企业内部员工泄密一直是让各大企业非常头疼的问题,特别是对于以技术驱动创新为核心竞争力的互联网技术公司,在高度竞争的环境中如何筑好信息防线,有效防范并严查员工失泄密成为了内审风控等部门的工作重点之一。今天,小编就带大家了解一下科技巨头们对于内部泄密的立场姿态,同时一起学习探讨下字节跳动内审部在调查中应对泄密行为的经验心得。
相信大家都熟知苹果公司对于泄密的激进态度。就在本月前不久刚又发生一起苹果前“核心员工”被指控盗窃苹果公司机密文件的事件,目前该名男子正面临美国联邦调查局和美国检察官办公室的刑事起诉和庭审。今年4月份,苹果在内部备忘录中指出,泄露公司机密信息将会带来“非常严重的后果”,告诫员工可能导致其丢掉工作、极为困难的再就业甚至被逮捕。非法网络入侵和盗窃商业秘密均属联邦犯罪,泄密者可能面临牢狱之灾和巨额罚款,其需承担的刑事后果是真实存在的,并将永远伴随个人生活和职业生涯,泄密者将“失去一切。”信中还提到,2017年苹果开除了29名泄密者,其中12人得到法律制裁,包括内部员工、合同工及供应链中的合作方。然而遗憾的是,这封内部信本身也遭到了泄露。可见打击信息外泄对于硅谷科技巨头同样是一项长期而艰巨的斗争。
另一位巨头谷歌对待内部泄密的立场同样坚决。早在2016年,谷歌的内部调查负责人便在全公司发声,“如果你正在考虑分享机密信息给记者——或者任何其他外部人士,请三思。”因为 “这不仅导致你将丢掉饭碗,更是背叛了我们得以成为一个团队的价值观。”与此类似的是脸书,为了抓住向媒体泄密的“内鬼”,脸书安全调查小组甚至采取心理战术,谈话前告知员工是出于“晋升”目的,使其放低心理戒备。只有被带入谈话间后,员工才会感到如坐针毡,“他们掌握到的信息实在太多了。”
尽管如此,硅谷科技巨头们对于泄密行为的打击手段之严时常引来外界质疑。对此,互联网与社会研究中心斯坦福大学咨询顾问表示,“这些手段很普遍且常见,合法但具侵入性。公司需要采取侦查措施并遏制犯罪行为,因此使用相似的工具或手段确保员工在履行合同义务时守规矩并不奇怪。”接下来,内审部小编就和大家分享下应对内部员工泄密方面的一些经验。
一、成立泄密调查专案小组
互联网企业的内部泄密案件通常具有信息出口极多、信息流向不明确、团队人员众多配合频繁等特征,使圈定可疑人员的难度大大提高。企业可培养应对泄密类型的“案件调查专家”,密集专攻同类型案件,更好掌握员工作案的心理动机,有效提高同类型案件的侦查速度和能力。
在调查取证环节,难点在于案情回溯和利益输送关系的拆析。因此,“多管齐下”不失为极佳的办案思路,关联所有可查证的信息节点和人员网络,执行交叉分析,将“有迹可循”的线索并列挖掘,推动案件侦破。而在访谈阶段,调查人员的能力不光取决于凭借经验合理判断并掌握信息或文件的出口、走向,而更多在于访谈技巧,问询中善于捕捉对方心理轨迹和微表情,寻找突破口并化解其“侥幸”心理。
在国内,侵犯商业秘密性质严重者同样可构成刑事犯罪。根据《中华人民共和国刑法》第二百一十九条规定,“侵犯商业秘密罪,是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密,或者非法披露、使用或者允许他人使用其所掌握的或获取的商业秘密,给商业秘密的权利人造成重大损失的行为。”因此可考虑形成专案小组,拿起法律武器,依法打击内外部勾结侵犯商业秘密的不法行为。
二、熟知员工易泄密“雷区”
内审部的另一大职责是防范工作,这就要求企业合规调查人士对员工易泄密的重灾区或“雷区”了如指掌,健全完善企业及业务层面规章制度,并采取相应防范措施。以互联网行业为例,客户咨询和付费访谈的操作屡见不鲜,根据企业的具体制度和管理办法不同,可以对员工强调不同场合下的保密要求或采取更严格约束,避免员工将商业机密用作私下利益交换,进而断送个人职业生涯。
除此之外,可能导致信息外泄的场景和渠道还有很多。在互联网时代,除了对频繁与供应商等第三方伙伴交涉的重要岗位进行保密义务提示,从合规角度,社交媒体使用规范其实也是保密培训课的重要一环。未经披露的产品或技术信息在社交媒体或熟人网络无意识泄密等场景在现代企业中屡见不鲜,这就需要企业在调查中逐步建立适当网络平台监督机制,对疑似泄密的行为主动出击调查。
三、强化宣传及法律意识培训
不仅刑法有明文条例,国内《反不正当竞争法》第九条同样作出“经营者不得实施侵犯商业秘密的行为”的相关规定。随着新《反不正当竞争法》自2018年1月1日起的实施,法条将获取商业秘密的对象扩大明确化:商业秘密权利人的员工、前员工或者其他单位、个人,相信会对跳槽或离职前后通过不正当手段侵犯企业商业秘密的员工有所约束。企业能够对泄密和侵犯商业秘密等不法行为保留追究法律责任的权利。
因此,对员工进行法律和公司诚信保密制度的宣传就显得尤为重要,从职业道德和法律合规层面对员工进行引导教育,明确泄密可能引发的后果和法律责任。字节跳动作为一家互联网技术公司,考虑到员工普遍年轻化的特征,内审部尝试了互动场景动画、线上测试等多元培训形式,结合具体业务场景,在讲解保密知识的同时,着力解答“面对这样的情景,我应该如何处理或拒绝”的问题。同时,企业还可借鉴海外合规实践经验,组织圆桌会议等进行授课式材料学习,企业中层参与讨论,提高团队对外界不当诱惑的抗性,真正做到将防泄密随时拉到“最高警戒线”。这也是在公司制度完备的前提下,跨国集团的主流实践做法。
四、多重手段防控信息数据泄露风险
最后一道也是最基础的一道防线其实在于对内部文件、系统和人员权限的审计梳理,“亡羊补牢”的止损效果远不及“未雨绸缪”。权限的设置不仅要设立信息隔离墙,最好能做到业务线重点项目文件分层级、分阶段的保护。在支持各项系统和数据安全保护的同时,考虑到调查人员在取证环节免不了数据和技术专岗的支持,可在内审风控部门设立数据中心岗,在工作配合上和调查组形成一个完整闭环,大大缩短调查结案周转时间,识别泄密风险并提高数据支持的调查的效率。
此外,多重手段防控信息泄露还涉及核心会议内容和与会人员的记录控制,谨防秘密录音或纪要外泄。最后,内审部小编重申,对于包括泄密在内的破坏廉洁风气行为,我们严查到底,并将积极配合执法机关。对于企业案件调查经验,我们期待您的交流和分享。如发现任何违法违规行为,请举报至clean@bytedance.com。