2017年2月,Waymo向美国加州北区联邦地方法院提起诉讼,指控前工程师Anthony Levandowski在离职前下载了超过14000份机密文件,包括激光雷达(LiDAR)技术的电路设计、系统架构和制造细节,随后创立自动驾驶卡车公司Otto,很快被Uber以6.8亿美元收购。这场诉讼最终以Uber向Waymo支付2.45亿美元股票达成和解,Anthony Levandowski个人被判18个月监禁。2.45亿美元,这是企业为技术秘密保护缺失付出的真实代价。
回顾整个事件的经过,有一个细节值得每一位企业管理者深思。Anthony Levandowski在Waymo任职期间是核心工程师,深度参与了激光雷达技术的研发。他离职前数周内,开始密集访问公司内部知识库,下载了海量技术文档。而Waymo的内部审计系统当时并未对这种异常行为产生任何告警。直到他将这些文件带入新公司并开始应用于产品开发,Waymo才发现自己的核心技术已经外流。
这个案例给中国企业传递了一个清晰的信号:技术秘密保护不能等到泄密发生后才启动。很多企业把保密工作等同于签几份保密协议、在员工手册里写几条禁止条款,但真正有效的技术秘密保护是一套闭环管理制度。具体来说,企业至少需要从三个维度构建技术秘密保护体系。
离职管理制度是基础保障。Waymo案例中一个关键环节是Levandowski在离职前的大规模下载行为没有被及时识别。企业需要建立离职前的审计机制:核心技术人员提出离职意向后,应立即触发数据访问权限的重新评估,对其近期的文档下载、邮件转发、打印记录等行为进行审查。同时,离职交接过程应在IT和法务人员的监督下完成,确保核心研发设备上的数据被完整清除。
分级访问控制同样关键。很多企业的技术秘密外流,根源在于权限管理过于宽松。研发人员可以随意访问与其当前项目无关的技术文档,这种"过度授权"为泄密埋下了隐患。合理的做法是根据岗位职责和技术领域设置细分权限,实行最小必要原则。员工只能看到完成本职工作所必需的信息,跨项目或跨层级的访问需要单独审批。
保密咨询与审计则是第三个保障环节。企业需要定期对技术秘密管理体系进行独立评估,识别潜在风险点。这种评估不仅包括技术手段,比如DLP数据防泄露系统是否部署到位、日志审计是否覆盖全部关键节点,还包括管理流程,比如竞业限制条款是否具有可执行性、离职面谈是否形成了完整记录。
技术秘密保护不是IT部门一个部门的事情,而是需要法务、人力、研发、信息安全多个部门协同推进的系统工程。Waymo诉Uber案已经过去多年,但它揭示的问题始终没有过时。对于掌握核心技术的中国企业来说,建立一个覆盖员工入职、在职、离职全生命周期的技术秘密保护体系,比2.45亿美元的赔偿便宜得多,也有效得多。
北京企密安信息安全技术有限公司可为各类技术密集型企业提供保密管理咨询、技术秘密保护体系建设、离职管理制度设计、数据防泄露策略规划等服务,帮助企业构筑技术秘密保护的防线。
