量身打造企業(yè)商業(yè)秘密保護(hù)制度

邱 斌/文

2009年，力拓集團(tuán)4名駐華員工因涉嫌侵犯商業(yè)秘密罪被逮捕，經(jīng)查證，力拓上海辦公電腦里存有數(shù)十家與力拓簽署長(zhǎng)期合作的鋼鐵企業(yè)內(nèi)部資料，這些資料涉及企業(yè)的采購(gòu)計(jì)劃、產(chǎn)量和銷售情況等重要信息。這起跨國(guó)企業(yè)商業(yè)間諜案為所有的企業(yè)敲響了警鐘，在全球經(jīng)濟(jì)一體化的背景下，各種形式的競(jìng)爭(zhēng)日趨激烈，如何通過(guò)保護(hù)商業(yè)秘密維護(hù)企業(yè)利益，日益受到企業(yè)的重視。

一、天網(wǎng)恢恢

侵犯商業(yè)秘密事件造成的后果非常嚴(yán)重，影響也是相當(dāng)惡劣，因此國(guó)家非常重視對(duì)于企業(yè)商業(yè)秘密的保護(hù)，《反不正當(dāng)競(jìng)爭(zhēng)法》和國(guó)家工商局《關(guān)于禁止侵犯商業(yè)秘密行為的若干規(guī)定》對(duì)侵犯他人商業(yè)秘密的不正當(dāng)行為進(jìn)行了定義和處罰。這些法律條文震懾了侵犯商業(yè)秘密的行為，為違法人員處理提供了依據(jù)，在法律上保護(hù)了企業(yè)的商業(yè)秘密。據(jù)報(bào)道，深圳市人大常委會(huì)今年還對(duì)1996年實(shí)施的《深圳經(jīng)濟(jì)特區(qū)技術(shù)秘密保護(hù)條例》進(jìn)行了修訂，員工跳槽后泄密將付出高額賠償。國(guó)家的法律站在較高的層面上，為所有企業(yè)的商業(yè)秘密保護(hù)指明了方向，奠定了基礎(chǔ)。因此保護(hù)商業(yè)秘密首先要站在法律的基礎(chǔ)之上，不能同國(guó)家的法律背道而馳，靈活運(yùn)用法律手段保護(hù)自身的合法權(quán)益。

二、追本溯源

企業(yè)的商業(yè)秘密簡(jiǎn)單說(shuō)就是文檔。從承載的形式上看，文檔分為電子文檔和紙質(zhì)文檔；從文檔的生命周期上看，文檔經(jīng)歷了產(chǎn)生、存儲(chǔ)、借閱、傳遞、使用、銷毀的過(guò)程。電子文檔有著其極為特殊的特性，它是由一組特殊的符號(hào)組成的，容易修改、刪除、復(fù)制和損壞；而對(duì)于紙質(zhì)文檔，其載體就是紙張，可以修改和復(fù)制，但無(wú)法損壞和從紙張上刪除，僅能通過(guò)銷毀紙張本身來(lái)銷毀信息。紙質(zhì)文檔和電子文檔之間也是可以相互轉(zhuǎn)化的，電子文檔打印后可以轉(zhuǎn)換成紙質(zhì)文檔，紙質(zhì)文檔掃描后也可以轉(zhuǎn)換成電子文檔。無(wú)論是電子文檔還是紙質(zhì)文檔，他們存在于文檔的整個(gè)生命周期之中，因此對(duì)于文檔的保護(hù)，需要放眼于整個(gè)生命周期的過(guò)程，對(duì)于文檔的保護(hù)需要一個(gè)整體的體系架構(gòu)，不能僅僅只局限于某個(gè)方面，或者是想到什么方面就從什么方面入手。

對(duì)于企業(yè)商業(yè)秘密的保護(hù)最簡(jiǎn)單的劃分就是技術(shù)和管理。技術(shù)是手段和工具，管理是方法和途徑，管理需要技術(shù)的支持，技術(shù)需要管理去驗(yàn)證。信息安全里面有一個(gè)說(shuō)法“三分技術(shù)，七分管理”。筆者對(duì)這種說(shuō)法的理解是技術(shù)可以解決30%的問(wèn)題，而管理能解決70%的問(wèn)題。但是這并不是說(shuō)明技術(shù)不重要，其實(shí)技術(shù)和管理之間的地位是平等的。我們對(duì)于商業(yè)秘密的保護(hù)是遵循一個(gè)“水桶效應(yīng)”的，只有桶壁上的所有木板都足夠高，那水桶才能盛滿水；只要這個(gè)水桶里有一塊不夠高度，水桶里的水就不可能是滿的；水桶里面水的多少，直接取決于最短的那塊木板。技術(shù)與管理需要并重，只發(fā)展技術(shù)，或者只發(fā)展管理，都是畸形的發(fā)展，花費(fèi)了大量的資源，但是效果卻是微乎其微。

文檔的類型、文檔的生命周期和保護(hù)方法組成了一個(gè)三維立體結(jié)構(gòu)。例如對(duì)于電子文檔在存儲(chǔ)過(guò)程中的技術(shù)保護(hù)方法，可以包括加密、備份；紙質(zhì)文檔產(chǎn)生時(shí)的管理保護(hù)方法，包括打印機(jī)的管理、文件打印的審批。企業(yè)商業(yè)秘密保護(hù)制度通過(guò)不同類型的文檔在整個(gè)生命周期中技術(shù)和管理上的保護(hù)，來(lái)達(dá)到自己的目標(biāo)。當(dāng)三維立體結(jié)構(gòu)建立以后，也就是說(shuō)我們的商業(yè)秘密保護(hù)制度的整體框架建立好了，剩下的工作就是不斷豐滿整個(gè)體系框架，將具體的制度添加進(jìn)去。例如限制上網(wǎng)、限制使用聊天工具、限制上傳下載、進(jìn)行網(wǎng)絡(luò)監(jiān)控、實(shí)施加密措施，對(duì)系統(tǒng)實(shí)施訪問(wèn)控制、日志審計(jì)、數(shù)字水印、強(qiáng)制使用強(qiáng)密碼、禁止使用攝像頭、簽訂競(jìng)業(yè)限制協(xié)議和保密協(xié)議、相應(yīng)的各項(xiàng)處罰和獎(jiǎng)勵(lì)、詳細(xì)的文件借閱使用記錄等等。

三、生生不息

世界上不會(huì)存在一模一樣的企業(yè)，而對(duì)于不同的企業(yè)，出于企業(yè)規(guī)模不同、涉及行業(yè)不同、商業(yè)秘密類型不同等原因，企業(yè)對(duì)于商業(yè)秘密的保護(hù)制度也是不同的。我們不能說(shuō)哪種制度是不好的，哪種制度是好的，只能說(shuō)哪種制度是最適合的。不同的企業(yè)對(duì)商業(yè)秘密保護(hù)會(huì)有不同的答案，甚至是完全相反的答案，因此對(duì)于一個(gè)企業(yè)，要找出最適合自己的商業(yè)秘密保護(hù)制度，需要不斷地嘗試、總結(jié)以及改進(jìn)。

首先是商業(yè)秘密的確定。根據(jù)企業(yè)涉及行業(yè)類型、業(yè)務(wù)特點(diǎn)、組織結(jié)構(gòu)、資產(chǎn)和技術(shù)等等，確定制度保護(hù)的范圍和邊界，即對(duì)一個(gè)具體的公司而言商業(yè)秘密到底是些什么，確定好保護(hù)目標(biāo)才能讓后面的工作能夠圍繞著一個(gè)確實(shí)不變的中心進(jìn)行。對(duì)于商業(yè)秘密的解釋，《中華人民共和國(guó)刑法》指出：“商業(yè)秘密是指不為公眾所知悉、能為權(quán)利人帶來(lái)經(jīng)濟(jì)效益、具有實(shí)用性并經(jīng)權(quán)利人采取保密措施的技術(shù)信息和經(jīng)營(yíng)信息”。不過(guò)這只是一個(gè)大的總體方向，對(duì)于商業(yè)秘密的識(shí)別還需要企業(yè)自己花大力氣去識(shí)別。兵法有云：“知己知彼，百戰(zhàn)不殆”。想要保護(hù)商業(yè)秘密，就必須了解自己到底有哪些商業(yè)秘密。

接著是商業(yè)秘密的評(píng)定。當(dāng)我們的商業(yè)秘密確定出來(lái)后，人事信息、財(cái)務(wù)信息、物流信息、研發(fā)信息、銷售信息、客戶信息等等紛繁復(fù)雜，多不勝數(shù)。全部都管理起來(lái)是不現(xiàn)實(shí)的，即使勉強(qiáng)完成也不會(huì)起到好的效果。其實(shí)在這些信息中有20%會(huì)直接影響企業(yè)80%的效益。能切實(shí)有效地抓好這20%的商業(yè)秘密的保護(hù)，我們的工作效果就會(huì)非常明顯地表現(xiàn)出來(lái)。對(duì)于商業(yè)秘密的評(píng)級(jí)，一般都是按照敏感程度，也就是說(shuō)如果泄密將會(huì)造成的影響和損失來(lái)進(jìn)行評(píng)定的。例如我們的高考試題，如果泄密那就是全國(guó)所有考生的利益遭到損失，因此高考試題的密級(jí)是最高的；但是高考結(jié)束后，就算所有人都知道考題內(nèi)容，也不會(huì)有什么影響，因此此時(shí)考試題的密級(jí)也就是最低的。打蛇要打7寸，做事情要抓住重點(diǎn)，對(duì)于商業(yè)秘密的評(píng)級(jí)尤為重要。

然后才是編寫(xiě)制度，確定如何對(duì)商業(yè)秘密進(jìn)行保護(hù)。我們制定各項(xiàng)制度保護(hù)商業(yè)秘密，保護(hù)到一個(gè)什么樣的程度是此時(shí)我們需要考慮的問(wèn)題。因?yàn)檫M(jìn)行保護(hù)必然會(huì)影響日常工作，改變一直以來(lái)的習(xí)慣。過(guò)多的保護(hù)會(huì)降低工作效率，為企業(yè)帶來(lái)負(fù)面的效應(yīng)；而過(guò)少的保護(hù)，顯而易見(jiàn)，必然增加商業(yè)秘密泄露的風(fēng)險(xiǎn)，因此需要有一個(gè)原則，一個(gè)底線。實(shí)施某個(gè)制度的總支出必須低于該風(fēng)險(xiǎn)產(chǎn)生的損失，或者說(shuō)，如果其他方法可以用更少的支出實(shí)現(xiàn)差不多的目標(biāo)甚至更好，那么這項(xiàng)制度也就沒(méi)有存在的意義。確定具體制度需要綜合多方面的考慮，公司規(guī)模、企業(yè)文化、資源配備等等。制度制定出來(lái)的目的是需要實(shí)施的，沒(méi)有可行性的制度是沒(méi)有任何用處的。例如軍工企業(yè)文件傳遞需要專人護(hù)送、文檔打印需要領(lǐng)導(dǎo)審批同意，文檔加密必須要最先進(jìn)的加密算法。這些制度確實(shí)可以最大限度地保護(hù)商業(yè)秘密，但是對(duì)于民用企業(yè)，基本上是不可能得到實(shí)施的。一個(gè)制度的制定，需要多方面的調(diào)研，驗(yàn)證實(shí)施的可行性，不能因?yàn)槠渌髽I(yè)做得好，卓有成效，就直接拿過(guò)來(lái)使用。其他企業(yè)好的制度我們可以借鑒，但是要有限度的借鑒，別人的東西永遠(yuǎn)只適合別人，只有將別人的東西變?yōu)樽约旱囊院?，才能夠更好地使用?/p>

商業(yè)秘密保護(hù)制度并不是一成不變的。一個(gè)企業(yè)不同時(shí)期的保護(hù)制度制定應(yīng)該是一個(gè)動(dòng)態(tài)的過(guò)程，是一個(gè)不斷優(yōu)化呈螺旋式上升的過(guò)程。通過(guò)一個(gè)又一個(gè)PDCA循環(huán)過(guò)程，計(jì)劃、執(zhí)行、檢查和行動(dòng)，不斷地自我調(diào)整，適應(yīng)公司的各項(xiàng)變化。PDCA循環(huán)是管理學(xué)中的一個(gè)通用模型，無(wú)數(shù)的成功案例不斷證明它的正確性和優(yōu)越性。實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)，沒(méi)有得到執(zhí)行的制度即使再完美也是失敗的。

四、任重道遠(yuǎn)

企業(yè)的商業(yè)秘密是企業(yè)的命脈，必須要將其牢牢掌握在自己手中。對(duì)商業(yè)秘密的保護(hù)是一個(gè)長(zhǎng)期而艱巨的任務(wù)，需要企業(yè)花費(fèi)大力氣實(shí)現(xiàn)。本文主要論述了商業(yè)秘密保護(hù)制度的流程和框架，為商業(yè)秘密的保護(hù)提出一個(gè)大體的建議，而具體的各項(xiàng)商業(yè)秘密保護(hù)制度則需要企業(yè)根據(jù)自身的條件量身打造。沒(méi)有最好的制度，只有最適合的制度。EIP