量身打造企业商业秘密保护制度
2010-04-05邱斌/文
邱 斌/文
2009年,力拓集团4名驻华员工因涉嫌侵犯商业秘密罪被逮捕,经查证,力拓上海办公电脑里存有数十家与力拓签署长期合作的钢铁企业内部资料,这些资料涉及企业的采购计划、产量和销售情况等重要信息。这起跨国企业商业间谍案为所有的企业敲响了警钟,在全球经济一体化的背景下,各种形式的竞争日趋激烈,如何通过保护商业秘密维护企业利益,日益受到企业的重视。
一、天网恢恢
侵犯商业秘密事件造成的后果非常严重,影响也是相当恶劣,因此国家非常重视对于企业商业秘密的保护,《反不正当竞争法》和国家工商局《关于禁止侵犯商业秘密行为的若干规定》对侵犯他人商业秘密的不正当行为进行了定义和处罚。这些法律条文震慑了侵犯商业秘密的行为,为违法人员处理提供了依据,在法律上保护了企业的商业秘密。据报道,深圳市人大常委会今年还对1996年实施的《深圳经济特区技术秘密保护条例》进行了修订,员工跳槽后泄密将付出高额赔偿。国家的法律站在较高的层面上,为所有企业的商业秘密保护指明了方向,奠定了基础。因此保护商业秘密首先要站在法律的基础之上,不能同国家的法律背道而驰,灵活运用法律手段保护自身的合法权益。
二、追本溯源
企业的商业秘密简单说就是文档。从承载的形式上看,文档分为电子文档和纸质文档;从文档的生命周期上看,文档经历了产生、存储、借阅、传递、使用、销毁的过程。电子文档有着其极为特殊的特性,它是由一组特殊的符号组成的,容易修改、删除、复制和损坏;而对于纸质文档,其载体就是纸张,可以修改和复制,但无法损坏和从纸张上删除,仅能通过销毁纸张本身来销毁信息。纸质文档和电子文档之间也是可以相互转化的,电子文档打印后可以转换成纸质文档,纸质文档扫描后也可以转换成电子文档。无论是电子文档还是纸质文档,他们存在于文档的整个生命周期之中,因此对于文档的保护,需要放眼于整个生命周期的过程,对于文档的保护需要一个整体的体系架构,不能仅仅只局限于某个方面,或者是想到什么方面就从什么方面入手。
对于企业商业秘密的保护最简单的划分就是技术和管理。技术是手段和工具,管理是方法和途径,管理需要技术的支持,技术需要管理去验证。信息安全里面有一个说法“三分技术,七分管理”。笔者对这种说法的理解是技术可以解决30%的问题,而管理能解决70%的问题。但是这并不是说明技术不重要,其实技术和管理之间的地位是平等的。我们对于商业秘密的保护是遵循一个“水桶效应”的,只有桶壁上的所有木板都足够高,那水桶才能盛满水;只要这个水桶里有一块不够高度,水桶里的水就不可能是满的;水桶里面水的多少,直接取决于最短的那块木板。技术与管理需要并重,只发展技术,或者只发展管理,都是畸形的发展,花费了大量的资源,但是效果却是微乎其微。
文档的类型、文档的生命周期和保护方法组成了一个三维立体结构。例如对于电子文档在存储过程中的技术保护方法,可以包括加密、备份;纸质文档产生时的管理保护方法,包括打印机的管理、文件打印的审批。企业商业秘密保护制度通过不同类型的文档在整个生命周期中技术和管理上的保护,来达到自己的目标。当三维立体结构建立以后,也就是说我们的商业秘密保护制度的整体框架建立好了,剩下的工作就是不断丰满整个体系框架,将具体的制度添加进去。例如限制上网、限制使用聊天工具、限制上传下载、进行网络监控、实施加密措施,对系统实施访问控制、日志审计、数字水印、强制使用强密码、禁止使用摄像头、签订竞业限制协议和保密协议、相应的各项处罚和奖励、详细的文件借阅使用记录等等。
三、生生不息
世界上不会存在一模一样的企业,而对于不同的企业,出于企业规模不同、涉及行业不同、商业秘密类型不同等原因,企业对于商业秘密的保护制度也是不同的。我们不能说哪种制度是不好的,哪种制度是好的,只能说哪种制度是最适合的。不同的企业对商业秘密保护会有不同的答案,甚至是完全相反的答案,因此对于一个企业,要找出最适合自己的商业秘密保护制度,需要不断地尝试、总结以及改进。
首先是商业秘密的确定。根据企业涉及行业类型、业务特点、组织结构、资产和技术等等,确定制度保护的范围和边界,即对一个具体的公司而言商业秘密到底是些什么,确定好保护目标才能让后面的工作能够围绕着一个确实不变的中心进行。对于商业秘密的解释,《中华人民共和国刑法》指出:“商业秘密是指不为公众所知悉、能为权利人带来经济效益、具有实用性并经权利人采取保密措施的技术信息和经营信息”。不过这只是一个大的总体方向,对于商业秘密的识别还需要企业自己花大力气去识别。兵法有云:“知己知彼,百战不殆”。想要保护商业秘密,就必须了解自己到底有哪些商业秘密。
接着是商业秘密的评定。当我们的商业秘密确定出来后,人事信息、财务信息、物流信息、研发信息、销售信息、客户信息等等纷繁复杂,多不胜数。全部都管理起来是不现实的,即使勉强完成也不会起到好的效果。其实在这些信息中有20%会直接影响企业80%的效益。能切实有效地抓好这20%的商业秘密的保护,我们的工作效果就会非常明显地表现出来。对于商业秘密的评级,一般都是按照敏感程度,也就是说如果泄密将会造成的影响和损失来进行评定的。例如我们的高考试题,如果泄密那就是全国所有考生的利益遭到损失,因此高考试题的密级是最高的;但是高考结束后,就算所有人都知道考题内容,也不会有什么影响,因此此时考试题的密级也就是最低的。打蛇要打7寸,做事情要抓住重点,对于商业秘密的评级尤为重要。
然后才是编写制度,确定如何对商业秘密进行保护。我们制定各项制度保护商业秘密,保护到一个什么样的程度是此时我们需要考虑的问题。因为进行保护必然会影响日常工作,改变一直以来的习惯。过多的保护会降低工作效率,为企业带来负面的效应;而过少的保护,显而易见,必然增加商业秘密泄露的风险,因此需要有一个原则,一个底线。实施某个制度的总支出必须低于该风险产生的损失,或者说,如果其他方法可以用更少的支出实现差不多的目标甚至更好,那么这项制度也就没有存在的意义。确定具体制度需要综合多方面的考虑,公司规模、企业文化、资源配备等等。制度制定出来的目的是需要实施的,没有可行性的制度是没有任何用处的。例如军工企业文件传递需要专人护送、文档打印需要领导审批同意,文档加密必须要最先进的加密算法。这些制度确实可以最大限度地保护商业秘密,但是对于民用企业,基本上是不可能得到实施的。一个制度的制定,需要多方面的调研,验证实施的可行性,不能因为其他企业做得好,卓有成效,就直接拿过来使用。其他企业好的制度我们可以借鉴,但是要有限度的借鉴,别人的东西永远只适合别人,只有将别人的东西变为自己的以后,才能够更好地使用。
商业秘密保护制度并不是一成不变的。一个企业不同时期的保护制度制定应该是一个动态的过程,是一个不断优化呈螺旋式上升的过程。通过一个又一个PDCA循环过程,计划、执行、检查和行动,不断地自我调整,适应公司的各项变化。PDCA循环是管理学中的一个通用模型,无数的成功案例不断证明它的正确性和优越性。实践是检验真理的唯一标准,没有得到执行的制度即使再完美也是失败的。
四、任重道远
企业的商业秘密是企业的命脉,必须要将其牢牢掌握在自己手中。对商业秘密的保护是一个长期而艰巨的任务,需要企业花费大力气实现。本文主要论述了商业秘密保护制度的流程和框架,为商业秘密的保护提出一个大体的建议,而具体的各项商业秘密保护制度则需要企业根据自身的条件量身打造。没有最好的制度,只有最适合的制度。EIP