为什么写
2017年,美国自动驾驶领域的龙头企业Waymo将Uber告上法庭,指控其窃取了Waymo超过一万四千份机密技术文件。这起案件被称为"自动驾驶技术的世纪诉讼",在科技界和法律界都引起了巨大震动。事件的起因是Waymo的一位高级工程师Anthony Levandowski在离职前下载了大量自动驾驶技术的核心文件,随后创办了自己的公司,不久这家公司就被Uber以六点八亿美元收购。
Waymo在诉讼中声称,Levandowski下载的文件包括激光雷达技术的设计图纸、技术参数、测试数据以及技术路线图,这些构成了Waymo在自动驾驶领域的核心竞争力。虽然Uber辩称自己使用的激光雷达技术与Waymo完全不同,但法庭最终认定Levandowski的行为确实构成商业秘密盗窃,Uber也与Waymo达成了和解并支付了巨额赔偿。
带来哪些隐患
这起标志性案件给全球科技企业敲响了警钟,它所揭示的风险具有普遍意义。
核心人员成为攻击的靶子。掌握核心技术的高管和资深工程师,往往是竞品企业重点"照顾"的对象。这些人脑子里装着企业多年的技术积累,一旦离职,技术秘密可能以各种方式流向竞争对手。Waymo案中Levandowski在离职前下载了大量机密文件,这种行为的动机可能是为自己创业做准备,也可能是为下一家公司收集"见面礼"。
技术文档缺乏分级管控是Waymo案暴露的一个重要问题。Levandowski作为高级工程师,拥有访问几乎全部技术文档的权限。但问题在于,这些文档没有按照敏感程度进行分级管理,也没有对大规模下载行为设置安全预警。一个人一次性下载上万份文件,在事后看来显然是极不正常的,但在当时没有引发任何警报。
专利商业秘密的交叉保护也是一门大学问。Waymo虽然对激光雷达技术申请了多项专利,但专利保护的是公开的技术方案,而技术实现过程中产生的know-how、试验数据、失败记录等大量未公开的技术秘密并不在专利保护范围之内。这些未公开的技术信息恰恰是企业最宝贵的资产,一旦泄露,即使后面赢得了诉讼,损失也无法弥补。
诉讼成本高得惊人。Waymo诉Uber案虽然最终以和解告终,但双方为此花费的律师费、专家费、取证费用总计超过数亿美元。对于资源有限的中小企业来说,这样的诉讼成本是不可承受之重。即使赢了官司,也未必能赢回市场和时间。
给我们什么提醒
这个跨洋案例给中国企业的启示是多方面的。
核心技术的访问权限必须分层。企业不能因为员工级别高就给其打开所有数据的大门。核心技术的访问应当遵循最小必要原则,需要领导审批、多人核验。对于核心技术文件的批量下载,应当有自动的阻断和告警机制。当一个人一次下载超过一定数量的文件时,系统应当自动发出告警并记录操作者的所有后续行为。
员工离职时的数据安全审计要规范。对于关键岗位的离职员工,特别是那些能够接触到核心技术的研发人员,在提出离职到正式离岗这段时间,应当严格执行权限冻结、数据清理、设备检查等流程。必要时可以请专业的数据保全机构进行取证和审计,为可能发生的法律纠纷提前固定证据。
商业秘密诉讼的证据准备功夫在日常。很多企业在遭遇泄密事件后发现拿不出有力证据,就是因为日常的数据访问日志、权限分配记录、保密协议签署记录等没有完整保存。企业应当建立电子证据保全机制,确保在需要的时候能够拿出法院认可的证据。
竞业限制和保密协议要真正具有约束力。人才流动是市场经济的常态,企业不能阻止员工跳槽,但可以通过完善的竞业限制协议和保密协议来约束行为。关键是要确保协议内容符合法律规定,补偿金额合理,限制范围恰当。
企业启示
商业秘密的价值有时候比看得见摸得着的厂房和设备还要大。北京企密安信息安全技术有限公司认为,技术驱动型企业必须把商业秘密保护提升到战略层面来看待。从知识产权创造的那一刻起,保护措施就要同步跟上,而不能等到技术成熟、产品上线了才来考虑安全问题。商业秘密保护的投入不是成本,而是对企业核心竞争力的投资。
