「审计月刊」企业反舞弊视角下的商业秘密保护策略

没有采取足够的保密措施是商业秘密泄露的重要原因之一，但是企业内控也不宜一味扩大增加保密措施的范围。片面追求面面俱到的保密措施既会过重增加企业的成本，也会给员工正常的职务工作带来不便。

因此，保密措施的设置原则应是：首先，对泄密可能性较高的风险点，在保密成本可以承受的范围内尽可能地设定相应保密措施；其次，对于其他保密成本过高，泄密可能性较低的风险点则采取留痕处理的方式，即便发生泄密也能依靠前期留下的种种痕迹及时固定证据并追究责任。

常见的泄密情形

01内部员工泄密

首先，员工出于职责需要，有权限直接或者间接接触商业秘密，也清楚商业秘密对于公司的价值，无需像外部窃密者那样必须破解企业的物理防护、电脑信息防护系统才能窃取商业秘密。此外，许多企业对员工的保密管理工作执行不到位。虽然会在入职时让员工签署保密协议或在劳动合同中增加保密条款，但这些往往流于形式，既没有言明商业秘密的范围和具体保密义务，也缺乏其他配套保密措施，客观上无法限制员工心生邪念将已经掌握的商业秘密向外泄露。

02外部商业间谍窃取

一起发生在联合利华和宝洁公司两大日化用品公司之间的间谍案中，宝洁公司曾雇佣一家位于阿拉巴马州的咨询公司，未曾想该咨询公司派员以投资顾问的身份乔装进入联合利华公司某家分公司，并在公司的垃圾箱当中找到关于海飞丝、潘婷等护发产品业务的细节信息，持续达三年。事件最终由宝洁公司找到联合利华道歉并谈判了结，否则联合利华可能至今都会毫不知情。从此案例可知，企业须警惕对外合作伙伴的泄密风险，纸质文件须脱密处理，放入碎纸机粉碎而不是直接扔进垃圾桶。

03存储数据的媒介遗失或者被窃取

企业一般有专用保密电脑用于存储重要数据，但因疏忽没有设置禁用USB接口，导致可接触人员插入U盘、移动硬盘等数据存储设备读取、复制文件数据后，又因设备保管不当而遗失、失窃造成泄密。

商业秘密的反舞弊保护前置策略

01留痕原则在商业秘密保护中的应用

任何员工对涉密信息的接触行为都应当留有痕迹。涉密纸质材料的存放应设置专门保密室，钥匙保存于专人手中，且进出人员需要登记，写明查阅人的姓名、查阅时间、查阅目的等；涉密电子资料应保存于公司系统当中，并设置高级秘钥，且每次登陆历史都应当被记录，包括登陆账户、登陆时间、访问时长等。

02公司电脑使用的反舞弊管理

要求每名员工都使用公司配发的电脑办公，不得使用私人电脑。同时，公司电脑可以禁用USB或者其他输入/输出端口，有条件的企业可以采取文件加密技术，加密的文件只能在公司电脑上解密后浏览，防止员工将资料上传至个人云盘。员工从公司电脑向外部存储设备复制大量文件时，公司电脑会自动弹出警示性窗口并留有记录。

03不同员工设置不同账号权限的反舞弊管理

对于公司系统的使用，不同的员工应当有自己的独立账号，且不得相互借用。此举在于确保不同的公司客户由不同的员工分管负责，以防客户资源过分集中在一名员工手里。

04电子版保密手册的反舞弊设定

员工除了在入职时签订书面保密协议之外，企业还应当制作电子版保密手册，并上传至企业内网。保密手册的每次更新都应让员工确认，员工需要在窗口点击“我已知晓”的按键，且这步操作应当与员工的考评直接挂钩。如保密手册是员工手册中的组成部分，还需经过民主流程例如职代会的确认。

05独立支付保密费的反舞弊策略

部分企业会对技术人员或者高管支付一定的保密费。但在财务支付时应当确保保密费是区别于报销款、工资等独立支付的，以防在维权诉讼中侵权员工以付款性质不明作为抗辩。

06员工培训的反舞弊要点

在员工入职时或在固定时间段内，聘请律师培训员工，向员工展示商业秘密侵权所要承担的民事、刑事法律责任，以提高员工的商业秘密保护及侵权后果的法律意识。培训应当留有签到本，是否参加也应直接挂钩员工考评。

07设置文件水印的反舞弊策略

对于电子涉密文件，员工如需在自己的电脑上访问，则应当通过软件使得该员工访问的页面上自动显现该员工的姓名、工号等水印，防止员工通过手机录像、拍摄电脑屏幕等方法向外泄密，如果该员工铤而走险泄密，则该泄密行为会暴露访问员工的身份信息。

转自

星瀚微法苑