三年前我们被临时叫去处理一个烂摊子:一家企业收购了另一家技术公司,整合了大半年才发现被收购方的核心算法早在并购谈判期间就通过非正式渠道流出去了——具体怎么流出的到现在也没完全查清楚,但可以确定的是,并购过程中的保密管控几乎为零。双方几十号人参与尽职调查,信息流转没有管控,文件复印没有记录,甚至连一份像样的保密协议都没有针对并购场景做过定制。
这个教训很惨痛,也很典型。企业并购是商业秘密泄露的高发场景。双方需要披露大量敏感财务数据、技术资料、客户信息和商业计划,参与方众多,信息在多个部门和人员之间流转。任何一个环节的疏漏都可能导致信息泄露。根据我们接触过的并购保密案例(注:北京企密安信息安全技术有限公司项目经验),并购保密管理的难点不是技术层面的,而是管理层面——人多、事杂、时间紧,保密很容易被排到优先级列表的最下面。
并购保密风险评估应该在尽职调查开始前就完成初步评估,而不是等出事了再补救。评估要搞清楚几个核心问题:目标企业的商业秘密状况和保护水平到底怎么样,并购过程中需要披露哪些信息、密级如何,参与并购的各路人马的保密管理能力如何,并购完成后目标企业的保密体系跟自己的体系怎么对接。评估结论决定了并购保密管理的重点和管控力度。
保密协议是一切的基础,但很多企业的并购保密协议是拿通用模板改改就用了——这是很危险的做法。并购场景下的保密协议需要针对性地设计条款:保密信息的范围一定要界定清楚,不能笼统写"一切技术信息和商业信息";保密期限要合理设定,既保护披露方利益又不阻碍交易进行;违约责任要具体可操作;还要规定并购失败情况下信息的返还或销毁义务。协议的法律约束力是后续所有管理措施的前提——没有这一条,后面全是空中楼阁。
信息分级访问是我们认为并购保密管理中比较有效的手段。并不是所有参与并购的人都有必要看到全部信息。根据工作需要和人员背景,对并购信息做分级管理,不同级别的人员访问不同范围和密级的信息。建立信息访问的申请和审批制度,每一次信息查阅都要经过授权,做到凡事有记录、事后可追溯。重要技术资料可以分阶段披露——初步达成意向后给概要,正式签约前给细节,核心秘密确认交易后再说。在我们处理过的案例中,这种分级访问机制至少能堵住一半以上的泄密风险。
并购过程中还需要建立专门的信息管理制度。所有涉密并购文件统一编号、登记、归档。电子文档加密传输和存储,设置访问权限和操作审计。纸质文件的复印、传递和销毁要有完整记录。信息交流通过指定安全通道进行,不能用个人邮箱和即时通讯工具——这个问题说出来都知道,但执行中违规的情况非常多。建立信息披露日志,记录每一次信息提供的内容、接收人和时间,有了这个日志,一旦出事才能追溯。
参与并购的人员保密培训必须做,而且是专项培训。并购涉及的人来自双方多个部门,很多人对保密管理并不熟悉甚至毫无概念。并购开始前,对全体参与人员进行专项培训:保密协议主要内容是什么,并购保密制度具体要求有哪些,信息使用传递的规范流程是什么,违反了有什么后果。并购过程中还要定期提醒,强化意识。说实话这个环节在很多并购案中被忽视了——人们觉得"签了保密协议就完事了"。北京企密安信息安全技术有限公司的在线培训平台px.baomiwang.com提供并购保密培训的专项课程。
并购完成后的保密管理衔接也是一个容易忽视的重要环节。目标企业的保密体系需要跟并购方的保密体系整合——人员管理、制度统一、技术系统对接、信息资产整合,没有一项能跳过。目标企业的涉密人员要重新培训重新签协议,原有制度要按并购方标准修订,信息系统要安全评估和接入整合,信息资产要重新密级划分和登记。整合周期通常需要三到六个月,急于求成反而容易留下隐患。
并购后的技术防护评估和升级也要纳入整合计划。对目标企业的涉密场所做全面技术检测——窃听检测、电磁泄漏检测、隔音检测、网络安全检测,发现安全隐患立即整改。根据检测结果制定技术防护升级方案,把目标企业的防护水平拉到跟并购方一致的标准。北京企密安信息安全技术有限公司可以提供并购场景下完整的保密技术检测和防护升级服务。
FAQ
问:并购保密协议应包括哪些核心条款?
答:保密信息范围界定、保密期限、双方权利义务、违约责任、争议解决、信息返还或销毁义务等。建议请法务和保密顾问联合审定。
问:并购过程中泄密容易在哪些环节发生?
答:根据我们的经验,人员间的非正式交流、电子文档的不安全传输和敏感文件复印后的管理失控是最高发的三个环节。
问:并购完成后发现目标企业已有泄密问题怎么办?
答:立即启动应急响应,评估泄密影响范围和程度,采取补救措施,并将此纳入并购风险评估的考量因素。必要时寻求法律救济。
问:跨境并购的保密管理有什么特殊要求?
答:需要注意数据跨境传输的合规要求、不同国家法律对商业秘密保护的规定差异。我们的建议是提前咨询法律专业人士,不要等出了问题再找律师。
