员工离职是企业运行中每天都在发生的事情。但很多企业只关注了工作交接,却忽视了保密交接。所谓保密交接,是指员工在离开企业前,将其在职期间接触、使用、保管的所有商业秘密和敏感信息,按照规范程序移交给企业保留或销毁,并确认离职后继续承担保密义务的全过程。北京企密安信息安全技术有限公司结合多年服务企业保密管理的实践经验,对员工离职保密交接流程做一个完整的梳理。
离职保密交接的初始步骤,是启动保密交接程序。这个启动时间点非常重要,应当是在员工正式提出离职申请并经审批通过之后,企业的人力资源部门就需要及时通知保密管理部门。通知越及时,留出的保密交接时间就越充裕,越能避免因离职交接仓促而导致的信息遗漏。按照行业通行做法,建议在离职审批通过后的24小时之内完成通知。对于关键岗位的员工,甚至可以在员工提出离职意向后就提前启动准备工作。
第二步,信息资产全面清查。保密管理部门需要派专人与离职员工逐项清点该员工名下和实际使用中的所有信息资产。需要清点的资产包括:电脑设备,包括台式机、笔记本电脑、平板电脑等;移动存储设备,包括U盘、移动硬盘、光盘等;通信设备,包括工作手机、对讲机等;账号权限,包括企业邮箱、内部办公系统、项目管理系统、代码仓库、客户关系管理系统、财务系统、考勤系统、门禁系统、监控系统等的登录账号和权限;密码和密钥,包括各类系统密码、应用密码、数据库密码、VPN密码、加密密钥等;实物钥匙,包括文件柜钥匙、办公桌钥匙、机房钥匙等;身份认证设备,包括门禁卡、工牌、数字证书UKey等。每一件资产都需要在清查表格上记录,并明确处置方式,是归还、注销还是销毁。
第三步,工作数据和文档的完整移交。离职员工需要把自己在工作中创建、收集、处理的所有文件和数据进行分类整理,按照企业规定的目录结构和命名规范进行归档。移交的内容至少要包括:日常工作报告和记录、项目文档和技术资料、客户联系记录和沟通记录、合同和协议文件、操作手册和流程说明、培训材料和知识文档、个人积累的专业资料和工作笔记等。移交时,接收人需要逐项核对,确认文件完整可读、没有加密锁死、没有遗漏。双方在移交清单上签字确认后,交接文件存入企业档案管理系统中。
第四步,系统权限的全面回收。这是很多企业容易出问题的环节。表面上看起来账号已经被停用了,但可能还有一些隐藏的授权没有被清理。比如共享文件夹的读取权限、第三方合作系统的成员资格、邮件列表的成员身份、企业内部知识库的浏览权限、云存储的共享链接权限等。权限回收的时间点应当精确到离职生效的那一刻,不能早也不能晚。回收操作需要由系统管理员执行,并在权限变更登记表中记录,保留完整的审计日志。
第五步,签署离职保密承诺书。这是一份具有法律效力的文件。离职保密承诺书的内容应当包括:离职员工确认已经将所有企业资产和数据归还;确认离职前没有私自复制、传输或以任何形式带出企业保密信息;确认离职后继续遵守在职期间签署的保密协议;明确保密期限,一般技术秘密三到五年、核心商业秘密需要长期保密;明确违约责任和可能承担的法律后果。对于涉及核心技术的岗位,还可能需要签署竞业限制协议,但这需要企业另外支付竞业限制补偿金。
第六步,离场保密面谈。面谈由保密管理部门负责人主持,离职员工的直属上级和人力资源部门代表参加。面谈中再次确认各项交接事项完成情况,确认离职员工了解并同意保密承诺书的内容。面谈也可以了解离职员工对企业保密管理的意见和改进建议。面谈全程应当有录音或书面记录,双方签字确认后存档。
第七步,离职后的持续关注。员工离职后,企业仍然需要保持一定的关注。比如观察离职员工是否有违反保密承诺的行为,是否有从同行渠道获取该员工泄露信息的举报等。对于高级管理人员和核心技术人员的离职,可以在合理的法律框架内保持适度的关注期。
在实际的保密工作中,有一个问题容易被人忽视:很多企业认为只有高管或核心技术人员的离职才需要做保密交接,普通员工不需要。这种认识是片面的。普通员工虽然接触的核心机密较少,但他们可能掌握着企业的内部运作方式、管理的薄弱环节、客户的接洽方式等信息。这些信息的泄露同样可能给企业带来损失,尤其是在竞争对手那里,大量普通员工的信息拼凑起来,也能形成对企业有价值的情报。
离职保密交接中还需要注意一个问题,就是员工私人物品和企业物品的区分。员工使用个人设备处理工作事务是很多企业存在的现象,离职时需要明确这些个人设备中是否存有企业数据,如果有,需要将企业数据从个人设备中彻底清除。对于禁止员工使用个人设备处理工作事务的企业,则要在日常管理中严格执行这一规定。
保密交接的记录和档案应当妥善保存。根据保守国家秘密法的相关规定,涉密岗位的离职保密检查记录应当长期保存。对于非涉密企业,一般建议至少保存三年。对于涉及重大项目的保密交接记录,建议保存期限与项目档案保存期限一致。
问:员工离职时带走了一些设计稿和代码,企业如何界定这些是否属于保密信息?
答:首先需要看企业在日常管理中是否对设计稿和代码进行了保密标识,比如是否标注了秘密级别,是否通过加密系统管理,是否有明确的知悉范围。如果企业从未建立过保密标识制度,法律上较难主张某份文件属于保密信息。因此,建议企业在日常就建立分级管理的保密制度,对重要文件加密并标识密级。如果真的发生员工带出文件的情况,企业需要尽快收集证据,包括文件创建记录、访问日志、下载记录等,然后依照保密协议中的条款追究责任。必要时可以申请法院进行证据保全。
问:如果离职员工在国外,无法当面签署保密承诺书怎么办?
答:可以通过企业认可的电子签名平台完成签署,电子签名同样具有法律效力。签署前需要确认电子签名平台符合电子签名法的要求。签署后,双方各存一份电子版。如果电子签名不便办理,也可以选择邮寄纸质文件,或者通过视频面谈方式进行确认,由企业方记录面谈过程并保存视频证据。无论采用哪种方式,核心是要有确凿的证据证明离职员工确认了保密义务。
企业如需建立完善的员工离职保密交接制度,欢迎联系
