2008/2/15 来源:《牛津管理评论》
使你疲倦的不是远方的群山,而是你鞋里的一粒石子。让企业恐惧的不是强大的对手,而是自己的商业机密变成了对方手里的底牌——机密到底是怎样泄漏的?
离职高峰潜伏的风险
年底将至,企业开始渐渐进入一年中的跳槽高峰期。
最近一份调查显示:85%的职员可以轻松地下载“有竞争力”的资料和信息,然后带到下一份工作中。尽管大部分工作者可以从现在的公司下载资料,但只有32%会为了增加在下一份工作中的竞争力而“出卖”资料。超过80%的人承认从工作中下载资料文档等回家使用,最常用的方式是使用USB传输数据。
对于企业来讲,那些即将离职的员工是很危险的。因为不论出于什么原因,他们都希望能够为自己以后的工作获取必要的资源。一位离职员工很坦然地说:“实际上,离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯,当然这些资料只是方便以后工作,而不是直接用来出售。”当然,也有些员工为了在应聘时博得新雇主的喜爱,而积极地回答雇主的疑问,而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。
在几年前,可口可乐曾出现过员工出卖公司资料的事件:总部设在纽约的百事可乐公司向可口可乐提供了一份邮件复印件。而该邮件是用可口可乐正式商业信封寄往百事的,寄信人“德克”自称为可口可乐高层雇员,并提供了“十分详细的机密信息”。可口可乐立即与联邦调查局取得联系,后者当即展开了秘密调查。此后,这个自称“德克”的泄密人又提供了另几份被确认为商业机密的可口可乐绝密文件,并提供了一份机密的可口可乐新产品样本。
几天后,一名联邦密探提出以150万美元向“德克”购买其他商业机密。后被证实这个机密为可口可乐正在开发的新产品样本。最后,3名嫌疑人得到了应有的惩罚,而可口可乐公司也重新审核了其资料保护的相关政策、程序及制度,以确保知识产权不受侵害。
那么,职员什么样的行为算泄露公司商业机密?企业该如何预防和应对雇员泄露公司商业机密呢?
到底什么才是“秘密”
对于企业来说,什么才是商业秘密?商业机密的范围很广,任何与社会竞争、经济利益相关的特定信息都可能构成商业机密。比如:产品配方、工艺程序、研发材料、机器设备改进方案、图纸、客户资料、财务数据、商业计划书等。同时,商业机密是特指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。
在许多企业中,商业机密的泄密事件每天都在发生。然而,对于这种信息流失,企业和员工却有可能是全然不知。比如:作为老板在工作会议中无意中就透露了商业机密,而不要忘了“说者无意,听者有心”,因此要避免“祸从口出”,首先就要从高层树立起保密意识,并且要身体力行,才有可能让你的员工有意识、审视和意识到自己的行为,是否已经是泄密了。
有位老板说:他曾经有一个员工,在离职时带走了自己设计的软件。因为他的理由是:软件是自己设计的,就应该是自己的所有权,如果公司要用,那么就要付费,否则就是侵权;还有的员工认为:客户是我开发的,我为什么没有权利带走他们的资料?于是,员工普遍理直气壮,而企业又有些束手无策。
然而,在法律上有一个关于“职务发明”的界定,而这类发明的所有者就是企业。职务发明指执行本单位(包括临时工作单位)的任务或者主要利用本单位的物质技术条件(是指本单位的资金、设备、零部件、原材料或者不对外公开的技术资料等)所完成的发明创造。那么,基于职位获得的客户资源,毋庸质疑的应该是企业资源。
因此,企业就要想方设法地收集和存储这些资源,充分做好知识管理;而研制新产品的过程中,其实是保护最薄弱的时刻。因此,在企业里要相对封锁消息,让最少的人知道新产品的动向。然而,为什么会有员工泄露公司机密和出卖情报?不可否认,出卖情报有时可以成为赚钱的手段,跳槽的资本或者要价的砝码,甚至是报复的暗箭。
无论是当年秉承着“企业是家”文化的联想,还是百度这个近年来的最佳雇主,都曾因闪电裁员而备受争议。尽管这不能不称其为保护商业秘密的好方法,但确实会让人难以接受这种太过“冰冷”的方式。但不可否认,联想在裁员前先封掉其局域网中ID的做法,不失为一种办法。
随着科技程度的提高,一个小小的闪存、一封EMAIL、录音、偷拍等手段都可能使机密瞬间不再是秘密,甚至随着知情人的增加,连追究与索赔都变得十分困难。
那么,如何防范员工的泄密问题呢?
第一,大量的泄密是通过计算机和拷贝,所以技术泄密的问题必须用技术的方法去解决。比如:加载防止拷贝的软件。既要设置专人的监管,也要通过技术性的监管。
第二,就是分割条块,稀释机密。企业不妨根据信息的价值,来确定保密的等级和涉秘的人群。由于一个项目的开发需要众多人的合作,如果部门之间完全没有秘密的时候,那么公司也就没有秘密了。因此,有一个重要的保密原则就是稀释核心机密,让需要的人只知道可以知道的东西。也就是说,把一定的事项方案和计划分成若干部分和环节,允许不同的人知道,但每一个人只知道自己的一部分,而谁都不清楚全部,也就是不把鸡蛋放在同一个篮子里的原则。
第三,绝密文件的使用需要有法人代表进行审批。同时,要建立严格授权制度,以及泄密的问责制度。对于企业来说,保密的重点不是已经成熟的技术,而应该是正在研发的技术和核心的新技术。因为这些技术还没有受到专利保护,一旦泄密的话,会成为被竞争对手打击你并战胜你的手段。信息安全不是一个部门的事情,而是需要在信息形成时期,就开始安全防护。根据机密的价值,设定保护的成本,以被保护商业秘密的价值,来确定适合的保护范围。同时,知道的人越少,当一旦有机密的泄露,也相对更容易界定责任和责任人。
第四,注重细节管理。确定关键岗位和关键部门实施重点防护。同时从内部流程制度建设上,完善保密程序。尤其对于研发、财务、信息系统等核心部门,更要注意其人员的素质水平,不仅要注意管理和激励,更要让他们感受到信任和责任感。同时,企业要关注员工的情绪和心理感受,以防止产生恶意的泄密现象。
第五,健全制度,依法维权。加强保密教育和培养保密意识,是企业不仅要做,并且是要根据企业的具体情况制定出保密制度。比如:与核心员工进行的竞业禁止协议的签订,电脑硬盘的管理,离职前的交接,客户信息的集中管理等。竞业禁止协议固然重要,然而企业的保密文化的建设、员工激励、对员工的信任,以及高管自身的职业操守的加强则更为重要。
道德与利益的博弈,无时无刻不存在。邓小平曾经说过:“在安全战线上没有朋友。”对于企业来说,如何让离职员工,心中充满感恩而不是怨恨,甚至依然能和企业是朋友,的确需要一种文化的境界。