现代企业的运营越来越依赖供应链上下游的深度协作,技术共享、数据互通、联合研发已经成为常态。但合作越紧密,商业秘密暴露在合作伙伴面前的范围就越大,如何在不影响合作效率的前提下保护好自身的商业秘密,是很多企业在供应链管理中面临的现实难题。
供应链合作中的商业秘密泄露风险主要有三个来源。第一个来源是合作伙伴内部管理不到位。有些供应商规模不大,内部保密制度和执行能力都比较弱,员工保密意识淡薄,很容易在无意中把甲方的涉密信息透露出去。第二个来源是信息共享过度。业务人员在合作中为了推进项目,往往习惯性地把大量敏感信息发送给对方,有些信息对方其实并不需要。信息给出去之后,企业就失去了对信息的控制力。第三个来源是合作结束后的管理真空。合作终止后,很多企业没有及时要求对方归还或者销毁涉密资料,这些资料长期留存在合作方手中,成为潜在的泄密源。
针对这些风险,企业在与供应链伙伴开展合作时,应当建立一套贯穿合作全周期的保密管理流程。这个流程可以拆分为合作前、合作中和合作后三个阶段,每个阶段都有不同的管控重点。
合作前阶段的核心工作是背景调查和保密协议签署。与新的供应商或合作伙伴建立业务关系之前,要对其进行保密能力的尽职调查。调查的内容包括对方的内部保密制度是否健全、有没有发生过泄密事件、是否通过了相关的信息安全认证等。对于涉及核心机密的高风险合作,最好安排实地考察,看看对方的涉密区域管理、文档管理、人员管理是否规范。背景调查通过之后,在正式签署合作协议之前,必须同步签署保密协议。供应链保密协议与员工保密协议有所不同,除了约定保密信息的范围、保密期限和违约责任之外,还要增加信息使用限制条款,明确限定对方只能在合作范围内使用涉密信息,不得用于任何其他目的,包括不得为合作之外的第三方生产、研发或提供服务。
合作中阶段的核心工作是信息最小化交付和过程监控。向合作伙伴提供涉密信息时,遵循按需提供原则,只给完成合作任务所必需的信息,而不是把整套技术方案或者全部客户数据都交出去。比如与代工厂合作,只需要提供生产工艺所需的技术参数,不需要提供产品配方或者完整的研发文档。信息交付时要做好记录,交付了什么内容、什么时间交付的、交付给了谁的什么人,都要有明确的台账。这样可以确保一旦发生泄密,企业可以快速定位泄密源头。对于长期合作的伙伴,还应该定期进行保密合规检查,重点关注对方对涉密信息的使用是否符合协议约定。
合作中还有一个容易被忽视的风险点,就是双方的业务人员在日常沟通中通过即时通讯工具或者邮件传递涉密信息。建议企业与合作伙伴约定专用的沟通渠道和文件传输方式,涉密文件通过加密通道传输,禁止通过微信、钉钉等未加密的即时通讯工具发送涉密信息。同时,企业要对自己一方的员工进行培训,提醒他们在与合作伙伴沟通时注意信息边界,不要为了显示诚意或者推进关系而过度分享企业秘密。
合作后阶段的核心工作是资料回收和保密义务延续。合作终止或者合同到期后,企业需要书面要求合作伙伴归还或者销毁所有涉密资料。归还和销毁的过程要有双方人员在场确认并签字存档。对于无法归还的电子数据,要确保已经从对方的系统中彻底删除,必要时可以聘请第三方机构进行数据清除认证。同时,保密协议中的保密义务在合作结束后仍然有效,尤其是核心技术秘密的保密期限不应因为合作终止而结束。
在实际操作中,很多企业会遇到一个矛盾,就是越是需要保护的商业秘密,合作中越难做到信息隔离。比如联合研发项目,双方需要共享关键技术信息才能推进研发工作,但又担心对方获取了全部技术后自行开发同类产品。针对这种情况,可以考虑模块化交付策略,把完整的技术方案拆分成多个模块,不同模块由不同的团队或者不同的合作伙伴负责,没有任何一个合作方掌握完整的技术信息。或者采用黑盒交付的方式,只向对方提供标准化的输入和输出接口,不暴露内部的实现逻辑和核心算法。
还有一个实务建议是建立供应链保密分级管理制度。按照合作事项与核心商业秘密的关联程度,将合作伙伴划分为不同保密等级,等级越高管控越严。对于仅涉及一般非保密业务的普通供应商,只需要签署标准的保密协议即可。对于涉及重要秘密的合作方,除了保密协议之外还要增加信息使用限制条款和定期检查条款。对于涉及核心秘密的战略合作伙伴,则需要执行最严格的管控措施,包括专人对接、信息分段交付、独立的保密协议条款、强制性安全检查等。
