1. 「審計月刊」企業反舞弊視角下的商業祕密保護策略

        發佈時間:2021-05-14發佈部門:審計合規部

        沒有採取足夠的保密措施是商業祕密泄露的重要原因之一,但是企業內控也不宜一味擴大增加保密措施的範圍。片面追求面面俱到的保密措施既會過重增加企業的成本,也會給員工正常的職務工作帶來不便。

        因此,保密措施的設置原則應是:首先,對泄密可能性較高的風險點,在保密成本可以承受的範圍內儘可能地設定相應保密措施;其次,對於其他保密成本過高,泄密可能性較低的風險點則採取留痕處理的方式,即便發生泄密也能依靠前期留下的種種痕跡及時固定證據並追究責任。


        常見的泄密情形


        01內部員工泄密

        首先,員工出於職責需要,有權限直接或者間接接觸商業祕密,也清楚商業祕密對於公司的價值,無需像外部竊密者那樣必須破解企業的物理防護、電腦信息防護系統才能竊取商業祕密。此外,許多企業對員工的保密管理工作執行不到位。雖然會在入職時讓員工簽署保密協議或在勞動合同中增加保密條款,但這些往往流於形式,既沒有言明商業祕密的範圍和具體保密義務,也缺乏其他配套保密措施,客觀上無法限制員工心生邪念將已經掌握的商業祕密向外泄露。

        02外部商業間諜竊取

        一起發生在聯合利華和寶潔公司兩大日化用品公司之間的間諜案中,寶潔公司曾僱傭一家位於阿拉巴馬州的諮詢公司,未曾想該諮詢公司派員以投資顧問的身份喬裝進入聯合利華公司某家分公司,並在公司的垃圾箱當中找到關於海飛絲、潘婷等護髮產品業務的細節信息,持續達三年。事件最終由寶潔公司找到聯合利華道歉並談判了結,否則聯合利華可能至今都會毫不知情。從此案例可知,企業須警惕對外合作夥伴的泄密風險,紙質文件須脫密處理,放入碎紙機粉碎而不是直接扔進垃圾桶。

        03存儲數據的媒介遺失或者被竊取

        企業一般有專用保密電腦用於存儲重要數據,但因疏忽沒有設置禁用USB接口,導致可接觸人員插入U盤、移動硬盤等數據存儲設備讀取、複製文件數據後,又因設備保管不當而遺失、失竊造成泄密。


        商業祕密的反舞弊保護前置策略


        01留痕原則在商業祕密保護中的應用

        任何員工對涉密信息的接觸行爲都應當留有痕跡。涉密紙質材料的存放應設置專門保密室,鑰匙保存於專人手中,且進出人員需要登記,寫明查閱人的姓名、查閱時間、查閱目的等;涉密電子資料應保存於公司系統當中,並設置高級祕鑰,且每次登陸歷史都應當被記錄,包括登陸賬戶、登陸時間、訪問時長等。

        02公司電腦使用的反舞弊管理

        要求每名員工都使用公司配發的電腦辦公,不得使用私人電腦。同時,公司電腦可以禁用USB或者其他輸入/輸出端口,有條件的企業可以採取文件加密技術,加密的文件只能在公司電腦上解密後瀏覽,防止員工將資料上傳至個人雲盤。員工從公司電腦向外部存儲設備複製大量文件時,公司電腦會自動彈出警示性窗口並留有記錄。

        03不同員工設置不同賬號權限的反舞弊管理

        對於公司系統的使用,不同的員工應當有自己的獨立賬號,且不得相互借用。此舉在於確保不同的公司客戶由不同的員工分管負責,以防客戶資源過分集中在一名員工手裏。

        04電子版保密手冊的反舞弊設定

        員工除了在入職時簽訂書面保密協議之外,企業還應當製作電子版保密手冊,並上傳至企業內網。保密手冊的每次更新都應讓員工確認,員工需要在窗口點擊我已知曉的按鍵,且這步操作應當與員工的考評直接掛鉤。如保密手冊是員工手冊中的組成部分,還需經過民主流程例如職代會的確認。

        05獨立支付保密費的反舞弊策略

        部分企業會對技術人員或者高管支付一定的保密費。但在財務支付時應當確保保密費是區別於報銷款、工資等獨立支付的,以防在維權訴訟中侵權員工以付款性質不明作爲抗辯。

        06員工培訓的反舞弊要點

        在員工入職時或在固定時間段內,聘請律師培訓員工,向員工展示商業祕密侵權所要承擔的民事、刑事法律責任,以提高員工的商業祕密保護及侵權後果的法律意識。培訓應當留有簽到本,是否參加也應直接掛鉤員工考評。

        07設置文件水印的反舞弊策略

        對於電子涉密文件,員工如需在自己的電腦上訪問,則應當通過軟件使得該員工訪問的頁面上自動顯現該員工的姓名、工號等水印,防止員工通過手機錄像、拍攝電腦屏幕等方法向外泄密,如果該員工鋌而走險泄密,則該泄密行爲會暴露訪問員工的身份信息。

        轉自

        星瀚微法苑