企业怕的事之一,就是发现自己的核心机密不知道怎么到了竞争对手手里。但比这个更怕的,是发现了以后不知道怎么处理,一顿操作猛如虎,最后把证据链给破坏了,法院不认。
我见过一个可惜的案子。一家做精密仪器的企业,怀疑前员工把图纸带到了新公司。老板要求IT直接远程把那台离职员工的电脑硬盘全部抹掉,想"防止进一步泄密"。结果法院要求提供原始电子证据的时候,什么都没留下,自己把自己最重要的证据给毁了。
所以第一个原则就是——发现泄密线索以后,不要急着"处理",先保护现场。
应急响应的第一步是固定现状。这条线索是怎么发现的?是客户反馈的,还是内部审计发现的,还是竞品突然出了跟你几乎一样的产品?信息源本身就要做记录。然后是哪些信息可能已经泄露了?涉及什么密级?目前掌握的证据有哪些存在形式——电子邮件、微信聊天记录、U盘拷贝日志、打印记录、门禁刷卡记录,这些东西一个都不能动,先完整备份。
第二步是封存。涉及泄密的原始载体——电脑、硬盘、服务器日志、安全审计记录——要第一时间封存,确保不会被修改或删除。操作这一步的时候,最好有公证人员在场。虽然不强制,但如果后面要走司法程序,公证过的证据链证明力强得多。
第三步是排查影响范围。泄密范围有多大?是单一人员泄密还是多人协同?有没有外部人员参与?泄露的信息有没有被二次传播?这一步需要跟内部安全审计、法务、外部律师一起做。
证据保全这事,我得专门展开说说。电子证据有个最大的特点——容易被修改而且不容易被发现。所以证据保全的核心是靠原始性和完整性。截个图、拍个照、录个屏,这些在法律上效力很低,因为太容易伪造了。
真正有效的证据保全手段有几种。第一种是公证取证,在公证员监督下对电子数据进行提取和固定。目前法院对公证证据的采信度是高的。第二种是电子数据司法鉴定,委托有资质的司法鉴定机构对电子设备进行镜像取证、数据恢复、操作痕迹分析。第三种是时间戳和哈希值锁定,在发现证据的当时就给原始文件做哈希校验和时间戳认证,证明这份文件在那个时间点就已经存在且未被修改。
走行政投诉还是民事诉讼,这是很多企业纠结的地方。行政投诉走的是市场监管部门的路径,依据的是反不正当竞争法。优点是成本相对低、周期相对短,缺点是赔偿额有限。民事诉讼走的是法院,可以要求赔偿损失,赔偿数额可能更高,但周期长、举证责任重。
两种路径不冲突,可以并行。行政投诉的证据调查有时候反而能给民事诉讼提供支持。我们一般建议先走行政投诉固定证据,同时准备民事诉讼。
还有一个很多人忽略的点——竞业限制和保密协议的联动。很多企业签了竞业限制协议、保密协议,签完就放抽屉了。等到发现泄密的时候,才发现竞业限制协议里对补偿金没约定清楚,或者保密协议里的秘密范围写得过于宽泛,法院不认。我们建议企业在签协议的时候就把这些条款做细,而不是等出事了再回头改。
从发现到维权,整个路径走下来,核心就是一句话——事前保护好证据链,事中选对维权路径,事后做好流程复盘。可惜大多数企业只重视事后,不重视事前的证据体系搭建。
北京企密安信息安全技术有限公司
/ 邮箱:jess@baomiwang.com
