作為企業(yè)中的一員,哪些話能說,哪些不能說,你真的有譜嗎?
今年特斯拉員工就收到過老板馬斯克的一封郵件。該郵件警告所有員工:他們簽署了保密協(xié)議,如果向媒體或其他公司透露任何與業(yè)務(wù)有關(guān)的信息,都將被掃地出門,嚴(yán)重的還要承擔(dān)損害賠償,甚至面臨刑事指控。
讓“鋼鐵俠”大動肝火的,是其一直的“心病”:泄密。
給他添堵的是小鵬汽車——馬斯克似乎認(rèn)定小鵬汽車“盯住”了特斯拉。而小鵬汽車也毫不退讓,6月中旬,隨著特斯拉Model3開啟預(yù)售,小鵬汽車董事長何小鵬干脆直稱:小鵬汽車比特斯拉強(qiáng),小鵬P7碾壓Model3!
而特斯拉則把戰(zhàn)爭矛頭指向了商業(yè)機(jī)密問題:5月3日,特斯拉在美國起訴自動駕駛團(tuán)隊前員工曹光植,起訴書稱:曹在去年年底被小鵬汽車挖走前,將30萬份機(jī)密文件和源代碼上傳至個人iCloud 帳戶。并認(rèn)為小鵬汽車隨后宣稱的自駕功能套件,與特斯拉雷同。
是否存在泄密問題,特斯拉與小鵬企業(yè)的案件都解開了高科技公司“反泄密”命題的冰山一角。技術(shù)領(lǐng)域一直是職場泄密的高發(fā)區(qū)——大疆源代碼泄露曾造成百萬元損失,就是內(nèi)部軟件工程師所為;B站(嗶哩嗶哩)也因程序員違規(guī)操作,導(dǎo)致工程代碼網(wǎng)上擴(kuò)散,用戶信息“裸奔”……近期數(shù)起數(shù)據(jù)泄密事件,都將矛頭指向了“內(nèi)鬼”。
事實(shí)上,在高科技企業(yè)中,商業(yè)機(jī)密保護(hù)和竊取就像貓鼠游戲一般天天在上演。有的企業(yè)為揪出“內(nèi)鬼”,甚至玩起了《竊聽風(fēng)云》般的“抓鼠游戲”!
“特斯拉的警告和起訴,在科技圈是一種普遍采用的維權(quán)方式。如果是有意為之的泄密,自然要付出法律的代價,但在很多事件中,泄密只是缺乏保密意識和保密常識造成的!眲(chuàng)客共贏基金合伙人李建軍向《中外管理》分析:隨著 Facebook、Twitter、知乎等社交媒體的興起,人人都會無意中就成了爆料者。比如:有人喜歡在微博上吐槽對公司或行業(yè)的看法,不經(jīng)意間就泄露了公司機(jī)密,而這種無意識的泄露,經(jīng)過網(wǎng)絡(luò)進(jìn)一步發(fā)酵后,給企業(yè)帶來的影響確實(shí)很不好!
那么,究竟什么樣的行為算是商業(yè)泄密?企業(yè)在數(shù)據(jù)安全管理中應(yīng)掌握的分寸和火候是什么?對于這些問題,管理者和員工都需要有基本的素養(yǎng)。
1
數(shù)據(jù)泄露是企業(yè)高度敏感的“內(nèi)部威脅”
“什么是泄密?廣義上說,構(gòu)成一個企業(yè)競爭優(yōu)勢的任何機(jī)密的商業(yè)信息,都可以被認(rèn)為是商業(yè)秘密。我國《反不正當(dāng)競爭法》第十條規(guī)定:“商業(yè)秘密是指不為公眾所知悉、能為權(quán)利人帶來經(jīng)濟(jì)利益、具有實(shí)用性并經(jīng)權(quán)利人采取保密措施的技術(shù)信息和經(jīng)營信息!
所以從法律上講,除持有人以外的任何人未經(jīng)許可使用這些信息,都將被認(rèn)為是一種不公平競爭行為和侵權(quán)行為。
根據(jù)《反不正當(dāng)競爭法》規(guī)定和國家工商行政管理局的《關(guān)于禁止侵犯商業(yè)秘密行為的若干規(guī)定》的列舉,商業(yè)秘密一類是技術(shù)信息,包括:生產(chǎn)配方、工藝流程、技術(shù)訣竅、設(shè)計圖紙等;另一類是經(jīng)營信息,包括:管理方法、產(chǎn)銷策略、客戶名單、貨源情報等。
在企業(yè)日常管理中,盡管大多數(shù)公司不忘在勞動合同中附加“保密協(xié)議”,卻依然很難阻止愈演愈烈的內(nèi)部泄密事件的發(fā)生。通常情況下,企業(yè)內(nèi)部泄密多發(fā)生在離職時拷貝帶走,尤其競爭對手通過收買的方式,更誘惑了離職人員為此鋌而走險、甚至為了一己私利不惜泄露用戶的個人信息。而這種有針對性的內(nèi)部泄密,相比無意泄密危害更大,無意泄密的隨機(jī)性較強(qiáng),且未必全部出于主觀惡意。
“在科技創(chuàng)新時代,全球尤其是中國,舉全國之力在抓技術(shù)突破,但技術(shù)是有門檻的,很多核心技術(shù)是企業(yè)研究了多年才積累下來的財富。若被競爭對手破解,或直接被員工帶出去而泄密,將是很可怕的事。越是大的公司,越在意泄密及核心技術(shù)的知識產(chǎn)權(quán)保護(hù)!崩罱ㄜ娭赋。
李建軍舉例:市場競爭中通過各種專利與竊密訴訟打壓競爭對手,其實(shí)也是一種常見的商業(yè)行為。比如:特斯拉訴前自動駕駛工程師曹光植,就屬于這種商業(yè)考量。“科技公司的核心員工必然會接觸核心技術(shù),當(dāng)他跳槽到新公司時,常會延續(xù)原來的業(yè)務(wù)領(lǐng)域,這樣上家公司的技術(shù)和相關(guān)資料,可能會被用到新公司業(yè)務(wù)中而泄密,隨之而來的各種訴訟,也就不足為奇了!
而且,這種“商業(yè)考量”今后將越來越常態(tài)化。李建軍總結(jié)出科技企業(yè)常用的兩種防范方式:
一種是企業(yè)通過“專利網(wǎng)”和“專利墻”的設(shè)計,來阻礙競爭對手!拔蚁缺M可能完善專利保護(hù),如果你來挑戰(zhàn)我的底線,我肯定會告你。”
另一種是通過訴訟警告員工考慮泄密將付出的成本,起到殺雞儆猴作用。為何高科技企業(yè)在泄密事件發(fā)生后,往往高調(diào)打官司?有時小事也會當(dāng)成大事大張旗鼓?主要就是為了嚴(yán)懲泄密者,形成法律威懾,讓那些蠢蠢欲動的后來者知難而退。
企業(yè)遭遇數(shù)據(jù)泄露,造成的損失也是巨大的。由IBM發(fā)起,Ponemon獨(dú)立進(jìn)行調(diào)查的《2018數(shù)據(jù)泄露損失研究》顯示:2018年全球因數(shù)據(jù)泄露遭受損失的公司,平均損失為386萬美元,同比增長了6.4%。公司內(nèi)部每個受損記錄的平均成本也增加了4.8%,達(dá)到148美元。更嚴(yán)重的是,由信息泄露引發(fā)的矛盾,也將企業(yè)推入了信任危機(jī)的漩渦。
2
蘋果的保密工作讓員工精疲力竭
早在喬布斯時代,蘋果對“保密文化”的推崇就很著名了。在《喬納森·艾維:蘋果偉大產(chǎn)品背后的天才》一書中,曾有一位前蘋果工程師吐槽:“蘋果的保密工作簡直讓人精疲力竭!
“我們常會被威脅,如果泄露任何蛛絲馬跡,就會丟掉工作。盡管我在蘋果工作多年,但我的鄰居并不知道我具體在里面做什么……蘋果的保密工作讓我壓力巨大,就像被別人用槍頂著腦門一樣,一出錯就會挨一槍子!痹摴こ處熑缡敲枋。
作為擁有13.5萬員工(2018年年中數(shù)據(jù))的巨型公司,蘋果一直是內(nèi)部泄密的重災(zāi)區(qū)。盡管蘋果歷屆管理層多次作出努力,但始終無法杜絕iPhone、iPad等系列產(chǎn)品在發(fā)布前,就被提前泄露了設(shè)計細(xì)節(jié)。
最嚴(yán)重一次當(dāng)屬2018年蘋果曝出的一份堪稱“有史以來最強(qiáng)硬的針對泄密活動的內(nèi)部備忘錄”。該備忘錄顯示:蘋果2017年抓了29名泄密者……這些被開除的人,不僅會面臨訴訟,以后在科技圈也很難再找到下一份工作了。
但嚴(yán)密的內(nèi)部防泄密機(jī)制外,蘋果商業(yè)機(jī)密保護(hù)的軟肋在供應(yīng)鏈上。
李建軍認(rèn)為:蘋果在供應(yīng)鏈上遭遇的泄密難以避免,不過對它自身的影響也不會很大。蘋果是一個透明度非常高的市場化公司,與全球 200 多家供應(yīng)商簽署了合作協(xié)議,由大量供應(yīng)鏈負(fù)責(zé)采購原料、生產(chǎn)和組裝蘋果產(chǎn)品。也就是說,蘋果是靠供應(yīng)鏈來支撐自身龐大體系的,產(chǎn)品發(fā)布前就要把自己的標(biāo)準(zhǔn)、參數(shù)設(shè)置告訴合作公司,而這個供應(yīng)鏈上的任何一個參數(shù)信息泄露,都會被競爭對手第一時間get到。
“在這種情況下,蘋果在技術(shù)上又能保密到什么程度?”李建軍告訴《中外管理》:要杜絕供應(yīng)鏈泄密,蘋果能做的就是用系統(tǒng)保護(hù)來保障自身技術(shù)的安全性!疤O果把供應(yīng)鏈不斷做細(xì),任何一個小分支出了問題,都不會引發(fā)整個體系的崩塌,因?yàn)殡S時可以將這個分支替換掉。”
3
“無意泄密”也是泄密!
在危及企業(yè)信息安全的員工因素中,除受利驅(qū)使的“有意為之”外,“無意泄密”同樣能給企業(yè)數(shù)據(jù)安全招致災(zāi)禍。
今年做出判決的大疆前員工泄露源代碼事件,就是程序員無意識的違規(guī)操作所致。該事件給大疆造成了116萬元經(jīng)濟(jì)損失,涉事程序員也被處以20萬元罰款、獲刑6個月。
據(jù)檢方披露的信息:早在2017年大疆網(wǎng)絡(luò)安全就出現(xiàn)了嚴(yán)重漏洞。后經(jīng)大疆調(diào)查,該漏洞是大疆一軟件工程師所為,該員工負(fù)責(zé)編寫農(nóng)業(yè)無人機(jī)的管理平臺和農(nóng)機(jī)噴灑系統(tǒng)代碼。他通過一個計算機(jī)指令,將含有公司農(nóng)業(yè)無人機(jī)的管理平臺和農(nóng)機(jī)噴灑系統(tǒng)的兩個模塊的代碼上傳至GitHub網(wǎng)站的“公有倉庫”,最終造成了源代碼泄露。
后來,涉事員工在推特上一再表示:“無意泄露了大疆的機(jī)密”“我很后悔自己沒有法律意識,我愿意承擔(dān)相應(yīng)的法律責(zé)任!
除了大疆,近期因源代碼泄露而飽受爭議的,還有上市公司B站。B站后臺工程源碼4月22日被一個名為“openbilibili”的用戶,放到了開源項目平臺Github上。盡管B站第一時間回應(yīng)“該部分代碼屬較老版本,不會影響用戶數(shù)據(jù)安全”,但仍造成當(dāng)日B站盤前股價下跌3.72%。
“無論是B站、大疆,還是其他高速成長中的互聯(lián)網(wǎng)公司,對核心技術(shù)保密的重視程度都不高,這是所有成長中創(chuàng)業(yè)公司的‘通病’。比如:文件訪問權(quán)限混亂,放任員工都能接觸到核心機(jī)密,內(nèi)網(wǎng)和外網(wǎng)不做隔離,安全措施做得低級等等,這些都很容易導(dǎo)致內(nèi)部各種無意識泄密。”李建軍強(qiáng)調(diào),相比之下,成熟型大公司無論從服務(wù)器、還是人才、管理等各方面都相對完善一些,“無意泄密”要少很多,會有意識地提前規(guī)避這類問題的發(fā)生。
如何加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)的安全管控,李建軍給出了兩條建議:
一方面,要重視員工的保密教育工作。在核心技術(shù)人才崗前培訓(xùn)中,“涉密培訓(xùn)”都是必不可少的,它會提前告知員工在所在崗位上能說什么、不能說什么,并簽署保密協(xié)議。“杜絕無意識泄密,首先要讓員工意識到企業(yè)商業(yè)機(jī)密對公司和每個人發(fā)展的重要性,從思想上重視起來。
另一方面,做保密分級和數(shù)據(jù)的全生命周期保護(hù)。所有的制度都逃不開人性的拷問,如果有人想偷技術(shù),就會有各種辦法做到,最好的辦法是制定信息的保密分級,做分類別保護(hù)。比如:將技術(shù)保密分成一到幾級,在各級別下明確哪些行為是被允許的、哪些是不允許的。此外,數(shù)據(jù)的安全問題,還需要針對定義的核心數(shù)據(jù),展開從創(chuàng)建、存儲、訪問、傳輸、使用、銷毀的“全生命周期”保護(hù),做到防患于未然。
4
“反泄密”不等于讓員工對所有事閉嘴
事實(shí)上,類似于蘋果嚴(yán)苛的“保密文化”在硅谷非常普遍,也已成為“硅谷文化”的一部分。但也頻繁受到員工的挑戰(zhàn):連一向以“開放”形象示人的谷歌,也曾在2016年因內(nèi)部保密政策太過嚴(yán)格而被員工告上法庭。
企業(yè)正常的保密措施無疑非常必要,但保密是否等同于讓員工對所有事閉嘴?甚至逐漸喪失了言論自由?這在硅谷成了個議題。
“‘防護(hù)過度’不利于企業(yè)長期發(fā)展,管理者對員工也不可能完全封口!睘榛卮稹吨型夤芾怼酚浾叩囊蓡枺罱ㄜ娫颂乩A大學(xué)約翰溫伯格企業(yè)管理研究中心查爾斯·埃爾森的觀點(diǎn)加以佐證:“保持透明對企業(yè)至關(guān)緊要,有時企業(yè)向市場披露的信息越多,反而越有利;對于一家以創(chuàng)新自居的公司,以保密聞名,有些不可思議!
“所謂‘信息透明’,不是要你把自己的核心技術(shù)公之于眾,而是要你公開技術(shù)的來源和技術(shù)的背景,這對企業(yè)也是有利的!彼M(jìn)一步解釋。