2017年2月,Waymo(原谷歌自动驾驶项目)向美国法院提起诉讼,指控Uber及其旗下自动驾驶卡车公司Otto窃取商业秘密。诉状称,Waymo前工程师Anthony Levandowski在离职前六周内,下载了超过14000份机密文件,总容量约9.7GB,包含自动驾驶核心技术的电路板设计、激光雷达传感器图纸、供应链信息和技术路线图。这些文件随后被用于Uber的自动驾驶系统开发,直接推动了Uber在该领域的快速起步。
Levandowski是谷歌自动驾驶项目的创始成员之一,参与了从零到一的完整研发过程。2016年1月,他悄然离职并创办了自动驾驶卡车公司Otto,仅七个月后Uber就以6.8亿美元收购了Otto,Levandowski随即出任Uber自动驾驶技术负责人。收购完成后,Uber的自动驾驶项目进度明显加速,其激光雷达传感器(LiDAR)的设计方案与Waymo的方案呈现"惊人的相似"。Waymo在发现一台曾分配给Levandowski的笔记本电脑上的搜索记录后,获取了这些证据,搜索记录显示他在离职前频繁访问存放机密文档的服务器。
这起案件的核心争议焦点是数据控制。Waymo有一套完善的数据访问权限管理系统,不同级别的员工只能访问与其工作相关的数据。然而Levandowski在项目中的高层次身份使其拥有了广泛的访问权限,而公司对他的数据下载行为缺乏实时监控。当一名资深工程师在离职前大规模下载机密文档时,系统没有发出任何告警。直到外部调查时才通过日志追溯发现了异常行为。
2018年2月,经过长达一年多的法律较量,Uber与Waymo达成和解。Uber向Waymo支付约2.45亿美元,并承诺不将Waymo的机密技术用于自身的自动驾驶开发。此外,Uber同意由法院指定的独立第三方对其自动驾驶技术进行审查,确保没有使用Waymo的知识产权。Levandowski个人则面临更严重的后果:2019年被美国司法部以33项窃取商业秘密罪名起诉,2020年认罪并被判处18个月监禁。
这起案件对企业数据安全管理有着极为直接的警示意义,特别是对技术密集型企业的商业秘密保护。首先,离职交接期的数据监控是商业秘密防护的关键窗口。大多数数据泄露发生在员工离职前的一段时间,这是企业必须高度重视的安全薄弱环节。企业应当在员工提出离职或感知到离职迹象时,立即启动数据访问权限的重新评估和收缩,限制其对敏感数据的接触范围。第二,建立离职前的资产交接审计流程。在正式办理离职手续前,应当由IT部门对离职员工的设备、账户进行彻底审计,确认是否存在异常数据下载、非工作时间登录、外部存储设备连接等可疑行为。
对于技术人员而言,带走原单位的技术资料似乎是一条捷径,但法律的后果远比看到的要严重。Levandowski的案例清楚表明,从离职前的数据下载到法庭判决,哪怕是顶尖的工程师也无法逃脱法律责任。企业的商业秘密是受法律保护的合法资产,窃取和不当使用都将面临民事赔偿和刑事追诉的双重后果。2023年,中国司法实践中侵犯商业秘密案件的判赔金额和刑事追责力度也在持续加大,多位前员工因"带密跳槽"被判处实刑。
企业应当从组织和制度层面为离职交接期的商业秘密保护建立长效机制。包括但不限于:定期培训强化员工的保密意识,让员工清楚地知道离职时什么数据可以带走、什么数据必须留下;建立数据防泄漏技术体系,对敏感数据的下载、打印、外发等行为进行实时监控;完善竞业限制协议的执行,对进入竞争对手的前员工进行必要的技术使用合规审查。
北京企密安信息安全技术有限公司
/ 010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
