加强产业互联网企业保密管理工作的研究

王 佳 欧冶云商股份有限公司

一、引言

随着“互联网+”概念及商业模式的不断创新，B2C模式的成功经验正在向B2C领域不断复制，产业互联网新经济一时间成为当前我国企业追捧的热点。产业互联网是一种新的经济形态，利用信息技术与互联网平台，充分发挥互联网在生产要素配置中的优化和集成作用，实现互联网与传统产业深度融合，通过平台的资源聚集及调配优势，为传统企业实现效率提升和转型升级提供有力支撑。不同于消费互联网，互联网企业如果对实体产业链不熟悉、不了解，想用消费互联网的“打法”来进入产业互联网领域，往往需要承担更大的风险。而传统制造企业，基于其自身多年深耕产业端的优势和对产业上下游供应链的掌控，以及对贸易模式的熟悉，在充分运用互联网思维、技术及工具后，在产业互联网的赛道上更容易体现出整体优势，通俗而言就是“用互联网的方式重新定义传统贸易模式”。此外，为了充分体现产业互联网企业第三方的定位，大部分传统制造企业致力于打造产业互联网第三方平台。对于此类产业平台企业而言，保密管理既要满足传统企业内部的保密管理要求，还要体现出平台企业应有的社会责任和担当，更要主动承担起用户隐私保护及数据安全等责任。

二、保密管理工作对产业互联网企业的重要意义

(一)满足国家法律法规的要求

2021年滴滴赴美上市事件引发了全社会的高度关注，一时间大家对于互联网平台企业如何保护用户数据安全产生了担忧。为了切实保障国家数据及个人信息安全，国家有关部门分别于2021年9月1日、11月1日颁布实施了《中华人民共和国数据安全法》和《个人信息保护法》。从实际情况来看，许多消费互联网中的头部企业凭借其对市场的垄断以及上下游之间的信息不对称，通过“大数杀熟”、“差异化定价”等手段，在交易中赚取更多的利润。而用户往往因为已经养成的平台交易习惯以及对平台企业的信任，无法及时发现自己的利益受损。此外，国有企业因为工作需要，也会接收到一些涉及国家秘密的文件，对于这些文件的流转和学习，国有企业也必需按要求做好相关的保密工作。近年来，有关部门工作人员因为工作失误等原因，导致内部工作文件在互联网上提前“公开”的事件也时有发生，值得引起相关单位的关注。

(二)满足平台企业自身发展需要

对于产业互联网平台企业而言，最核心的资产就是平台技术及核心人才，相较于传统制造企业而言，由于产业互联网平台企业的轻资产特点，平台对其核心技术及核心人才的保护是否到位就会直接影响平台的“生死存亡”。因此，建立对其平台技术及数据的有效保护措施，做好核心技术人才的发展及保留，是平台企业巩固和筑牢核心竞争力的必备举措。与此同时，对于国有企业而言，为了积极践行国家“双循环”和“走出去”发展战略，结合当前全球经济形势，许多企业选择在海外开拓业务，也会向这些区域派驻工作人员，这里面不乏对我国经济发展具有战略意义的企业。对于这些企业而言，一旦海外属地业务数据及人员的保密管理工作不到位，不但会影响企业自身的发展，甚至还会影响到国家安全。因此，构建有效的海外保密管理机制，切实加强海外保密管理工作水平，必将成为左右企业能否在海外取得成功的核心因素。

(三)满足新生代员工对个人隐私的保护要求

90后、00后员工出生于互联网时代，既享受了数字化带来的生活便利，也感受到了因个人隐私信息泄露而引发网络“暴力”带来的负面影响。尤其是在当前常态化疫情防控形势下，许多本就深受疫情影响的当事人因为个人行踪信息被“意外”公布而遭受舆论的非议，身体及心灵的双重打击往往会对当事人造成长远的负面影响。此外，个人信息被非法倒卖传播的新闻已经屡见不鲜，新生代员工无论是在工作还是在生活中，对于个人信息的收集大都表现出十分谨慎的态度。而用人单位在当前互联网工具十分普及的情况下，为了提高工作效率，经常利用小程序或APP收集汇总员工个人信息。其中，大部分企业都没有事先征求员工同意，而员工因为处于劳动关系的相对弱势一方，基本只能被动接受。一旦员工个人信息被泄露，不仅会对员工造成伤害，也会给用人单位带来许多不必要的麻烦。

三、当前产业互联网企业保密管理工作面临的痛点

(一)保密管理体系尚不健全

大部分产业互联网企业都具有传统制造企业的特点，其中许多管理人员和业务人员也都来自于制造企业。因此，在对待保密管理工作时，习惯于采取“老套路”“老办法”。比如，有的产业互联网企业由于在成立之初，面临巨大的生产经营压力，没有时间和精力来考虑成立保密管理部门，而是仅安排兼职人员来承担日常的保密管理工作；或者有的企业虽然成立了保密管理部门，但是企业内部将保管工作全部看成是保密管理部门的事，这种管理模式从源头上就不利于保密管理工作的正常开展。值得注意的是，许多企业的保密管理体系形同虚设，责任落实没有真正到位，大量的工作积压在保密管理部门及工作人员手中，工作要求和部署没有深入一线。此外，有的基层管理者没有正确认识到保密管理对于企业可持续发展的重要性，在日常工作也没有履行自己的责任，反而将保密工作看成是一种“负担”，在布置工作时，将口头提醒视为保密工作的落实。

(二)保密管理基础工作薄弱

对于产业互联网企业而言，要切实做好保密管理工作，一方面是要结合企业特点，明确本企业的保密工作重点和难点，更为重要的是要确保工作计划和设想能落实到位，不折不扣地执行到位。在企业实践过程中，有的员工会认为自身从事的工作都是日常事务型的，没有什么是需要来保密的；有的员工虽然具备一定的保密意识，但是因为不清楚哪些文件或数据属于企业的商业秘密，所以在工作中有“无从下手”的感觉；还有的员工缺乏基本的保密工作技能，为图工作中的一时方便，将涉密电子文件按普通文件的传输要求进行处理。对于互联网企业而言，一些业务人员和平台运行人员会同时拥有多个业务系统的账号，在人员离职或岗位调整过程中，由于人力资源部门关注的重点不同，往往会忽视业务系统内相关人员的账号权限调整及注销问题，这样就会导致已离职或岗位已调整人员仍可以登陆业务系统，给平台企业数据安全埋下严重隐患。此外，因受疫情影响，绝大部分互联网企业都已开启远程办公模式，视频会议已经成为企业沟通交流的必备手段。但是因为视频会议，尤其是对于跨部门、多团队成员需要在一起视频开会的场景，如果对参会人员的身份确认不到位，也会成为企业内部信息外泄的常见“盲区”。

(三)保密设备及场所保障不到位

与传统制造企业相比，互联网企业往往更容易忽视对办公场所及办公设备的配置和保障。由于互联网行业存在太多的不确定性，多数企业会选择尽可能降低办公成本，轮换工位、分散办公、鼓励居家办公等不同形态的灵活办公模式已经成为当下互联网企业的通常做法。从保密管理的角度而言，这种多物理区域分离的办公方式不利于保密管理设备的统一配置和管理。考虑到成本等因素，部分企业保密场所及设备的配备难以覆盖所有的办公区域。比如，具备身份识别功能的打印扫描设备、封闭的保密资料储藏室等。同时，考虑到海外保密工作的开展，企业应该要为海外派驻人员配备具有加密功能的移动存储介质以及不存放企业内部信息数据的可移动电脑。此外，在移动互联网时代，许多企业内部召开的生产经营会议，往往会因为对参会人员的手机等电子设备管理不到位，而引发内部会议信息的提前泄露，给企业带来不小的损失。因此，在重要会议场所设置信号屏蔽装置或手机存放保管箱等，应该要纳入企业保密管理设备配置的考虑范围。

四、产业互联网企业加强保密管理工作的建议

(一)不断健全企业保密管理体系

大量企业的实践证明，要做好保密管理工作，绝对不是一朝一夕的事，扎实开展保密工作虽然不能让企业的生产经营水平迅速提高，但是反之一旦保密工作不到位，很有可能会使企业的核心竞争力遭受损失。所以对于产业互联网企业而言，必须在谋划业务工作的同时，同步谋划保密管理工作，在企业层面要成立保密管理委员会，建立由保密管理部门牵头，技术研发部门、合规管理部门、业务运营部门、人力资源部门等多部门协同配合的工作体系。为了确保体系的有效运作，各部门和业务单元要定期组织对自己所辖业务的涉密文件清单、保密等级和保密要求进行梳理更新，同时还要对日常工作中接触这些涉密事项的人员登记造册并落实保密责任和相关管理要求。此外，为了确保各级管理者切实履行保密管理职责，企业应将保密管理履职情况纳入领导人员及其单位的年度绩效考核，对于发生严重泄密事件的单位和个人要实行考核评价“一票否决”，并视企业损失情况对当事人进行问责。

(二)提升重点岗位人员的保密管理意识及技能

结合产业互联网企业特点，有两类人群的保密管理意识和技能值得企业花大力气重点给予关注，同时还应有针对性开展一系列培训。第一类就是职能管理部门的核心骨干，对这部分员工而言，由于其日常工作职责是代表公司履行管理职能，处理的文件大都会涉及企业的商业秘密。而一旦在发生泄密事件时企业想要维护自身的合法权益，就必须证明已经采取了适当的保密措施，所以如何让这些员工具备较强的保密意识以及熟练掌握保密技能就变得至关重要。比如，要在起草文件资料的同时结合工作实际确定文件的密级，同时做好对应的标识，这样其他使用和接触这份文件的员工才能按照保密等级采取相应的保密举措。第二类就是负责平台数据和用户信息使用管理的工作人员，对这类员工而言，首先就是要建立对平台数据和用户信息的“敬畏之心”，单个用户信息或部分平台数据的泄露可能不会直接对平台的运营造成致命影响，但是一旦用户对平台的隐私保护产生质疑，势必会引发公众对平台企业产生“信任危机”，同时还存在违反《数据安全法》和《个人信息保护法》的可能。故对于平台企业来说，让这部分员工严格执行数据存储及使用规范并建立企业内部的监督检查机制尤为关键。

(三)谨防互联网工具存在的保密管理风险

当前，微信、腾讯会议、金山文档等互联网办公软件的广泛使用大大提高了企业的工作效率，但与此同时，保密管理的边界也在不断外延，尤其对互联网企业而言，保密管理要求必须覆盖到这些互联网办公软件。关于微信、金山文档等软件的使用，一定要强调不应用于公司商业秘密及以上密级文件的编写或传输，对于此类重要文件仍然应通过企业内部的公文或邮件系统进行流转。值得引起产业互联网企业思考的是，企业微信、飞书等软件已经具备了诸如综合人事、项目管理及财务管理等基本功能，企业无需自建内部管理系统便可享受这些服务，但是由于此类软件大都无法实现企业数据的本地化部署，在极端情况下也会存在一定的数据泄漏隐患，建议具有一定规模的企业还是应该优先考虑服务器及后台数据可由企业自身掌握的技术方案。此外，互联网企业可尝试使用RPA等技术来实现内部账号授权管理、微信敏感信息监测等功能，从而进一步提升保密管理工作效率和成果。

(四)规范保密设备及场所管理

为确保企业商业秘密等敏感文件或存储设备的安全，有条件的企业均应配置一些基本的保密设备，如保密文件柜、涉密文件及介质销毁设备以及满足物理隔离条件的服务器保管场所。但作为产业互联网企业，在做好传统保密设备和场所管理的基础上，更应该关注和重视具有互联网属性的保密管理“工具”和“阵地”。比如，在处理涉密电子文件时，应在与互联网完全隔绝的单机上进行操作；企业内部的WIFI密码要定期更换并预留仅供客户使用的外部账号；要求企业员工在电脑上规范安装防火墙、设置具有一定强度的开机秘密等。此外，绝大部分互联网企业都会开发手机端的应用软件，在正式投入使用前，必须严格按照《数据安全法》和《个人信息保护法》的要求进行合规性自查。与此同时，对于平台交易规则的设计一定要确保公平公正公开，不得利用交易双方之间的信息不对称或者“杀熟算法”侵害用户利益。

(五)重视海外保密管理工作

面对当前“世界处于百年未有之大变局”的背景下，许多企业选择大力拓展海外业务，对于产业互联网平台企业来说，将国内成熟的商业模式复制到海外，紧跟国家“一带一路”倡议步伐，会给企业快速打开国际市场带来得天独厚的优势。然而，相较于平台模式的复制，海外工作人员的选派往往更加令企业感到为难。因为在海外工作要考虑的首要风险不是经营风险而是人员的“安全”风险。集团企业尤其是国有企业应该建立一套针对不同海外地区特点的人员选拔机制，在人选酝酿阶段综合考虑技术管理能力、抗压能力、当地言语熟练情况等，同时还应开展必要的培训，切实提高海外工作员工的保密能力。此外，还应建立海外派驻人员的定期回国轮换机制，利用相关人员回国的机会，积极与其进行沟通交流，及时掌握其思想动态，并判断是否符合继续外派的条件。最后，还要结合实际为海外工作人员配置必要的保密管理设备，寻找合适的办公地点，创造安全可控的远程交流网络环境。

(六)建立员工隐私保护机制

企业出于自身管理需要合理收集员工的个人信息是可以理解的，如果能在收集前制订并告知员工相应的隐私保护机制，让员工知晓其个人信息被收集后的用途以及保护措施，一方面，可以最大程度取得员工的理解，另一方面，一旦发生纠纷也可以证明信息收集的合理性。在互联网时代，用工形式越来越多样化，个人与企业的关系也不再是简单的雇佣关系，尤其是对于新生代员工来说，他们对于工作和生活的空间与自由更为重视。因此，企业必须像对待关键客户资料一样注意对员工个人隐私的保护，才能构建更为和谐稳固的新生代用工关系。

五、结语

随着互联网技术的广泛运用，保密管理工作将面临越来越多的挑战和困难，保密工作“阵地”不断扩大，泄密风险点多面广，但是无论对产业互联网企业还是员工个人，都必须主动拥抱这种变化，习惯用互联网思维来分析和解决问题，紧守合规管理要求，切实肩负起平台企业应有的用户隐私保护及数据安全责任，全方位做好保密管理工作，为企业实现高质量发展创造有利条件。