企业治理中的商业秘密保护措施
神州明达专注信息安全领域13年,上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。
——以欧盟《通用数据保护条例》(GDPR)为借鉴
欧盟《通用数据保护条例》(以下称“GDRP”)是欧盟各国保护公民、消费者个人隐私和个人数据信息的法规。商业秘密作为企业的“隐私”,同公民个人隐私、信息一样都需要重视和保护。但目前我国保护企业商业秘密的法律制度很不完善,这就依靠企业在日常治理中加强保护措施。本文借鉴GDRP对公民个人数据的保护,提出企业在日常治理中商业秘密的保护措施。
1、内部人员接触商业秘密“同意”规则
将企业信息区分为一般信息和敏感信息,对于企业内部人员接触不同的信息分别制定规则。对于敏感重要信息进行特别保护,即一般情况下禁止接触、获取、更不得公开,除非经过高级管理人员的同意。企业还可以限制内部人员接触敏感信息的时间、地点等。本措施来源于GDRP的获取用户数据的“同意”规则。
2、核心人员保密培训考核制度
出于需要,如果企业内部人员接触和掌握企业商业秘密,该人员应当有一定的保密意识和保密能力。这就要求对内部核心人员进行持续长期的保密培训,并对其定期进行考核。这一措施来源于GDRP数据转移的规制,只有确保对方公司有足够的保护能力,才能将自己掌握的用户信息数据转移给对方。
3、商业秘密保护官
GDRP中规定每一个欧盟成员组织都要设立数据保护官(Data Protection Officer),专门负责数据保护措施的实施和监管。在企业中也可以设置类似职位,作为企业高管,专门负责企业商业秘密的保护。
4、商业秘密记录管理制度
建立专门自动化、电子化的数据档案库对企业商业秘密进行保存。经营信息和技术信息一旦形成,应及时将其归入数据库中。企业信息“暴露”在外的时间越长,被窃取、被侵害的可能性越大。而且电子化数据库方便管理,可以通过设置访问权限对商业秘密进行有效保护。这也是GDRP中数据安全保护的原则之一。
5、内部人员监控制度
企业可以通过专门技术手段对内部人员工作时的电脑、通讯、网络进行监控。但此项措施可能会与员工的个人隐私发生利益冲突。因此监控应当有一定界限,不应侵犯员工个人隐私,并且企业应在员工手册或日常管理中提前告知员工监控措施,以避免利益冲突。
6、安全应急机制
企业应当建立相关应急机制,应对企业商业秘密被泄露和侵犯的情况。如果有可能,及时制止损失扩大。如果已经造成损失则应当及时保留证据,以便日后提起诉讼。
总之,欧盟保护用户、消费者个人数据信息的制度较为完善,欧盟《通用数据保护条例》是一个很好的模板,不仅可以为企业在日常治理中保护商业秘密提供借鉴,也是我国完善个人信息、商业秘密保护制度的参考。期待我国企业商业秘密保护制度不断完善。