內部控制、商業泄密與風險管理

周婷婷

[摘 要]本文以電視劇《我的前半生》中的若干商業泄密問題為切入點，簡要介紹商業秘密的內涵及特點，結合商業泄密的可能原因，從企業內部控制、風險管理的角度提出防范商業機密泄露的若干可行性建議。

[關鍵詞]內部控制；商業泄密；風險管理

doi：10.3969/j.issn.1673 - 0194.2017.22.023

[中圖分類號]F239.45 [文獻標識碼]A [文章編號]1673-0194（2017）22-00-02

最近，電視劇《我的前半生》成為大家茶余飯后的熱門話題，劇中涉及“泄密”的問題曾多次出現，不管是高級經理菲爾離職帶走項目核心資料和大客戶名單，還是小董為報復陷害新任副總唐晶故意泄露企業機密資料，這些“泄密”行徑都給咨詢企業辰星帶來了不可估量的損失?，F實中，一旦發生商業泄密，企業所蒙受的損失是非常巨大的。因此，保護商業機密，特別是妥善保管使用信息、資料，對于企業的生存和發展有著很強的現實意義。

1 商業秘密的內涵

根據《反不正當競爭法》第十條規定，“商業秘密，是指不為公眾所知悉，能為權利人帶來經濟利益，具有實用性并經權利人采取保密措施的技術信息和經營信息?！边@一定義揭示了商業秘密的三層內容：第一，它是不為眾人所知，無法從公開渠道獲得的信息或資料；第二，具有重大的實用價值，但需注意，公開渠道可以獲取的、有著重大實用價值的信息，不屬于商業秘密；第三，信息應被合理保護，以確保信息不會被外泄。如果因為保護措施不當而自行泄漏的，不是侵犯商業機密的行為。

2 商業泄密的原因

一般而言，商業泄密可分為無意識泄密和故意泄密兩大類別，其具體形態可以分為：口頭泄密、手機泄密、網絡泄密及文本泄密等。盡管具體形式不一，但造成商業泄密的主要原因基本相同。

（1）商業秘密保護意識淡薄，有關宣傳培訓教育不到位，容易忽視保密安全中存在的隱患和漏洞。如前文中提及的電視劇中的泄密，就是由于老員工小董利用不知情的實習生去復印相關核心資料導致的，這反映出企業對機密資料保管不善。現實社會中，員工泄密的例子也屢見不鮮，例如：可口可樂企業泄密案主犯被判8年、蘋果前高管受賄泄密被判重罰監禁、海爾前高管跳槽竊取商業秘密獲刑3年等。

（2）企業未建立信息安全、保密工作的相關制度?！皼]有規矩，不成方圓”，即使企業在實際工作中有具體的信息保密措施，但沒有具體的規章制度，即缺乏指導性和約束性的條文，就可能會導致工作無章可依，特別是新手不知道從何入手操作，從而影響日常保密工作的順利開展。

（3）保密工作執行不到位。企業已建立相關規章制度，但受到人員素質、管理能力等多重因素的制約，保密工作往往只是按部就班，忽視了潛在的風險，致使安全隱患長期存在，導火索一旦引燃，后果極其嚴重。常見的表現形式有：一是對涉密載體從新建、收發、中轉、使用、保管和銷毀等一系列過程未實行嚴格管控；二是對涉密信息、資料在聯網環境下草擬、存儲、傳遞等過程管理執行不到位。此外，仍存在涉密信息、資料的級別與期限不匹配（如有密不定、低密高定等），密碼更換不符合要求等。這些現象與監督機構監察不力、保密工作的責任主體職責不明、績效考評未與之直接掛鉤有著直接的關聯。

3 加強信息安全內控管理的建議

結合上述原因，為加強信息安全、把控全程風險管理，企業應當做好以下幾點。

（1）深刻理解泄密的嚴重后果，從根源上防止和避免泄密事件的發生。從人力資源內部控制的角度，企業應注意以下幾點。第一，招聘新入職員工時，應細致考查員工的價值觀，因為漠視知識產權的人存在泄露商業秘密的潛在風險。第二，員工入職后要簽訂保密條款或保密協議，對于掌握關鍵技術、核心崗位的重要員工，還要簽訂競業禁止協議。具有法律效力的合同對于商業泄密行為具有一定的心理威懾力，也能防范員工在任職期間利用職權之便泄露商業機密，以及限制、禁止員工在離職期間（最長兩年內）不得與該企業開展競爭性業務（包括在競爭對手企業任職或自行開設同類型企業）。第三，保密教育應融入日常培訓教育中，保密教育應列入員工手冊。特別是新入職員工，保密教育應作為崗前培訓的必修內容之一，結合特定崗位掌握必要的法律知識和保密技術，自覺履行保密責任和義務，知曉造成商業泄密的法律后果。第四，企業應明確員工離職、調崗時對崗位所掌握的商業秘密的交接手續以及風險控制。

（2）建立健全保密制度，確保日常保密工作有章可循。一方面，根據《勞動合同法》《反不正當競爭法》等相關法律規定，結合企業需求，將具體操作流程制度化，便于各崗位人員據此執行。以制度形式制定信息、資料密級管理的要求，包括商業秘密分級的標準，根據不同密級如何接觸流轉、管理歸檔、銷毀信息、資料等，如，明確規定員工應按規范使用電子郵件，發送涉密文件應經過授權審批和加密處理；計算機應設置并定期更新密碼，機密數據應采用物理手段（如斷網），防范網絡入侵和被盜用的風險；涉密的紙質資料一經確認無用，定期粉碎銷毀。制度上旨在確保安全完整，要求執行內部控制活動中的不相容職務分析控制和授權審批控制，對員工接觸商業機密進行嚴格控制，保證機密的信息、文檔的接觸范圍受限、權責分明。另一方面，針對企業的現實狀況和未來趨勢，動態調整、完善企業的保密制度，因時制宜地優化保密流程和具體控制措施，促進信息安全，達成內部控制的資產安全目標。

（3）企業應采用以事前預防為主的控制措施，以潛在風險為導向深入開展內部保密自查工作，對潛在的隱患和發現的漏洞及時予以整改。首先，針對商業機密的重要載體在流轉過程中接觸到不同的傳播媒介而產生的風險，除了對員工進行行為限制外，加強軟、硬件的安防措施也是防止泄密的重要環節。作為內部控制五要素之一的信息與溝通，其信息系統運營與維護中的一個主要內容就是保障信息系統的安全，即保護所有軟、硬件和數據免于遭受破壞、修改和泄露。具體來說，企業內部可通過上鎖、門禁等方法限制進入涉密場所，以加密保護、權限設置等形式限制涉密文件或信息的訪問、拷貝和轉移，有效防止資料外泄。企業內部可以通過內外網隔絕（特別是禁止涉密電腦聯網）、屏蔽USB接口等方式限制信息、資料的復制、中轉，實現數據的安全隔離防護，并可以通過安裝攝像頭、監控錄像、網絡檢測等方式，加強對工作區域的日常安全防護。安防措施通過間接的方式給予員工心理壓力與威懾，并可為泄密行為提供直觀的證據，某種程度上能幫助企業最大限度減少損失、挽回損失。其次，企業內部監督機構應當將日常監督與專項監督有機結合，加大監督力度，促進保密工作的內部監督的有效落實，及時發現問題與隱患，通過原因分析提出整改方案，優化保密工作的流程，確保信息安全內控的長期有效性。此外，企業應當明確信息安全控制的內部監督機構及相關部門、崗位人員的具體職責，建立責任追究制度，對信息安全過程中執行不力的種種行為進行深層次原因的研究，將保密工作的效果與責任部門的考核、績效相掛鉤，確保相關部門、崗位人員意識到保密工作與他們的切身利益息息相關，促進保密工作內部監督的有效落實。

主要參考文獻

[1]周黎，石巍.警惕商業秘密的泄露——淺談雷諾泄密事件給我們帶來的警示[J].保密科學技術，2011（7）.

[2]廖耘平.商業秘密保護與競業禁止[J].當代法學，2002（11）.

[3]郭學利，高紅梅.試論商業泄密現象對企業秘書工作的警示[J].經濟論壇，2011（10）.

[4]方紅星，池國華.內部控制[M].第2版.大連：東北財經大學出版社，2014.endprint