专业文章

企业数据安全保护的三大措施丨反舞弊中的电子数据取证(十)

2018-11-21
分享到

员工利用工作之便,擅自复制、传送、甚至故意删除破坏企业重要资料和文件,利用企业商业机密谋取个人私利,而给企业带来巨大风险和损失,是当下很多企业面临的突出现实问题。

如何保障重要数据信息安全,防止员工泄密,已经成为企业管理的一项重要工作。我们将就这个话题,对企业电子数据安全做一些从宏观到现实操作等方面的探讨,本期先来说说企业电子数据安全的现状和数据保护的基本原则。(本文所指“企业数据”指的是以电子数据形式存储的各类企业信息,不含其他传统的纸质文件等数据信息存储形式。)

一、企业数据泄露的危害

近20年来,电子信息产业爆炸式发展,互联网应用已经普及到社会生活的方方面面,大多数企业的日常经营活动都通过计算机和网络进行,各类重要文件也基本都是以电子数据的形式保存,常见的如计算机源代码、客户和订单信息、自有知识产权的图纸和设计文稿等。

信息化、电子化办公在给工作带来极大便利和效率的同时,也使得员工非法占有、窃取企业重要文件资料更加得隐蔽和便捷。

据互联网非权威的调查数据统计显示,约八成的员工在离职前都曾带走过企业资料,这些员工中,有些是为了在下一个工作岗位上可以有参考和依据的资料;有些是为了仿制产品、软件,与原企业形成同业竞争;有些甚至直接拿到各类商业秘密资料倒手专卖,非法获利。

无论出于何种目的,此类行为都势必给企业经营带来巨大的风险,严重的机密外泄将直接导致企业重大经济损失,甚至使企业面临破产倒闭的危险。

二、数据泄密的形式

一是技术类泄密,主要是具有知识产权、著作权的软件产品、开发文档、设计图纸、视听资料等。在我所经办的一起知识产权侵权案中,某软件开发公司员工在工作期间大量复制保存公司核心软件源代码,在离职后开办公司,通过软件“外壳”包装等改头换面,利用源代码制作出一款功能完全一致的软件,与原公司形成市场竞争,严重损害原公司利益。

二是经营类商业秘密,主要指的是企业的客户资料、订单信息、推广营销渠道、合同协议文档、财务数据等。例如房产中介行业较为普遍的飞单案件,其核心就是典型的商业秘密外泄。还有企业销售人员掌握的客户资料、财务人员掌握的公司财务信息,都是企业生存发展的核心信息,此类信息的泄密将给企业带来经营和法律上的双重风险。

三、企业数据安全保护的基本原则

企业数据的重要性毋庸置疑,有些核心数据甚至是企业赖以生存的根本。但尽管如此,仍旧还是有侵犯商业秘密和知识产权的案件不断发生,企业仍然对员工飞单操作防不胜防,甚至在此类案发后依然找不到有效的证据抓手,无法将违法者绳之以法。

那么,如何才能更有效保护企业数据的安全,防止数据泄露,防止重要信息泄密呢?这个议题从宏观的企业文化、制度建设到微观具体的网络设置、计算机管理、用户操作权限设定,如果讲透,甚至可以写出一本书来。尽管内容庞杂,但我们仍可以删繁就简,从中归纳出几项重要的原则,作为数据保护的指导性意见。

原则一:以完善的企业制度作为前提

企业要做好数据保护工作,首先应将制度建设作为前提来抓,从企业设立、发展到稳定运营整个阶段,根据企业自身实际情况,逐步地建立完善管理、人事、保密、培训、计算机和网络使用、以及企业信息化应用系统的各项管理制度和规定,要让企业员工从入职开始就明确自身的职责、权力,同时也要对违反制度规定的行为制定相应的处罚准则。

原则二:以完备的技术手段作为辅助

在信息化大背景下,企业商业机密等重要数据基本都是以电子文档的形式保存在计算机和服务器,在为提供便利的同时也使数据泄露渠道更加多样和隐蔽,常见的有移动介质拷贝、网盘、邮件、FTP和即时聊天工具传送等方式。因此,必须在制度建设的同时,采取文件加密、权限设置、网络流量同步监控等多种技术手段来杜绝文件泄密的渠道,保护商业机密安全。技术手段也要辅助对各类数据提供存留,比如企业邮箱的备份,移动存储设备连接记录,外来计算机接入公司网络记录等。

原则三:以必要的刑事个案作为威慑

百密也有一疏,尽管已经尽可能地做好了预防工作,总难免有人会铤而走险,以身试法。因此,企业监察人员应当做好常规巡检,重视公司内部举报线索,对于涉嫌侵犯公司商业秘密、知识产权,破坏公司数据信息的刑事犯罪行为,要及时开展调查,必要时应向公安机关报案,配合做好刑事犯罪侦查、起诉,同时再结合公司内部日常管理,强化法制宣传,警示员工,对潜在违法犯罪行为形成有效威慑,预防犯罪发生。

注:企业在发现涉嫌刑事违法线索后,应在保密前提下开展先期调查,有条件的可以请专业律师配合介入,梳理已有的线索和证据,制作完整的报案材料,向具备管辖权的公安机关报案。

作者:星瀚内控与反舞弊法律中心 周晓鸣