原创：商密卫士

         根据“商业秘密保护网-www.ipr007.com”的统计分析结果，83.79%的侵犯商业秘密案件是由内部涉密人员监守自盗造成的，内部人员是商业秘密最大的泄密风险，特别是企业内部掌握和了解商业秘密的高级管理人员、核心技术人员等涉密人员。

        例如：

吉利汽车的多名原高管携带商业秘密跳槽到威马汽车，导致吉利汽车损失21亿元。

湖北江汉石油钻头的原技术骨干携带商业秘密跳槽到天津立林钻头有限公司，给江钻公司造成直接经济损失1千多万元的损失。

海尔洗衣机事业部部长等多人携带商业秘密到竞争对手任职，给海尔公司造成3310多万元的损失。

浙江蓝天环保高科技股份有限公司的6名核心员工携带商业秘密离职，成立公司从事同业生产经营，导致蓝天环保公司实际损失利益超过1亿元。

杭州鑫富药业投入1600多万元，耗时数年研发成功的微生物酶法制备d-泛解酸技术被内部员工以26万元卖给竞争对手山东新发药业，导致直接鑫富药业直接损失3535.84万元。

浙江新和成股份有限公司的内部员工携带新和成研发的维生素E的工艺规程和操作规程，跳槽到竞争对手，导致新和成公司直接损失5000多万元。

中兴通讯股份有限公司一技术总监在与华为公司竞争法国电信项目期限，向华为公司的员工发送了5份记载中兴公司内部经营战略和产品规划的商业秘密文档，导致中兴在项目中落标，给中兴通讯造成1290万元的损失。

江苏圣奥化学科技有限公司的橡胶防老剂6PPD和中间体RT培司有关的技术秘密被内部员工以40万元卖给竞争对手山西翔宇化工有限公司，导致圣奥化学损失2亿多元。

东软集团的医用CT机核心商业秘密技术资料被内部20名员工离职带走，另外成立公司生产经营相同产品，导致东软集团损失利益6400万元。

        通过上述案例，可以看出内部人员泄露商业秘密往往导致企业遭受严重的损失。因此，企业的商业秘密保护工作重点应该是防范内部人员这个最大商业秘密泄露风险。

 一、 为什么内部人员成为最大的泄密风险？

        内部人员之所以成为最大的泄密风险，原因有两个：

        一是内部人员由于工作的需要，自身就产生、知晓或接触商业秘密，知道商业秘密的价值和作用，可以直接获取商业秘密，不需要像外部窃密者那样，必须突破企业的物理防护、网络和信息系统防护才能接触和窃取商业秘密。

        二是企业对商业秘密的保护不足，对内部人员的保密管理工作不到位，存在严重的泄密漏洞，而内部人员一般都非常了解企业存在哪些可以利用的泄密漏洞，一旦他们有了拿走企业商业秘密的想法，大都能轻而易举的将已经掌握的商业秘密带出企业。

        上面列举的几个导致巨额损失的商业秘密案例都属于这种情况。

二、 内部人员侵犯商业秘密的目的

        根据统计分析，内部人员侵犯商业秘密的主要目的是利用获取的商业秘密生产经营相同的产品、携密跳槽或出卖商业秘密赚钱，还有个别的出于报复目的泄露商业秘密和无意识泄密。

        因此可见，内部人员侵犯商业秘密的主要目的是为了获取不正当利益。企业花费数年、耗费巨资研发或积累的商业秘密具有极高的价值，竞争对手如果获得了这些商业秘密，就可以弯道超车，省却大量的研发时间和费用，用较低的成本直接生产或经营相同的产品，再利用低成本优势，在市场上就可以轻而易举的夺取原创企业的市场、客户和利益。

三、 如何防范内部人员，特别是涉密人员泄露商业秘密呢？

        防止内部人员泄露商业秘密，并没有单一有效的方法，必须系统性的采取一系列保护措施，包括技术性和管理性措施，才能真正防范内部人员的泄密风险。

        防范内部人员泄露商业秘密的措施可以概括划分为两个方面，一个是对商业秘密资产的保护，另一个方面是对内部人员的保密管理，两者缺一不可。

四、 对商业秘密资产的保护

        企业应该在泄密风险测评的基础上，采取如下措施，对商业秘密资产实施保护。

        1. 策划定密依据

        包括密级划分、密级划分准则、标识方法、商业秘密范围、涉密事项清单、定密流程等。

        2. 确定分级保护要求

        按照商业秘密的密级划分，规定每个密级的保护要求，保护要求应涵盖商业秘密资产的整个生命周期。

        3. 实施定密

        组织各个部门的涉密人员按照定密依据，对所产生的商业秘密资产进行定密和标识。

        4. 限制知悉范围

        按最小化原则，规定商业秘密资产的发放和知悉范围。

        5. 实施隔离

        根据分级保护要求的规定，对商业秘密资产，以及相关的流程、职责、设施、载体、网络、物理环境等实施隔离。

        6. 进行控制

        根据分级保护要求的规定，采取相应保护措施，防止对商业秘密资产未经授权的访问、复制、传递、发送、扩散等。

        7. 实施检查和监控

        通过经常性的保密检查、泄密风险测评和日常监控等活动，及时发现违反保护要求、隔离要求、控制要求的行为和泄密事件，并采取相应纠正预防措施。

五、 对内部人员的保密管理

对内部人员的保密管理措施一般包括如下内容。

1. 明确保密义务、保密责任和保密要求

        通过保密协议、竞业禁止协议、岗位职责、行为规范等明确员工的保密义务、保密责任和保密要求。

        2. 授权管理

        按最小化原则，对内部人员进行授权管理，包括物理访问授权和逻辑访问授权。

        3. 教育培训

        开展经常性的保密教育培训，维持和提升员工的保密意识。保密培训内容应与员工的任职阶段、岗位职责、项目任务、重大活动等相关联。最有效的保密教育培训方式是基于职责和事件驱动的小信息量，多频次教育培训方式。

        4. 监督检查

        对内部涉密人员遵守保密义务、履行保密责任的情况进行必要的监督检查，及时发现泄密漏洞。

        5. 实施惩戒

根据保密监督检查的结果，以及发生的泄密案件，对相关人员实施惩戒。必要时，追究其法律责任。

        6. 分阶段实施

        上述对内部人员的保密管理措施，一般根据员工的聘任周期分三个阶段实施，即招聘上岗保密管理、在职保密管理、离职离岗保密管理。

        防范内部人员泄露商业秘密的具体控制措施和管理方法，请参考保密教育平台（www.ipr007.cn）的相关课程。

获取商业秘密保护服务和知识，请访问：

商业秘密保护网：www.ipr007.com 

公众号：商业秘密保护-ipr007 

学习国家秘密和商业秘密保护课程，请访问：

保密教育平台：www.ipr007.cn

服务号：保密教育平台