作为企业中的一员,哪些话能说,哪些不能说,你真的有谱吗?
今年特斯拉员工就收到过老板马斯克的一封邮件。该邮件警告所有员工:他们签署了保密协议,如果向媒体或其他公司透露任何与业务有关的信息,都将被扫地出门,严重的还要承担损害赔偿,甚至面临刑事指控。
让“钢铁侠”大动肝火的,是其一直的“心病”:泄密。
给他添堵的是小鹏汽车——马斯克似乎认定小鹏汽车“盯住”了特斯拉。而小鹏汽车也毫不退让,6月中旬,随着特斯拉Model3开启预售,小鹏汽车董事长何小鹏干脆直称:小鹏汽车比特斯拉强,小鹏P7碾压Model3!
而特斯拉则把战争矛头指向了商业机密问题:5月3日,特斯拉在美国起诉自动驾驶团队前员工曹光植,起诉书称:曹在去年年底被小鹏汽车挖走前,将30万份机密文件和源代码上传至个人iCloud 帐户。并认为小鹏汽车随后宣称的自驾功能套件,与特斯拉雷同。
是否存在泄密问题,特斯拉与小鹏企业的案件都解开了高科技公司“反泄密”命题的冰山一角。技术领域一直是职场泄密的高发区——大疆源代码泄露曾造成百万元损失,就是内部软件工程师所为;B站(哔哩哔哩)也因程序员违规操作,导致工程代码网上扩散,用户信息“裸奔”……近期数起数据泄密事件,都将矛头指向了“内鬼”。
事实上,在高科技企业中,商业机密保护和窃取就像猫鼠游戏一般天天在上演。有的企业为揪出“内鬼”,甚至玩起了《窃听风云》般的“抓鼠游戏”!
“特斯拉的警告和起诉,在科技圈是一种普遍采用的维权方式。如果是有意为之的泄密,自然要付出法律的代价,但在很多事件中,泄密只是缺乏保密意识和保密常识造成的。”创客共赢基金合伙人李建军向《中外管理》分析:随着 Facebook、Twitter、知乎等社交媒体的兴起,人人都会无意中就成了爆料者。比如:有人喜欢在微博上吐槽对公司或行业的看法,不经意间就泄露了公司机密,而这种无意识的泄露,经过网络进一步发酵后,给企业带来的影响确实很不好。”
那么,究竟什么样的行为算是商业泄密?企业在数据安全管理中应掌握的分寸和火候是什么?对于这些问题,管理者和员工都需要有基本的素养。
1
数据泄露是企业高度敏感的“内部威胁”
“什么是泄密?广义上说,构成一个企业竞争优势的任何机密的商业信息,都可以被认为是商业秘密。我国《反不正当竞争法》第十条规定:“商业秘密是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。”
所以从法律上讲,除持有人以外的任何人未经许可使用这些信息,都将被认为是一种不公平竞争行为和侵权行为。
根据《反不正当竞争法》规定和国家工商行政管理局的《关于禁止侵犯商业秘密行为的若干规定》的列举,商业秘密一类是技术信息,包括:生产配方、工艺流程、技术诀窍、设计图纸等;另一类是经营信息,包括:管理方法、产销策略、客户名单、货源情报等。
在企业日常管理中,尽管大多数公司不忘在劳动合同中附加“保密协议”,却依然很难阻止愈演愈烈的内部泄密事件的发生。通常情况下,企业内部泄密多发生在离职时拷贝带走,尤其竞争对手通过收买的方式,更诱惑了离职人员为此铤而走险、甚至为了一己私利不惜泄露用户的个人信息。而这种有针对性的内部泄密,相比无意泄密危害更大,无意泄密的随机性较强,且未必全部出于主观恶意。
“在科技创新时代,全球尤其是中国,举全国之力在抓技术突破,但技术是有门槛的,很多核心技术是企业研究了多年才积累下来的财富。若被竞争对手破解,或直接被员工带出去而泄密,将是很可怕的事。越是大的公司,越在意泄密及核心技术的知识产权保护。”李建军指出。
李建军举例:市场竞争中通过各种专利与窃密诉讼打压竞争对手,其实也是一种常见的商业行为。比如:特斯拉诉前自动驾驶工程师曹光植,就属于这种商业考量。“科技公司的核心员工必然会接触核心技术,当他跳槽到新公司时,常会延续原来的业务领域,这样上家公司的技术和相关资料,可能会被用到新公司业务中而泄密,随之而来的各种诉讼,也就不足为奇了。”
而且,这种“商业考量”今后将越来越常态化。李建军总结出科技企业常用的两种防范方式:
一种是企业通过“专利网”和“专利墙”的设计,来阻碍竞争对手。“我先尽可能完善专利保护,如果你来挑战我的底线,我肯定会告你。”
另一种是通过诉讼警告员工考虑泄密将付出的成本,起到杀鸡儆猴作用。为何高科技企业在泄密事件发生后,往往高调打官司?有时小事也会当成大事大张旗鼓?主要就是为了严惩泄密者,形成法律威慑,让那些蠢蠢欲动的后来者知难而退。
企业遭遇数据泄露,造成的损失也是巨大的。由IBM发起,Ponemon独立进行调查的《2018数据泄露损失研究》显示:2018年全球因数据泄露遭受损失的公司,平均损失为386万美元,同比增长了6.4%。公司内部每个受损记录的平均成本也增加了4.8%,达到148美元。更严重的是,由信息泄露引发的矛盾,也将企业推入了信任危机的漩涡。
2
苹果的保密工作让员工精疲力竭
早在乔布斯时代,苹果对“保密文化”的推崇就很著名了。在《乔纳森·艾维:苹果伟大产品背后的天才》一书中,曾有一位前苹果工程师吐槽:“苹果的保密工作简直让人精疲力竭。”
“我们常会被威胁,如果泄露任何蛛丝马迹,就会丢掉工作。尽管我在苹果工作多年,但我的邻居并不知道我具体在里面做什么……苹果的保密工作让我压力巨大,就像被别人用枪顶着脑门一样,一出错就会挨一枪子。”该工程师如是描述。
作为拥有13.5万员工(2018年年中数据)的巨型公司,苹果一直是内部泄密的重灾区。尽管苹果历届管理层多次作出努力,但始终无法杜绝iPhone、iPad等系列产品在发布前,就被提前泄露了设计细节。
最严重一次当属2018年苹果曝出的一份堪称“有史以来最强硬的针对泄密活动的内部备忘录”。该备忘录显示:苹果2017年抓了29名泄密者……这些被开除的人,不仅会面临诉讼,以后在科技圈也很难再找到下一份工作了。
但严密的内部防泄密机制外,苹果商业机密保护的软肋在供应链上。
李建军认为:苹果在供应链上遭遇的泄密难以避免,不过对它自身的影响也不会很大。苹果是一个透明度非常高的市场化公司,与全球 200 多家供应商签署了合作协议,由大量供应链负责采购原料、生产和组装苹果产品。也就是说,苹果是靠供应链来支撑自身庞大体系的,产品发布前就要把自己的标准、参数设置告诉合作公司,而这个供应链上的任何一个参数信息泄露,都会被竞争对手第一时间get到。
“在这种情况下,苹果在技术上又能保密到什么程度?”李建军告诉《中外管理》:要杜绝供应链泄密,苹果能做的就是用系统保护来保障自身技术的安全性。“苹果把供应链不断做细,任何一个小分支出了问题,都不会引发整个体系的崩塌,因为随时可以将这个分支替换掉。”
3
“无意泄密”也是泄密!
在危及企业信息安全的员工因素中,除受利驱使的“有意为之”外,“无意泄密”同样能给企业数据安全招致灾祸。
今年做出判决的大疆前员工泄露源代码事件,就是程序员无意识的违规操作所致。该事件给大疆造成了116万元经济损失,涉事程序员也被处以20万元罚款、获刑6个月。
据检方披露的信息:早在2017年大疆网络安全就出现了严重漏洞。后经大疆调查,该漏洞是大疆一软件工程师所为,该员工负责编写农业无人机的管理平台和农机喷洒系统代码。他通过一个计算机指令,将含有公司农业无人机的管理平台和农机喷洒系统的两个模块的代码上传至GitHub网站的“公有仓库”,最终造成了源代码泄露。
后来,涉事员工在推特上一再表示:“无意泄露了大疆的机密”“我很后悔自己没有法律意识,我愿意承担相应的法律责任。”
除了大疆,近期因源代码泄露而饱受争议的,还有上市公司B站。B站后台工程源码4月22日被一个名为“openbilibili”的用户,放到了开源项目平台Github上。尽管B站第一时间回应“该部分代码属较老版本,不会影响用户数据安全”,但仍造成当日B站盘前股价下跌3.72%。
“无论是B站、大疆,还是其他高速成长中的互联网公司,对核心技术保密的重视程度都不高,这是所有成长中创业公司的‘通病’。比如:文件访问权限混乱,放任员工都能接触到核心机密,内网和外网不做隔离,安全措施做得低级等等,这些都很容易导致内部各种无意识泄密。”李建军强调,相比之下,成熟型大公司无论从服务器、还是人才、管理等各方面都相对完善一些,“无意泄密”要少很多,会有意识地提前规避这类问题的发生。
如何加强企业内部数据的安全管控,李建军给出了两条建议:
一方面,要重视员工的保密教育工作。在核心技术人才岗前培训中,“涉密培训”都是必不可少的,它会提前告知员工在所在岗位上能说什么、不能说什么,并签署保密协议。“杜绝无意识泄密,首先要让员工意识到企业商业机密对公司和每个人发展的重要性,从思想上重视起来。
另一方面,做保密分级和数据的全生命周期保护。所有的制度都逃不开人性的拷问,如果有人想偷技术,就会有各种办法做到,最好的办法是制定信息的保密分级,做分类别保护。比如:将技术保密分成一到几级,在各级别下明确哪些行为是被允许的、哪些是不允许的。此外,数据的安全问题,还需要针对定义的核心数据,展开从创建、存储、访问、传输、使用、销毁的“全生命周期”保护,做到防患于未然。
4
“反泄密”不等于让员工对所有事闭嘴
事实上,类似于苹果严苛的“保密文化”在硅谷非常普遍,也已成为“硅谷文化”的一部分。但也频繁受到员工的挑战:连一向以“开放”形象示人的谷歌,也曾在2016年因内部保密政策太过严格而被员工告上法庭。
企业正常的保密措施无疑非常必要,但保密是否等同于让员工对所有事闭嘴?甚至逐渐丧失了言论自由?这在硅谷成了个议题。
“‘防护过度’不利于企业长期发展,管理者对员工也不可能完全封口。”为回答《中外管理》记者的疑问,李建军援引了特拉华大学约翰温伯格企业管理研究中心查尔斯·埃尔森的观点加以佐证:“保持透明对企业至关紧要,有时企业向市场披露的信息越多,反而越有利;对于一家以创新自居的公司,以保密闻名,有些不可思议。”
“所谓‘信息透明’,不是要你把自己的核心技术公之于众,而是要你公开技术的来源和技术的背景,这对企业也是有利的。”他进一步解释。