Hãy hình dung một kịch bản tồi tệ: Bạn nhận được cuộc gọi từ Giám đốc điều hành Công ty (COO), thông báo về việc cô Smith nghỉ việc và nhận công tác ở công ty đối thủ. Đáng lưu tâm là cô này nắm khá nhiều thông tin, hồ sơ mật và chiến lược của công ty, trong đó bao gồm cả những bài thuyết trình chiến lược mũi nhọn về marketing. Yêu cầu đặt ra từ COO là làm thế nào để bảo vệ được công ty lúc này. Vào thời điểm đó, bạn trấn an COO hãy an tâm vì cô Smith đã ký một cam kết bảo mật từ khi mới vào công ty nên sẽ không có gì đáng lo ngại. Tuy nhiên, chỉ vài ngày sau đó bạn thấy cần phải thông báo cho COO tín hiệu không được ổn lắm về trường hợp này, trên thực tế, theo ý kiến của tư vấn thuê ngoài, công ty bạn đã bỏ qua một số biện pháp cần thiết nhằm ngăn ngừa nhân viên tiết lộ thông tin cho đối thủ.
Wow, quả là một kịch bản không hay ho chút nào nhỉ? Nhưng điều này lại hoàn toàn có thể xảy ra nếu như công ty/phòng pháp chế của công ty bạn không lên những phương án tốt nhất để bảo vệ bí mật kinh doanh của Công ty. Việc không có những thỏa thuận, chính sách, khóa đào tạo hay kế hoạch phù hợp đều có thể dẫn đến những tình huống mà bạn không muốn phải đối mặt. Mặc dù sẽ không thể có 100% sự đảm bảo, nhưng là một luật sư nội bộ, bạn có thể thực hiện những việc nhất định để bảo vệ công ty nhiều hơn trong vấn đề này. Bài viết này sẽ nêu ra 10 “mẹo nhỏ” để bạn phối hợp trong kế hoạch hành động tổng thể giúp bảo mật thông tin cho Công ty của bạn:
1. Giữ bí mật – hàng ngày. Một thứ có thể không được xem là bí mật kinh doanh ngay cả khi kế hoạch/quy trình/công thức đó bạn không muốn đối thủ nắm được nếu như công ty bạn không có những động thái phù hợp để giữ bí mật về nó. Trong ví dụ ở trên, giả sử công ty đã chuyển những bản sao kế hoạch marketing tới khách hàng mà không có bất kỳ một thỏa thuận bảo mật nào phù hợp hay đã bỏ qua việc gắn nhãn “bảo mật” thì ít có khả năng ngăn cản được việc cô Smith kia tiết lộ thông tin liên quan cho nơi làm mới. Tòa án thông thường xem xét những yếu tố sau để xác định điều nào đó có phải là bí mật kinh doanh hay không: a) Phạm vi phổ biến của thông tin đó bên ngoài công ty, b) Các biện pháp để bảo mật thông tin đó, c) Giá trị của thông tin đó đối với đối thủ, d) Phạm vi phổ biến của thông tin đó trong nội bộ nhân viên công ty và những người tham gia kinh doanh, e) Tiền hay những nỗ lực mà công ty đã sử dụng/thực hiện để phát triển/tạo nên thông tin đó cũng như mức độ khó dễ mà người khác có thể sao chép thông tin đó.
2. Tạo danh mục các bí mật kinh doanh: Việc đầu tiên cần làm là liệt kê danh sách toàn bộ bí mật kinh doanh của công ty. Danh sách này không gồm các bằng sáng chế hay liên quan nhãn hiệu công ty bởi vì những hạng mục này đã được luật pháp bảo vệ và cũng được phổ biến rộng rãi. Bạn nên khảo sát ý kiến từ CB-CNV, lãnh đạo công ty và cả đội ngũ pháp chế nội bộ về danh sách này, sau đó tổng hợp, xem xét cho khớp với định nghĩa đã nêu. Bằng cách này bạn có thể a) nhận diện được các bước cần thiết để giữ bí mật và bảo vệ thông tin, b) làm rõ những hạng mục không được xem là bí mật kinh doanh.
3. Có thỏa thuận phù hợp. Cốt lõi của mọi chiến lược giữ bí mật kinh doanh là đảm bảo có nhiều thỏa thuận cơ bản phù hợp, thường xuyên được xem xét và cập nhật theo từng thời điểm. Trước hết, tòa án sẽ chú trọng vào phân tích liệu công ty đã thực hiện chuẩn chỉ các bước trong những thỏa thuận này để đảm bảo giữ bí mật hay chưa. Thứ hai, những điều khoản được soạn từ 10 năm trước có thể không bao trùm được tình hình hiện tại với sự xuất hiện của các phương tiện truyền thông hay điện thoại thông minh. Đã đến lúc cần xem lại và cập nhận các điều khoản hợp đồng liên quan (và đừng quên suy nghĩ về việc soạn thảo thỏa thuận bằng tiếng nước ngoài để tăng hiệu lực của các điều khoản ra ngoài phạm vi lãnh thổ quốc gia. Những thỏa thuận cơ bản bao gồm: a) Thỏa thuận không cạnh tranh (nhằm ngăn các nhân sự chủ chốt làm việc cho đối thủ), b)Thỏa thuận không lôi kéo (nhằm ngăn các nhân sự cũ lôi kéo nhân sự hiện tại qua những đề nghị việc làm mới), c) Thỏa thuận bảo mật (dùng cho cả nội bộ và các bên thứ ba), và d) Thỏa thuận làm việc tại nhà hay thỏa thuận làm việc từ xa (đảm bảo nhân viên hiểu rõ về yêu cầu bảo mật khi làm việc ở khoảng cách xa). Trong ví dụ ở đầu bài, nếu công ty có thỏa thuận không cạnh tranh phù hợp thì có thể cô Smith đã không làm việc cho đối thủ.
Khi bạn xem lại những thỏa thuận hiện tại hay lập những thỏa thuận mới, hãy suy nghĩ về tính hiệu lực của các loại thỏa thuận này (đặc biệt là thỏa thuận không cạnh tranh) có thể thay đổi tùy vào pháp luật ở từng vùng lãnh thổ địa lý. Bạn có thể thử một hướng tiếp cận sao cho phù hợp tất cả nhưng đừng mong chờ một thỏa thuận mà vừa có hiệu lực ở Texas vừa có hiệu lực ở North Dakota hay ở Mỹ La Tinh, ở Châu Âu….Điều nên làm lúc này là chi một khoản cho tư vấn bên ngoài để cập nhật nội dung các thỏa thuận sao cho phù hợp nhất và có hiệu lực nhất đối với pháp luật nơi bạn quan tâm nhất.
5. Có những chính sách phù hợp: Bước cần làm tiếp theo là phải có những chính sách phù hợp để đào tạo nhân viên, tránh rò rỉ thông tin liên quan đến bí mật công ty và có thể đảm bảo bạn có thể thuyết phục được tòa một cách hiệu quả nhất về việc công ty bạn đã thực hiện đầy đủ các bước phù hợp để bảo vệ bí mật kinh doanh. Các chính sách đó nên thảo luận về:
- Tạo danh mục các tài liệu/hồ sơ quy định là bí mật.
- Truyền thông (ví dụ như những chủ đề/thông tin gì nhân viên không nên thảo luận/nhắc đến trên các phương tiện truyền thông).
- Hạn chế tiết lộ thông tin với những người tò mò muốn biết.
- Khách đến văn phòng (bao gồm việc có người dẫn đường và các quy định để tiếp cận khu vực văn phòng để khách biết về nghĩa vụ của họ liên quan đến tính bảo mật).
- Chính sách “chiếc bàn sạch” và những chính sách liên quan tới việc lưu giữ/thải loại các tài liệu bí mật.
- Tạo password và thông tin bảo mật (bao gồm cả việc ngăn chặn truy cập qua cổng USB).
- Việc loại bỏ thông tin mật.
- Camera an ninh và kiểm soát ra vào.
- Làm việc tại nhà/từ xa (bao gồm việc sử dụng mạng viễn thông, tường lửa, mật khẩu,…)
- Sử dụng email công ty và máy tính công ty (quyền của công ty được truy cập toàn bộ email).
- Thủ tục mang các thiết bị cá nhân (bao gồm cả smartphone).
- Quy trình không cung cấp thông tin bí mật cho bên thứ ba (bao gồm sự cần thiết có Thỏa thuận không tiết lộ).
- Quy trình cho nhân viên mới hội nhập/cho nhân viên nghỉ việc.
Đây lại là một khía cạnh đáng để bỏ chi phí để sử dụng tư vấn bên ngoài.
6. Đào tạo. Có chính sách và thỏa thuận phù hợp là một chuyện nhưng sẽ khó để thuyết phục tòa án rằng công ty bạn đã thực hiện đầy đủ các bước để bảo mật thông tin nếu như nhân viên của công ty bạn không thường xuyên được đào tạo/nhắc nhở về vấn đề bảo mật và cách thức bảo mật thông tin. Tổ chức chương trình đào tạo về việc bảo mật thông tin sẽ giúp cho việc thuyết phục tòa án được hiệu quả hơn. Và Phương án tốt nhất là đưa ra các ví dụ cụ thể trong chương trình đào tạo về quy định thế nào là bí mật kinh doanh, chương trình đào tạo nên được dụng cho đối tượng là nhân viên mới và tổ chức định kỳ hàng năm cho tất cả nhân viên công ty, có thể tổ chức qua hình thức trực tuyến, các sự kiện trực tiếp (live) hàng năm với sự giao lưu giữa nhân viên bộ phận pháp chế với các bộ phận còn lại. Có khá nhiều đơn vị hỗ trợ thực hiện chương trình đào tạo trực tuyến để bạn lựa chọn. Tương tự, những email nhắc nhở thường xuyên của bộ phận pháp chế về tính bảo mật thông tin, bí mật kinh doanh là điều cần thiết (cần chắc chắn mọi nhân viên đều nhận được email và hiểu nội dung email). Bạn và đội ngũ của mình cũng nên để ý đến những trường hợp “nhạy cảm”/tiềm ẩn nguy cơ và đưa ra những lời nhắc nhở ban đầu một cách nhẹ nhàng (ví dụ trường hợp quên đánh dấu tài liệu bí mật một cách đúng đắn, phù hợp), cần xem đây là những tiết đào tạo, làm tăng giá trị của công ty. Mục tiêu chủ yếu ở đây là phát triển, lan rộng văn hóa bảo mật thông tin và bảo vệ bí mật kinh doanh trong toàn thể công ty.
7. Đánh dấu các hồ sơ, tài liệu là “bảo mật”. Một trong những cách đơn giản nhất để đánh dấu các hồ sơ, tài liệu là bảo mật đó là tạo quy trình để nhân viên xác định được rõ ràng các tài liệu nào là bảo mật hoặc chứa bí mật kinh doanh hoặc tương tự như vậy để họ biết giữ gìn, lưu trữ những thứ đó một cách đúng đắn, cẩn trọng. Tương tự như vậy, nếu các cuộc họp có nội dung thảo luận về những thông tin mật thì ngay khi bắt đầu cuộc họp cần có sự nhắc nhở, sau đó là thu dọn và có cách tiêu hủy phù hợp đối với các thông tin/giấy tờ được phân phát tới các thành viên tham dự cuộc họp, tránh trường hợp rơi vào tay những người không liên quan.
8. Các biển cảnh báo. Lãnh đạo, bộ phận pháp chế, bộ phận nhân sự và các bộ phận khác phải được đào tạo để phát hiện/nhận định liệu một nhân viên/vị khách nào đó có phải là mối rủi ro đối với việc giữ bí mật kinh doanh của công ty hay không. Trong số đó phải kể đến những nhân viên có xu hướng “bất mãn”/không hài lòng. Ví dụ, những nhân viên nhận được quyết định cho nghỉ việc, không được đề xuất thăng tiến hay những người phải tuân theo quy trình đào tạo lại/cải thiện chuyên môn có thể cần phải lưu tâm hơn. Phải liệt kê một danh sách những điều cần phải theo dõi. Sau đây là một số điều mà FBI đã liệt kê như biển cảnh báo liên quan đến việc nhân viên có khả năng đánh cắp bí mật của công ty:
Tự ý mang tài sản hoặc tài liệu về nhà qua tài liệu giấy, ổ lưu trữ usb, ổ cứng máy tính hay email. Tìm kiếm hoặc lưu giữ tài sản/thông tin được coi là mật và không liên quan đến công việc của mình.
Quan tâm đến những vấn đề ngoài phạm vi công việc của mình, đặc biệt là những người quan tâm đến các đơn vị ngoại/các đối thủ cạnh tranh.
Photo những tài liệu không cần thiết, đặc biệt là các tài liệu được coi là mật.
Không thuân thủ những chính sách liên quan đến máy tính công ty trong việc cài đặt phần mềm/phần cứng của cá nhân để truy cập những trang web bị giới hạn đăng nhập mà chưa có sự cho phép hoặc tải xuống những thông tin mật.
Làm thêm mà không có sự phê duyệt; nhiệt tình quá mức trong việc làm tăng ca, làm vào cuối tuần hay những khung giờ bất thường thuận tiện cho thực hiện những việc thiếu minh bạch.
Tự liên hệ mà không có báo cáo lại đối với những đối tượng nước ngoài (đặc biệt đối với các viên chức chính phủ nước ngoài hoặc viên chức tình báo) hoặc du lịch nước ngoài mà không có báo cáo lại.
Những chuyến du lịch nước ngoài ngắn ngày mà không có hoặc có nhưng là lý do bất thường, sự giàu có bất thường, mua sắm những thứ mà thu nhập gđ không đáp ứng được.
Có giao kết với những đối tượng khả nghi như đối thủ, đối tác kinh doanh hoặc những cá nhân đáng ngờ khác.
Ngụp lặn trong khủng hoảng hoặc thất vọng nghề nghiệp.
Nghi ngờ thuộc đối tượng đang bị điều tra, loại bỏ những công cụ có thể nhận biết họ đang tiến hành tìm kiếm ở khu vực làm việc hay ở nhà; tìm kiếm các thiết bị nghe nhìn hoặc camera.
9. Trao đổi với nhân sự nghỉ việc: Cần phải có buổi trao đổi này trong trường hợp nhân sự nghỉ việc là người có khả năng cao sẽ ảnh hưởng đến bảo mật thông tin/giữ bí mật kinh doanh của công ty. Cần phối hợp với bộ phận nhân sự để tạo danh mục kiểm tra các nội dung sau:
Các nhân viên nghỉ việc nhận được 1 bản sao của bất cứ thỏa thuận bảo mật/thỏa thuận không cạnh tranh/thỏa thuận không lôi kéo…nào mà họ đã ký trong quá trình làm việc ở công ty theo chính sách bảo mật của công ty. Nhân viên đó phải ký văn bản có nêu rõ những nghĩa vụ sau khi nghỉ việc.
Nhắc nhở nhân viên đó về các nghĩa vụ phải thực hiện liên quan đến bí mật kinh doanh và bảo mật sau khi nghỉ việc.
Xác định rõ liệu nhân viên đó có cất giữ bất kỳ thông tin nào của công ty ở nhà (bản cứng/bản mềm) hay lưu trữ trên bất cứ hệ thống điện toán đám mây nào không.
Xác định liệu nhân viên đó có dự định đi làm việc cho công ty của đối thủ hay không hay có kế hoạch tham gia vào bất cứ hoạt động gì mang tính cạnh tranh hay không (nếu có, phải tiến hành những bước tiếp theo ví dụ như sự ràng buộc không cạnh tranh). Nếu bạn biết nhân viên chuẩn bị làm việc cho đối thủ (và chưa có thỏa thuận không cạnh tranh), bạn cần phải xem xét gửi thư tới bộ phận pháp chế và bộ phận nhân sự của đối thủ trong đó nêu rõ về việc nhân viên có nghĩa vụ bảo mật thông tin và hy vọng nhận được sự hỗ trợ của họ để nhân viên đó thực hiện được nghĩa vụ cũng như không vi phạm bất cứ nghĩa vụ gì đối với công ty bạn tại nơi làm mới. Hầu hết các công ty mới sẽ rất tôn trọng việc này và hỗ trợ thực hiện việc tuân thủ.
Yêu cầu nhân viên bàn giao lại tất cả các tài sản của công ty bao gồm smartphone, laptop, hồ sơ, tài liệu, nguyên vật liệu… (và ký cam kết về việc đã chuyển trả toàn bộ những hạng mục này cũng như không lưu giữ hay cung cấp bản sao cho bất cứ ai).
Cắt/chặn (càng nhanh càng tốt) tất cả mật khẩu, đường truy cập vào hệ thống thông tin/email, thẻ nhân viên/thẻ ra vào tòa nhà, thẻ gửi xe…
Tìm kiếm trên email/ổ cứng/ổ đĩa máy tính, email/voice mail của nhân viên đó để phát hiện có bất kỳ dấu hiệu gì bất thường/không đúng nếu có lý do để nghi ngờ nhân viên đó có thể là hiểm họa của việc tiết lộ bí mật kinh doanh của công ty.
10. Lập kế hoạch. Bạn đã lập các thỏa thuận mới, thiết lập các chính sách và có lực lượng nhân viên được đào tạo bài bản nhưng tất cả sẽ là con số không nếu như bạn không có kế hoạch hành động khi xuất hiện nguy cơ lộ bí mật kinh doanh. Dưới đây là một số điều cần xem xét cho kế hoạch thực hiện khi xảy ra rủi ro:
Sẽ vô cùng hữu ích nếu mối quan hệ giữa các bộ phận nhân sự, an ninh thông tin và kiểm soát nội bộ khăng khít. Bộ phận pháp chế nên phối hợp cùng với các tổ nhóm khác để nắm được nhiều thông tin kết nối trong trường hợp họ nhìn thấy/cảm thấy/phát hiện/nghe ngóng thấy vấn đề (ví dụ thông qua một cuộc trao đổi khi nhân sự nghỉ việc, điều tra hay cuộc nói chuyện thân mật). Trao đổi với các tổ nhóm này trước để phác thảo kế hoạch hành động và phối hợp khi xuất hiện vi phạm về bảo mật kinh doanh là một công việc cần thực hiện.
Có Phương án các tư vấn viên bên ngoài. Cần biết phải liên lạc với ai khi bạn cần có hành động pháp lý/lời tư vấn ngay lập tức. Sẽ là lý tưởng nếu đó là một hãng luật mà bạn đã làm việc trước đó về vấn đề tạo lập/cập nhật các thỏa thuận và chính sách như đã nói ở trên. Đừng quên các tư vấn ở nước ngoài.
Có hệ thống phù hợp để thu thập những thỏa thuận cần thiết được nhân viên vi phạm đó ký kết, các chính sách áp dụng…Tư vấn viên sẽ cần đến những thỏa thuận này vì nhiều lý do.
Làm việc trước với bộ phận an ninh thông tin để khóa quyền truy cập hệ thống, khóa mật khẩu. Đồng thời cần biết ai để liên hệ nếu như cần khôi phục ổ cứng hoặc tìm kiếm email. Những việc này được thực hiện khi có biểu hiện của việc xâm phạm bí mật kinh doanh. Cần phải đảm bảo có những số liên lạc dự phòng.
Nghiên cứu trước về các tình huống pháp lý (đặc biệt gắn kết với lãnh thổ) khi được hỏi “Liệu chúng ta có thể làm gì” để có một số ý kiến/thông số trả lời. Điều này không đồng nghĩa với việc bạn sẽ nắm được sau khi thu thập chứng cứ nhưng sẽ là tốt hơn Phương án trả lời sếp bạn rằng “Chúng tôi cần phải điều tra và sẽ phản hồi lại” khi mà ông ta có thể đang phát điên vì nghĩ bí mật kinh doanh đã bị rò rỉ ra bên ngoài. Một số vấn đề pháp lý cần để ý đến như việc/luật liên quan đến vi phạm bí mật kinh doanh/cạnh tranh không lành mạnh, việc xâm phạm bí mật kinh doanh, vi phạm hợp đồng, vi phạm công quỹ, tác động tiêu cực đến các mối quan hệ kinh doanh, sự giàu có bất thường/không chính đáng, thông tin bại lộ không thể tránh khỏi,… Cần phải có ý kiến riêng và liên quan đến pháp luật áp dụng tại đúng vùng lãnh thổ.
Sẵn sàng liên hệ với bên tiếp nhận thông tin mật và làm rõ có thể thu hồi ngay và/hoặc hủy bỏ thông tin đó, đảm bảo họ phối hợp thực hiện. Điều này đặc biệt hiệu quả khi thông tin mật đó vô tình bị tiết lộ.
Biết rõ cần liên hệ ai trong đội hỗ trợ tư pháp của địa Phương trong trường hợp có tội phạm máy tính hay trộm cắp bí mật kinh doanh.
Kiểm tra lại chương trình bảo mật kinh doanh ít nhất định kỳ 1 năm/lần và cập nhật nếu cần thiết.
*****
Bi Châu (lược dịch)
Comments