淺議商業(yè)秘密保護中的企業(yè)信息安全工作

何川

摘 要：大數(shù)據(jù)時代的資源共享精神與企業(yè)保護信息安全行為是一場持續(xù)博弈。企業(yè)為控制成本和保持活力，希望更多的信息可以分享。隨著IT技術(shù)飛速發(fā)展、信息安全概念日趨成熟，可以預(yù)見企業(yè)的信息安全工作將進一步加強。

關(guān)鍵詞：商業(yè)秘密 信息安全 保護 資產(chǎn) 大數(shù)據(jù)

中圖分類號：F722 文獻標識碼：A 文章編號：2096-0298（2017）09（c）-135-02

1 信息安全工作的本質(zhì)是商業(yè)秘密保護

商業(yè)秘密保護一直是企業(yè)內(nèi)部管理的薄弱環(huán)節(jié)，企業(yè)也是信息安全泄密事件的高發(fā)群體，受到商業(yè)秘密侵權(quán)的損害也最大。其原因在于企業(yè)的創(chuàng)始人基本沒有商業(yè)秘密的意識，也沒有在機構(gòu)上設(shè)立保密部門，更沒有建立有效的商業(yè)秘密保護管理機制，因此導(dǎo)致商業(yè)秘密容易被侵權(quán)。

按照我國《反不正當競爭法》的規(guī)定，屬于商業(yè)秘密范疇的信息須具備以下三個條件：不為公眾所知悉、能帶來經(jīng)濟利益、采取保密措施。根據(jù)商業(yè)秘密的特點，可以發(fā)現(xiàn)商業(yè)秘密屬于具有經(jīng)濟價值且被保護的企業(yè)信息資源，這種資源在企業(yè)內(nèi)部有限范圍內(nèi)共享。

當下，有關(guān)商業(yè)秘密的法律訴訟已不是新鮮事。2017年，安徽一橡塑制品公司員工辭職后入股競爭對手，不僅帶走老東家的技術(shù)資料，還“搶了”老顧客生意。法院采取“實質(zhì)性相同加接觸”規(guī)則推定其與新東家構(gòu)成侵權(quán)，判賠80萬元。據(jù)德國《經(jīng)濟周刊》網(wǎng)站2017年12日報道，荷蘭警方日前逮捕了一名65歲男子，該男子為西門子員工，涉嫌將西門子商業(yè)機密泄露給中國企業(yè)，荷蘭檢察院目前正對此案展開調(diào)查。

以上兩個案例中的企業(yè)商業(yè)秘密保護的一個側(cè)面。大數(shù)據(jù)時代的核心是資源共享，任何企業(yè)都不是一個封閉的組織，任何組織和個人都可以有償或者無償獲得他們所需要的信息。因此，要做好企業(yè)的信息安全工作，必須厘清商業(yè)秘密保護與信息安全之間的關(guān)系。商業(yè)秘密保護的對象是企業(yè)的技術(shù)或經(jīng)營信息，因此商業(yè)秘密保護的本質(zhì)也是保護信息安全。

泄密事件層出不窮，泄密手段越來越高科技。大部分企業(yè)在信息安全工作中，存在一些典型的誤區(qū)：業(yè)務(wù)部門認為沒有商業(yè)秘密可言，搞信息安全只是IT 部門的事情；業(yè)務(wù)部門不知道哪些信息屬于商業(yè)秘密，信息安全工作推進沒有依據(jù)；業(yè)務(wù)部門的海量信息都需要保護，保護范圍無限擴大，見圖1。

2 信息安全工作不能奔走救火

市場經(jīng)濟競爭越來越激烈，泄密風險越來越多，商業(yè)秘密的價值越來越高。泄密的途徑和方式多種多樣，要想做好信息安全工作，我們必須要了解主要的泄密途徑。

（1）內(nèi)部泄密。堡壘最容易從內(nèi)部被攻破，在企業(yè)商業(yè)秘密泄密事件中，由于核心員工跳槽帶走商業(yè)秘密而造成的泄密事件時有發(fā)生而且占有很大的比例。據(jù)統(tǒng)計，企業(yè)內(nèi)部涉密人員侵犯商業(yè)秘密案件占全部案例的82.5%。人員流動是企業(yè)發(fā)展過程中所面臨的并且是無法回避的問題，在企業(yè)的商業(yè)秘密保護工作中，如何防止核心員工跳槽帶走商業(yè)秘密，人員管理固然是很重要的一個環(huán)節(jié)，但還應(yīng)伴隨著一系列的管理措施。對于企業(yè)來說，證明商業(yè)秘密的存在本身就很困難，要證明企業(yè)員工是否利用了這種信息難度更大，尤其是難以區(qū)分一般信息與商業(yè)秘密信息的差別。所以，應(yīng)通過競業(yè)限制條款以盡可能地避免員工利用商業(yè)秘密。

（2）商業(yè)秘密信息管理不善。一些企業(yè)中存在著很多這樣的情況，企業(yè)一邊將一些技術(shù)文件、客戶資料和信息不分級別隨意管理，任何員工甚至未經(jīng)任何手續(xù)就能隨意使用和得到這些信息，另一邊聲稱自己的商業(yè)秘密被泄露要加強管理甚至要進行索賠等，這種狀況是很難尋求到法律支持和保護的。所以，我們強調(diào)確定企業(yè)的商業(yè)秘密范圍，明確商業(yè)秘密保護的對象是商業(yè)秘密保護工作的關(guān)鍵環(huán)節(jié)。

（3）接待外來人員采訪、參觀、考察、實習中疏忽大意。這樣的實例很多，我國一些具有“獨特工藝”的傳統(tǒng)產(chǎn)品企業(yè)就是在接待參觀和考察中，被人竊取“機密”。改革開放之初，日本人借著我國地方官員和民眾熱情迎接外賓，毫無商業(yè)保密頭腦的機會，來涇縣“參觀考察”中國宣紙制造，官員和工廠負責及技術(shù)人員陪同參觀，每一道制作工藝詳細講解，從而日本人輕而易舉獲取了宣紙制造的整個流程，以及“紙藥”的配方。如果企業(yè)能重視到商業(yè)秘密的保護，此種損失完全可以避免或降低。參觀應(yīng)避開敏感區(qū)域，勿作詳細解釋，勿對生產(chǎn)制造工藝進行演示，并要求來訪者參觀商業(yè)秘密設(shè)備時簽訂保密協(xié)議。

（4）對外發(fā)布信息。競爭對手通過公開的信息收集的合法途徑同樣能夠獲取企業(yè)商業(yè)秘密。還有一些企業(yè)甚至盯著對手公司經(jīng)常使用的垃圾箱，從垃圾箱中翻閱廢棄資料，從而檢索有用信息。對此，企業(yè)一定要引起注意，最好建立嚴格的信息審批規(guī)章制度和辦事程序。比如信息公布、報廢產(chǎn)品、實驗廢品和產(chǎn)品的處理，展覽、新聞和廣告發(fā)布等，均需通過嚴密的信息處理和審批，以防無意中泄密。

為了解決一個個具體的問題而立即行動，效果不會很好，久而久之，信息安全保護措施會流于形式、奔走救火。企業(yè)要防止自己的商業(yè)秘密被競爭對手竊取，必要采取各種保護措施。保護措施越多，保護效果越好，但同時保護成本也會增大，消耗企業(yè)的財富。但如果企業(yè)對商業(yè)秘密投入不足，會使保護能力欠缺，導(dǎo)致重要的商業(yè)秘密資產(chǎn)被泄密，企業(yè)面臨的損失可能會更大。因此，企業(yè)必須使投入的保護成本與需要保護的商業(yè)秘密資產(chǎn)價值相適應(yīng)。

3 保護信息安全的目標是降低風險

就商業(yè)秘密而言，沒有絕對的安全，只有相對的安全。信息安全的目的是，保護信息免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風險最小化，投資回報和商業(yè)機遇最大化。泄密風險只能降低，不可能杜絕。商業(yè)秘密范圍的確定是商業(yè)秘密保護最基礎(chǔ)的工作，只有準確的定義、識別并確定自己企業(yè)需要保護的商業(yè)秘密范圍，才有可能采取有效措施對范圍之內(nèi)的商業(yè)秘密進行保護，如果范圍確定的不準確，就可能使商業(yè)秘密面臨缺乏保護或保護過度的風險。在明確商業(yè)秘密的范圍和定義的前提下，首先要做好“定密”工作，其次要做好“分級”工作，最后在采用各種手段去做“保密”工作。

參考文獻

[1] 魏亮.云計算安全風險及對策研究[J].郵電設(shè)計技術(shù)，2011（10）.

[2] 徐祖哲.企業(yè)信息化與商業(yè)秘密保護[J].中國科技投資，2009（2）.

[3] 歐陽有慧.商業(yè)秘密的企業(yè)應(yīng)對[J].商場現(xiàn)代化，2009（1）.

[4] 王紅一.免予公開的商業(yè)秘密的界定問題[J].暨南學(xué)報， 2005（5）.

[5] 馮曉青.試論商業(yè)秘密法的目的與利益平衡[J].天中學(xué)刊， 2004（12）.

[6] 李秋容.個體利益與公共利益的博弈與平衡[J].電子知識產(chǎn)權(quán)，2004（7）.