商业竞争情报实务陈 飔 薛 刚 编著经济日报出版社
16企业反情报工作和商业信息保护
shangye jingzheng qingbao shiwu商业竞争情报实务企业或者组织在其经营运转过程中,总是需要有意无意地传播、泄露自身的信息,这些信息常常会成为竞争对手情报活动的目标。一个企业想既开展正常的经常活动又不泄露商业机密,几乎是不可能的。人才流动、兼职工作、为了私利的故意泄露、经理人会晤、接受采访、离退休职工被竞争对手聘用、企业内部职工保密观念淡薄、发表学术论文、做产品介绍等等都有可能泄露商业机密,被竞争对手的情报人员所利用。即便是竞争情报工作做的非常好的国际领先企业,彻底杜绝商业机密的泄露也是不可能的。这些案例包括微软、通用、英特尔等。事实上国内、国外的企业都无法杜绝商业机密的泄露,但对于国内企业来说,一方面是客观上企业没有很好的制度和工作方法来杜绝泄密,另一方面更值得担忧的是许多企业根本就没有保密意识,更谈不上工作制度和反情报体系。还有的企业员工主观上不愿保守商业机密。国内的很多企业为了维护商业机密,制定了很多预防措施,比如减少离职时间、在员工离职时由专人接管电脑,防止拷贝企业数据等,但是由于相关法律的有待完善,不排除有企业员工因为私忿等原因主动泄密或者提前拷贝机密然后辞职的情况,这时这些措施就无能为力了。有“正”就有“负”,有“矛”就有“盾”,这似乎是自然的规律,对于情报活动也是如此,任何企业或组织在开展情报活动获取自身利益的同时,其他的企业和组织,特别是竞争对手,也会通过各种情报手段来获取它的重要和敏感信息,并可能损害它的利益,所以企业或组织完整的情报工作体系必须把反情报工作也包括在内,也就是说,在获取信息情报的同时也要对自身的信息采取相应的保护措施。 企业反情报工作 企业反情报模式反情报和信息安全工作一般来说应该由企业信息安全部门来承担,很多企业则由总裁办公室直接负责,有的企业人力资源部门协助实施这样的人员安排和教育培训。 需求定义企业活动必然产生和发布大量的商业信息,这些信息包括企业内部必须应用的部分,也包括必须发布到市场——用户、合作伙伴、媒体和产业环境的部分。这些信息都可能成为竞争对手搜集和刺探的对象。出于商业运营的需要,信息发224
16.企业反情报工作和商业信息保护布是企业主动的运营行为,虽然这些发布出去的信息会被竞争者监测和搜集。企业既然不可能对所有信息都实施保护,那就有必要对企业信息进行竞争价值分析,定义出哪些是能够让竞争对手获得所需情报的信息,确定哪些信息是不可泄露的,对这些信息提出保护需求。例如,一个新的产品正由一个独立的研发部门进行秘密开发直到它准备上市,反情报和信息保护部门或团队将追溯情报收集者希望搜集和刺探的信息:地点、空间尺寸和设计图、项目人员的数量和技术背景、团队或合资伙伴,融资问题,原材料购买等等,一旦相关信息集被确定,所有的信息保密工作将被贯彻到不同的公司业务流程中,保密和防护操作将指导和限制企业所有的信息操作——产生、存储、存取权限和发布策略。 竞争对手的评估在决定保守一个秘密信息的时候,你必须了解希望获取它的人具有什么样的情报获取能力,可能采用什么样的手段。反情报和信息保护部门的工作重点之一是准确判断竞争对手收集有价值信息的能力,辨别竞争对手收集情报的手段和行为。例如,如果仅有一个竞争对手,该对手是国内企业,其商业情报功能由一个图书馆馆员组成的团队提供,仅限于监测、处理、报告公开资源和公开文件。或者竞争对手主要依靠互联网搜索服务,监测和搜集发布于网络上的公开信息,做成分类和摘要简报提供决策使用。另一种情况,如果你的公司在国内和国际同时运作,你也知道你的国内对手的商业情报功能是由一位正规、专业的情报官负责,他善于把有效的一手信息和二手资源相结合。有时竞争对手会借助市场调研和研究咨询机构对你的信息进行搜集和深度处理,用这种方法收集你公司的信息是令人担忧的。有大量的证据表明,有的企业通过调查公司、私人侦探刺探竞争对手的情报。如果你的竞争对手在当地与商业团体和情报服务机构有长期的密切联系,这样的关联将产生戏剧性的变化。不了解这一点,将产生严重后果。弱点评估如同防范计算机病毒和黑客,你需要知道你公司的弱点,预先进行入侵检测,以便设置防火墙和安全网关。当企业知道需要保护什么,也了解商业竞争对手会针对你的系统做些什么,就能够确定你需要做些什么来防范竞争对手的信息刺探行为。为了帮助对此没有实际操作经验的信息安全主管,来发现公司信息安全的薄弱环节,公司可以采用竞争对手攻击仿真方法。为了模仿竞争者的情报能力以及预计的收集行动,可以安排竞争情报搜集人员模拟攻击自己的公司,在这种情况下公司的信息安全弱点马上就会显现出来。比如,设计一个让情报搜集员225
shangye jingzheng qingbao shiwu商业竞争情报实务获取某种公司内部信息的任务,跟踪观察它如何去做。据此,你发现了公司信息控制的弱点并制定弥补弱点的方法。信息安全弱点可能是显而易见的,也可能隐藏的很深,但你能够发现和堵住自己的弱点,总远远好过竞争对手在你毫无知觉的情况下发现和利用你的弱点。 制定对策一旦我们能够确定哪些信息需要保密,并且检查了这些信息会以什么样的形式出现在什么地方,情报搜集者可能采用什么手段获取这些信息,我们就可以制定相应的对策以避免这些信息出现在可能被收集的地方,或者将这信息隐蔽起来。比如竞争对手可能对我们的原材料采购进行监测,以便推断我们的产品构成、研制进程和生产批量。因为原材料购买的种类改变、数量增加或减少都会给其他公司的商业情报收集者一种明显的暗示:一些事情正在发生,比如产品结构改变、新产品投产、新的技术线路或者渠道供应策略的变化。避免竞争对手获知采购信息可以采取多种形式。一种方法是通过几个被控公司或合作伙伴进行分散购买,这样可以分散可能的情报收集者的注意;第二个方法是通过保密的签约过程,比如,让可信赖的开发团队的成员启动他们自己的顾问公司——可能处于一种不引人注目的关联状态——通过他们进行采购,发票仍保留在内部。另一种被几个产业成功采用的方法是用几个月的时间断断续续的购买,以达到所需要的数量,这样可以避免产生明显的尖峰信号。当然这种运作会给企业的供应部门和财务部门带来额外的工作,并且可能迫使他们必须放弃经济采购。这时需要决定,产品首次突然推向市场以及由此给竞争者带来的时间差效应和大量采购节省的资金哪个更有价值。有时这种评估是很困难的。显然,这类反情报活动与传统的安全保护功能是不同的。首先,保密功能开始于敏感信息产生的源头——原材料进入公司之前。机密信息只有在内部被使用时才最终汇集产生,从源头上进行了伪装和变形以阻止偷窃者的企图。其次,采用的方法在原理上完全不同。传统的保密管理办法往往只是关注被保护项目的自身,而没有考虑对关联信息的保密。比如,情报收集者能够通过你的原材料包装被回收的数量来推断你的产量和产率,通过你的原料种类来反推工艺流程。模拟对手收集自身情报的方法则可以帮助制定相应的保护对策——这就是“以对手的角度看问题”。当然这只是很多种由情报专家建议的灵活、富有想象力、有经验的对策之一。针对具体的行业特点,这种方法有很多,比如从公司的招聘信息或公司网站可以获得某些信息,通过关联分析可以了解公司的研发动向,则可以对226
16.企业反情报工作和商业信息保护招聘信息进行添加干扰信息,如与关联企业联合招聘,岗位描述变形等。保护对策实施:这个问题初看起来不需要更多讨论,但事实上在这一过程中有比我们最初看到的更多的东西。除了选择的对策要被实施,还要评估这些对策的影响。对于信息保护措施的应用,常常会在业务部门遇到阻力。一旦对特定项目的保护变为显式,就很可能为竞争对手所察觉,产生此地无银三百两的后果。例如,你希望把你的组织描述成没有涉及某个特定的项目,你的情报收集功能需要监视竞争对手在同样领域中正在做什么。他们的活动将要产生正面或负面的影响。如果他们知道你的公司在做什么,你需要知道他们将有什么样的反应——开发一个类似的项目:进行原材料购买,进行谨慎或轻率的查询,或者是其他任何行动。另一方面,如果他们没有你们活动的线索,他们活动的特征也会告诉你这一情况。 分析阶段如果不对信息进行分析和确认,情报收集就是不完整的。同样,反情报和信息保密工作也需要使用分析方法。这些分析可以告诉一个组织,这些对策是否正在使用以及哪些方法是合适的;分析也可以提供对手的收集活动在哪些方面会改变得更深的洞察——这会反过来推动你修订对对手和他们能力的评价。发布阶段正如情报产品如果不能及时到达、缺乏准确性就不值得付给报酬一样,反情报的成果也需要传递给领导。我们在实践中经常看到两个情报过程产生了完全相同的结果。在收集方面,当决策者或领导得到情报报告时不可避免地产生更多问题和兴趣;在保护方面,领导总是不可避免地对那些需要保护的事情感到焦虑。 反情报模型在典型商业活动中的应用以上是纯粹的情报学方法的观点,我们还需要把这个过程整合到现实的商业运作过程中。一旦对收集和保密的循环的特性有一个基本的理解,这个模型其实不复杂。它给公司提供机会以保证最严格的保护范围保密,同时确保资源没有浪费在不必要的对策上。它建立在对公司成功或失败具有影响的环境因素的共同理解之上,并且提供了一个集中式的组织框架,允许企业中不同领域工作的员工参与收集和保密工作。如果能包含尽可能多的员工时,多数的商业情报收集功能都能运作得很好。227
shangye jingzheng qingbao shiwu商业竞争情报实务这些人既包括那些活跃的、有任务的公司内收集员,也包括那些包含在收集程序中的外围人员。前者包括那些在日常工作中和竞争对手有接触的人员,比如贸易展览会在场人员和货摊专家,是正规人员;后者包括那些定期的、通过财务、人力资源、研发和其他部门的专业社团进行联系的对手公司中对应部门的人员。虽然不企图把他们作为建设竞争情报收集的内部源的一部分,但是把他们介绍给保护程序中的雇员也足够了。任何有效的保密程序的关键在于整个企业中的每个成员参与的愿望,而且愿意参与的基础是一个实际的、及时的、提供情报的有效的教育和预警程序。安全推荐者极少有引导商业情报的运作的实际工作知识——相反,他们推出几个既与员工个人也与公司甚至产业无关的千篇一律的恐怖故事。结果,雇员们听到由于竞争情报泄露损失了数十亿元的各种形式的事情,然而这些与他们的生活和日常活动无关。另一方面,当雇员们了解他们自己公司的某一泄露结果时——可能因为泄露,也可能是友好的模拟竞争对手的刺探方法模拟测试,显示计量的针就要击中他们。长期的研究显示,与员工日常生活中的典型事件的关联性决定了信息是否被关注;员工是否会以公司希望的方式去工作。根据我们的经验,简单的呼吁雇员的忠诚已不能产生足够的动机激励人们主动参与到一种前摄的保密程序中。而且,“文明的利己主义”的概念仍存在于雇员中。如果雇员们开始理解持续的工作依赖于公司如何有竞争力,他们会重新考虑他们愿意泄露那些是无害的信息;如果告诉员工有多少信息是从他们身上(或和他们类似的公司里的人)获得的实例,成果会更好。主动的雇员参与可以从简单的行动开始如用电话、传真、和电子邮件或其他的联系方式向一个建立的联系点报告信息需求。这可以使用不同的形式,产生各种各样的结果。例如,看一个客户公司的案例,这是一个在激烈竞争的消费电子领域的领导者。该公司把一份介绍商业情报程序如何实施的90分钟的简报提供给约5000名员工,简报包括:收集者怎么工作,他们享受的各种成功,他们所能获得的各种信息,以及这种信息对收集公司和目标公司的影响。一旦员工们了解了这组现实生活中的示例,他们就被要求做三件事:首先,获得来电话者的名字、公司和电话号码;第二,详细地询问他们寻找什么信息,以及他们要求回复的最后期限;第三,在许诺回复他们之后,把这个信息报告给安全部门的特定人员,由他处理这件事。228
16.企业反情报工作和商业信息保护在培训活动开始的两周内,有超过600份不常见的或值得注意的电话查询报告。显然,没有任何方法确定还有多少电话没有汇报。但是这个反应在几个层次上都是有价值的:第一,这么多的电话报告说明教育程序正在起作用。第二,电话分析显示出所有的报告来自于某个公司的5个打电话的人。第三,与目标公司自有的情报分析组的相关详细分析显示了竞争者的某个感兴趣的领域,该领域会对它的若干方面有帮助。对客户来说,这些感兴趣的问题包括提供竞争对手可能向哪儿发展的洞察。这个例子类似于一个国家受到临近好战国家的威胁,进行情报收集研究,以针对特定边界地区进行防卫。对那个国家试图要回答的问题掌握的越多,就更能预知攻击会集中在哪里。另外,这一分析显示了对手的兴趣范围和它收集活动特性——另一个高层管理人员有重大兴趣的领域。第四,以电话号码作为一个参考点,回复电话的接线员就可以用以前的名字和来电者的身份进行比较,警觉战术上的变化(使用不同的名字,等等)。更进一步,他们也可以通过号码识别电话的接受者——有些联系可能还没有被报告。第五,在一个侵略性的对策程序中,要教育雇员们在他们经常活动的地点应扮演的角色。当然,在实际事件中,这个过程会比我们建议得更加复杂。最后一点适合“无意识结果的法律规定”。在以上提及的公司,作为几打采用了类似程序公司的案例,员工积极地参与保护流程也促进了收集流程中的合作。几乎每次向职员听众做意识介绍时,都至少有一个人会问一个类似的问题:“如果他们也对我们做这样的事情,我们应该做些什么来对抗他们?”在这点上,内部的业务经理会注意提问的人——或者同意这样的提问者——为以后的接触,也会包括在公司的内部收集项目中。 安全保障策略安全保障策略是一种确定对手/竞争者如何及时获得对他们有价值的关键信息的系统性方法。安全保障策略处理的是那些零星收集的、经过拼凑的信息,这些信息能够揭示一个公司运作和活动中的敏感性或专有性的方面。安全保障策略通常有五个步骤。当然,这些步骤并不是要求按照严格的顺序。过程中公认的优势在于它的灵活性,这允许运作安全人员各个步骤之间来回跳动,以任何顺序,无数次,以达到更加有效的目的。许多地方都用循环的形式描述了这些步骤,因为在一个不断变动的环境中,这些步骤具有动态性。运作安全过程的步骤如下:区分关键信息↑威胁分析↑弱点分析↑风险评估↑合适策略的运用229
shangye jingzheng qingbao shiwu商业竞争情报实务 确定关键信息指对手得到后能够达到他们目标的信息。更明确地来说,关键信息是关于对手/竞争者需要的公司意图、能力和活动的特别事实。这些因素允许一个对手去有效地计划和行动,以担保不发生竞争环境中的失败或不可接受的结果。 威胁分析这个步骤是识别对手或竞争者以及他们的目的、能力和企图。他们知道了什么?什么时候知道的?他们想什么,为什么那么想,预计他们会如何得到这些? 弱点分析这一步骤包括对公司全部运作和活动的检验。弱点标示出可能会被威胁利用的关键信息的信号。有一种对手会使用的方法,即我们把自己放在对手或竞争者的位置,从对手的角度一步一步研究我们自己的运作/活动,从而确定我们自己公司的行动和竞争对手的发现能力之间的关系。信息具有多长时间的价值取决于对手收集和发现信息的能力。 风险评估这是运作安全过程的决定步骤。它开始于一项对运作/活动弱点的潜在影响的估计,随后对推荐的纠正活动的投资收益分析。在该步骤中也要确定前述步骤间的相互关系(关键信息,威胁和弱点)。最后,完成公司运作和活动效果中执行对策影响的评价。 恰当对策的应用对策是阻止和降低对手或竞争者获得关键信息能力的行动。运作安全对策分为:消除能被发现的指示性信号瓦解对手收集或处理能力的效率组织对手分析中对信号的准确解释这三种对策同样重要。GeorgeJelen,国家安全局(NSA)运作安全的前主管曾说:“每一个阶段对于全部过程的完整和效力都重要。尽管每一个阶段都有其自身价值,但只有五个阶段共同作用才能产生充分的价值。识别关键信息提供关注焦点;威胁分析保证现实主义;弱点分析增加客观性;风险评估保证合理性;对策运用保证效用和价值。他们一起代表了一个逻辑和平衡的抗风险的方法。适用230
16.企业反情报工作和商业信息保护于任何竞争形势或对手的方法不可能完全避免风险,但是可以管理风险。”通过使用运作安全分析过程,竞争情报专家可以更好地理解对手或竞争者会获得什么信息、信息丢失的影响、更好地理解对这些信息的保护方法。对运作安全对策的认真选择和合理应用将对公司保护关键信息泄露所带来的危害产生有效的作用。竞争情报的法律和道德问题作为一个企业或者企业的情报工作者,在本附录中你将了解到一些能影响日常情报工作实践的相关法律和道德问题的知识。相关的工业间谍案件和反不正当竞争诉讼已经开始在很大程度上影响到企业的竞争情报工作实践。信息或者情报的价值得到企业越来越清楚的认识,情报行为获得的关注越来越多,特别是法律和道德方面的关注在加强。相对于资本和技术,情报的价值受到前所未有的重视的同时,对于情报的管理被加强了。这些问题在数字化技术盛行的时代,更加显得重要。因为互连互通的同时,是信息更容易被获得和发送到任何地方,也许这些目的地是你的竞争对手的邮箱。黑客和网络截取技术增加了代价高昂的错误的风险。从事信息内容创造的企业对在数据方面保护他们权益的警惕性正在提高,并且新技术给了他们追踪泄密事件的有力工具。对网络入侵的关注已经导致产生了大量的惩罚非授权访问的法律。在此我们提供的是美国的一些法律方面的情况,有关的案例也来自美国。全世界许多国家也正在实行和计划实行相似的法律,中国在这方面的情况似乎还显得缓慢一些,但是相关的法律制定工作已在准备中。因此,虽然这儿讨论的规则反映的是美国法律,但是它们也代表了在大多数工业国家应用的相似标准。此外,即使非美国公民有时也可能为他们在世界其他地区所做的事而在美国受到控告。最终的告诫应该来自律师,这里提到的信息,事实上仅仅是作为一般指导,而不能作为任何具体事情的法律建议。具体的行为建议你必须从法律和律师那儿获得,因为特定的事实会影响事件的不同结果。231
shangye jingzheng qingbao shiwu商业竞争情报实务 商业秘密工作相关法则和情报行为规范 盗窃商业秘密的民事责任及相关权利 什么是商业秘密商业秘密可以是任何并非普遍皆知的有用的商业情报。别的用以描述商业秘密的词可能是机密或私有情报。在制造业,商业机密可能是一个使处理工作更快或更好的决窍。在研究方面,商业机密可能是一个公式或设计。在市场方面,它可能是一份顾客文档或名单,在人力资源方面,它可能是薪资信息。在管理上,它可能是一份战略计划或财务数据。如你所鉴,一些可以保护的技术或科学情报,数量巨大的非技术性业务情报也包括在内。 如何区分商业秘密和专利以及版权专利是政府承认的一项发明,经证明是正确的、足够新颖的,政府给予发明者一个暂时的垄断专卖权,以回报他展示给公众他所创造的发明。所有的专利都是作为商业技术秘密开始其生命的,但最后在专利被公布时其秘密性丧失。在一段设定的时期后专利期满(通常是专利申请备案之时起20年)。反之,商业秘密的持续是无期限的,只要它们不被泄露,或者别人没有独立发现同样的信息。事实上,这就是两种保护形式最大的区别:专利给予你使用此发明的排他性的权力,而商业秘密对于别人的独立发现则不能给你以保护。版权是另外一种通过法律实现的政府保护形式,但它并不包括像专利的发明,或者像商业秘密法的情报。实际上,版权保护一些思想表述的形式或创造性思想,它最常用于手稿或其他类型的能被保护的记录,即便它只有很少的新颖性。其结果是,许多出版的商业文本——诸如手册和报告——也可能被保护,以阻止非授权性复制其大量内容。区分商业秘密和其他知识产权的一个特征是,它们并不以某种政府登记注册的形式描述。结果是,在大多数情况下,你并不真正知道被保护的秘密的界限,直到被协议或诉讼标明界限。这种必要的保护是商业秘密法的核心,对冒险行为提前做判断是困难的。232
16.企业反情报工作和商业信息保护 商业秘密法的基本原则商业秘密法不像专利和版权能够被法律标明界限,它由判例发展而来。在美国开始于150年前,当我们开始从农业社会进入工业时代,新的环境要求雇员和零售商能够被信任,以获得以前可能由个人或家庭保有的秘密信息,诸如如何操作一台特殊的机器等。判例推进了强制保密的责任。在这个意义上,商业秘密法的首要概念——并且也是为什么这个问题对竞争情报工作非常严厉的原因——是强制性的职业道德和道德体系。其他重要的政策目标包括鼓励投资创新,保证劳动力自由流动以促进竞争,以及保护私有财产。这儿的基本原则是:你不能破坏隐私或者获取不属于你的情报。这条原则被那些视自己为商业道德裁判的法官和陪审团所应用。因此,避免商业秘密麻烦的核心策略是确信你不被看作有不道德行为。其实这很困难!什么不能被称为商业秘密三种类型的信息被排除在商业秘密的定义之外。第一种被排除在外的信息是,在此领域广为人知的信息。这类信息可见于标准教科书或其他广为流传的参考书中,并且自由为所有人使用。例如,你不能将潮汐表称作是你的商业秘密。第二种被排除在外的是雇员技能——它是做好一项工作所必需的知识和专业技能。例如,一个有经验的计算机程序员的个人技能包括懂得如何写有效的代码。但是,它不能包括为以前雇主开发的特定代码或特定算法。同样,一个新的销售人员可以学习大量有关在一个特定的产业和市场如何销售,他可以在下一个工作中应用那些技巧,但是他不能使用他了解的有关特定顾客的特定需求的信息。在不被保护的技能和被保护的秘密之间划一条线可能是困难的,这也是许多立法的核心问题。第三种被排除在外的是容易获取的数据。能够从对公开有效的产品的诚实的非正式的检查中,一点一滴搜集到的信息,不能被称作商业秘密。这种例外也适用于那种只花某人几小时就能从产品中分离出来和发现的秘密。如果这种对产品“逆向工程”的努力费时较长,那么就是秘密,并且它的人力可以通过花费在完成逆向工程上的时间来测度。在很多情况下,一个企业希望通过逆向工程来研究竞争者的产品,以便获得进步提高,或者创造一个与之竞争的产品以及获取进行其他研究的技术情报。这种情况较为复杂,对于实施逆向工程而出现的仿制行为,一般的处理都是适用于商业秘密法。除非被仿制的产品另有专利方面的保护。233
shangye jingzheng qingbao shiwu商业竞争情报实务 商业秘密要素保密性:显而易见,你也许认为被保护的商业秘密一定是秘密性的。的确如此,但还是有严格的差别:保密不是绝对的。换句话说,信息能被广泛分享——有时达数千人——但以法律的眼光看仍有保密的必要。然而为使这种相对保密有效,这种情报必须正确管理;它应该仅分发给那些需要知道它的人,并且应达成共识:就是那些已访问此情报者,将不把此情报传递给未被授权的人。实践中相对保密的例子包括,提供机密构图给潜在的零售商,以及在不泄密协议下,商业计划被分发给潜在的商业伙伴。相对保密在情报被错误发布的情况下也可以对保护权益起作用,比如接受者可以被识别,并且一些副本可以被索回。我们常常看到一些电子邮件的附加说明,讲明该邮件及其附件是发给特定人士或机构的商业函件,内含保密信息,如果你不是该函件规定的收件人,你应该立即将该邮件删除。有价值:由法庭保护情报是合适的,有一些竞争优势就是由于它是秘密而得以保持。例如,企业把自己的生产设备保持对外封锁,但它的生产设备与标准机械的唯一差别仅仅是刷成了不同的颜色。它就不能作为商业秘密来保护,因为颜色并不提供任何优势。当然,这个简单的例子仅仅是为了说明企业经常将情报当作秘密来对待,只是因为假设有某些真正价值蕴藏其中,而事实上竞争的焦点并不在这里。所有者适度的努力:在法庭介入帮助情报所有者之前,现代商业秘密法要求所有者对保持情报秘密做出适度努力。对于竞争情报从业者而言,在此标准上的失败是其抵御盗用控告的第一道防线。毕竟,如果外人能够毫无困难地发现该情报,一定是由于它未被很好地保护。如同商业秘密法的其他类似问题,仅仅满足适度努力标准是模棱两可的。一般而言,法庭希望企业度量出情报的价值以反对失盗所冒风险和任何给定保密程度的花销(代价)。至少,企业处理敏感情报应要求雇员以及其他已经访问该情报者签署不泄密协议,就像设置访问、复制、分发数据的控制规则一样,载有机密数据的文本或其他载体应被标以适当的戳记或标志。 商业秘密失窃 破坏信任关系商业秘密失窃的最一般的方式是通过破坏信任关系。这种关系通常是雇主和雇员,但也可能是合作伙伴或商业投资合伙人,或者是企业和它的供应商或者顾234
16.企业反情报工作和商业信息保护客。事实上,做生意的现代方式是在信任关系上放一笔保险费,给了我们一些像“实体”、“协作工程师”和“外部资源”之类的新术语。信任关系未必是书面的、强制性的,许多法庭已经从全部有关事实总结出人们知道他们参与的关系要求他们保护秘密。这是事实,例如,做研究的雇员,提供报价单的零售商,以及专利许可证获得者。在所有这些关系中,人们获取敏感数据只为了一个目的:帮助达成商业目标。以一些其他方式使用或泄露情报是对此关系的破坏。对情报职业人员而言,在你知道或者应该知道却不知道的情况下,接受非授权的情报是非法的,并且是一种盗窃行为。 不正当手段与破坏信任相反,一些有正当访问情报权力的人不恰当地使用或泄露了情报,通过应用不恰当的未经授权的手段盗用,这也被看作工业间谍。它(尽管许多人可能怀疑)不仅限于偷听他人谈话,电话窃听或者盗窃,法庭看待不正当手段的概念很宽泛,将它适用于各种行为,作为不可原谅的不轨行为来打击。在一个著名的案例中,杜邦公司正在建设一个化学加工厂,并在施工现场设置了保卫,以防人们了解其工艺和建筑规划,一架小飞机几次飞过,后被证明是一个竞争者雇那个飞行员进行航拍。当起诉其盗窃时,那个飞行员的辩护必然是那些情报是自然出现在他的平面视野中。法庭被这种看似顽童行为的欺诈所触怒,它给这种行为贴上“工业间谍”的标签,并警告那些人,法庭的机智毫不逊色于那些无耻之徒。在数字化时代,我们有望找到无数的新方式去获得访问别人数据的权力,然而,这种冒险的人虽然自认为聪明,但依然会被法官看作不轨行为。如前所述,对在开放市场上可获得的产品进行逆向工程,被认为是公平合法的(注意:个人专利和版权不在此例)。然而,如果产品不是正当获得的,或者如果因为某人已访问了未被封装的相应情报,则这种努力就是不道德的,并被判定为不合法。对复杂产品的逆向工程,特别是涉及软件时,应该仅仅在法律条件限制内进行。 商业秘密诉讼 损害赔偿和诉讼的其他后果商业秘密失盗会引发出哪些民事权利?第一,法庭可能同意你和你的雇主继续使用该情报。如果该数据已被不正当地用于生产线、一个复杂的产品设计或一235
shangye jingzheng qingbao shiwu商业竞争情报实务个市场活动,则问题可能会比较严重。最坏的情况是,整个企业可能会被强制停业。这是因为商业秘密的传染特性,你应视未授权保密情报如流感病毒。一旦它感染了一个组织便可以迅速进入大量的系统,变得难以或者几乎不可能被清除。失窃也可以导致损害赔偿,在大量的商业秘密案件不进入司法审判程序的情况下,部分审结的案件已产生了超过一亿美元的赔偿。因为此类案件诱发大量情感因素,并且因为情报的尺度和价值很难把握,所以损害赔偿很难预计。在美国的大多数州,严重的商业秘密侵害都能获得赔偿,只要失窃被证明是故意的和蓄谋的。即便争端不进入司法审判程序,通过适用别的法律,律师费、损失的执行官和工程师时间、注意力的分散转移等所引发的费用也是相当巨大的。 可能适用的其他法律商业机密失窃并不是限制竞争情报行为的唯一法律依据。事实上,律师中有许多坚持引用不同法律理论的趋势,每一种倾向都可能补充加强对商业秘密的保护手段。因此,商业秘密失窃案可能导致多种形式的判决。 引诱如果某人被确信滥用或泄露情报,那么他们可能犯了盗窃罪。但有时失窃是在他们不知情的情况下发生,如当别人诱使他们泄露该情报时,这种由第三方劝诱而发生的行为也可能被当作泄密罪来对待。因为情报行为有时包括鼓励他人提供有用的数据,如果进行劝诱是在明知目标处于保密义务之下,而职业人员应该知道这种泄露的后果,会被称作有意欺骗、引诱,可能导致极严重的损害赔偿。 欺诈欺诈也叫诈骗,是最古老的法律罪错形式之一,它包括有意制造一种虚假情境,意图使信赖它的其他人产生某种伤害其自身的行为。罪犯欺诈的另一种方式是,隐瞒部分情报意图以半真半假的言词引导某人的行为。在信息企业,欺诈是一种担忧——例如,当某人使用假的身份证明获得访问权,因为此人提供的数据被误解,在这个意义上,你可以看到欺诈和引诱常常交错重叠。 侵犯隐私差不多所有的国家都认可隐私不受侵犯的个人权利。因此虽然对公众人物的监督是被广泛接受的,但使用放大装置窥视其私人空间,或用增强设备监听他们的谈话仍然是错误的。在一些具体环境条件下,法人团体也享有类似权力。一236
16.企业反情报工作和商业信息保护些法官坚持企业有理由期望其废纸上的隐私不受打扰,并且从废纸和垃圾中有意搜取情报是犯法的。在数字时代,仅仅通过网络联系就产生了无以计数的交易记录,但隐私法在这个领域还处于其早期发展阶段。 不公平竞争现代社会以巨大的矛盾心理看待企业,在我们欣赏和消费其产品和服务,并高度评价侵略性竞争时,我们也因其残酷无情或过度而禁止某些行为。各种各样的反对不公平竞争的法律,就是这种保护的依据。许多不公平竞争的界限相当模糊,并且远远超出了通过商标侵权而在市场上造成混乱的传统观念。因此,近些年来辩护人常常试图将这些法律应用于差不多任何未定义的看上去不太合适的企业行为。 版权侵权按照较早的解释,版权法是保护某些艺术著作的表现形式或著作权。这对职业竞争情报人员意味着,文本的复制并不总是没有风险的,虽然它们能够在图书馆或因特网上被找到。一般情况下大部分复制是合法的,被称作公平使用,它允许学者或别的研究者从作品中做有限摘录和简单的个人复制,以及包括在他们自己的作品中引用。实际上包括对许多公开出版物做简单复制并没有什么风险,因为它们并未在版权署注册登记(允许法庭对复制征收巨额的最低复制费)。但是在你的工作成果可能被分发的情况下,最好重新表述,节约引用,并且适当归功于恰当的人。 避免民事诉讼:公平行为手册 追随你的道德指南立足于你的个人道德观,不要让成就感遮蔽你的判断。如果你觉得错了,可能的确是错了,如果你开始为证明自己的行为是正当的而自言自语时,停下来,想一想。 机智而非鬼祟从公开资源获得你的情报,依赖于你明白如何使用那些事实。利用因特网,在海量的公开数据中,集中精力于创造性的卓越见解。记住:夏洛克·福尔莫斯从许多可见的证据中推理,而从不窃听电话或偷听他人谈话。保持详尽的记录:保持那些显示你从何处得到数据,以及你如何正当实施数237
shangye jingzheng qingbao shiwu商业竞争情报实务据采集行为的详尽记录。在一个信息爆炸的时代和在因特网上的瞬间搜索,这可能难以做到,但你应尽你所能地去做。记住:通过重建你的诚实之路,你可以避开大部分法律问题。 别人的权利无论何时你看到文本或其他媒介载体上标有“这里包括了其他人的权力”时,不要忽略此问题或做一些简易的假设。把这些人计入其中以帮助你评估风险。 提升你的情报风险意识在总是被环境警告之处,你需要特别注意。你可能更愿意设想一下,你有没有正当的理由和行为的根据。例如:已知将被诉讼的公司目标之处,具极高价值的情报之处,以及看起来太容易得到重要情报之处。 竞争情报行为的道德方面 合乎道德的行为与合法行为的区别对于在操作环境中面对正常决策的情报实践者而言,法律和道德二者之间的区别并非总是清晰明确的。这种区别并不是非黑既白,常常是处在模棱两可的灰色世界里。实施非法行为会触犯法律,违法会引起对个人或雇主的民事或刑事责任。无论司法如何定义,遵守现行法律条文的行为就是合法的行为方式。但是合法的行为不一定是合乎道德的行为。不道德行为是指职业者、同行、雇主或其他行为组织的实践活动超出了公认的限度。例如:不遵守竞争情报专业人员协会的道德规范或不遵守你公司的商业实践准则,可能就会被看作是不道德的。不道德行为也可能是违法的,比如贿赂政府官员。 商业实践准则大部分企业,特别是大的跨国公司,在通行的商业实践准则下运作。公司可能称这些实践准则为“标准”、“实践准则”、“团体价值观”或者“商业道德”。一般而言,书面的政策方针会描述公司对雇员商业实践的期望。每个公司有自己的准则,我们建议雇员应熟悉各自公司的方针政策,并遵守其条款。公司的方针政策文件代表性地说明了公司在各种各样的商业问题上的立场。可接受的或不可接受的“商业行为”被一个公司的实践准则所描述,该准则可能包括卖主、投资人、本地社区成员、政府代理人,几种类型的客户或顾客,238
16.企业反情报工作和商业信息保护另外还有雇员之间的各种关系。这些准则可能在某些细节上被打破,以满足特定的商业需求、特定雇员关系、内部和外部的个人与集团的相互作用。一些小的企业只包括一些典型的实践准则,而大的跨国公司则有很细致周详的准则。准则预料为企业工作的个体在其工作实践中,每天将遇到的商业情况而采取相应的措施,下面列出的一些准则明确了各规范共同遵循的许多特定情况,它们包括:遵守法律 礼物处罚 安全无条件服从 政府审查政治活动委员会 零售商(卖主、摊贩)的选择和管理行贿、受贿 诚实交流产品质量保证 性侵犯关注环境 交易知情者保护公司机密情报 生意相关政策利益冲突 知识产权保护公共关系 法人权力使用公平竞争 社区关系保持精确记录如同公司业务逐步发展以及它对应的外部环境的变化一样,实践准则也是逐步更新和修正的。许多公司让雇员每年签订指明他们必须遵守的条款的文件,这个举措让雇员明悉公司设置实践准则的重要性,并有助于确保雇员遵守修订后的准则或准则的新的方面。在这些准则中,一般都举例说明期望行为的原则,后面跟随以问答格式的案例以便帮助雇员明确理解共同商业原则的应用。 合乎道德地收集和传播情报的准则置实践准则于合适的位置,就能够合理合法地系统收集、分析和传递有关公司紧要利益和重要主题的情报。在一般商业实践准则的具体环境中,拥有情报职能的企业可能选择特定的收集传播情报的实践准则。因为即将出现的情况,不能被完全预料并采取相应措施,在开始着手“灰色活动”(我们将对于实践者来说道德行为尺度并不清晰的情况定义为“灰色活动”)之前,准则应指导实践者向更高级的情报专家、律师(法律顾问)或伦理道德专家咨询。我们综合了贯穿几个行业的跨国公司获取竞争情报的一些准则,基本上遵循下列原则:239
shangye jingzheng qingbao shiwu商业竞争情报实务在本国以外采集情报:许多公司在跨国基础上进行商业运作,以及参与世界性竞争。当在本国以外收集情报时,企业的当地附属机构在任何情报收集发生前,应当先咨询当地法律、法规。如果公司有全球性实施规范,它应被遵守奉行。例如,在亚洲、拉丁美洲和欧洲部分地区的商务实践在接受美国标准方面有明显不同。当在这些地区实践时,一个情报职业人员仍然代表他的公司,并且应该遵守奉行全球规范。公众信息:已经公开开放给公众的信息,其使用不应被限制。这包括有效公布的信息,公众传达的消息,或者其他在公众看来可以自由使用和传播的信息。信息采集方式:职业人员决不能用违法的或不道德的方法收集竞争情报。与竞争者相关的包括价格、市场战略、客户、市场成本、或者未来的生产制造计划时,很容易出现违反信用或其他商业实践法律的倾向。收集竞争情报必须遵守这些法律。逆向工程:从有效公众信息反向研究获得的情报或者合理合法获取的情报可以被使用。保护私有信息的权力:职业人员尊重竞争者保护其私有信息的权利,并且在搜集竞争情报时不侵犯此类权利。对代理的活动负责:职业人员对于代理的行为或者企业雇佣来以获取竞争情报的咨询人员负有责任,除非企业没有授权他们的活动。一个代理人或咨询者作为企业专业人员的延伸,活动行为必须遵守企业的准则。由企业公开和使用:代表企业收集的所有竞争情报的公开和使用是受企业利益的限制的,他们不能用于谋取个人私利或者泄露给外界。行贿受贿:无论为何种目的,企业都不能使用或批准行贿。即使是一些合理合法活动也应避免,因为它们可能会被曲解——例如,在政府雇员帮助获得一份公共文件之后请他/她共进午餐。非法侵入:非法侵入竞争者处所既违法又不道德。然而从公共场所通过观察调查收集情报是可能的——例如,从饭店、餐厅、高尔夫球场。误传、歪曲:关于你是谁以及你是做什么工作的,应一直开诚布公。在实施会谈访问前先表明你自己的身份和你代表的企业。拍照、摄像:一般而言,任何可在公共场所看到的商业操作也可以在公共场所被拍照、摄像。但是如果是非公开的,则不应拍照、摄像。有问题的情报:如果某雇员拥有的情报在关于其使用方面存在任何道德或法律问题,在使用、复制或分发此情报之前,向律师(法律顾问)或伦理道德专家240
16.企业反情报工作和商业信息保护咨询。 保护商业秘密和其他知识产权的准则公司获取大量情报并让其雇员使用这些情报,情报是必须要保护的重要资产。机密情报的流失可能对公司竞争地位造成极大损害。机密情报的例子包括但不限于价格方案、研究成果、生产工艺、财务数据、市场和销售策略以及计划,工程图纸和计算机程序。每个雇员对保守公司机密情报都负有责任,甚至一个人在公司的雇佣期结束,这项义务仍继续有效。一般来说,使用密码口令保护计算机文档,给工作现场的文件和档案柜上锁,并且避免在公共场所讨论公司敏感的业务是明智之举。知识产权一般指的是对思想的无形产品的所有权。公司重要的知识产权例子包括:专利、商业机密、版权和交易记录。公司必须特别警惕保护其知识资产,尤其是给激烈竞争带来竞争优势源泉的新技术。遵守公司保护知识产权的程序,这些程序提高了雇员对他们工作的私有性质的认识,那可能就是公司的核心资产。这些程序可能不仅用于知识产权保护本身,也为不断教育所有雇员关于保密的重要性服务。商业机密是被合法保护的知识产权的一种。传统上,是通过秘密协议保护商业机密。作为被保护的商业秘密,所有者必须表明为保护机密而采取的措施,包括限制其复制、分发等。“商业机密”这个词意味着所有格式和类型的财务、商务、科学、技术、经济或者工程情报,包括专利、计划、化合物、程序设备、公式、设计、原型、方法、技术、步骤、过程、程序或者原则,无论是可感知的还是不可感知的,也不论如何存储、编制,或者是否自然记忆、电子化、用图表表示、摄像或者书写等,鉴别他们的两个主要条件是:①所有者已采取可靠措施来保护情报秘密;②该情报能够派生,引发得到实际的或潜在的独立的经济利益,由于并非广为人知,并且也不能通过适当的途径、方式被公众快速查明。 情报道德:历史案例和评论历史案例分析作为一种务实的方式,能够为情报职业人员表明什么是合乎道德的和合法的情报行为。从SCIP在过去数年基础上大量的道德程序实践基础上,选出四个案例来举例说明在商业情报实践中的情况。随后的每一个案例,被描述的行为方式有四个选项,每个选项都有专家评论。241
shangye jingzheng qingbao shiwu商业竞争情报实务 案例一 :零售商作为一个情报职业人士,你决定雇一个零售商收集有关竞争者的情报。你正在搜集特定产品的很明确的战略计划的情报,该产品明年将推向市场,并且其态势主要针对你们的主导品牌。零售商都说他们在工作中将遵循竞争情报专业人士协会(SCIP)的道德规范。每个人都为此目标提出了不同的方案。你将雇佣哪一个?零售商A表明自己的身份,并且同竞争者的供应商、外聘雇员和顾客会谈,他全面回溯所有的二手出版物以确认或否定重要的研究成果。零售商B表明自己的身份,并说他正为许多复合客户进行一项定制研究。他告诉竞争者——他们被看作产品推广策划的“杰出代表”。他同竞争者的供应商、外聘雇员、客户以及当前级别较低的雇员会谈。他提出一个小型的第二研究方案。零售商C同竞争者当前的低级、中级甚至该企业的高级雇员会谈。他表明他的身份是客户研究专员,正把这个企业作为“杰出代表”进行研究。没有第二研究方案备选。零售商D同竞争者当前的雇员单独会谈,并对提供情报者支付报酬。他并不表露研究客户的名称,并且也不回溯有效的公共文献。评论/案例1,零售商A:这是适当的职业行为。卖主表明了自己的身份并且不打算误导,公共领域的研究是他的方案的基础。评论/案例1,零售商B:打算误导是不正当的,例如,称其研究是为许多复合客户的定制研究,在SCIP道德规范中指明这被认为是冒充别人。评论/案例1,零售商C:像卖主B一样,打算冒用并非那些客户的公司,是不正当的。然而,同竞争者内部的任何级别的雇员会谈都可以,如果他们同意在诚实和道德的条件下,介绍研究目的和阶段性成果。评论/案例1,零售商D:对竞争者的雇员中提供情报者支付报酬是不道德的,不正当的,同时可能是违法的。不表露身份就是冒充,并且违反了SCIP道德规范。 案例二 :偷听(偷窥)你是一个坐飞机长途旅行的竞争情报职业人员,你的邻座打开一份标题242
16.企业反情报工作和商业信息保护为“某产品的市场战略”的文件,那是你公司主要产品的直接竞争者,读了几页后,他站起来去飞机上的休息室,在他离开时,你应该:A、取过市场计划并把它藏在你的包里。当他返回并问你是否看到他的报告,告诉他你不懂他在说什么。B、在他离开时,摘要记录这份战略计划,然后将文件放回他留下它时的正确位置,并什么也不说。C、在他离开时,要求飞行侍者掉换你的座位,这样可以避免任何潜在的不道德的行为的风险。D、在他离开时不看文件,当他返回时,忠告他你为其竞争对手工作,并告诉他如果他选择继续阅读,是他自己在冒险。评论/案例2,A:偷竞争者文件完全是盗窃,这不仅不道德,而且违法并可能是刑事犯罪行为。评论/案例2,B:这不是正当的职业行为,可能被看作非法侵害。评论/案例2,C:这是最保守的选择并且可能是过头的,它未必可行,因为未必有另外一个可用的座位,然而,从道德的角度讲是无可指摘的。评论/案例2,D:这是恰当的职业行为,如果在你表明自己及公司的身份后,竞争者继续阅读,他给你的暗示是同意观看并放弃对其文件保密。竞争者实际上以一种不负责任的态度行事,他不保护其公司的机密资料,你随之而来的行为是可以接受的。 案例三 :新雇员你公司刚刚从竞争者那里雇了一名业务部门经理,她为竞争者工作了20年,并负责监督和管理与你公司直接竞争的产品。作为一名有道德的职业竞争情报人员,你在她作为你公司新的业务部门经理上班的第一周去拜访她,在你同她会谈期间,询问下列问题即合乎道德又适当。A、有关其行业知识的一般性主题和她以前公司的有公共记录资料的商业战略。B、她的公司的非公开部分的商业和产品战略,但在她被竞争者雇佣时并未指明作为机密的内容。C、她以前公司的组织结构,特定产品,市场和成本结构,以及未来计划等她能够回忆起来的内容,这些内容偶尔会被贴上机密的标签。D、她以前公司的结构,特定产品、成本、预算等等的不厌其祥的细243
shangye jingzheng qingbao shiwu商业竞争情报实务节,甚至在其被原公司雇佣时,一贯被贴以机密或私有标签的内容。评论/案例3,A:对于访问者和新雇员双方都是合适的职业行为,所有的向公共领域解密的资料都允许被讨论。评论/案例3,B:按照商业秘密法律,对于双方来说这是可接受的合法行为,因为竞争者并没有为保护其数据作为商业秘密而做努力,指明这是商业机密,用有形的保护限制访问,或限制外部分发。评论/案例3,C:询问你明知受商业秘密法保护的有关问题是不道德的,提供此类被以前公司保护的情报也是不道德的,即使它仅仅偶尔被竞争者保护。评论/案例3,D:明知故问,以及提供此类一贯被作为商业机密而保护的情报是不道德的,双方应避免此类行为,因为法律后果因此而产生。 案例四 :候选者你是一个情报职业人员,正在做一个竞争者分析以了解其市场和销售成本。你公司某人给你送来了一份求职简历,简历表明此人正受雇于你的竞争对手,而且上面所列工作评论的内容包括薪资历史,组织情报细节,以及雇主产品数据。你将如何处理这种情况?A、阅读该情报并使用它。B、将它退还你公司的送阅者,同时附一纸说明解释为什么它被退还。C、将它送给你公司的律师。D、撕碎该情报。评论/案例4,这个情境说明职业情报人员时常要面临道德和法律的挑战,在面谈时携带此类私有资料以提高其获得工作机会的候选者是不道德的。看或接受此类资料也是不道德的。该候选者应被退回,并且应考虑通知他的雇主,这种类型的个人,带有明显扭曲的道德观,对于任何雇主都是危险的。面试者明知这个道理却鼓励候选者泄露私有情报,这也是不道德的。这种行为最终必然会被人知道,并且使公司名誉扫地。合适的工作会晤内容应是检验候选者的技能、工作习惯、道德标准以及教育背景以决定他们是否能满足雇主公司的需要。面试官应重点关注候选者能否为其公司增加效益。244
16.企业反情报工作和商业信息保护 竞争情报专业人士协会(SCIP)道德准则SCIP成员遵守多年前建立的道德准则,并在1999年修订为职业人员实践规范。①继续为增进公众对该职业的认识和获得尊重而奋斗。②依照本国及国际现行法律行事。③提前对所有会晤者切实公开所有相关信息,包括身份和组织。④充分尊重情报保密的所有要求。⑤履行职责时避免利益冲突。⑥执行任务时提供诚实和真实的建议和结论。⑦在公司、以及(删除以及)第三缔约方和整个职业界推进此类职业道德。⑧忠实地坚持和遵守公司的制度、目标和准则。SCIP道德准则在情报界和更大的公众范围有效。作为一个职业情报人员,在职业界和公司都要遵行最高道德标准。随着在多种行业和领域职业者数量的扩展和此职业的国际认同日益广泛,在数字化时代的大小企业,不道德行为冒的风险越来越大。SCIP以及经验丰富的情报实践者的首要使命就是,结合实际将这些道德准则牢牢嵌入所有职业训练课程和教育中。245
