上海商业秘密律师网一、故宫失窃案的风险要素分析
根据“商业秘密泄密原理”,我们知道商业秘密的泄密风险是由商业秘密的价值、商业秘密存在的薄弱点、对商业秘密的威胁这三个要素构成的。商业秘密具有价值,威胁利用商业秘密存在的薄弱点,对商业秘密造成损害,导致商业秘密失密。泄密风险与三要素存在正相关的函数关系,三要素的作用越大,风险就越大,反之亦然。商业秘密的价值越高,吸引力就越大,就越容易受到各种威胁的攻击。 威胁是指能够对商业秘密造成泄密破坏的各种潜在原因。 薄弱点是指商业秘密存在的能够被威胁所利用的弱点。
同样,故宫文物的失窃风险,取决于三个要素,即:文物的价值、对文物的威胁、文物存在的保护漏洞。
故宫内藏的文物都是国宝级,价值连城,这些国宝的价值构成了失窃风险的第一要素。由于这些文物都是有形的实物,其价值只能随时间的变迁而不断升值,基本不可能采取任何控制措施降低这些文物的价值,也不可能改变该要素对失窃风险的影响,所以该要素对失窃风险的影响很大,但其影响程度基本是恒定不变的。
再分析一下威胁要素。虽然故宫藏品价值连城,但实际发生过的威胁,无论从数量还是攻击能力,都不具有太大的威力。据报道,建国以来,加上本次5月8日的失窃事件,故宫总共发生过6次盗窃案,其窃贼都是单枪匹马的小偷,没有一起是拥有高科技盗窃手段的江洋大盗,更不是有组织的团伙行为。特别是这次被抓的石柏魁,更是一个小学都没毕业、身高只有1.60米的山东农民,他在实施盗窃时,连自己的手印都不知道隐藏。因此看出,在这次失窃案中,虽然是小偷这一威胁盗走了文物,但由于其能力所限,小偷作为威胁要素对失窃风险的影响实际是不大的,也就是说,小偷威胁这一要素,不对导致较高的文物失窃风险。
影响失窃风险的最后一个要素是故宫文物保护存在的漏洞。由于前两个风险要素的作用是一高一低(价值要素对失窃风险的影响很高,而威胁要素的影响又很小),根据风险模型计算,此时还不会出现很高的失窃风险,其风险值大约是中等偏下,如果漏洞要素的影响不大,最终的失窃风险一定是低。如果漏洞要素的影响很大,最终的失窃风险一定为高。反过来理解,在价值要素和威胁要素一高一低的情况下,如果最终的失窃风险为高,则可以推断,漏洞要素的影响一定为高。因此,故宫的失窃风险的决定因素就是漏洞因素了。漏洞的大小和严重程度直接决定了文物失窃的风险高低。由于故宫在价值因素和威胁因素一高一低的状况下发生了文物盗窃事件,证明故宫被窃的风险非常高,已经变成了现实,由此可以推断出故宫的漏洞要素的影响一定很高,即存在严重的安防漏洞。后来警方披露的作案过程,也验证了故宫存在的一系列严重的安防漏洞。
从上面的风险要素分析还可以看出,故宫是很幸运的,因为这次文物失窃的主因是安防漏洞造成的,威胁这一要素的影响很小,所以导致失窃损失还不是太大。如果威胁的能力很强,例如有组织、内外配合、采用高科技作案手段对故宫实施盗窃,再利用故宫安防存在的巨大漏洞,最后的损失一定是巨大的,而且警方破案也不一定象这次顺利了。
二、故宫看得见的安防漏洞
根据公开报道的作案过程,我们可以清楚的发现故宫在安防方面表现出来的漏洞所在。
1.监控和报警装置形同虚设
据报道,故宫拥有遍布全馆的1600个防盗报警器、3700个烟感探测器和400个摄像头不间断运行;珍宝馆内外,更是红外线、微波、声音等多种报警器探头24小时开启,可全方位监视,没有空白点;拥有40多台显示器的报警系统可自动录像,并有3种以上的技术手段进行复核。
而实际上,小偷石柏魁在故宫的潜伏、实施盗窃、逃脱整个过程当中,包括打碎故宫内诚肃殿的玻璃、小偷砸开装饰墙了、撬展柜,并没有任何监控和报警装置发出警报,也没有记录下他的蛛丝影像。
监控和报警装置失效,其原因是多方面的,可能是安防位置设置不合理、也可能是技术故障、也可能是通信故障、也有可能是供电故障,也有可能是监控系统根本就没有通电工作。据媒体报道,故宫内的监控系统也并不是24小时监控,而是间歇监控,故宫所用摄像机是在遇到特殊情况,报警器报警后才会打开。
2.对安防设置自身保护不够
媒体报道称,小偷在行窃前,切断了警报系统、监控系统的电源,所以监控室也没有监控到情况。
监控和警报系统的供电和通信线路,是监控系统重要的组成部分,也应该处于严密的保护之下。小偷石柏魁轻易的发现并切断电源,说明故宫对安防监控设施的自身保护不够,或者根本就没有对供电或通信电缆和设施设置保护。
3.犬防失效
在犬防方面,故宫配备有一百多条狼犬的犬队,担负着闭馆清查、施工工地夜间蹲守和突发事件安防等任务,但是在小偷闭馆潜伏、追讨的过程中,并没有看到这些六亲不认,嗅觉灵敏的大内警犬发挥作用。
其实,警犬的天性和后天的训练,决定了它们工作的可靠性比人高许多,但狗离不开人的指挥,人是警犬的主导,如果人不带警犬闭关清查,发现意外情况后不让警犬追寻,再勇猛和灵敏的警犬也会变得毫无用处。
据报道,虽然规章制度要求必须犬防,但是有名无实,除非接见外宾平时不做任何犬防。故宫回应说现在资金紧张无力做犬防安排。
4.人防和制度失效
故宫有庞大的人防队伍,院内光武警就有200多人,还有大量的巡逻人员,按照故宫的安防规定,故宫开放期间,所有展厅内的文物安全由开放管理处负责。游客走后,每一展厅里的工作人员都要将自己所属区域的文物清点,并且搜查所有可能藏匿人或物的角落,连消防灭火器的把手、枯井深处和高大展柜的顶端都要一一清查。确认没有异常后,每一区域的所有人再次拉网检查一遍。随后,故宫警犬队还要对故宫的各个角落进行搜寻。
8日上午10时许,石柏魁未购买门票混入故宫,并进入诚肃殿的香港“两依藏珍选粹展”展厅,趁降雨至天黑。20时许,他关闭西配房内供电系统总闸,破坏展厅玻璃和内部展板后进入展厅盗取展品。得手后,石柏魁从诚肃殿上房,并攀爬上故宫内墙逃跑。
由于小偷石柏魁是装成游客,在闭馆后成功躲在展厅与西配房的夹道中隐藏下来,说明上述清查制度并未有被有效的执行。
经过调查,失窃当日的安保人员在打牌,无人巡查,虽然故宫有规定每30分钟巡查一次,但是这个制度已经废弃十几年。失窃后,安保人员依然打牌。故宫回应当日不是打牌只是在开临时会议,牌只是一个新到的安保人员,在故宫见到其它安保帮助检查时,随手放在桌子上的。
此外,故宫安保人员的能力也不能满足人防的要求。经过调查故宫大部分员工为“关系户”,保安没有经过正式选拔,都是内部招聘。当日发现嫌疑人的保安岁数很大,不仅体力无法追逐嫌疑人,而且没有学过任何擒拿格斗无法制服嫌疑人。故宫回应说安保的老师傅岁数大了一些,但是,嫌疑人身手敏捷未等安保制服就消失在黑影里。
5.对意外事件处置和应急措施不当
石柏魁在行窃过程中,故宫安保人员也发现过意外情况,但没有对这些意外事件采取有效的处置和响应,导致错过了失窃事件的发生。
据警方之前通报,这天晚上故宫保卫处值班室曾经发现“警报”—斋宫所处的东区停电了。但安保人员“以为是雨天线路故障”,如过去雷雨天的雷击事故,没有想到会是盗窃,便没有深入斋宫查看。后来他们推测,电是盗贼切断的,报警系统也就失灵了。
故宫保卫处一巡逻人员曾经发现一名可疑人员。由于该人身上有红色痕迹,疑是故宫红墙剐蹭,巡逻人员命令其原地蹲下后,立即打电话联系、上报,但就在上报的过程中,该可疑人员居然逃脱。后来虽经细致查找,但最终也没有再次发现这个人的下落。随后,故宫动用了在院所有值班和备班人员20多人,并连同故宫驻院派出所的武警一起,在院里搜索了一个晚上,没能发现石柏魁的行踪。
应该说,在这样一个国宝重地和敏感时段,“可疑人员”竟可以侥幸逃脱,可见安保人员的警惕性、控制力、责任心的缺乏。
第二天蜂拥而至的游客像往日一样等候在故宫门前,故宫不得不开门迎客,“现场破坏了,布满了游客的脚印”。
而且上述过程中,没有看到故宫有紧急预案发挥作用。像故宫这样的安保重点单位,应该制定有突发事件应急预案,一旦有突发事件应该马上启动预案,而且平时应该经常演练。在相关的报道中我们没有看到故宫方面应急预案启动的任何迹象。
三、故宫看不见的安防漏洞
通过石柏魁的作案过程,可以看出,故宫内所有的防线,包括人防、技防、物防和犬防“四道防线”,均没有起到应有的防护作用,形同虚设,处于失效状态,如同上面的分析所示。但这些仅是看得见的漏洞,其实,还有看不见的漏洞,而这些看不见的漏洞所起的作用更大。
按照商业秘密的保护理论,有效的商业秘密保护一定是形成一个保护体系,这个体系由若干管理性措施和技术性措施共同构成,例如:安防方针和目标、组织架构、安全意识、流程、程序、职责、人员管理、教育培训、物理防护、技术防护、设备安全、网络安全、监控、监督检查、应急响应等等。
保护体系的管理性措施的作用是选择、确定、实施、运作、监控各种技术性防护措施,而技术性防护措施则体现了管理性措施的具体要求和追求的防护目标。
故宫表现出来的漏洞都是技术性的,如:监控和报警装置形同虚设、对安防设置自身保护不够、犬防失效、人防和制度失效、对意外事件处置和应急措施不当等,但技术性漏洞的根源一定是保证这些技术性措施有效运行的安防管理措施方面,即组织架构、安全意识、流程、职责、人员管理、教育培训、监督检查等管理环节。大面积技术性漏洞的存在,说明故宫的安防体系的管理性措施同样存在着巨大的漏洞,或许故宫根本就没有建立有效的防护管理性措施。
四、故宫的整改措施到位吗?
故宫博物院在其官方微博上公布针对展览展品失窃案件的漏洞查找与初步整改措施,其中漏洞查找有七条,包括“闭馆清场有疏漏,对建筑地形复杂的区域清场出现漏人”、“低估了警情”、“搜捕可疑人过程中,以为四门紧闭措施已经到位,未能及时对城墙布置防控和搜索”等。 整改措施有八条,包括“把本次失窃事件作为极为沉痛的重大教训,对全体干部员工进行安全教育,增强责任意识”、“加快已有安防系统的升级改造,改善硬件设施,提升防控能力”、“对全院重要展室门窗所用玻璃进行相应改造,以具备防爆功能,对目前的展柜进行针对性改造,提高安全系数”、“修改并完善夜间应急处理预案,增加巡逻力量和班次”等。
我们看到故宫的漏洞查找和整改措施中,基本上还是围绕着技术性保护措施,除了“对全体干部员工进行安全教育,增强责任意识”外,并没有其它管理性保护措施,更没有用系统的方法,全面检讨和改进管理性措施和技术性保证措施。
故宫这样的整改措施到位吗?
五、对商业秘密保护的启迪
企业对商业秘密的保护,如同故宫对文物的保护。而且企业的商业秘密大多数存在形式是无形的(例如数据和文档),这些无形的商业秘密很容易被复制到各种载体上,更能够通过网络实施访问和传播,所以其保护难度更大。
通过故宫的文物失窃案,我们可以清楚的看到,如果企业没有形成一个有效的保护体系,缺少管理性保护措施的支撑,无论多么强大的技术保护手段,其最终的保护能力如同虚设,必将宝贵的“商业秘密资产”置于高泄密风险之下。
很多企业虽然意识到了商业秘密是他们企业的“国宝”,但是在对这些“国宝”的保护上,却追求不现实的简单化,期望用一两招“绝招”搞定。例如:有的企业与员工签订了保密协议,甚至是竞业禁止协议,就认为所有的员工都会忠实的履行对商业秘密的保护义务,而不需要其它的保护手段。还有的企业采用了网络和数据加密手段,就认为自己的商业秘密进了保险箱,不可能被泄露。
故宫文物被盗案,对企业的商业秘密保护工作,有着很好的启迪作用,它再次提醒我们,只有在风险评估的基础上,建立包含管理措施和技术措施的商业秘密保护体系,才能真正有效地降低商业秘密的泄密风险,保证商业秘密的安全。