原创:商密卫士
我们(科飞咨询,www.ipr007.com)前几天写了一篇文章
《华为严重泄密案的警示》,介绍华为海思芯片商业秘密被盗事件并进行了简单的分析。
我们在文章中指出 “华为的商业秘密保护水平在国内处于绝对领先的水平,但是从此次泄密事件可以看出,华为在涉密人员管控和商业秘密资产保护方面仍存在较大的漏洞”。也就是说,导致华为花了数百亿元和多年心血才攻克的核心技术被泄露灭失,最主要的原因是华为自身对商业秘密保护不足,存在显著的泄密漏洞。
对此观点,有读者表示不认同,认为华为这次严重泄密事件,是由国内外竞争对手蓄意而为,甚至有境外情报机构参与,与华为自身关系不大。也有的读者希望我们从专业的角度,详细说明华为到底存在哪些泄密漏洞。对此,我们在本篇文章中进行分析说明。
一、为什么说泄密事件的主要原因是华为自身存在显著的泄密漏洞
按照“商业秘密泄密原理”,商业秘密的泄密风险由三个要素构成,即:商业秘密资产、窃密威胁、泄密漏洞。如下图所示:
只要这三个要素同时存在,就一定存在泄密风险,而泄密风险的大小与三个要素的存在程度相关。
泄密风险与三要素的关系表现为:商业秘密的价值越高,吸引力就越大,就越容易吸引各种威胁的窃密攻击,导致泄密风险增大;窃密威胁越多,就越容易把商业秘密盗走,导致泄密风险增大;商业秘密保护的漏洞越多,就越容易被各种威胁所利用,导致泄密风险增大。如下图。
以华为此次的泄密案件为例,商业秘密就是华为花了数百亿元和多年心血才攻克的wifi技术,价值极高,吸引力巨大。威胁就是14名跳槽的内部高管和技术人员,漏洞就是华为在商业秘密资产保护和涉密人员管理存在的欠缺和不足。逻辑关系就是14名内部高管和技术人员作为威胁,利用华为存在漏洞,将价值百亿的wifi技术偷走,运用在他们成立的尊湃通讯公司同类型芯片上。
商业秘密保护的实质就是对泄密风险进行控制,通过采取各种保密措施将泄密风险控制到可接受的低风险水平。各种保密措施的作用点就是对三个要素进行控制,如果实施控制后导致一个要素消失,泄密风险就不复存在,如果能降低各个要素的严重程度,泄密风险就会相应的降低。
通常而言,企业能够施加控制的只有泄密漏洞这一个要素,因为泄密漏洞是企业自身产生的,在企业的控制范围之内。其它两个要素的可控性很低,只有不多的几种控制方法。首先看商业秘密这个要素,其价值越高,泄密风险就越大,但是企业只会尽力增大商业秘密的价值,而不会刻意降低,因为商业秘密价值越高代表技术水平越高,领先优势越大,带来的效益越高。
窃密威胁这个要素是企业外部的因素,主要受外部竞争环境和法制环境的影响,不在企业的控制范围之内,任何企业只要存在价值足够高的商业秘密,就一定会吸引到窃密威胁。威胁来源分外部和内部,对外部威胁企业既无法提前知道哪些人会实施窃密行为,也没有办法消除这些威胁。对于内部威胁,企业可以通过保密意识培训、监控审核、惩戒等方式对内部员工的窃密企图进行适当的抑制,但也不会完全消除。
因此,最后决定泄密风险高低就缩小到泄密漏洞这一个要素,如果企业能提前识别漏洞并采取措施减少漏洞的数量和严重程度,泄密风险就会降低,反之如果企业没有识别和控制漏洞,威胁就一定会利用这些漏洞将商业秘密窃取。
这个关系类似于银行、金钱和小偷,银行的钱财一定会吸引小偷,银行内存储的钱财越多,吸引的小偷就会越多,但银行不会提前知道具体是哪个小偷会来盗窃,银行也没有办法将小偷全部清除干净。银行所能做的,就是对存储钱财的金库进行加固,使金库不存在任何可以被小偷轻易利用的漏洞,这样银行被盗的风险就降低到可接受的水平。所以,银行的被盗风险最终就取决于银行金库是否存在漏洞。
再看华为这次泄密案件,Wifi核心技术是华为花了数百亿元和多年心血才研发成功的,其价值是客观存在,华为不会刻意降低这项技术的高价值属性,属于不可变因素。
14名内部高管和技术人员,属于窃取商业秘密的威胁因素。他们在华为工作时都是技术骨干,曾为华为的发展有着不可磨灭的贡献。
网上有传言说案件的主角张坤是美国某公司安排在华为的卧底,但上海警方的通报中并没有这个结论。张坤有超过20年的半导体行业从业经验,曾在美国高通公司工作5年,是高通资深射频研究工程师,领导和开发WiFi/Bluetooth/2G/3G/LTE射频产品。2011年,张坤从高通跳槽到华为,在华为工作10年,从零组建Connectivity射频团队,已主持开发多款短距互联芯片,发货量超数十亿。
张坤利用自己的专业知识,为华为的发展做出了巨大贡献,华为也对张坤的贡献给予肯定和奖励,任命其为海思资深技术总监和21级高级技术专家,据传每年工资就超过了500万,还不算高额的股权分红。
这些人出于对更高利益的追求,进行了角色转换,变成了窃取商业秘密的威胁,非法获取了华为的商业秘密,给华为造成不可挽回的泄密损失。这些人的思想何时发生了转变,华为不可能提前获知,本来华为可以通过提高保密意识的方式抑制他们的非法意愿,但泄密事件的发生证明华为在这方面并没有做好,形成了漏洞。
所以最后决定核心商业秘密能否被盗的因素就是华为自身的保护措施是否到位,如果不到位,就会存在可以被利用的漏洞,就一定会导致泄密事件的发生。现在华为已经发生了严重的泄密事件,从商业秘密泄密原理进行分析,一定是华为的商业秘密保护出现了严重的漏洞,这点从上海警方发布的窃密方法介绍也可以获得证实。
二、华为存在哪些显著的泄密漏洞
我们按照上海警方发布的信息对华为具体存在哪些泄密漏洞进行分析。
上海警方发布的信息是:“2021年2月,一家国内芯片设计公司原高管张某、刘某等人为牟取非法利益,在离职后设立某科技公司,以支付高薪、股权利诱等方式,诱导多名原公司研发人员跳槽至自己设立的公司,并指使这些人员在离职前通过摘抄、截屏等方式非法获取原公司芯片技术信息,抄袭并运用于张某公司设计的同类型芯片上。2023年3月,张某等人原先工作的国内芯片设计公司向上海警方报案。”。
1. 竞业限制漏洞
华为海思的高管张某、刘某2021年2月离职,2021年3月就成立尊湃通讯科技公司,公司的经营范围包括:集成电路设计、集成电路芯片及产品制造等,与华为海思的主业相同,属于具有竞争关系的同业。张某、刘某离职仅一个月就成立了尊湃通讯科技公司,说明张某、刘某离职后没有受到竞业限制的约束。
导致张某、刘某离职后不受竞业限制约束的可能原因有两种,一是华为与张某、刘某没有签订竞业限制协议(包括签订了协议但是离职时没有生效),二是已经签订了竞业限制协议,但张某、刘某违反了竞业限制协议。
如果是第一个原因使张某、刘某不受竞业限制,说明华为涉密人员管理出现重大失误。张某、刘某是华为海思的高管,也是核心技术人员,属于《劳动合同法》允许签订竞业限制协议的人员,华为理应与他们签订竞业限制协议。竞业限制是法律赋予企业保护商业秘密的一种有效手段,如果华为与张某、刘某没有签订竞业限制协议,说明华为放弃了这种保护手段,失去了通过限制同业竞争来保护自己核心技术的机会。
如果是第二个原因,张某、刘某属于故意违反竞业限制协议,华为就有权通过仲裁或诉讼的方式追究张某、刘某的违约责任,包括退回竞业限制补偿金、索要违约金、继续执行竞业限制等。这样张某、刘某就不可能经营所成立的尊湃通讯科技公司。
根据上海警方的通报信息,华为海思直到2023年3月才向警方报案,期间有2年的时间,在这2年的时间内,华为并没有追究张某、刘某的违反竞业限制协议,致使尊湃通讯科技公司不仅顺利设立、经营、并利用华为的技术生产出同类产品,还融资10多亿人民币。正是由于华为没有及时采取法律手段追究张某、刘某违反竞业限制协议的责任,尊湃通讯科技公司才能顺利成立和发展,最终导致华为自己的商业秘密受损。
可能有人会说,华为之所以没有及时采取法律措施制止张某、刘某的竞业竞争行为,是华为不知道他们成立了从事同业竞争的公司。这种说法也不成立,因为对签订竞业限制协议人员的就业状况进行监控是离职管理的常规动作,而且张某和刘某是尊湃通讯科技公司的发起人和股东,在网络上可以很容易查询出来,华为没有及时掌握实施竞业限制人员的就业状态本身就是一种管理漏洞。
期间,张某、刘某还从华为海思挖走了10多名研发人员到自己公司,这些人员也都属于《劳动合同法》允许签订竞业限制协议的人员,华为同样没有利用竞业限制协议对这些跳槽人员进行管理,再次印证华为在这方面的失误。
2. 截图和对外传递漏洞
上海警方的通报中提及华为海思员工离职前窃取商业秘密方法是“这些人员在离职前通过摘抄、截屏等方式非法获取原公司芯片技术信息”,即窃密方式是摘抄和截屏。对于“摘抄”,目前我们不知道具体是如何实现的,所以不加评论。但“截屏”是很常见的电脑操作,很好理解,就是把显示在屏幕上的核心技术信息截取为图片。采用截图这种方法窃取商业秘密,一定有两个步骤,一是截图,二是对外传递。
截图可以通过电脑操作系统自带的截图功能,或专门的截图软件,或微信、钉钉等即时通讯工具的截图功能实现,但企业也可以通过专门的软件将截图功能禁止掉,目前很多企业出于保护商业秘密的考虑,都把研发用电脑的截图功能禁止了。
对电脑显示的核心技术截图后,还必须传递到公司外部,否则截图后也没有用。对外传递截图图片,主要就是两种方式,一是通过网络对外传递,二是通过端口(如:U口、蓝牙等)复制到移动存储载体上。
华为海思的员工离职前能通过截图窃取商业秘密,说明华为海思在截图功能和对外传递这两个方面都保护不足,既没有禁止截图的措施,也没有限制截图的对外传递,出现了显著的漏洞。
3. 保密意识漏洞
企业掌握核心技术的员工是否会携带公司的商业秘密跳槽,取决于两种心理活动的较量和对抗。一种心理活动是对更高利益的追求,另一种对抗的心理活动是对侵犯公司商业秘密后可能导致法律后果的担忧。如果对利益的追求高于对法律后果的担忧,核心员工就可能携带公司的商业秘密去追求更高的利益。
我们长期从事商业秘密保护咨询服务积累的经验,以及大量的商业秘密侵权案例,都揭示了一个事实,就是大多数企业技术人员的保密意识极低,对侵犯商业秘密的法律后果几乎无知,根本不知道侵犯商业秘密可能面临高额的民事赔偿、行政罚款甚至刑事犯罪处罚。这就导致他们在进行跳槽决策时,只考虑了更高的利益和发展前途,不重视自己需承担的保密义务,也根本没有理会可能面临的法律责任。
所以,抑制员工携带商业秘密跳槽的有效措施之一就是对员工开展经常性的保密意识教育,使每一名员工时刻不忘自己的保密义务,充分知晓违反保密义务需承担的严重法律后果。
对绝大多数员工而言,这种正面的保密意识教育,足以抵消获取非法利益的想法。如果一个企业发生群体性的核心骨干员工携带商业秘密跳槽,就说明企业对员工的保密意识教育严重不足,构成漏洞。
再看华为的泄密事件,上海警方的通报中提及:“原高管张某、刘某等人为牟取非法利益,在离职后设立某科技公司,以支付高薪、股权利诱等方式,诱导多名原公司研发人员跳槽至自己设立的公司“。
从上海警方的通报中也可以看出这起严重泄密事件的发生原因,就是这些离职员工对更高非法利益的追求,14名高管和核心技术人员集体携带商业秘密跳槽,说明他们都忽视保密义务和法律后果,群体员工保密意识低下,印证华为日常保密意识教育的不足。
三、分析华为保密漏洞的作用
俗话说,亡羊补牢,为时不晚。我们针对华为此次泄密事件进行风险因素分析,并不能帮华为挽回泄密损失,只是希望帮助更多的企业引以为戒,避免类似泄密事件的发生。
通过上海警方发布的简单信息,其实还可以分析出华为存在更多、更深层的泄密漏洞,否则价值数百亿元的核心技术不会被轻易窃取和灭失。限于文章篇幅,我们只是列举几个显著的漏洞,为其它企业的商业秘密保护工作做出示范和启迪。
很多企业在开展商业秘密保护工作时,往往有一种感觉,就是保密措施没有针对性,不能落地实施,其原因之一就是不能准确的识别商业秘密资产、不知存在哪些泄密漏洞、不知面临哪些窃密威胁。因为各种保密措施的目标就是控制三个泄密风险因素,风险因素不确定,保密措施当然就没有针对性,一旦通过泄密风险测评确定了这些因素,商业秘密保护措施就有了具体的目标,就会有的放矢。
在商业秘密保护活动中,识别泄密风险、确定风险因素比采取控制措施更重要,难度也更大。当泄密风险因素确定以后,控制措施的选择就会容易简单。以华为存在的竞业限制漏洞、截图和对外传递漏洞、保密意识漏洞为例,如果通过泄密风险测评提前发现这些漏洞,大多数企业可以很容易找到消除或削减这些漏洞的措施。
“不知道风险就是最大的风险”。企业在开展商业秘密保护活动时,应该以泄密风险测评为起点,以商业秘密资产识别为基础,找出围绕所有商业秘密资产的各种泄密因素,然后选择适宜的保护措施对泄密因素进行控制,达到消除或降低泄密风险,保护商业秘密的目的。
四、培养合格的保密管理员
企业的商业秘密保护工作,需要经过系统策划和长期运行,才能对研发创新成果进行有效的保护,避免被他人窃取。
保密工作的系统策划和长期运行,离不开合格的保密管理员。保密管理员是企业组织、策划、建立、运行、协调和监督商业秘密保护体系的专业管理人员。
由于大多数企业的保密管理员没有接受过全面系统的商业秘密保护理论和方法技巧培训,所以没有足够的保密知识和能力在企业内用科学的方法建立适宜的商业秘密保护体系,导致企业虽然长期开展商业秘密保护工作,也编写了各种保密制度,安装配置了多种保密软硬件设施,但保密工作总是无法落地实施,泄密风险居高不下,例如:无法准确界定商业秘密范围、定密活动无法落实、不能及时发现公司存在的泄密风险和漏洞、保密措施不能与业务流程无缝衔接甚至对立矛盾、各部门对保密工作不配合等等。
所以缺乏合格的保密管理员,也是企业的存在的系统性泄密漏洞之一。
为了帮助企业消除缺乏合格保密管理员的漏洞,满足企业对商业秘密保护专业人员的需求,提升保密管理员的商业秘密保护水平和能力,科飞管理咨询公司(www.ipr007.com)特举办
“商业秘密保密专员”培训班。
该培训班的目标是为企业培养具有商业秘密保护专业知识和能力的保密管理员,使其掌握商业秘密保护理论,熟悉商业秘密保护流程和技巧,能够准确界定商业秘密范围,识别泄密风险和漏洞,有能力根据公司业务流程特点选择适宜的保密控制措施,策划建立完整有效、实施方便的商业秘密保护体系。