去年秋天,一家做精密模具的客户找到我们,说他们近期款产品的模具设计图出现在了竞争对手的生产线上。老板很愤怒,首要反应是有人恶意窃密。但调查下来发现,泄密的源头不是商业间谍,而是一位工作了八年的老工程师。
这位工程师并没有任何恶意。他只是在离职前,习惯性地把自己电脑上的"工作资料"复制到了个人U盘里——包括他参与过的所有项目文件、设计图纸、工艺参数。他觉得这些是他的"工作经验",以后找工作用得上。他不知道其中有三份图纸被客户明确标注了"秘密"字样,也不知道公司制度里规定离职时必须要交接和清除所有公司文档。
他没有把文件卖给任何人。但到了新公司之后,新项目遇到类似的技术难题,他很自然地打开U盘,参考了老东家的设计思路。三个月后,带着他设计经验的产品上市了——和原公司的核心产品高度相似。
这种"无意带走",在法律上很难界定为"故意泄露商业秘密"。当事人往往觉得自己很冤枉:"我只是用了自己的经验。"但从企业的角度看,核心技术资产就这样流出了。
首要种最常见的情况是离职拷贝。工程师、销售人员、研发人员离职时,把自己参与的项目资料、客户通讯录、报价记录拷走,理由是"以后写简历用"或"交接方便"。他们没意识到,这些资料里可能包含公司的商业秘密。防范的办法其实不复杂:一是建立离职交接清单制度,离职前由IT部门逐一核实设备清理情况;二是对核心岗位实行分权限管理,普通工程师只能看到和项目直接相关的文件,而不是全库可查;三是在入职时就要签署保密协议和知识产权归属协议,让员工从一开始就知道哪些东西不能带走。
第二种常见情况是移动办公泄密。现在很多企业允许员工用手机处理工作,微信传文件、钉钉发资料、个人邮箱转发工作邮件,几乎是日常操作。但微信和钉钉的数据流经的是外部服务器,一旦员工用个人微信转发了一份标注了"秘密"的报价单,这份报价单就脱离了公司的控制。更隐蔽的情况是,员工在咖啡馆、高铁上用个人笔记本处理工作文件,屏幕被人看到,或者连了不安全的公共WiFi,文件被截获。针对这种情况,企业需要在便利和安全之间找平衡点:核心文件限定只能在公司内网或VPN环境下打开,移动端只开放预览权限不开放下载权限,对邮件设置自动识别敏感内容的规则,一旦检测到含有关键词的文件被转发到个人邮箱就自动拦截。
第三种最常见但最容易被忽视的是"社交分享"。员工在技术论坛上请教问题,不小心把公司代码贴了上去;在行业群里讨论某个技术方案,说漏了核心参数;在朋友圈里炫耀"我们公司最近拿下了某某大客户",泄露了客户名单和合作细节。这些问题往往不是主观恶意,而是对商业秘密的敏感度不够。解决办法是常态化的保密意识培训,半年一次,案例教学,让员工知道哪些内容不能往外说。培训不能走过场,更好结合本行业的真实案例来讲。
做好商业秘密保护,不等于把公司围成一个铁桶。真正有效的保护,是在不影响业务效率的前提下,建立起一道让员工"不容易犯错"的制度防线。让无心之失不至于变成企业的不可承受之重。
