周婷婷

[摘 要]本文以電視劇《我的前半生》中的若干商業(yè)泄密問題為切入點，簡要介紹商業(yè)秘密的內(nèi)涵及特點，結(jié)合商業(yè)泄密的可能原因，從企業(yè)內(nèi)部控制、風(fēng)險管理的角度提出防范商業(yè)機密泄露的若干可行性建議。

[關(guān)鍵詞]內(nèi)部控制；商業(yè)泄密；風(fēng)險管理

doi：10.3969/j.issn.1673 - 0194.2017.22.023

[中圖分類號]F239.45 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2017）22-00-02

最近，電視劇《我的前半生》成為大家茶余飯后的熱門話題，劇中涉及“泄密”的問題曾多次出現(xiàn)，不管是高級經(jīng)理菲爾離職帶走項目核心資料和大客戶名單，還是小董為報復(fù)陷害新任副總唐晶故意泄露企業(yè)機密資料，這些“泄密”行徑都給咨詢企業(yè)辰星帶來了不可估量的損失?，F(xiàn)實中，一旦發(fā)生商業(yè)泄密，企業(yè)所蒙受的損失是非常巨大的。因此，保護(hù)商業(yè)機密，特別是妥善保管使用信息、資料，對于企業(yè)的生存和發(fā)展有著很強的現(xiàn)實意義。

1 商業(yè)秘密的內(nèi)涵

根據(jù)《反不正當(dāng)競爭法》第十條規(guī)定，“商業(yè)秘密，是指不為公眾所知悉，能為權(quán)利人帶來經(jīng)濟利益，具有實用性并經(jīng)權(quán)利人采取保密措施的技術(shù)信息和經(jīng)營信息?！边@一定義揭示了商業(yè)秘密的三層內(nèi)容：第一，它是不為眾人所知，無法從公開渠道獲得的信息或資料；第二，具有重大的實用價值，但需注意，公開渠道可以獲取的、有著重大實用價值的信息，不屬于商業(yè)秘密；第三，信息應(yīng)被合理保護(hù)，以確保信息不會被外泄。如果因為保護(hù)措施不當(dāng)而自行泄漏的，不是侵犯商業(yè)機密的行為。

2 商業(yè)泄密的原因

一般而言，商業(yè)泄密可分為無意識泄密和故意泄密兩大類別，其具體形態(tài)可以分為：口頭泄密、手機泄密、網(wǎng)絡(luò)泄密及文本泄密等。盡管具體形式不一，但造成商業(yè)泄密的主要原因基本相同。

（1）商業(yè)秘密保護(hù)意識淡薄，有關(guān)宣傳培訓(xùn)教育不到位，容易忽視保密安全中存在的隱患和漏洞。如前文中提及的電視劇中的泄密，就是由于老員工小董利用不知情的實習(xí)生去復(fù)印相關(guān)核心資料導(dǎo)致的，這反映出企業(yè)對機密資料保管不善。現(xiàn)實社會中，員工泄密的例子也屢見不鮮，例如：可口可樂企業(yè)泄密案主犯被判8年、蘋果前高管受賄泄密被判重罰監(jiān)禁、海爾前高管跳槽竊取商業(yè)秘密獲刑3年等。

（2）企業(yè)未建立信息安全、保密工作的相關(guān)制度?！皼]有規(guī)矩，不成方圓”，即使企業(yè)在實際工作中有具體的信息保密措施，但沒有具體的規(guī)章制度，即缺乏指導(dǎo)性和約束性的條文，就可能會導(dǎo)致工作無章可依，特別是新手不知道從何入手操作，從而影響日常保密工作的順利開展。

（3）保密工作執(zhí)行不到位。企業(yè)已建立相關(guān)規(guī)章制度，但受到人員素質(zhì)、管理能力等多重因素的制約，保密工作往往只是按部就班，忽視了潛在的風(fēng)險，致使安全隱患長期存在，導(dǎo)火索一旦引燃，后果極其嚴(yán)重。常見的表現(xiàn)形式有：一是對涉密載體從新建、收發(fā)、中轉(zhuǎn)、使用、保管和銷毀等一系列過程未實行嚴(yán)格管控；二是對涉密信息、資料在聯(lián)網(wǎng)環(huán)境下草擬、存儲、傳遞等過程管理執(zhí)行不到位。此外，仍存在涉密信息、資料的級別與期限不匹配（如有密不定、低密高定等），密碼更換不符合要求等。這些現(xiàn)象與監(jiān)督機構(gòu)監(jiān)察不力、保密工作的責(zé)任主體職責(zé)不明、績效考評未與之直接掛鉤有著直接的關(guān)聯(lián)。

3 加強信息安全內(nèi)控管理的建議

結(jié)合上述原因，為加強信息安全、把控全程風(fēng)險管理，企業(yè)應(yīng)當(dāng)做好以下幾點。

（1）深刻理解泄密的嚴(yán)重后果，從根源上防止和避免泄密事件的發(fā)生。從人力資源內(nèi)部控制的角度，企業(yè)應(yīng)注意以下幾點。第一，招聘新入職員工時，應(yīng)細(xì)致考查員工的價值觀，因為漠視知識產(chǎn)權(quán)的人存在泄露商業(yè)秘密的潛在風(fēng)險。第二，員工入職后要簽訂保密條款或保密協(xié)議，對于掌握關(guān)鍵技術(shù)、核心崗位的重要員工，還要簽訂競業(yè)禁止協(xié)議。具有法律效力的合同對于商業(yè)泄密行為具有一定的心理威懾力，也能防范員工在任職期間利用職權(quán)之便泄露商業(yè)機密，以及限制、禁止員工在離職期間（最長兩年內(nèi)）不得與該企業(yè)開展競爭性業(yè)務(wù)（包括在競爭對手企業(yè)任職或自行開設(shè)同類型企業(yè)）。第三，保密教育應(yīng)融入日常培訓(xùn)教育中，保密教育應(yīng)列入員工手冊。特別是新入職員工，保密教育應(yīng)作為崗前培訓(xùn)的必修內(nèi)容之一，結(jié)合特定崗位掌握必要的法律知識和保密技術(shù)，自覺履行保密責(zé)任和義務(wù)，知曉造成商業(yè)泄密的法律后果。第四，企業(yè)應(yīng)明確員工離職、調(diào)崗時對崗位所掌握的商業(yè)秘密的交接手續(xù)以及風(fēng)險控制。

（2）建立健全保密制度，確保日常保密工作有章可循。一方面，根據(jù)《勞動合同法》《反不正當(dāng)競爭法》等相關(guān)法律規(guī)定，結(jié)合企業(yè)需求，將具體操作流程制度化，便于各崗位人員據(jù)此執(zhí)行。以制度形式制定信息、資料密級管理的要求，包括商業(yè)秘密分級的標(biāo)準(zhǔn)，根據(jù)不同密級如何接觸流轉(zhuǎn)、管理歸檔、銷毀信息、資料等，如，明確規(guī)定員工應(yīng)按規(guī)范使用電子郵件，發(fā)送涉密文件應(yīng)經(jīng)過授權(quán)審批和加密處理；計算機應(yīng)設(shè)置并定期更新密碼，機密數(shù)據(jù)應(yīng)采用物理手段（如斷網(wǎng)），防范網(wǎng)絡(luò)入侵和被盜用的風(fēng)險；涉密的紙質(zhì)資料一經(jīng)確認(rèn)無用，定期粉碎銷毀。制度上旨在確保安全完整，要求執(zhí)行內(nèi)部控制活動中的不相容職務(wù)分析控制和授權(quán)審批控制，對員工接觸商業(yè)機密進(jìn)行嚴(yán)格控制，保證機密的信息、文檔的接觸范圍受限、權(quán)責(zé)分明。另一方面，針對企業(yè)的現(xiàn)實狀況和未來趨勢，動態(tài)調(diào)整、完善企業(yè)的保密制度，因時制宜地優(yōu)化保密流程和具體控制措施，促進(jìn)信息安全，達(dá)成內(nèi)部控制的資產(chǎn)安全目標(biāo)。

（3）企業(yè)應(yīng)采用以事前預(yù)防為主的控制措施，以潛在風(fēng)險為導(dǎo)向深入開展內(nèi)部保密自查工作，對潛在的隱患和發(fā)現(xiàn)的漏洞及時予以整改。首先，針對商業(yè)機密的重要載體在流轉(zhuǎn)過程中接觸到不同的傳播媒介而產(chǎn)生的風(fēng)險，除了對員工進(jìn)行行為限制外，加強軟、硬件的安防措施也是防止泄密的重要環(huán)節(jié)。作為內(nèi)部控制五要素之一的信息與溝通，其信息系統(tǒng)運營與維護(hù)中的一個主要內(nèi)容就是保障信息系統(tǒng)的安全，即保護(hù)所有軟、硬件和數(shù)據(jù)免于遭受破壞、修改和泄露。具體來說，企業(yè)內(nèi)部可通過上鎖、門禁等方法限制進(jìn)入涉密場所，以加密保護(hù)、權(quán)限設(shè)置等形式限制涉密文件或信息的訪問、拷貝和轉(zhuǎn)移，有效防止資料外泄。企業(yè)內(nèi)部可以通過內(nèi)外網(wǎng)隔絕（特別是禁止涉密電腦聯(lián)網(wǎng)）、屏蔽USB接口等方式限制信息、資料的復(fù)制、中轉(zhuǎn)，實現(xiàn)數(shù)據(jù)的安全隔離防護(hù)，并可以通過安裝攝像頭、監(jiān)控錄像、網(wǎng)絡(luò)檢測等方式，加強對工作區(qū)域的日常安全防護(hù)。安防措施通過間接的方式給予員工心理壓力與威懾，并可為泄密行為提供直觀的證據(jù)，某種程度上能幫助企業(yè)最大限度減少損失、挽回?fù)p失。其次，企業(yè)內(nèi)部監(jiān)督機構(gòu)應(yīng)當(dāng)將日常監(jiān)督與專項監(jiān)督有機結(jié)合，加大監(jiān)督力度，促進(jìn)保密工作的內(nèi)部監(jiān)督的有效落實，及時發(fā)現(xiàn)問題與隱患，通過原因分析提出整改方案，優(yōu)化保密工作的流程，確保信息安全內(nèi)控的長期有效性。此外，企業(yè)應(yīng)當(dāng)明確信息安全控制的內(nèi)部監(jiān)督機構(gòu)及相關(guān)部門、崗位人員的具體職責(zé)，建立責(zé)任追究制度，對信息安全過程中執(zhí)行不力的種種行為進(jìn)行深層次原因的研究，將保密工作的效果與責(zé)任部門的考核、績效相掛鉤，確保相關(guān)部門、崗位人員意識到保密工作與他們的切身利益息息相關(guān)，促進(jìn)保密工作內(nèi)部監(jiān)督的有效落實。

主要參考文獻(xiàn)

[1]周黎，石巍.警惕商業(yè)秘密的泄露——淺談雷諾泄密事件給我們帶來的警示[J].保密科學(xué)技術(shù)，2011（7）.

[2]廖耘平.商業(yè)秘密保護(hù)與競業(yè)禁止[J].當(dāng)代法學(xué)，2002（11）.

[3]郭學(xué)利，高紅梅.試論商業(yè)泄密現(xiàn)象對企業(yè)秘書工作的警示[J].經(jīng)濟論壇，2011（10）.

[4]方紅星，池國華.內(nèi)部控制[M].第2版.大連：東北財經(jīng)大學(xué)出版社，2014.endprint