商业机密泄露?企业信息外泄或许与社交媒体有关
尼拉·布恩(Nylah Boone)是一位苹果外包员工,今年4月她在Tik Tok发布了一条名为“在科技界工作的黑人女孩的一天”的短视频。这条视频中,Boone从早上上班前的洗漱、化妆、早餐、出门,再到下午茶、办公室,可以说元气满满地秀了一波,大部分时间都在展示自己和面前的美食。然而,一个月之后,Boone与苹果的合约到期,没有续签。
据Boone表示,由于此前发布的视频内容中出现了苹果公司的办公室环境,即便没有涉及任何涉密信息,但依然违反了苹果公司的保密协议,即禁止员工分享公司办公室内的视频录像。Boone认为,她发布视频的初衷是为了告诉其他有色人种女性,科技领域的岗位也是一种选择,包括苹果在内的其他科技公司也可以考虑雇佣“更有代表性”的劳动力。但违规就是违规,Boone已经完全失去了入职苹果的机会,目前她正在考虑其他工作。
当前,越来越多的企业加入到新媒体传播的浪潮中,包括抖音、微博等多个媒体平台中充斥着企业的官方认证号,企业通过这些社交媒体,不仅能够进一步梳理品牌,宣传企业文化,还能与客户建立联系,建立公众印象等等。
然而,企业越积极加入媒体平台,越容易造成敏感信息的泄露,例如,脉脉上的互联网大厂员工经常或真或假的揭露大厂内幕,给企业形象带来非常大的打击。企业应该如何使用社交媒体?如何管理员工上网行为?如何在新媒体时代下保障企业信息不被外泄?
12月22日,根据Tik Tok母公司字节跳动的内部备忘录显示,公司将开除了四名员工,其因涉及不当访问了几名美国Tik Tok用户的个人数据。事情的经过要从6月说起,今年6月,《金融时报》以记者克里德尔为首,发布了Tik Tok的一系列负面报道,披露Tik Tok今年伦敦办公室裁员、降职一事。10月份,《福布斯》杂志又指出,字节跳动打算利用Tik Tok应用程序来监控某些特定美国人的位置。
字节跳动为了查清是谁在向记者泄露内部谈话和文件,成立了一个内部调查组。经过一段时间的调查后,12月23日,字节跳动通过内部邮件公布了调查结果。
在邮件中,字节跳动表示,公司的两名驻美员工和两名驻中国员工,通过不当的方式获取了用户的资料,其中包括英国《金融时报》记者克里德尔、曾为BuzzFeed撰稿,现供职于《福布斯》的艾米丽·贝克的IP地址和其他个人信息(为确定是否与字节跳动员工地理位置临近)。另外,与这两位记者相关联的其他Tik Tok用户也被列入调查。
实际上,字节跳动没有查到任何内部泄密行为,但作为一家中国的公司,字节跳动竟然能调查到美国Tik Tok的用户数据,这让美国上下义愤填膺。12月23日,美国发布禁止美国联邦政府使用,包含Tik Tok在内的字节跳动旗下各类软件或服务的禁令。截至12月24日,美国已有19个州公开表示禁止地方政府部门工作人员在设备上使用TikTok,美国军队、白宫和国防部等政府机构也不例外。
虽然字节跳动与美国政府之间的纠葛深远,但此次事件中,字节跳动的所作所为给所有应用社交媒体的用户和企业提了一个醒,那就是永远不要相信媒体平台的法律意识和道德标准。此前美国政府一直坚持要求Tik Tok的所有用户数据保留在美国本土,但大洋彼岸的字节跳动依然能够调取相关数据,这意味着不再有任何人的数据是安全的。同理,企业的相关数据一旦出现在社交媒体,也必将面临着暴露的风险,这些数据包括高管身份信息、融资数据或是战略目标。
CSOonline的特约撰稿人Susan Bradley表示,使用社交媒体可能会暴露公司和员工的数据,滥用还可能会损害组织声誉。
目前,绝大多数的企业允许员工在工作期间方位社交媒体,不少企业也在建设企业级社交媒体,以实现新媒体时代下的沟通形式。然而,社交媒体也给企业带来了前所未有的、不断变化的挑战。
损失生产力
工作期间访问社交媒体会使员工浪费工作时间,降低工作效率,导致生产力降低。
泄露敏感或保密信息
产品信息、专有信息、商业秘密、公司信息或其他敏感数据等内容可能会通过社交媒体渠道被有意或无意泄露。据Osterman Research的一项调查显示,组织通过Facebook、Twitter和Linkedln泄露敏感信息或保密信息的比例分别为13%、9%和10%。这种数据损失可能会导致声誉受损、潜在诉讼以及竞争优势丧失,造成不可估量的收益损失。
骚扰或网络欺凌
社交媒体的使用和滥用使员工更容易骚扰包括其他员工、合作伙伴、供应商、客户、承包商等等,这会破坏员工工作环境,造成紧张的工作氛围,引发员工离职或投诉、诉讼等行为。暴雪员工此前遭受了职场性别歧视,男员工在社交媒体上对女员工进行丑化、侮辱和歧视,最终造成暴雪公司员工大量离职,并遭受美国多州政府的处罚。
声誉受损
在社交媒体不恰当的发言和帖子,有可能会降低企业的声誉、品牌形象甚至是丑闻,会带来诉讼或利益受损。前段时间,沪上阿姨与光与夜之恋游戏联动,由于该游戏是乙女向游戏,沪上阿姨的员工对其玩家进行了嘲讽,并被传播到社交媒体上。最终,在舆论的压力下,双方合作失败,沪上阿姨不得不发布致歉声明,并开除了涉事员工。
丧失对品牌讯息的控制
员工可以在社交媒体上联机发布公司信息,这回使其与企业形象捆绑,影响公众对品牌的认知。今年6月,云南农大的丁同学在抖音发布校园信息,声称来农大需要锄田种地,对农大招生工作带来不利影响。另外,员工可以访问企业的社交媒体账户,他们可能会在相关内容或公司主业发布不恰当的信息和图像(无论蓄意还是无意),从而损害公司企业形象。
隐私侵权
许多组织涉及到受保护信息、包括金融信息(账户信息、社会保险号、股票信息、贸易协定)、保健信息(受保护健康信息phi)以及政府数据(保密或分类资料)。此类信息可能会在社交媒体上共享,导致隐私侵权、谍报活动或叛国罪。
丧失竞争优势
组织内部的创意、机密或专有数据等企业核心优势,有可能被员工传播在社交媒体,导致竞争优势的丧失。
增加黑客攻击的恶意软件的风险敞口
约有七分之一社交媒体用户的账户曾经遭到黑客或恶意软件的攻击。关于黑客和恶意软件侵入的示例包括点击劫持,这种劫持方式在有效内容(比如Facebook广告)下方放置了隐藏的超链接,会将受害者引向还有恶意软件的网站。网络犯罪会创建伪页面,欺骗受害者下载恶意软件。用户经常会因此上当,因为这些骗局为用户提供独特的功能,比如了解谁访问过Facebook个人资料,所以用户愿意提供登陆凭证或点击某个链接来获取该信息。
绕过公司管控
许多用户会在公司网络之外使用个人移动设备,绕过公司对于社交媒体或即时讯息的访问控制。这使得公司无法对联机发布的内容保持监管和控制。
盗窃移动设备数据
移动设备容易乱放或失窃。这些设备甚至会长时间不受用户的控制。上述任何一种情形都可能导致移动设备被人窃取信息。
除此之外,社交媒体滥用还会造成无法取证、提高社工钓鱼风险等问题,这些都会对企业带来包括名誉损失、利益损失等直接或间接损失。
饭圈有一个词叫“皮下”,指的是运营组织官微的工作人员。在现实社会中,“皮下”的工作稍有疏忽,就会对其负责的组织带来重要影响。为了进一步规避社交媒体带来的风险,组织不仅会对“皮下”进行全方位的培训,还会对员工的上网行为进行统一的管理和监控。
目前,员工上网行为管理一直备受争议,虽然这种方式在员工离职、防钓鱼等方面具有成效,但还是有过度使用或监视员工上网的企业或个人,他们让这项技术变得不那么纯粹。2018年,欧盟颁布的《欧盟一般数据保护条例》(GDPR),着重保护欧盟区内所有人数据隐私安全的法案。在国内,数据安全与隐私保护也愈发得到重视。企业想获取员工数据进行分析的话,就要注意相关的合规风险。
除此之外,企业如果想要减少社交媒体带来的风险,还可以从以下方面考虑:
在公司设备使用社交媒体。对安全要求高的公司,业务与个人用途的区分都会清晰明确。虽然员工可能需要携带两个设备,一个用于商业用途,一个用于个人用途,但该政策旨在在这两种用途之间设置障碍。要求进行此类部署的企业应注册移动管理工具,以监控设备修补级别和安装的应用程序类型。
创建可接受使用策略。可接受使用策略为社交媒体的参与设定了预值,以确保公司的文化和声誉得到维护,尤其是在允许员工使用个人设备进行商业应用的情况下。企业可以借鉴一些APP,亦或是斯坦福大学社交媒体的可接受使用策略。
提高参与社交媒体的设备防护。保护用于参与社交媒体活动的计算机和移动设备,并尽可能的将其与其他风险较高的系统隔离。部分组织甚至会提供专门用于社交媒体互动的设备和计算机,或者将企业社交媒体需求外包给专门从事相关活动的公司。
设定权限级别。在用于管理社交媒体的多用户工具上适当设置权限级别,并根据实际的使用和反馈情况,针对性的调整。
记录并监控组织用于官方沟通的所有社交媒体渠道。例如,美国网络安全和基础设施安全局(CISA)定期在社交媒体平台上发布安全信息,并确定具有权威性的渠道。确保用户知道贵公司使用哪些社交媒体渠道,并指派专人监督其使用情况。
设置多因素身份验证(MFA)。企业可以为所有社交媒体帐户设置MFA,以保障未经授权的人无法获得了社交媒体渠道的访问权,并发表损害公司形象的声明和评论。
加强邮件防护。对处理社交媒体外联的员工的电子邮件加强保护,使他们尽量避免受到网络钓鱼等攻击行为。
安信证券信息安全总监李维春表示,基于对员工信息的保护,企业首先要遵照个保法的规定,即采集前要征得员工同意,在流转时要经过授权,并遵循最小化原则。在这个过程中,信息安全部门要和其他部门一起制定规则,帮助他们符合法律法规和行业监管的要求。另外,信息安全部门还要提供一些工具,保障企业更好地完成信息的采集和处理,最后,需要确定监督部门,例如合规、审计等,保证员工隐私保护形成一个闭环。
某信息安全专家表示,一般情况下,员工从入职开始直到他们离职,相关的个人数据都会被企业所收集。不过现实是,有一部分企业,是员工进公司之前的面试阶段,就会收集候选人的数据。可以说,企业和员工面临着这样的“隐私悖论”,企业既希望拥有更多员工数据,从而识别优秀人才以及提高各项效率,但这又可能侵犯员工隐私,这种行为在如今的欧盟国家可谓是非常冒险的行为。而员工同样如此,如果企业能将数据分析结果运用于改善自己的职场环境和条件上,他们会欢迎,但如果对自己的隐私有明显侵犯,他们一样会拿起法律武器维护自己的权益。企业与员工都陷入到这种悖论当中,不可自拔。
某车企法律顾问的刘思瑶律师表示,企业在认定员工是否泄密时应该更为谨慎,不能随便开除员工。企业首先要看泄露的信息是不是明确规定要保密的信息,其次要看自己本身没有做好保密措施。泄露商业秘密的控诉对普通人来说有极大的威慑力,很多涉及商业秘密方面的案件未必都会进入诉讼程序,往往一个律师函就能有效解决很大一部分事情,就足以让员工打消与公司正面对抗的念头。这种威慑力和杀伤力,也决定了当泄密的解释权从企业交由法律时,法律的裁决需要更为慎重。她认为,法律对商业秘密的认定应当更严格,而当前的司法实践中经常把商业秘密和公司秘密混淆。
在社交媒体泛滥的时代,企业无时无刻不遭受着信息泄露的风险,要想降低风险的发生,企业首先要对社交媒体保持警惕,其次要对员工进行培训,在保密协议签署时也要尽到提醒义务。而对于员工来说,或许不在社交媒体上秀自己的工作是最佳的选择。
大多数普通人身上没有具备Boone身上的那些标签:美国、女性、有色人种、科技公司。因此,普通人在社交平台发布的、与工作相关的视频或帖子也就没有太大的宣传或教育意义,不要因一时兴起背上泄露商业秘密的诉讼。
参考文献:
Social media use can put companies at risk: Here are some ways to mitigate the danger——Susan Bradley
被大厂开除的“泄密人”:脉脉成重灾区,有员工拿47万赔偿——市界观察
社交媒体带给企业的主要风险和担忧——MicroFocus
齐心抗疫 与你同在