作者:赵晔 | 2020.07.31
在上一期的《科技行业商业秘密案件数据分析报告》中,我们发现,检索案例中90%以上侵权人与被侵权企业有过劳动合同关系,其中不乏员工通过发送电子邮件、复制文件至U盘、上传云端等方式泄露企业商业秘密的案例。今年上半年蚂蚁金服员工通过录屏从钉钉获取 8 万条个人信息被开除一事更是令人震惊。新冠疫情爆发后,员工被迫在家办公,很多企业不得不采用BYOD模式,笔记本电脑、手机、平板电脑等移动设备的安全问题着实令企业头疼,这也给企业保护商业秘密及数据安全带来了巨大挑战。
BYOD(Bring Your Own Device)是指员工携带自己的设备办公,这里的设备包括个人计算机、智能手机、平板等。BYOD允许员工用自带设备访问公司内部网络、登录账号、进入办公邮箱、获取企业内部信息等。BYOD的优点与缺点
高科技企业通常更愿意会为员工提供办公设备,构建内部局域网,这样更有利于管理、控制企业内部信息。在传统的企业网络中,企业主要需要确保企业端点的安全。新冠疫情爆发后,员工不得不使用自有设备在家办公,企业无法避免的需要采用或者部分采用BYOD。此时,每个员工所在的外部网络环境都会构成一个端点,确保每个端点的安全性对于企业来说将是一个更大的挑战,这给企业商业秘密的保护也构成了更大的困难。保密性、合规性、数据安全性、隐私保护是企业内部网络安全的关键问题,但当设备为个人所有时,这些问题变得更为复杂,如何有效保护企业内部网络安全、防止信息泄露是企业必须要面对的难题。
1. 公司是否有能力为所有员工提供办公设备?
办公电脑采购常常给企业带来不小的资金压力,设备的日常管理、维护也是一笔不小的开支,企业能否保证持续投入资金进行设备采购及运营管理的资金?
2. 公司是否需要采用大规模远程办公方式?
不同公司的业务场景不同,有的公司要求员工在公司办公场所办公,有的则可能需要员工采用灵活的办公方式,在公司办公场所以外的地点远程办公。
受到新冠疫情影响,很多企业不得不采用远程办公方式,Google此前表示,到2020年底,大多数员工将远程办公,2020年7月27日,Google则表示将允许员工在家办公至2021年7月,包括Twitter和Facebook在内的许多科技类公司表示,他们计划允许一些员工无限期地继续远程工作。
3. 员工离职时是否删除了个人设备中的企业资料?
海天公司与寇珍华侵害商业秘密纠纷案中,海天公司员工寇珍华两台私人电脑(华硕和戴尔笔记本电脑)分别违规存储有海天公司涉嫌被侵犯的技术信息和经营信息文件10065和1520份。寇珍华未经海天公司许可,下载其在工作过程中接触和掌握的公司技术信息和经营信息,并转存至其私人戴尔电脑上。涉嫌被侵犯的技术信息和经营信息都是极为重要的信息,包括海天公司核心配料配送类资料、老抽类酱油生产工艺类资料、酱油及质量监控资料、酱油生产技术研究类资料以及原辅料供应商资料等[1]。
4. 员工自有设备访问公司内部系统是否有权限设置及访问记录?
2018年2月,某警方侦破了一起医生信息窃取案件。从医生数据泄露的源头来看:武某任职某企业管理咨询(上海)有限公司广州分公司移动医疗顾问一职,拥有公司某应用系统的工作权限,通过其手机二维码可进入系统,内有大量医生信息。出于朋友情面和同情心理,遂把上述权限给了卢谋。
获得权限后,卢某找来“计算机技术很好”的大学舍友温某,卢某指使温某利用该权限通过计算机技术进入应用系统后台,盗取系统内的医生信息。
截至2016年10月11日,被告人卢某、温某等人共窃取系统内的信息共计352962条。一条完整的医生信息包括姓名、手机号码、医院名称、职务及属地等。
5. 有无用于隔离病毒的云上应用运行平台、沙盒或虚拟化环境?
特殊业务时期,许多企业通过数字化工作空间解决方案、虚拟机软件等方式,使员工能够远程工作,安全访问关键的业务应用和公司资源,保证任意终端应用访问的安全性。
教育行业与医疗行业的需求尤其突出,内布拉斯加州医学中心和UNMC园区的临床医生、员工、教授和学生们通过款智能驱动型数字化工作空间平台,可以任意设备、无缝访问关键应用。新冠疫情爆发后,教授和学生们在虚拟环境中运行包括实验在内的所有课程。在内布拉斯加州医学中心,所有不需要前往医院的员工都被要求在家办公,远程访问所需应用和资源,保持业务的连续性。
6. 公司与员工是否清楚自有设备丢失后果及应该如何处理?
2018年11月,美国某医疗机构一名员工的笔记本电脑在汽车中被盗,造成43000名病患数据泄露,包括病人姓名、社会保险号码、财务信息、地址、出生日期和医疗数据等。尽管这台笔记本电脑配备了安全工具,并设置了密码保护,但它未能对存储在硬盘上的数据进行保护。
此次盗窃案发生后,医疗监管机构关闭了这一医疗机构网络,执法部门也介入此事件的调查并加大数据安全监管,审查安全措施以发现漏洞,并对违反或忽视安全措施的员工和部门实施处罚。
7. 员工是否通过公共云盘传输公司内部资料?
随着办公辅助工具的逐渐增多,U盘、移动硬盘拷贝等移动存储设备的使用率相对降低,员工更喜欢用云存储的方式来进行资料的备份,类似云盘、云文档等,这种情况下,员工一旦拷出的内容是与内部核心数据相关的,只要借助云存储,员工在任意一个联网的位置都可以将这部分内容进行导出,很可能会给企业带来致命的安全隐患。
蚂蚁金服P6员工祝君华通过让小区保安手机录屏的方式从钉钉上下载同事通讯录,非法获取阿里、蚂蚁员工(含外包)的个人及职务信息超过8万条,相关信息被制作成视频并上传至百度云盘。该员工被蚂蚁金服开除,蚂蚁金服以该员工上述行为涉嫌侵犯公民个人信息案向公安机关报案[2]。
8. 公司是否持续为员工提供设备的安全维护支持?
子女的游戏软件、个人社交软件、各种存在后门的盗版软件……员工个人设备可能存在各种安全问题,不少人使用的是缺乏专业安全防护及控制的个人设备开展工作。更有甚者,安全意识薄弱的员工,连设置开机密码等最基础的安全操作都没有。
远程办公,及时进行系统升级、软件更新这些必要的安全操作,在有些员工的意识中不复存在,容易造成漏洞,成为黑客攻击的跳板。
疫情期间,员工个人办公设备出现问题虽属于突发情况,可一旦出现,就没有平时现场办公时那么方便得到专业人士的支援并且能够得到完善的解决,随之带来的是,员工自己排查或向维修机构求助,一不留神就会造成数据丢失或泄漏。
如果以上八个问题你的答案都是否,那么基本上可以确信公司数据安全方面是处于一种“裸奔”的状态。
后疫情时代,企业运营还将持续受到影响,BYOD也许会成为企业办公方式新常态,BYOD方式下企业数据风险控制的重要性不言而喻,需要从技术与政策层面双管齐下,通过技术手段保护企业网络安全的同时,还需制定相关内部政策,满足合规性要求,全方位保护企业商业秘密及员工个人信息的安全。
注释
[1] 寇珍华、佛山市海天调味食品股份有限公司等侵害商业秘密纠纷案,http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=7d0fc276d2264e9c93a60c3e5c7e06ee
[2] 祝君华、蚂蚁金服(杭州)网络技术有限公司劳动争议案,http://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=22e827b5c1f24909b321ab3700af49d0
地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,邮编:100022
电 话:(010) 5086 7666
传 真:(010) 5691 6450
地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,邮编:710061
电 话:(029)8836 0129
传 真:
地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,邮编:518046
电 话:(0755)8860 0388
传 真:
地 址: 海口市美兰区碧海大道86号华彩·海口湾广场A座1008、1009,邮编:570208
电 话:(0898)6625 4181
传 真:(0898)6625 5316
地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,邮编:200023
电 话:(021)6390 1100
传 真:
地 址: 广州市天河区珠江东路32号利通广场29层2901室,邮编:510510
电 话:(020)3739 2666
传 真:
地 址: 杭州市上城区西子国际中心2号楼1501-1503室,邮编:310002
电 话:(0571)8577 9929
传 真:
地 址: 沈阳市沈河区友好街10号新地中心40层,邮编:110013
电 话:(024)2250 3388
传 真:
地 址: 南京市建邺区应天大街888号金鹰世界A座26层,邮编:210008
电 话:(025)8411 1616
传 真:
地 址: 天津市河北区海河东路78号茂业大厦2601室,邮编:300141
电 话:(022)2445 9827
传 真:
地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,邮编:274005
电 话:(0530)5566 148
传 真:
地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,邮编:610020
电 话:(028)8774 7485
传 真:
地 址: 苏州市工业园区九章路69号理想创新大厦A幢12层,邮编:215316
电 话:(0512)6758 6952
传 真:(0512)6758 6972
地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,邮编:010050
电 话:(0471)5166 277
传 真:
地 址: 九龍渡船街38號建邦商業大廈1樓5號室
电 话:(00852)2333 9989
传 真:(00852)2333 9186
地 址: 武汉市东湖新技术开发区高新大道766号商务项目(光谷总部中心)1期T1栋17层1710、1711、1712号写字间,邮编:528451
电 话:(027)5926 5991
传 真:
地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,邮编:450046
电 话:(0371)8895 9887
传 真:
地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,邮编:410021
电 话:(0731)8218 3551
传 真:(0731)8218 3551
地 址: 厦门市湖里区高林中路469号新景地大厦23层,邮编:361016
电 话:(0592)5211 009
传 真:
地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,邮编:400020
电 话:(023)6775 9966
传 真:
地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,邮编:230071
电 话:(0551)62930997
传 真:
地 址: 宁波市鄞州区三眼桥街51号宁铸中心5号楼27层(宁波塔-27F),邮编:315199
电 话:(0574)8737 8737
传 真:
地 址: 济南市高新区舜泰北路舜泰广场933号博晶大厦25层2513室,邮编:250101
电 话:(0531)8828 5613
传 真:
地 址: 昆明市西山区融城优郡B幢10楼,邮编:650034
电 话:(0871)6517 9639
传 真:
地 址: 南昌市红谷滩区红谷中大道1391号华皓中心53层,邮编:330038
传 真:
康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。
本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。
本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。
欢迎访问本网站,如有任何问题,请与本所联系。