近日,深圳法院对大疆一名泄密前员工判刑六个月,罚金20万,据悉泄密事件造成大疆116.4万元的损失。HR,如何正确看待员工泄密事件?需做哪些防范?
一
大疆员工泄密事件始末
2017年9月初,大疆的漏洞举报邮箱收到一封海外邮件——你们公司的代码泄露了。
这封邮件是一名叫Kevin Finisterr写的,他在大疆的网络安全方面发现了一个非常严重的漏洞。
Kevin 和他的搭档整理了长达 31 页的漏洞报告,指出他们获得了大疆意外发布至 GitHub 的 SSL 认证私钥,从而可以获得储存在大疆服务器上的敏感用户信息。
这些敏感信息包括用户信息、飞机日志、航拍照片,而且还有政府 ID、驾照和护照。
Kevin在向大疆报告了这一缺陷之后,最初被告知,他的 BUG 报告有资格获得 30000 美元的最高奖金。但是,大疆对 Kevin 开出了条件,要求他签署保密协议。
Kevin 表示,就在双方协商期间,大疆法务团队发给他一封邮件,说如果他不签署保密协议将会使用《计算机欺诈和滥用法》起诉他。
最后,Kevin决定放弃这笔奖金,并公开了自己的经历,同时发表了一篇文章《为什么我放弃了大疆的 3w 奖金》,引起了媒体轰动。
根据大疆调查后,发现这事居然和某位前员工有关。据悉,这位员工在大疆的子公司担任软件工程师,曾负责编写农业无人机的管理平台和农机喷洒系统代码。
他曾在 GitHub 网站上开设了账号,之后,其通过一个计算机指令,将含有大疆公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至 GitHub 网站的“公有仓库”,造成了源代码泄露。
Github网站是全球最大的代码分享社区,拥有超过900万开发者用户,去年被微软斥巨资收购,在全球码农圈内有强大其影响力。(这个网站就是最近发起著名“996.icu”的那个网站)
在该网站上,程序员可以设立“公有仓库”或“私有仓库”存放代码,其中“共有仓库”对全球用户可见,用户可以通过搜索发现并下载别人分享的代码。
源代码意味着高科技企业的财产权、竞争力乃至生命线,是高科技公司千方百计保护的对象。
经鉴定,大疆这些泄露出去的代码具有非公知性,且已用于该公司农业无人机产品,属于商业秘密。经评估,这次泄漏大疆造成经济损失116.4万元人民币。
案发后,这位员工第一时间删除了相关代码,并给Kevin写邮件,并积极配合调查,防止事态扩大。他在推特上表示,“无意泄露了大疆的机密”、“我很后悔自己没有法律意识,我愿意承担相应的法律责任。”
该案经深圳南山区检察院提起公诉,鉴于这名员工有自首行为,综合考虑其犯罪情节以及自愿认罪、有悔罪表现。深圳法院于今年4月上旬作出一审判决,该员工被以侵犯商业秘密罪判处有期徒刑六个月,并处罚金20万元人民币。
二
技术员工为何泄密?
“保守商业机密”是职场人基本操守,即便不签订保密协议,也是一个基本共识。为什么大疆这位工程师员工还是出现这种明知故犯、以身试法的泄密行为呢?
事实上,大疆公司在发布的《员工信息安全守则》中,明确规定了关于产品的技术细节(代码、图纸、设计方案等相关文档)是“最核心机密”,“严禁泄露”。
同时大疆明确告诉员工,“泄露”的行为包括“将信息放置(暴露)在任何没有与公司签订保密协议的外部人员可以接触的地方”,并明示“包括但不限于社交媒体、论坛、独立网站等”。
员工泄密原因,也许是逞能,也许是侥幸,也许是报复……不管是什么原因,触犯法律,后果自负。
2018年2月,一位名为 “ZioShiba” 在 GitHub 上泄露了苹果公司专有的 iBoot 源代码。
根据苹果公司的声明,遭到泄露的是两年前 iOS 9 的源代码,与现在相隔甚远,不会导致大规模安全事件。但仍然可能被相关 iOS 安全研究人员和越狱爱好者加以利用,在 iPhone 锁定系统中发现其他新的漏洞。
这起源代码泄露事件也与员工逃不开关系,据说某员工在苹果工作时,在几位越狱爱好者朋友的” 怂恿 ” 下拿来了 iBoot 源代码以及其他一些尚未泄露的代码,并分享到了五人小群体中。
这位员工很有求生欲地表示,自己只是想拿到源代码进行相关的安全研究,完全没有任何对苹果的不满。
代码泄露不分国界,就在今年4月22日,B站的网站部分源码遭恶意泄露,一个名为“openbilibili”的用户在Github上披露,B站后台的项目规范和负责人信息两部分,涵盖了详细的业务、具体负责人等信息。
事后,B站发表声明称,泄露的部分代码属于较老的历史版本,并且已执行了主动防御措施。多方爆料都将这起泄露事件指向内部员工蓄意报复,
作为HR,要时候提醒员工,侵犯商业秘密的法律后果了。
三
员工泄密要判多少年?
1、信息泄密会判多少年?
根据刑法219条规定:
——给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;
——造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金。
2、造成重大损失是多大?
根据2004年司法解释:
——造成损失数额在五十万元以上的,属于“给权利人造成重大损失”。
3、造成特别严重后果多大?
根据2004年司法解释:
——造成损失数额在二百五十万元以上的,属于“造成特别严重后果”。
4、什么情况下立案为刑事案件?
根据2010年司法解释,涉嫌下列情形之一的,应予刑事立案追诉:
(一)给商业秘密权利人造成损失数额在五十万元以上的;(二)因侵犯商业秘密违法所得数额在五十万元以上的;(三)致使商业秘密权利人破产的;
附法律条文。
四
从员工泄密看企业安全管理
数据显示,高达59%的离职员工承认曾在离职时私自带走公司机密文件数据。
而如今很多企业已经加大了对员工窃取公司商业秘密行为的打击力度,对违反竞业限制、将公司商业秘密泄露给第三方甚至直接竞争对手的行为,呈现出坚决追究法律责任的态度。
再举几个案例。
1、海尔:前高管跳槽窃取商业秘密,获刑三年
2015 年1月,针对四名海尔前员工的商业窃密案,青岛法院进行了一案二审公开宣判。2010年5月间,海尔四名前职工违反与公司的保密协议,非法泄露海尔洗衣机重要生产和采购环节数据,给海尔集团造成直接经济损失共计2952.35万元。
2、华为:6名设计岗位员工因泄密遭批捕
2017年1月,华为内部发布公告通报前消费者终端业务6名员工被批捕,涉及人员为工程师和设计人员,离职后拿着华为终端的知识产权结果赚钱。
当前,由于在国内各个行业的企事业单位,员工流动、离职的频率都比较普遍,同时又因为计算机、网络技术的普及,使得员工泄密的通道很多,可以轻松将单位重要的商业机密数据泄露出去,从而给企业带来各种损失和危害。
故而,对于企业来说,严防员工泄密事件的发生至关重要。
五
作为HR,如何预防员工泄密?
腐败和泄密是所有企业尤其是高新技术企业严防的高压线。
HR需要梳理一下HR管理流程,查漏补缺,将商业机密有效的控制人力资源系统之内,防止巨浪侵袭。
一、员工入职前的信息安全管理
在入职前,HR除了跟员工面签劳动合同,应该给员工电子版或纸板的《员工手册》阅读时间,同时点对点确认《竞业限制》和《保密协议》的签署情况。
在入职培训环节,可以考虑建议增加一个环节,面对面宣读“确保信息安全,严守商业机密”关键条款,增加员工安全意识的“仪式感”。
这种类似“宣誓”的仪式感,并不能杜绝员工泄密和腐败现象,但是能彰显正气起震慑作用。
二、员工在职期间的信息安全管理
不大可能每个部门都设置一个信息安全岗。但是,任何一个公司都需要有人去牵头负责审计、信息泄露、腐败、合规管理、风险管理、危机处理。
面对这些负面清单,作为HR,有责任去提醒业务leader一同完善业务流程。“堡垒往往是从内部被攻破的”。
有个建议,HR可以定期在内网更新“员工贪腐、信息泄露”的行业刑法案例,简单的说,就是普法。
三、员工离职后的信息安全管理
首先,作为HR,要确保员工离职前签订的《离职协议》、《竞业限制协议》的有效性,尤其注意在约定期间,必须准时足额给离职员工发放补偿金,没有补偿金,离职员工没有义务保守商业秘密。
友情提示,有离职员工故意注销银行卡,以没有收到补偿金为由,拒绝履行竞业限制义务。
一旦发现“核心员工”跳槽到竞对,只要你有足够的证据能证明,这个员工不仅违背《竞业限制》,而且还侵犯公司商业机密,应及时通知公司法务及时采取维权措施。
HR不能怕事怕麻烦,你不只是在捍卫公司的利益,也在捍卫职业操守和契约精神。
关于这个话题,你的观点是什么?