信息是一种竞争优势,为了获取竞争优势,一些人就可能不择手段地窃取他人信息。如果一家企业的客户名单、财务状况、新技术、新产品等秘密信息落入竞争对手的手中,不仅导致该企业经济上的损失,甚至还可能导致该企业的破产。在很多情况下,信息可以左右公司的命运。这些信息在企业自己手里是制胜王牌,在对手手里就是毁灭自己的工具。
对于信息安全防范,是“三分技术、七分管理”。在现在的信息安全技术环境下,攻击成本越来越小,防御成本越来越大,网络的安全环境并未有所好转,反而有日益恶化之虞。根据木桶理论,企业整体信息安全的水平往往取决于最弱的一环,而不是最强的地方。在复杂的企业网络中,任何一个员工的疏漏,都会给企业信息安全带来致命威胁。
信息安全,意为保护信息及信息系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁。信息安全主要包括以下五方面的内容:信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
我国最著名的“照片泄密案”,是1964年《中国画报》封面刊出的一张照片。大庆油田的“铁人”王进喜头戴大狗皮帽,身穿厚棉袄,顶着鹅毛大雪,握着钻机手柄眺望远方,在他身后是若隐若现的高大井架。日本情报专家据此解开了大庆油田的秘密,他们根据照片上王进喜的衣着判断,只有在北纬46度至48度的区域内,冬季才有可能穿这样的衣服,因此推断大庆油田位于齐齐哈尔与哈尔滨之间;并通过照片中王进喜所握手柄的架势,推断出油井的直径;从王进喜所站的钻井与背后油田间的距离和井架密度,推断出油田的大致储量和产量。有了如此多的准确情报,日本人迅速设计出适合大庆油田开采用的石油设备。当我国政府向世界各国征求开采大庆油田的设计方案时,日本人一举中标。
环球网报道:法国著名汽车公司雷诺于2011年1月6日宣布,该公司三名“处于战略重要地位”的高管涉嫌将电动汽车商业机密外泄,被无限期停职。
报道称,当地时间1月6日,雷诺首次承认“已收集到多项证据,表明他们故意将企业技术财产暴露在危险之中”, 将对其涉嫌商业间谍的行为进行立案调查。据传,雷诺内部早在2010年8月就发现迹象,目前这三人已被停职并接受调查,包括一位管理委员会资深委员和他的副手,以及一位主管电动车的副经理,三人都能接触到该计划的核心机密。法国工业部长贝松(Eric Besson)表示,这是一起性质十分严重的泄密事件,代表了整个法国工业所面临的工业间谍以及经济情报的风险。
2009年7月5日晚,力拓上海首席代表、哈默斯利铁矿(Hamersley)中国区总经理胡士泰和力拓的三名铁矿石销售人员刘才魁、葛民强、王勇被上海国家安全局刑事拘留。4天后,上海国家安全局公布了刑拘理由:在中外进出口铁矿石谈判期间,胡士泰等四人采取不正当手段,通过拉拢收买中国钢铁生产单位内部人员,刺探窃取了中国国家秘密,对中国国家经济安全和利益造成重大损害。
据悉,在胡士泰的个人电脑里,国安人员发现了数十家与力拓签有长协合同的中国钢铁企业资料,涉及企业详细的采购计划、原料库存的周转天数、炼钢配比、生产安排、进口矿的平均成本、毛利率、生铁的单位消耗等数据,还有一些大型钢企每月的钢铁产量和销售情况,甚至还有中方铁矿石谈判组的内部会议纪要。
业内人士称,以上信息可以推算出中方对铁矿石的需求量和依存度。在谈判过程中,力拓可以依据这些信息来掌控价格的降幅。仅仅一两个百分点的价格变化,事关企业数十亿乃至上百亿的盈亏。
上海市第一中级人民法院对被告人胡士泰等非国家工作人员受贿、侵犯商业秘密案作出一审判决,分别以非国家工作人员受贿罪、侵犯商业秘密罪,数罪并罚判处被告人胡士泰有期徒刑十年,并处没收财产和罚金人民币100万元;王勇有期徒刑十四年,并处没收财产和罚金人民币520万元;葛民强有期徒刑八年,并处没收财产和罚金人民币80万元;刘才魁有期徒刑七年,并处没收财产和罚金人民币70万元;违法所得均予以追缴。
力拓“间谍门”后,有人算了一笔账:2002年以来国际铁矿石价格飙升,由于底牌频频曝光,中方谈判屡战屡败,被动不堪,各家企业已经为此累计多支付7000亿元!
在国内,深圳华为公司的信息安全和商业秘密管理做得非常出色。华为公司有一个部门就叫信息安全部,将近200个人从事这项业务,主要工作内容就是商业秘密的保护。华为公司每年销售额的10%要投入到研发当中,2007年其销售额在160亿美元左右,其中10%即16亿美元要投入到研发当中,而研发成果的绝大部分是以商业秘密的形式存在的,这些商业秘密,不但是企业最重要的价值,而且是企业发展的根基。
在华为的产品战略里,历来有一条不成文的规定,即绝不生产应用型和通用型软件。所有研发的软件必须与硬件捆绑。
在华为,很多研发设计是分项目进行的,把一个产品分解,由多个项目组完成。这样,没有哪一个人包括这个业务领域的最高行政长官都没有权力拿到所有的资料,因此,泄密者也不可能拿到一个产品所有的资料,最多只能拿到一部分。
华为在分项目的基础上,再采用分地域完成的方式,将分解的软件,交由处于全球不同地区的公司开发,然后再组合起来,形成一个完整的产品。
华为这种全球同步异地开发的设计,一个产品可能有一部分在印度开发,有一部分在美国开发,正好有时差,可以传递着来做一些事情。同时又保证没有哪一个地方可以拿到全部资料,这样在地域的安排上使得信息更加安全。
华为的信息安全保护采用最严格的方法,分为三个方面,第一是制度设计,第二是管理授权的设计,第三是技术设计。
在制度设计上,华为有一整套的管理文件,并赋予该管理文件以最高权力,如果有工程师触犯相应的管理规定,就要承担非常严重的后果。
在管理授权的设计方面,华为建立了基于国际信息安全体系架构的流程和制度规范。举例来说,在‘进驻安全’和授权的控制上,华为保证一个‘相关性’原则和‘最小接触’原则,也就是说,所有的文档和技术根据其保密的分级分层来进行不同的授权,只有一个完全必要的人才能接触相关的技术,而且接触是在相应的控制和监督的情况下进行。
看似简单的流程控制制度,在实际的安排中是很复杂的。华为有一本很厚的《信息安全白皮书》,专门对此进行约束。
有关技术设计的手段,除了将(软件)产品进行肢解跨地域开发的方法外,华为所有的研发网络是跟公司大网断开的。再如,在全球化异域同步开发体系中,研究人员开发的成果并不在本地的计算机上,而是在一个设控状态的服务器上,任何从该服务器发出的信息都有备份,如果有问题可以回溯和检查。
健全信息安全与商业秘密保护体系,对组织的关键信息资产进行全面系统的保护及保持竞争优势具有重要意义;一旦信息系统受到侵袭,仍然可以确保业务持续开展,并将损失降到最低程度,促使业务伙伴和客户充满信心。
(文章来源于王博著:《商业秘密法律风险与防范手册》,金城出版社2014年版;作者王博:广东华商律师事务所律师、高级合伙人,武汉大学知识产权与竞争法研究所兼职研究员。)