人工客服
獲取報價
獲取資料
方案定制
項目合作
售后服務
咨詢熱線
400-608-6677 轉810
400-608-6677 轉810
2019-06-13
2969
神州明達-小明
商業秘密管理涉及層面非常廣泛,不僅涉及到企業多個部門互動與協調時的溝通成本與行政效率,而且還需根據企業規模、產業類別、運營能力、行業競爭現況、技術或市場導向、產品生命周期、資本運作等角度全面考量。本文將綜合上述諸多因素,提供給企業能快速實施的商業秘密管理基礎指引。
重難點問題:
一般說來,企業商業秘密管理應重視及考慮以下幾個重點及難點問題:
一是企業經營效率影響。商業秘密管理勢必會對企業的經營效率產生影響,因此實施中應從多方面權衡考慮,將效率降低問題控制在一定的幅度。
二是法律層面上考量。到底企業商業秘密的管理與保護,在法律上是否有效?被侵權時,是否可以維權?
三是企業保密文化建立。企業透過商業秘密管理體系構建,才能在人員管理的議題上,全面地建立風險意識觀念與保密習慣。
實務操作指引:
結合企業制定的商業秘密管理目標,在快速、簡單、有效的管理原則下,建議分為幾個層級,從基礎到進階實施如下操作指引:
一、透過管理手段符合商業秘密法律對保護措施的要求
這是企業商業秘密管理的首個基礎目標,也是所有重視商業秘密保護的企業應遵循的。企業應該透過必要的保護措施手段,讓企業的機密信息,成為法律定義上的“商業秘密”。當企業商業秘密遭受侵害時,可以透過司法途徑尋求法律保護。如果企業商業秘密保護,沒有以法律保護措施要求為目標進行管理,當遭受侵害時,大多只能以企業內部調查、內部懲處為手段,管理效果會大打折扣。在實務中,針對法律要求的保護措施要求,建議可有以下幾個核心管理工作:
(一)確保員工知悉商業秘密范圍
針對商業秘密的范圍,進行業務盤點,并將盤點結果公告給員工知悉,讓員工可以明確知悉商業秘密與機密保護的范圍。
(二)確保大部分文件的儲存或使用過程,進行必要的機密標示
文件經過盤點與識別后,可以透過標示方式,讓員工或外部供應商、合作伙伴取用時,可以清楚知悉哪些為機密文件。保密義務針對的是能夠被識別為機密的文件,而機密標示是最明確的方式。
(三)簽署必要的保密協議
員工到職時,需要簽署《保密協議》,以建立員工對保密工作的認知。企業與供應商、合作伙伴等外部相關方,必須透過《保密協議》來建立法律上的保密義務關系。
(四)物理環境的基礎管理
物理環境必須有能夠被充分識別的訪問權限管理,譬如上鎖文件柜或門禁系統等,員工在工作時能夠明確識別到非授權人員是無法取用的。
(五)機密文件管理辦法為必要制度
在各國的司法實務上,機密文件的儲存、備份、傳輸應有基本的管理規定,才能符合保護措施的最低要求。例如應要求使用公務的系統來儲存、傳輸與備份,和禁止員工使用免費的云空間或私人裝置備份文件等。
(六) 文件取用的權限管理
文件的核心儲存位置,必須有權限的管理。取用人員應該分級,這也是商業秘密保護措施的基本核心概念。實務上包括文件服務器、專用文件柜等,要區別哪些員工可以存取,需要有權限管理,以保證僅有必要人員可以取用機密文件。
透過上述管理工作的實施,企業可以在商業秘密法律構成要件中,針對保護措施的部分提供有力證明,避免因未采取必要保護措施,而無法維權。這些保密工作,應當是重視保護商業秘密的企業最基礎的安全管理要求。同時需要提醒的是,有很多企業花了大筆費用購買信息安全工具,但相關保密工作,如機密識別、盤點、標示等通通沒有做,在維權時,往往會大增訴訟風險,此點也要提醒法務與知識產權部門必須妥善告知企業管理者相關法律觀念。
二、借助信息化工具建立企業商業秘密保護文化
當企業已經具備以上基礎管理手段,部分企業會希望借助信息化工具或手段,以實際的強制管理方案,向員工傳達和灌輸保密意識,同時也限制員工的部分文件使用行為,以下就以常見的信息化工具進行說明:
(一)建立中央集中的文件管理中心,用于數據交換、備份與歸檔
企業機密文件管理,第一個工具通常會導入文件服務器,以提供員工數據集中備份、權限管理、文件規范的系統,讓所有的機密文件可以被妥善保存與交換。
(二)在個人電腦設備安裝安全軟件,用于限制員工使用電腦的行為
當企業希望逐步提高保密的強度,一般會在個人電腦上,安裝信息安全管理軟件,用于限制員工以下行為:USB傳輸管理、網絡傳輸管理、文件打印管理等,除了能夠有效防范員工通過文件傳輸、打印進行泄密的行為,更可以建立員工強烈的保密觀念。
(三)以文件加密工具來嚴格保護文件的使用
從文件保護的角度,一般來說最嚴格的方案便是“文件加密保護”,如微軟的RMS加密技術。文件加密后,僅能使用特定工具且擁有權限才能夠使用文件,對文件產生絕佳的保護強度。但是需要注意的是,文件加密也大幅地降低了文件流通的價值與效率,所以一般僅會在“封閉式”的工作環境(如研發中心、客服中心、個資處理中心)來實施文件加密系統。在大部分“開放式”作業環境,如公司總經辦、業務團隊、營銷中心等,均不建議采用此方案。
具有一定規模的企業(強烈建議電腦數量在百臺以上時應該考慮導入),其在完成上述所提的基礎管理前提下,導入信息化工具的效益將更大。實務上有很多企業會花費大量金錢建立信息安全系統,但是其管理的核心目標并不清晰,僅是希望透過約束員工使用電腦來提醒員工保密觀念,這樣的做法也具有一定效果,但是如果能夠把信息化工具結合商業秘密法律法規所要求的保密管理工作,效益將大幅提升。
三、通過系統化方式分析企業風險結合業務特性規劃管理方案
大部分企業的商業秘密,依照上述兩類管理方案,一般均可以快速地建立起有效的保護措施。不過在實務上,上述兩種方案雖然快速,但是其對調整企業管理體質與機密外泄風險防范的效果仍然有限,主要有兩個因素,一是企業的風險各異,必須要有風險分析流程,才能夠把風險確實分析出來;二是保密工作必須結合業務流程,管理效果才會強大,譬如研發流程、銷售流程、供應商委外流程等,而結合業務流程的保密工作,無法快速實施,需要經過多次的會議討論、流程設計、試行方案與檢討才會有實質效果。當企業具有以下幾種特性時,建議以系統化的方案來建立商業秘密管理體系。
(一)企業規模過大
企業規模如果部門超過20個以上,或總部核心運營人員(包括總經辦、人力資源、財務、研發、銷售、法務、信息、營銷等)超過200人以上,其企業的行政運作成本非常高,所有的商業秘密管理方案應該設計得非常精密,一旦啟動相關保密工作,應該保證一定的效率與可行性。
(二)企業業務復雜度過高
企業的人數雖然不多,但是其核心業務運營復雜程度很高,如大量使用外部的研發團隊、大量外包給供應商、大量制造與研發均委托第三方等。
(三)企業機密外泄將造成業務中斷或停止營業
部分企業其核心機密的保密要求極高,一旦外泄,可能直接造成公司營收或利潤大幅下滑,甚至可能遭遇技術伙伴或品牌客戶的訴訟求償。
通過系統化方式建立企業商業秘密管理體系,包括先透過培訓活動,建立員工與管理層的保密觀念,再經過各部門商業秘密盤點工作,識別機密范圍與核心風險,并結合業務風險與特性,逐漸構建企業商業秘密管理制度。雖然以系統化方式實施項目,行政成本可能較高,甚至需要委托外部顧問協助,但是其設計出來的管理制度與方案,才能夠高效地實施,且具有真正降低管理風險的效果。
