一家做汽车零配件的企业,同时是两家整车厂的二级供应商。A厂要求他们开发一款新型传感器,B厂也在做类似的产品线升级。零部件企业觉得自己两边都是老客户,技术上各自独
一家做汽车零配件的企业,同时是两家整车厂的二级供应商。A厂要求他们开发一款新型传感器,B厂也在做类似的产品线升级。零部件企业觉得自己两边都是老客户,技术上各自独立开发就好了,不会有什么问题。
但问题就在"不会有什么问题"这几个字上。
项目开始三个月后,A厂的技术人员来到零部件企业的实验室参观,在实验台旁边的白板上看到了几组参数——那是B厂新项目的关键指标。A厂的参观人员当场拍照,回厂后要求零部件企业解释:为什么B厂的技术参数出现在这里?零部件企业这才发现,两个项目组共用了同一间实验室,工程师们为了方便,在白板上随手写的数据没有擦掉。
这就是供应商和客户的商业秘密交叉保护的典型困境。作为中间环节的服务商或供应商,你同时服务多家客户,每一家都给了你他们的技术资料、工艺流程、商务条款。你需要在日常操作中确保A家的资料不会出现在B家的项目文件里,B家的报价不会被C家无意中看到。
有人问,这种问题签个保密协议不就行了?保密协议当然要签,但协议管的是"故意泄露",管不住"无意交叉"。真正有效的措施是在物理和数字两个层面做隔离。
物理隔离不难理解。如果条件允许,不同客户的项目组安排在独立的办公区域,各自的门禁权限不同,来访人员有单独的接待路线。对于规模不大的企业,集中办公不可避免,那就要在项目交付后做好文件清理和场地清理。实验记录、设计草图、临时笔记,该归档的归档,该销毁的销毁,不能隔夜暴露在公共区域。我们做咨询服务时见过不少案例,泄密的源头就是一张没擦掉的白板草稿。
数字隔离才是真正的难点。很多中小企业的文件管理方式是在一个共享服务器上建不同文件夹,权限设置很简单甚至没有设置。任何一个员工登录共享盘,都能看到所有客户的资料。正确的做法是做到三层隔离:第一层是网络隔离,不同客户的敏感数据存储在不同的目录结构中,每个目录只有对应项目组成员才有权限访问;第二层是流程隔离,员工在不同项目间流动时,需要有一个明确的清理交接环节,不能带着A项目的文件就进入了B项目的会议;第三层是输出隔离,向客户交付的成果物,要经过保密审查,确认里面没有混入其他客户的信息。
还有一种容易被忽略的情况——人员流动。刚才那个例子中,零部件企业的工程师从A项目组调到了B项目组,他对A项目的技术细节了解得很清楚。虽然公司规定"不得将A项目信息用于B项目",但这个边界在实际工作中很难把握。我们的建议是:在人员转岗时做一个正式的保密承诺确认,同时在项目文件中加入水印和追溯机制——万一出了问题,至少能查清楚信息是从哪个环节流出去的。
供应商和客户交叉保护有一条底线原则:你从A客户那里获得的信息,只能用于A客户的项目,不能用于A客户竞争对手的任何项目。这个原则听起来简单,实际操作中需要一套完整的制度来保障。
供应商交叉保护是企业在供应链管理中必须面对的一个课题。企业在推进供应链保密管理时,不妨从上述三个隔离维度逐一自查,看看哪个环节还有改进空间。
北京企密安信息安全技术有限公司/ 邮箱:jess@baomiwang.com
