因商业秘密泄露而对企业造成损失已经不是新鲜事,前车之鉴例如:华为公司前员工耿某利用工作上的便利,取得华为公司国外某代表处的客户回款周报并通过其电邮发至中兴公司,造成华为公司巨额的成本损失;再如,鑫富药业投入巨资,耗时数年研发生物酶法拆分技术,但相关技术信息资料被内部员工提供给竞争对手山东新发药业,直接经济损失达三千余万元。由此可见,商业秘密泄露轻则导致公司损失重要的交易机会,重则直接使企业数年的研发投资化为乌有。
没有采取足够的保密措施是上述两案商业秘密泄露的重要原因之一,但是企业内控也不宜一味扩大增加保密措施的范围。企业对商业秘密的合理内控目标应该是:前期保密措施花费的成本与后期挽回潜在损失达到平衡。片面追求面面俱到的保密措施既会过重增加企业的成本,也会给员工正常的职务工作带来不便。譬如,企业的保密措施要求电子涉密信息只能存储于办公地的固定电脑,那么外派的员工无法按需获取。保密措施看似密不透风,实则对企业经营造成边际成本递增,而边际收益递减的低效率局面。 因此,保密措施的设置原则应是:首先,对泄密可能性较高的风险点,在保密成本可以承受的范围内尽可能地设定相应保密措施;其次,对于其他保密成本过高,泄密可能性较低的风险点则采取留痕处理的方式,即便发生泄密也能依靠前期留下的种种痕迹及时固定证据并追究责任。 笔者以一起经办案件作为切入点,向读者揭示保密措施设置不当所造成的后果,并分享一些必要、可行的保密措施,以期给读者一定的启发。 案情回顾 这是一起艰难的员工窃取公司客户信息的商业秘密维权诉讼。被告曾是原告A公司的一名普通销售员工,仅负责对接A公司的少部分客户,但其在任职期间借用上级经理的账号查阅到A公司的大部分客户名单及联系人信息。随后,被告成立了一家与原告从事相同业务的B公司,并以个人邮箱向A公司合作的客户负责人发送邮件,称B公司系A公司的关联公司,通知客户与A公司的合同到期后将由B公司承继。同时,该员工向A公司汇报称客户因预算削减决定来年不再合作。次年,被告伙同其他几名同事以创业为由从A公司辞职,并以B公司名义与A公司的客户签约。直至半年后,经客户主动接触,A公司才发现被告已经将客户签约到B公司。 在这起案件中,由于A公司缺乏有效的保密措施,使得被告一连串窃密行为畅通无阻,如果不是因为客户觉得蹊跷而主动联系A公司,A公司可能需要经过更长的时间才能发现被告的侵权行为。在后续的民事诉讼中,A公司也因为保密措施的缺失无法固定足够多的权利证据及部分侵权证据,最终在证据缺失的情况下,A公司只能通过承办律师的强势谈判迫使对方达成和解,并赔偿了部分损失。 因此,企业应尽可能多了解泄密的常见方式,及时对员工的偏差行为甚至反常行为产生合理预判,提前介入调查,挽回潜在损失。 常见的泄密情形 内部员工泄密 首先,员工出于职责需要,有权限直接或者间接接触商业秘密,也清楚商业秘密对于公司的价值,无需像外部窃密者那样必须破解企业的物理防护、电脑信息防护系统才能窃取商业秘密。此外,许多企业对员工的保密管理工作执行不到位。虽然会在入职时让员工签署保密协议或在劳动合同中增加保密条款,但这些往往流于形式,既没有言明商业秘密的范围和具体保密义务,也缺乏其他配套保密措施,客观上无法限制员工心生邪念将已经掌握的商业秘密向外泄露。 外部商业间谍窃取 一起发生在联合利华和宝洁公司两大日化用品公司之间的间谍案中,宝洁公司曾雇佣一家位于阿拉巴马州的咨询公司,未曾想该咨询公司派员以投资顾问的身份乔装进入联合利华公司某家分公司,并在公司的垃圾箱当中找到关于海飞丝、潘婷等护发产品业务的细节信息,持续达三年。事件最终由宝洁公司找到联合利华道歉并谈判了结,否则联合利华可能至今都会毫不知情。从此案例可知,企业须警惕对外合作伙伴的泄密风险,纸质文件须脱密处理,放入碎纸机粉碎而不是直接扔进垃圾桶。 存储数据的媒介遗失或被窃取 企业一般有专用保密电脑用于存储重要数据,但因疏忽没有设置禁用USB接口,导致可接触人员插入U盘、移动硬盘等数据存储设备读取、复制文件数据后,又因设备保管不当而遗失、失窃造成泄密。 商业秘密的反舞弊保护前置策略 法谚有云,法律不保护躺在权利上的人。《反不正当竞争法》规定了商业秘密的构成要件包括权利人采取了合理有效的保密措施。且根据《最高院关于审理不正当竞争民事案件应用法律若干问题的解释》第十一条,保密措施应是权利人出于防止泄密的目的而积极主动采取的,外观上应当上具有一定的可识别性。基于以上原则,笔者根据以往的办案经验,提供如下保密措施建议: 留痕原则在商业秘密保护中的应用 任何员工对涉密信息的接触行为都应当留有痕迹。涉密纸质材料的存放,应设置专门保密室,钥匙保存于专人手中,且进出人员需要登记,写明查阅人的姓名、查阅时间、查阅目的等;涉密电子资料应保存于公司系统当中,并设置高级秘钥,且每次登陆历史都应当被记录,包括登陆账户、登陆时间、访问时长等。 公司电脑使用的反舞弊管理 要求每名员工都使用公司配发的电脑办公,不得使用私人电脑。同时,公司电脑可以禁用USB或者其他输入/输出端口,有条件的企业可以采取文件加密技术,加密的文件只能在公司电脑上解密后浏览,防止员工将资料上传至个人云盘。员工从公司电脑向外部存储设备复制大量文件时,公司电脑会自动弹出警示性窗口并留有记录。 不同员工设置不同账号的反舞弊管理 对于公司系统的使用,不同的员工应当有自己的独立账号,且不得相互借用。此举在于确保不同的公司客户由不同的员工分管负责,以防客户资源过分集中在一名员工手里。 电子版保密手册的反舞弊设定 员工除了在入职时签订书面保密协议之外,企业还应当制作电子版保密手册,并上传至企业内网。保密手册的每次更新都应让员工确认,员工需要在窗口点击“我已知晓”的按键,且这步操作应当与员工的考评直接挂钩。如保密手册是员工手册中的组成部分,还需经过民主流程例如职代会的确认。 独立支付保密费的反舞弊策略 部分企业会对技术人员或者高管支付一定的保密费。但在财务支付时应当确保保密费是区别于报销款、工资等独立支付的,以防在维权诉讼中侵权员工以付款性质不明作为抗辩。 员工培训的反舞弊要点 在员工入职时或在固定时间段内,聘请律师培训员工,以阻吓性案例为主,向员工展示商业秘密侵权所要承担的民事、刑事法律责任,以提高员工的商业秘密保护及侵权后果的法律意识。培训应当留有签到本,是否参加也应直接挂钩员工考评。 设置文件水印的反舞弊策略 对于电子涉密文件,员工如需在自己的电脑上访问,则应当通过软件使得该员工访问的页面上自动显现该员工的姓名、工号等水印,防止员工通过手机录像、拍摄电脑屏幕等方法向外泄密,如果该员工铤而走险泄密,则该泄密行为会暴露访问员工的身份信息。 商业秘密管理中的反舞弊保护策略 在执行具体保密措施后,企业应当加强事中监督,监控是否存在泄密行为,以求第一时间止损并及时追责,最大限度地挽回损失。 对客户的及时跟踪回访 企业一般会安排不同的销售员工对接不同的客户,笔者建议企业应当对客户进行分级,对于普通客户可定期组织2名员工进行回访沟通,对于重要客户可安排无利害关系的其他高级别员工回访沟通,如风控总监、法务总监等。尤其在客户终止合作时,需要向客户问明终止的原因,防止出现前述案例中A公司的遭遇。 员工自查表 企业定期应组织员工填写自查表,自查过去的时段内是否有过违规行为并承诺所述属实,并将是否及时填写自查表计入员工考评。填写自查表不仅能起到时刻警醒员工的作用,而且若发生员工隐瞒事实、故意填写错误信息导致触发了规章人事制度的惩罚条款时,便于公司合法运用惩罚条款,甚至在某种条件成就时可达到与员工解除劳动关系的效果。 建立客户资源库 将企业所有服务的客户收录进资源库,并定期进行更新,使客户更多地绑定在公司身上而非员工个人身上。同时,也方便在某个客户终止合作时,及时地进行跟踪回访。 公司开放日 企业可以安排公司开放日并邀请客户前来参观,增加企业在客户面前的曝光度,以加深企业与客户之间稳定的联系。 员工离职时的电脑审查 鉴于员工可能会将邮件及附件转发到个人邮件地址或复制到个人便携式存储设备,又或者在离职前对重要邮件或者文件进行删除以销毁证据,因此在核心员工离职前对该员工的电脑进行审查,核查商业秘密是否被前员工所删除、销毁及是否有对外泄露、发送商业秘密的痕迹。此外,公司也要及时审查普通离职员工的公司电脑,即使该普通员工职位不高,但其有可能参与核心员工主导的泄密事件,譬如基于普通员工与核心员工在电邮中相互抄送,而在普通员工的电脑中发现核心员工对外发送泄密邮件的行为。 离职员工回访 对于已经离开公司的前员工,定期电话回访了解近况,重点关注前员工是否就职竞争对手或自主创业并从事与老东家竞争的事业。 结语 笔者建议企业采取综合考虑前期保密成本与后期挽回损失相平衡的原则,对于泄密可能性高且保密成本相对较低的风险点及时设置保密措施,对于其他泄密可能性低而保密成本难以承受的风险点则采取留痕处理。如此可最大限度地降低泄密风险,即使仍有泄密,也可以通过留痕措施及时固定证据。具体可根据企业的实际情况,与专业内控反舞弊律师沟通,听取律师建议,以便采取适合企业具体情况的保密措施和过程监督程序。
来源:星瀚微法苑 ,作者星瀚RICC