泄密风险之中。

“商业秘密基线保护”，恰巧解决了中小企业在商业保护方面所面临的两难选择，提供了一种简单、实用、有效的商业秘密保护方法，平衡了保护投入和泄密风险之间的矛盾，特别适用于中小企业，以及商密保护基础薄弱的大型企业。

本文章是“商密卫士”原创，版权所有，请按规定转载或引用，并注明“稿件来源：商密卫士-商业秘密保护网www.ipr007.com”

商业秘密深度保护方法（Detailed Protection Approach）

商密卫士-商业秘密保护网

该方法完全依据“商业秘密泄密和保护原理”，以针对每一项商业秘密资产的风险评估为基础，建立完整、详细、适用的泄密风险控制体系，有效的保护商业秘密的安全。

根据商业秘密的保护原理，我们知道商业秘密保护的实质是降低泄密的风险，也就是控制泄密风险的三个要素。降低泄密风险的流程和具体方法步骤如下：

1. 保护流程：

2. 商业秘密深度保护具体步骤

(1) 识别泄密风险

• 识别全部的商业秘密
• 商业秘密分级
• 识别可能的威胁
• 识别存在的薄弱点

(2) 泄密风险分析

• 分析威胁利用薄弱点造成泄密的可能性
• 分析一旦发生泄密事件后的影响

(3) 泄密风险评价

• 评价泄密风险的大小

(4) 泄密风险判断

• 判断泄密风险是否在可允许范围之内

(5) 确定处置泄密风险的方式

对识别出来的泄密风险，要确定处置风险的方式，如果风险低且在允许的范围之内，可以接受风险，维持原有控制，如果风险超过允许的接受准则，就要对风险进行处置。

风险的处置方式主要是：

• 避免风险
• 降低风险

要根据已识别的具体风险、处置方式的实施成本、实施收益等因素选择具体的处置方式。

泄密风险处置方式对应的三要素控制活动如下

泄密风险处置方式对应的三要素控制活动

(6) 选择并实施具体的控制措施

针对确定的泄密风险处置方式，还要选择具体的控制措施。通过实施这些控制措施，落实处置方式，实现对泄密风险的控制。

可供选择的控制方式涵盖管理和技术两个方面，例如：

• 组织架构和职责
• 法律法规
• 人员管理
• 教育和培训
• 资源提供
• 商业秘密资产管理
• 物理防护
• 过程和程序
• 网络安全
• 数据安全
• 监控

(7) 评估泄密风险的控制效果

实施泄密风险控制措施之后，要对泄密风险的控制效果进行评估，从而判断商业秘密的泄密风险是否降低到可接受的水平，如果泄密风险已经降低到允许的范围，证明事实的控制是充分有效的，今后维持这些控制措施的持续有效实施即可。如果采取控制措施后泄密风险仍偏高，则需要重新对泄密风险进行处置和控制。

(8) 定期重复实施泄密风险的控制流程

商业秘密的泄密风险是动态变化的，商业秘密的数量和状态的变化、威胁的变化、薄弱点的变化，都会对泄密风险造成影响，因此，需要定期对商业秘密的泄密风险进行评估和处置。

3. 深度保护的优点

商业秘密深度保护方法能够对每一项商业秘密资产进行详细的风险分析，确定影响泄密风险的因素的程度，进而可以采取有针对性的控制措施，将泄密风险消除，达到保护商业秘密安全的目的，因此，商业秘密深度保护方法具有保护目标清晰明确、风险分析详细、控制措施针对性强、控制严密、保护效果好的特点。

4. 深度保护的缺点

由于商业秘密深度保护要考虑每项具体的商业秘密资产，控制过程周密，所以实施周期长、工作量大，同时，对企业的组织架构、人力资源、技术能力等都有较高的要求，在应用之前，要确定企业适用的风险评估程序和赋值方法。

5. 深度保护的适用范围

商业秘密深度保护方法从商业秘密泄密风险的三要素入手，采用定量或定性的分析方法，确定泄密风险的大小，并采取有效的风险处置方式和控制措施，将泄密风险控制到允许的范围，从而保护商业秘密的安全。商业秘密深度保护方法具有保护范围广泛、控制严密、保护效果好、实施周期长等特点，需要企业有严密的组织架构、充分的人力资源和技术能力，适合商业秘密数量较多、商业秘密保护要求较高、管理规范的大型企业。

本文章是“商密卫士”原创，版权所有，请按规定转载或引用，并注明“稿件来源：商密卫士-商业秘密保护网www.ipr007.com”

中小企业商业秘密保护流程

商密卫士-商业秘密保护网

商业秘密保护一直是中小企业内部管理的薄弱环节，中小企业也是商业秘密侵权事件的高发群体，受到商业秘密侵权的损害也最大。其原因在于中小企业的管理者普遍没有商业秘密保护的意识和概念，内部也没有商业秘密保护的专职人员或机构，更没有建立有效的商业秘密保护管理机制，因此导致商业秘密容易被侵权。

为了方便中小企业保护自己宝贵的商业秘密，防止被员工跳槽或竞争对手非法窃取，针对中小企业的商业秘密保护特点，“商密卫士”根据商业秘密的泄密和保护理论，结合大量的商业秘密保护实践，，专门设计了“中小企业商业秘密保护流程”和对应的工具和服务。

“中小企业商业秘密保护流程”具有容易实施、操作简单、实用有效、保护成本低廉等特点，适用与各个领域和规模的中小企业。该流程也是“商密卫士”为中小企业提供商业秘密保护服务的工作流程。“中小企业商业秘密保护流程”如下：

本文章是“商密卫士”原创，版权所有，请按规定转载或引用，并注明“稿件来源：商密卫士-商业秘密保护网www.ipr007.com”

大型企业商业秘密保护流程

商密卫士-商业秘密保护网

大型企业一般具有众多的员工、复杂的组织架构、广泛的对外业务联系和大量的商业秘密资产，由于业务流程复杂，这些商业秘密资产还会衍生出不同类型的具有保密要求的资产。所以大型企业的商业秘密具有量大、面广、面临威胁多、泄密渠道多的特点，这些特点决定了大型企业的商业保护工作必须针对每项商业秘密资产实施，将每个商业秘密资产面临的威胁和存在的薄弱点全部识别出来，然后采取有的放矢的保护措施，消除威胁、修补漏洞，最终将每项商业秘密资产都置于有效的保护控制之下。

大型企业实施商业秘密保护的理论基础是“商业秘密深度保护方法”，其核心内容是识别每个商业秘密面临的风险，并根据风险状况实施保护。由于涉及到具体的商业秘密资产，大型企业的商业秘密保护工作必须在现场进行，不能采用网络的方式，以防止商业秘密资产在网络上的泄密风险。大型企业商业秘密的保护流程如下：

本文章是“商密卫士”原创，版权所有，请按规定转载或引用，并注明“稿件来源：商密卫士-商业秘密保护网www.ipr007.com”

大型IP转让项目商业秘密保护流程

商密卫士-商业秘密保护网

大型IP(知识产权)转让项目具有周期长、环节多、地域跨度大、商业秘密资产多的特点。 在转让价值较高的IP资产前，权利人一般都会对受让方的商业秘密保护能力进行了解，只有受让人的商业秘密保护能力到达要求后，权利人才开始IP资产的转让。 而IP资产转让后，权利人一般要求受让方建立完整可靠的商业秘密保护机制，防止IP资产在生产和经营过程中泄密。

对应大型IP项目涉及资产转让的前后阶段，其商业秘密保护也会分成两个阶段，第一个阶段是基本商业秘密保护能力的建立， 其目的是为IP建立令权力人有信心的商业秘密保护环境。在这个阶段，由于IP还没有转移过来，所以不涉及具体的IP资产，工作的重点是消除保护漏洞， 构建基本的商业秘密保护能力。

第二个阶段是IP资产转移后的商业秘密保护。在这个阶段，IP资产已经转移到受让方的现场，存在泄密的风险， 所以要对所有的IP资产实施有效的商业秘密保护，这个阶段的商业秘密保护必须针对每项IP资产和衍生资产进行。 这个阶段的重点的在泄密风险评估基础上建立完善的商业秘密保护机制。

下面的流程描述了大型的IP(知识产权)转让项目全过程的商业秘密保护，其理论依据分别是“商业秘密基线保护方法”和“商业秘密深度保护方法”。

本文章是“商密卫士”原创，版权所有，请按规定转载或引用，并注明“稿件来源：商密卫士-商业秘密保护网www.ipr007.com”