壹
6 月 30 日,字节跳动发布 2026 年 2 号通报:一季度 80 名员工因触碰公司红线被辞退,其中 45 人涉信息安全违规。
80 名 45 人,一个季度
典型案例更让人吃惊:前员工 A 长期把飞书账号出借给已入职竞品公司的前员工 B,B 持续获取、下载公司保密信息。处罚结果:实名通报、扣罚期权、纳入行业黑名单、提起民事诉讼。
大多数人看到这条新闻,第一反应是:员工不守规矩,活该被罚。
但这个判断太浅了。
不是员工胆子大,是公司把制度放在了 " 出事后 " 而不是 " 出事前 " ——重罚是追责,不是防线。
一个前同事开口借个账号,你不好意思拒绝——这不是胆子大,这是人之常情。但制度没有在 " 开口 " 之前拦住你,只在 " 出事 " 之后重罚你。罚得越狠,只能说明日常防线越薄。
贰
借个账号,善意还是泄密?
仔细想想这个场景:前同事离职了,去了竞品公司。某天微信找你:" 我这边需要查个数据,飞书能不能借我用一下?就看一下,很快。"
你犹豫了一下。但想想大家共事一场,关系不错,他也不是外人——于是把账号给了他。
你觉得这是帮忙。法律觉得这是泄密。
6 月 1 日刚生效的《商业秘密保护规定》,明确列了四类侵权行为。第二类:违反保密义务或保密管理要求,披露、使用或者允许他人使用自身合法知悉、掌握的商业秘密。
翻译成大白话:你把账号借给别人,等于 " 允许他人使用 " 你合法掌握的公司秘密。法律不看你的动机是善意还是恶意,只看结果——秘密出去了没有。
至于那个开口借账号的前同事 B?新规第三类管他:教唆、引诱、帮助他人侵犯商业秘密——他比你还严重。
但法律不会替你区分 " 帮忙 " 和 " 泄密 "。你心里想的是 " 就看一眼 ",对方做的是 " 持续下载 "。你给的是一把钥匙,他用的是复制机。
你借的是账号。交出去的是公司秘密。法律认的是后者。
你以为借的是一把钥匙,其实你打开了一扇门。门里是公司的核心资产,门外是竞品公司。
叁
罚得越重,防线越薄
你可能会说:字节罚得这么狠,谁还敢?
事实是:还在出现。
这是字节第四次集中通报。2025 年 9 月,第一次。2025 年 12 月,第二次。2026 年 3 月,第三次。2026 年 6 月,第四次。2025 年全年提了 12 起民事诉讼,9 起已立案,2 起和解,1 起一审胜诉。
罚得不可谓不重:实名通报、扣罚期权、纳入行业黑名单、提起民事诉讼。每一条都是职业生涯的重锤。
但出借账号的人还在出现。2025 年四季度,9 人因出借飞书账号被辞退。2026 年一季度,45 人涉信息安全违规——出借账号类违规反复出现,信息安全违规人数不降反升。
为什么?因为重罚管的是 " 出了事怎么办 ",没管 " 怎么让事不出 "。
打个比方:你在家门口装了一个摄像头,小偷来了,拍到了,报警了,人抓了。但门没锁。
摄像头是追责工具,门锁是防线。你摄像头装得再高清,门不锁,小偷还是会来。
字节四次通报,罚得一次比一次重——但罚的是已经发生的事,不是阻止将要发生的事。员工出借账号的那一刻,泄密已经完成了。你罚得再重,秘密已经到了竞品公司手里。
重罚是事后追责,不是事前防线。你罚得越狠,只能说明你日常防线越薄。
肆
一个太硬,一个太软
你可能觉得,字节至少 " 硬 " ——出了事,追到底,罚到痛。大多数公司连这个 " 硬 " 都没有。
我见过一家企业,规模几个亿。日常没有信息安全管理制度,员工离职后账号不关、权限不收,前员工还能登录系统、查看文件。直到有一天发现核心客户数据被带走了,才想起来追责——追不了。因为没有制度,就没有违约依据;没有权限管理记录,就证明不了是谁泄的密。
一个太硬,一个太软。但本质一样:都没有在 " 出事前 " 设防。
对大多数中小企业老板来说,你不是字节。你没有纪律委员会,没有法务团队,没有行业黑名单。你连摄像头都没有。
你以为 " 出了事再追责 " 是底线,其实 " 出了事追不了责 " 才是常态。
伍
新规给你的是武器,不是盾牌
6 月 1 日,《商业秘密保护规定》刚生效。6 月 30 日,字节就通报了。
时间窗口很近。但别误会——新规不是为字节量身定做的,它管的是所有企业。
新规给了你四把刀——明确了四类侵权行为,管了保密义务的延续性,管了追责力度,情节严重的最高可处 500 万元罚款。
但没给你一面盾。
新规告诉你出了事怎么追,但不会告诉你——员工离职那天,你该不该关他的账号。不会告诉你——前同事开口借权限,你该不该拒绝。不会告诉你——凌晨三点有人在异地批量下载文件,你该不该知道。
法律的意思很清楚:你出了事,我帮你追。但你出不出事,是你自己的事。
法律给你的是追责的武器,不是日常的盾牌。武器是出了事才用的,盾牌是天天都要举着的。
陆
信息安全的三道防火墙
说了这么多,最实际的问题还是:那怎么办?法律管不了 " 怎么让事不出 ",你自己得管。
我总结了三道防火墙。每道墙前面,先给一句自检——如果你脑子里冒出这个念头,警报就该响了。
i. 离职即关闭权限
自检信号:" 他走了,我还没来得及关。"
来不及?他离职的那一刻,权限就该关。不是 " 等交接完 ",不是 " 过两天再说 ",是 " 人走权收,当天生效 "。
字节的案例里,前员工 A 的账号能长期出借——说明权限管理存在漏洞。如果账号有分级管控、有异常监测,B 拿到账号也不一定能持续下载。
正确做法:员工离职流程中,关闭所有系统权限是必经环节,不完成不放行。这不是对员工不信任,是制度对所有人一视同仁。
翻译成大白话:门锁不是防贼的,是锁门的。你锁了,谁都进不来;不锁,好人坏人都能推。
ii. 账号分级管理 + 异常监测
自检信号:" 都是自己人,不用设那么严。"
字节四次通报,出借账号的人反复出现——说明日常没有监测机制。如果有人凌晨三点在异地登录飞书批量下载文件,系统应该自动告警。但如果没有这个机制,你永远不知道。
正确做法:核心信息分级管理,敏感数据访问需审批留痕,异常访问行为自动告警。不用花大钱,市面上有成熟的信息安全管理工具。
翻译成大白话:你不知道谁在偷看你的东西,不等于没人偷看。装个告警器,至少出事时你能第一时间知道。
iii. 保密协议 + 竞业限制配合使用
自检信号:" 签了保密协议就够了。"
不够。保密协议是 " 你承诺不泄密 ",但承诺拦不住人。竞业限制是 " 你离职后一段时间不能去竞品公司 ",但竞业限制有期限、有范围、有补偿要求,不能无限扩大。
两者配合使用才有效:保密协议管 " 什么不能说 ",竞业限制管 " 去了哪里不能说 "。一个管内容,一个管方向。
正确做法:入职时签保密协议,明确界定商业秘密范围和违约后果;对核心岗位员工,同时签竞业限制协议,约定合理的期限、范围和补偿。
翻译成大白话:保密协议是 " 你答应不说 ",竞业限制是 " 你去了对手那里更不能说 "。一个管嘴,一个管脚,缺一个都兜不住。
三道防火墙,核心逻辑只有一个:不是不信任员工,是制度对善意和恶意一视同仁。制度不查动机,只设边界。边界之内,自由活动;越界了,自动拦截。
柒
门锁装了吗?
字节罚得这么狠,都拦不住。80 人被辞,45 人涉信息安全违规,一个季度。
字节有纪律委员会、有法务团队、有行业黑名单、有民事诉讼——出了事,追到底。
但你呢?
你的公司,员工离职后权限关了吗?账号有分级管理吗?异常访问有告警吗?保密协议和竞业限制配合用了吗?
如果都没有,你不是 " 出了事再追责 "。你是 " 出了事追不了责 "。
制度不是对员工的不信任。制度是对善意的保护——它让善意不会变成泄密,让帮忙不会变成侵权。
没有制度的时候,善意不是缓冲垫,是泄密的通道。
你的公司,门锁装了吗?
常律长谈 · 帮你看到本质


登录后才可以发布评论哦
打开小程序可以发布评论哦