「審計月刊」企業反舞弊視角下的商業秘密保護策略

沒有采取足夠的保密措施是商業秘密泄露的重要原因之一，但是企業內控也不宜一味擴大增加保密措施的范圍。片面追求面面俱到的保密措施既會過重增加企業的成本，也會給員工正常的職務工作帶來不便。

因此，保密措施的設置原則應是：首先，對泄密可能性較高的風險點，在保密成本可以承受的范圍內盡可能地設定相應保密措施；其次，對于其他保密成本過高，泄密可能性較低的風險點則采取留痕處理的方式，即便發生泄密也能依靠前期留下的種種痕跡及時固定證據并追究責任。

常見的泄密情形

01內部員工泄密

首先，員工出于職責需要，有權限直接或者間接接觸商業秘密，也清楚商業秘密對于公司的價值，無需像外部竊密者那樣必須破解企業的物理防護、電腦信息防護系統才能竊取商業秘密。此外，許多企業對員工的保密管理工作執行不到位。雖然會在入職時讓員工簽署保密協議或在勞動合同中增加保密條款，但這些往往流于形式，既沒有言明商業秘密的范圍和具體保密義務，也缺乏其他配套保密措施，客觀上無法限制員工心生邪念將已經掌握的商業秘密向外泄露。

02外部商業間諜竊取

一起發生在聯合利華和寶潔公司兩大日化用品公司之間的間諜案中，寶潔公司曾雇傭一家位于阿拉巴馬州的咨詢公司，未曾想該咨詢公司派員以投資顧問的身份喬裝進入聯合利華公司某家分公司，并在公司的垃圾箱當中找到關于海飛絲、潘婷等護發產品業務的細節信息，持續達三年。事件最終由寶潔公司找到聯合利華道歉并談判了結，否則聯合利華可能至今都會毫不知情。從此案例可知，企業須警惕對外合作伙伴的泄密風險，紙質文件須脫密處理，放入碎紙機粉碎而不是直接扔進垃圾桶。

03存儲數據的媒介遺失或者被竊取

企業一般有專用保密電腦用于存儲重要數據，但因疏忽沒有設置禁用USB接口，導致可接觸人員插入U盤、移動硬盤等數據存儲設備讀取、復制文件數據后，又因設備保管不當而遺失、失竊造成泄密。

商業秘密的反舞弊保護前置策略

01留痕原則在商業秘密保護中的應用

任何員工對涉密信息的接觸行為都應當留有痕跡。涉密紙質材料的存放應設置專門保密室，鑰匙保存于專人手中，且進出人員需要登記，寫明查閱人的姓名、查閱時間、查閱目的等；涉密電子資料應保存于公司系統當中，并設置高級秘鑰，且每次登陸歷史都應當被記錄，包括登陸賬戶、登陸時間、訪問時長等。

02公司電腦使用的反舞弊管理

要求每名員工都使用公司配發的電腦辦公，不得使用私人電腦。同時，公司電腦可以禁用USB或者其他輸入/輸出端口，有條件的企業可以采取文件加密技術，加密的文件只能在公司電腦上解密后瀏覽，防止員工將資料上傳至個人云盤。員工從公司電腦向外部存儲設備復制大量文件時，公司電腦會自動彈出警示性窗口并留有記錄。

03不同員工設置不同賬號權限的反舞弊管理

對于公司系統的使用，不同的員工應當有自己的獨立賬號，且不得相互借用。此舉在于確保不同的公司客戶由不同的員工分管負責，以防客戶資源過分集中在一名員工手里。

04電子版保密手冊的反舞弊設定

員工除了在入職時簽訂書面保密協議之外，企業還應當制作電子版保密手冊，并上傳至企業內網。保密手冊的每次更新都應讓員工確認，員工需要在窗口點擊“我已知曉”的按鍵，且這步操作應當與員工的考評直接掛鉤。如保密手冊是員工手冊中的組成部分，還需經過民主流程例如職代會的確認。

05獨立支付保密費的反舞弊策略

部分企業會對技術人員或者高管支付一定的保密費。但在財務支付時應當確保保密費是區別于報銷款、工資等獨立支付的，以防在維權訴訟中侵權員工以付款性質不明作為抗辯。

06員工培訓的反舞弊要點

在員工入職時或在固定時間段內，聘請律師培訓員工，向員工展示商業秘密侵權所要承擔的民事、刑事法律責任，以提高員工的商業秘密保護及侵權后果的法律意識。培訓應當留有簽到本，是否參加也應直接掛鉤員工考評。

07設置文件水印的反舞弊策略

對于電子涉密文件，員工如需在自己的電腦上訪問，則應當通過軟件使得該員工訪問的頁面上自動顯現該員工的姓名、工號等水印，防止員工通過手機錄像、拍攝電腦屏幕等方法向外泄密，如果該員工鋌而走險泄密，則該泄密行為會暴露訪問員工的身份信息。

轉自

星瀚微法苑