投標底價又被洩密?企業內鬼怎麼查、怎麼止血、怎麼合法留證

身為企業主的你現在點進來八成有兩個感覺

第一個是「哪裡怪怪的」，第二個是「我怕我一動就把證據弄沒」。

如果你正在這個狀態，我先把結論講完

商業調查遇到企業內鬼，先做止血與證據保全，再做調查與處置；先用公司“本來就能合法取得”的紀錄建立時間線，必要時再找外部專業補洞

你最該避免的是私刑式蒐證——偷錄音、亂查手機、叫人去套話——這種最常把你自己推到被告席。

你現在要的是止血，不是先抓人

很多老闆第一反應是「把那個我最懷疑的人叫進來問清楚」。

這很人性，但通常是最差的一步。

因為只要你讓對方察覺你在查，他會做兩件事

刪紀錄、轉移資料；然後第二件更麻煩：把你接下來的每個動作都貼上“報復”“獵巫”的標籤。

你現在要的是止血。

止血的意思是：先把損失擴大的路堵住，先把會消失的紀錄封存。

等你手上有了時間線，再來處理人。

哪些異常比較像內鬼、哪些只是管理問題

內鬼型異常通常同時出現「權限／資料／金流」三個面向的矛盾

純管理問題多半只有“人很雷”但沒有“痕跡”。

例如：你覺得業務業績掉，這可能是能力問題；但如果同時出現「客戶名單在競品那邊精準命中」「CRM 有大量匯出」「雲端分享連結突然被開了很多次」，這就不是能力問題了。

調查局其實也有公布過，企業是透過內部資安稽核發現雲端遭非法登入、商業機密被竊，這類就是典型“痕跡型”事件：先有系統跡證，再接人。

再例如：採購常跟某一家廠商走很近，這可能只是習慣；但如果你對帳發現同規格比市場高、或有固定比例的“奇怪請款”、或標案價格外流，你就要把它當「回扣／圖利」的調查情境來處理。

先保全系統證據、再處理人

保全系統證據。你要的是“可回溯”，不是“我覺得”。

所以你先做三件事：把登入與存取紀錄導出備份、把權限變更紀錄導出備份、把雲端分享與下載紀錄導出備份。

你用的是公司自己的系統（Google Workspace、Microsoft 365、NAS、VPN、CRM、ERP），這些通常是公司本來就有管理權限的範圍，風險相對小。

第二個動作：處理人，但用最小化方式。

不是立刻開除，而是先做“最小化停權”：把可疑帳號的外部分享關掉、把下載權限降級、把離職中或風險角色的管理權限收回。

你這樣做的好處是你不是針對某個人，你是在做風險控制，理由站得住。

只靠跟監不等於能抓到洩密

如果你遇到的是“洩密”，跟監很可能抓不到核心，因為洩密可能發生在 30 秒：一個雲端分享、一次 USB 拷貝、一次把報價單傳到私人信箱。

資安鑑識圈甚至常提醒：把資料拷到外部儲存裝置這種行為，在沒有額外機制時不一定會在表面留下你想像的那種明顯紀錄，你得靠 USB 插拔、存取行為等蛛絲馬跡去拼。

所以你要問的不是“能不能跟監”，而是“我的案件主要痕跡在哪”。

如果痕跡在系統，那先走系統；如果痕跡在現場（例如員工私下跟廠商約、交付文件），那才需要人去補。

數位跡證與現場跡證怎麼互相補

最有效的做法通常是混合式：用數位跡證先建立“時間線”，再用現場跡證去補“動機與交付”。

舉例：你在雲端日誌看到某個帳號在凌晨 2 點大量下載，隔天他白天又跟某競品的人碰面。

你不用靠猜，時間線一接起來，後面要走人事處置或司法，你的敘事會完整很多。

48 小時止血、7 天查核、30 天制度補洞

48 小時清單

你第一天不要做大動作，先做“封存”。

封存不是神秘行為，就是把你原本系統能匯出的紀錄，先用只讀方式備份起來：登入紀錄、權限變更紀錄、雲端分享與下載紀錄、門禁或打卡紀錄、ERP／CRM 的匯出紀錄。

這一步的心法只有一個：你要能說出「我怎麼拿到這些資料、我拿到的時候它長什麼樣子、我有沒有改過」。

再來第二天做“止血”。

止血不是開除，是收口：把外部分享先關掉或改成需核准、把敏感資料資料夾改成最小授權、把離職中或高風險角色的管理權限收回。

你可以把這件事包裝成“資安加固”，合理、低衝突。

同一時間你要做“對齊”：跟財會對一次異常金流（回扣、假請款、重複付款），跟業務主管對一次異常客戶流失（是不是被精準挖角），跟 IT 對一次異常存取（是不是有外部登入）。

對帳、對權限、對雲端登入

接下來一週，你做的是“查核”，不是“抓人”。

你把所有線索拉回三條軸：錢、資料、權限。

錢的查核很務實：同一供應商報價是否有異常區間、是否有拆單、是否有固定比例的“服務費”、是否有不合理的急件、是否有收貨與入庫不一致。

你不需要先指控某人，你只要先把異常做出來。

資料的查核也一樣務實：哪一份資料最可能是外流源頭（客戶名單、報價策略、配方、程式碼、投標底價），它原本在哪裡，誰有權限，最近 30 天誰存取、誰下載、誰分享。

你如果用 Google Workspace／Microsoft 365，通常都有管理端可以查；如果你不知道怎麼查，至少先請 IT 把你要的日誌範圍拉出來，並且把匯出檔案留存。

權限的查核則是最常被忽略的一點：很多公司內鬼不是“很厲害”，是公司權限亂給、離職帳號沒停、共享帳號到處飛。

你這一週把權限盤一次，常常就能先堵住 80% 的洞。

制度、合約、教育訓練

一個月的補洞，才是你真正把公司變強的地方。這裡你做三種事：制度（流程與權限）、合約（保密、競業、資料歸屬）、教育訓練（讓大家知道底線）。

制度的核心是資料分級：哪些是一般資料，哪些是敏感資料；敏感資料放哪、誰能拿、怎麼拿、拿走會留什麼紀錄。

合約的核心則是把“公司以為理所當然”的事寫成白紙黑字，尤其是離職交接、資料歸屬、違反保密的責任。

很多人等到出事才想起來：你沒做保密措施，你後面要主張營業秘密會更難。

教育訓練不用大張旗鼓，反而要務實：大家最常踩線的不是故意，而是“順手傳到私人信箱”“把報價單丟 LINE 群”“離職把客戶名單帶走以為是自己的”。

你把界線講清楚，公司少很多灰色地帶。

監控、蒐證、個資、營業秘密你不能亂來

目的＋比例＋告知＋用途限制

你在職場用監視器或科技工具做管理，政府機關其實給過很清楚的提醒：要有特定目的，並且資料使用不要超出目的；為了避免勞資爭議，建議事先溝通，講清楚目的、地點、用途限制。

你不是不能監控，你是不能亂監控；你不是不能留資料，你是不能拿監控資料去做跟原目的無關的事。

私自側錄、目的外利用

第一個常見踩線是“私自側錄或違法監察通訊”。

很多老闆焦慮就想裝針孔、想偷錄員工電腦、想把員工私人通訊抓出來。

這種一旦被告，風險很大，而且你蒐到的東西也可能變成不能用的麻煩。

網路上有很多案例型文章在講側錄員工電腦的法律風險，你可以當成提醒，但別把它當法律意見；真正要做，請回到法規與主管機關公開資訊去核對。

第二個常見踩線是“目的外利用”。

勞動部對監視器設置就有提到，相關資料的利用不得移作其他用途；也提醒雇主要先溝通說明，避免爭議。

回扣、洩密、跳槽帶資料、假勤、虛報請款

採購回扣／圖利特定廠商

典型開場是你覺得“成本怎麼越來越高、但品質沒變好”。

你先不要抓“回扣”兩個字，先抓“異常”：同品項價格偏離市場、急單比例過高、拆單規避門檻、特定廠商中標率不合理、驗收與請款的時間差很奇怪。

你第一週要做的是把這些異常做成時間線，並且把流程中的關鍵節點拉出來：誰建檔、誰詢價、誰決標、誰驗收、誰請款。

你站內的「查員工貪污」頁面提到的“採購收回扣／洩漏招標價／圖利特定廠商”，其實就是這條線，只是你在正文要把“如何查核”補齊。

接著你再決定要不要走外部蒐證：例如要確認是不是私下收受利益、是不是跟廠商有異常往來。

投標洩密／價格外流

投標洩密最討厭的是：你常常不是輸在方案，是輸在底價被摸透。

這種情境你要查的是“誰最早接觸底價檔案、檔案流向誰、誰有對外接觸的動機”。

先從資料面做：底價檔案放哪裡、誰有權限、最近一次修改是誰、誰下載過、誰分享過。

再從人面做：業務、採購、專案、甚至外包顧問，誰有可能把資訊帶出去。

你如果有門禁或會議室預約紀錄，也能補上“接觸點”。

離職前大量下載／雲端分享

這是最常見也最容易止血的一種。

你會看到兩種訊號：一是離職前突然很忙、突然“整理資料”；二是系統面出現異常下載或外部分享。

你先做的不是質問，而是把外部分享先限縮、把敏感資料權限收回、把離職交接流程啟動。

如果你擔心“USB 拷貝看不到”，你至少要請 IT 把 USB 裝置插拔紀錄、可疑時間段的系統事件拉出來

假勤與兼職競業

假勤這種比較像內控問題，但有時候背後是競業：他在你公司領薪水，同時在外面替競品做事。

這種你要抓的不是他今天幾點打卡，而是“工作交付與資源使用的矛盾”：他用公司資源做了外部案子、他把公司客戶帶去外面接。

這段的合法邊界更敏感，你越需要回到“目的與比例”。如果公司要用科技管理做監督，勞動部也提醒要先確認特定目的、符合法規、先溝通，並且不做目的外利用。

虛報請款／假發票／帳務異常

報支比例變高、同一類別支出暴增、某些費用永遠缺少合理佐證。

你先做的是把流程中的“核准權”與“付款權”分開檢查：誰提單、誰核准、誰付款、誰對帳。

很多公司出事不是因為有人太厲害，是因為權限太集中。

你要內部查、外部查、還是直接走司法

什麼證據量才值得報案

你如果要往司法走，請把“懷疑”先降級成“可回溯的時間線”。

什麼叫可回溯？就是你能說清楚：某個帳號在某段時間做了某種存取行為；某筆金流在某天被核准並付款給某對象；某份底價檔案在某時間被匯出；然後這些行為與你的損失之間能串起來。

當你要走司法時，證據能不能用比你覺得他很可疑重要；先用公司合法可取得的紀錄建立時間線，再視需要補鑑識或外部蒐證，別反過來一開始就做高風險蒐證。

徵信、律師、資安／鑑識怎麼配

如果你的案件主戰場在雲端與系統（洩密、資料外流），你先找 IT／鑑識把日誌與證據保全做好，再評估徵信要不要補人線。

如果你的案件主戰場在人與金流（回扣、圖利），你先把對帳與流程異常拉出來，再評估徵信補人線，律師同步看你的人事處置風險。

商業調查不是看誰講得兇

範圍、交付、費用、風險告知

你要看的不是“他說得多神”，是合約怎麼寫：調查範圍清不清楚（對象、期間、地點、方法）、交付物是什麼（照片、紀錄、報告格式）、費用怎麼計（時數、專案、追加費用）

以及他有沒有把法律風險先講在前面。

不打草驚蛇、紀錄可回溯

商業調查最怕的不是查不到，是查到了但你沒辦法解釋“怎麼查到”。

你要問對方：你們怎麼記錄過程、怎麼保全證據、怎麼避免資料被質疑篡改。

這些問下去，專業的就會開始講流程；不專業的通常只會一直跟你談“我很厲害”。

不碰非法個資、不要保證結果

只要有人跟你說“我一定查得到”“我保證抓到”，你就要提高警覺。

因為商業調查牽涉不確定性（對方警覺、證據存在與否、系統日誌是否完整），任何保證都很可疑

而且更重要的是：他如果為了達成保證去做違法手段，你最後買到的是風險。