通报显示,字节跳动对严重违规人员采取实名通报、同步行业联盟、扣罚期权等处罚,对情节恶劣、严重损害公司利益的员工,将依法追究法律责任。
典型案例披露
案例一:飞书账号出借致保密信息泄露
前员工A长期将飞书账号出借给已入职同行企业的前员工B,致使B持续获取、下载公司保密信息。两人因持续违规且拒不配合调查被从重处罚——除实名通报、扣罚期权、纳入行业黑名单外,公司已对两人提起民事诉讼追责。
案例二:实习生多项违规被加重处罚
一名实习生私自外发公司涉密资料,违反公司社交媒体政策,且在公司合规核查中虚假申报、拒不配合、持续泄密。公司已与其解除实习协议,并对其加重处罚、实名通报。
案例三:离职后捏造信息制造对立
有前员工离职后虚构"管理者"身份,捏造"给大龄下属打绩效I"的不实言论,刻意制造对立。经公司追责后,该前员工承认捏造信息,本次被实名通报。
处置力度值得关注
此次通报中有几个细节值得注意:
- 行业联盟信息同步:严重违规者不仅被辞退,还被同步至行业联盟。这意味着违规者可能面临整个行业范围的从业限制,在业内属于较硬的处置手段。
- 民事诉讼追责:对于飞书账号出借案,字节不仅内部处罚,还主动提起民事诉讼。这种做法在以往的互联网企业内部违规处理中并不常见。
- 社交媒体违规纳入红线:实习生案和前员工捏造信息案,都涉及社交媒体使用规范。这说明大厂对员工在职期间和离职后的公开言论管控正在收紧。
内部威胁:比外部攻击更难防
45人涉及信息安全违规,占比56%——这个数据说明,内部威胁(Insider Threat)正在成为企业安全治理中最难防范的风险面。
与外部攻击不同,内部威胁的难点在于:违规者本身拥有合法权限,行为边界模糊,发现周期长。尤其是"账号出借"这类行为,从技术层面看,登录行为都是"正常"的,安全系统很难识别异常。
对于企业安全治理而言,除了技术手段(如零信任架构、行为分析UEBA),制度层面的约束同样重要:权限最小化、敏感操作审计、离职权限即时回收、以及像字节这样将违规信息同步行业联盟的威慑机制。
此次通报也为从业者提了个醒:在数据安全合规日益严格的环境下,企业内部的信息安全管控只会越来越严。无论是现任员工还是离职员工,都应当重视信息安全管理规范。