量身打造企業商業秘密保護制度

邱 斌/文

2009年，力拓集團4名駐華員工因涉嫌侵犯商業秘密罪被逮捕，經查證，力拓上海辦公電腦里存有數十家與力拓簽署長期合作的鋼鐵企業內部資料，這些資料涉及企業的采購計劃、產量和銷售情況等重要信息。這起跨國企業商業間諜案為所有的企業敲響了警鐘，在全球經濟一體化的背景下，各種形式的競爭日趨激烈，如何通過保護商業秘密維護企業利益，日益受到企業的重視。

一、天網恢恢

侵犯商業秘密事件造成的后果非常嚴重，影響也是相當惡劣，因此國家非常重視對于企業商業秘密的保護，《反不正當競爭法》和國家工商局《關于禁止侵犯商業秘密行為的若干規定》對侵犯他人商業秘密的不正當行為進行了定義和處罰。這些法律條文震懾了侵犯商業秘密的行為，為違法人員處理提供了依據，在法律上保護了企業的商業秘密。據報道，深圳市人大常委會今年還對1996年實施的《深圳經濟特區技術秘密保護條例》進行了修訂，員工跳槽后泄密將付出高額賠償。國家的法律站在較高的層面上，為所有企業的商業秘密保護指明了方向，奠定了基礎。因此保護商業秘密首先要站在法律的基礎之上，不能同國家的法律背道而馳，靈活運用法律手段保護自身的合法權益。

二、追本溯源

企業的商業秘密簡單說就是文檔。從承載的形式上看，文檔分為電子文檔和紙質文檔；從文檔的生命周期上看，文檔經歷了產生、存儲、借閱、傳遞、使用、銷毀的過程。電子文檔有著其極為特殊的特性，它是由一組特殊的符號組成的，容易修改、刪除、復制和損壞；而對于紙質文檔，其載體就是紙張，可以修改和復制，但無法損壞和從紙張上刪除，僅能通過銷毀紙張本身來銷毀信息。紙質文檔和電子文檔之間也是可以相互轉化的，電子文檔打印后可以轉換成紙質文檔，紙質文檔掃描后也可以轉換成電子文檔。無論是電子文檔還是紙質文檔，他們存在于文檔的整個生命周期之中，因此對于文檔的保護，需要放眼于整個生命周期的過程，對于文檔的保護需要一個整體的體系架構，不能僅僅只局限于某個方面，或者是想到什么方面就從什么方面入手。

對于企業商業秘密的保護最簡單的劃分就是技術和管理。技術是手段和工具，管理是方法和途徑，管理需要技術的支持，技術需要管理去驗證。信息安全里面有一個說法“三分技術，七分管理”。筆者對這種說法的理解是技術可以解決30%的問題，而管理能解決70%的問題。但是這并不是說明技術不重要，其實技術和管理之間的地位是平等的。我們對于商業秘密的保護是遵循一個“水桶效應”的，只有桶壁上的所有木板都足夠高，那水桶才能盛滿水；只要這個水桶里有一塊不夠高度，水桶里的水就不可能是滿的；水桶里面水的多少，直接取決于最短的那塊木板。技術與管理需要并重，只發展技術，或者只發展管理，都是畸形的發展，花費了大量的資源，但是效果卻是微乎其微。

文檔的類型、文檔的生命周期和保護方法組成了一個三維立體結構。例如對于電子文檔在存儲過程中的技術保護方法，可以包括加密、備份；紙質文檔產生時的管理保護方法，包括打印機的管理、文件打印的審批。企業商業秘密保護制度通過不同類型的文檔在整個生命周期中技術和管理上的保護，來達到自己的目標。當三維立體結構建立以后，也就是說我們的商業秘密保護制度的整體框架建立好了，剩下的工作就是不斷豐滿整個體系框架，將具體的制度添加進去。例如限制上網、限制使用聊天工具、限制上傳下載、進行網絡監控、實施加密措施，對系統實施訪問控制、日志審計、數字水印、強制使用強密碼、禁止使用攝像頭、簽訂競業限制協議和保密協議、相應的各項處罰和獎勵、詳細的文件借閱使用記錄等等。

三、生生不息

世界上不會存在一模一樣的企業，而對于不同的企業，出于企業規模不同、涉及行業不同、商業秘密類型不同等原因，企業對于商業秘密的保護制度也是不同的。我們不能說哪種制度是不好的，哪種制度是好的，只能說哪種制度是最適合的。不同的企業對商業秘密保護會有不同的答案，甚至是完全相反的答案，因此對于一個企業，要找出最適合自己的商業秘密保護制度，需要不斷地嘗試、總結以及改進。

首先是商業秘密的確定。根據企業涉及行業類型、業務特點、組織結構、資產和技術等等，確定制度保護的范圍和邊界，即對一個具體的公司而言商業秘密到底是些什么，確定好保護目標才能讓后面的工作能夠圍繞著一個確實不變的中心進行。對于商業秘密的解釋，《中華人民共和國刑法》指出：“商業秘密是指不為公眾所知悉、能為權利人帶來經濟效益、具有實用性并經權利人采取保密措施的技術信息和經營信息”。不過這只是一個大的總體方向，對于商業秘密的識別還需要企業自己花大力氣去識別。兵法有云：“知己知彼，百戰不殆”。想要保護商業秘密，就必須了解自己到底有哪些商業秘密。

接著是商業秘密的評定。當我們的商業秘密確定出來后，人事信息、財務信息、物流信息、研發信息、銷售信息、客戶信息等等紛繁復雜，多不勝數。全部都管理起來是不現實的，即使勉強完成也不會起到好的效果。其實在這些信息中有20%會直接影響企業80%的效益。能切實有效地抓好這20%的商業秘密的保護，我們的工作效果就會非常明顯地表現出來。對于商業秘密的評級，一般都是按照敏感程度，也就是說如果泄密將會造成的影響和損失來進行評定的。例如我們的高考試題，如果泄密那就是全國所有考生的利益遭到損失，因此高考試題的密級是最高的；但是高考結束后，就算所有人都知道考題內容，也不會有什么影響，因此此時考試題的密級也就是最低的。打蛇要打7寸，做事情要抓住重點，對于商業秘密的評級尤為重要。

然后才是編寫制度，確定如何對商業秘密進行保護。我們制定各項制度保護商業秘密，保護到一個什么樣的程度是此時我們需要考慮的問題。因為進行保護必然會影響日常工作，改變一直以來的習慣。過多的保護會降低工作效率，為企業帶來負面的效應；而過少的保護，顯而易見，必然增加商業秘密泄露的風險，因此需要有一個原則，一個底線。實施某個制度的總支出必須低于該風險產生的損失，或者說，如果其他方法可以用更少的支出實現差不多的目標甚至更好，那么這項制度也就沒有存在的意義。確定具體制度需要綜合多方面的考慮，公司規模、企業文化、資源配備等等。制度制定出來的目的是需要實施的，沒有可行性的制度是沒有任何用處的。例如軍工企業文件傳遞需要專人護送、文檔打印需要領導審批同意，文檔加密必須要最先進的加密算法。這些制度確實可以最大限度地保護商業秘密，但是對于民用企業，基本上是不可能得到實施的。一個制度的制定，需要多方面的調研，驗證實施的可行性，不能因為其他企業做得好，卓有成效，就直接拿過來使用。其他企業好的制度我們可以借鑒，但是要有限度的借鑒，別人的東西永遠只適合別人，只有將別人的東西變為自己的以后，才能夠更好地使用。

商業秘密保護制度并不是一成不變的。一個企業不同時期的保護制度制定應該是一個動態的過程，是一個不斷優化呈螺旋式上升的過程。通過一個又一個PDCA循環過程，計劃、執行、檢查和行動，不斷地自我調整，適應公司的各項變化。PDCA循環是管理學中的一個通用模型，無數的成功案例不斷證明它的正確性和優越性。實踐是檢驗真理的唯一標準，沒有得到執行的制度即使再完美也是失敗的。

四、任重道遠

企業的商業秘密是企業的命脈，必須要將其牢牢掌握在自己手中。對商業秘密的保護是一個長期而艱巨的任務，需要企業花費大力氣實現。本文主要論述了商業秘密保護制度的流程和框架，為商業秘密的保護提出一個大體的建議，而具體的各項商業秘密保護制度則需要企業根據自身的條件量身打造。沒有最好的制度，只有最適合的制度。EIP