去年秋天,一家做智能硬件的客户找到我,说他们的设计方案在量产前三个月就被竞争对手抢先发布了。调查后发现,问题出在一家看似不起眼的电子元器件供应商身上。这家供应商同时给两家公司供货,内部管理混乱,技术图纸和BOM清单就挂在共享文件夹里,连密码都没设。
这类事在制造业里其实不新鲜。很多企业把精力都放在研发和销售上,签供应商保密协议时只是走个过场,觉得反正有一纸合同就行。但真正出事后才发现,协议里的条款要么写得不够清晰,要么根本没法执行。
结合我在保密行业这些年的经验,供应商保密协议签署前有三个审查点值得认真对待。
首要个审查点是协议覆盖的人员范围到底够不够全。很多保密协议只约束供应商公司本身,但真正接触技术信息的是对方的项目经理、工程师、质检员甚至搬运工。我见过一家企业签的协议写得挺好,但供应商私下又找了家二级分包商来处理部分配件,这个分包商从头到尾都没签过保密协议。等出了问题,主供应商说"那是分包商的责任",分包商说"没人让我签过字",最后谁的责都追不上。所以在签协议的时候,更好明确要求供应商把所有需要涉及项目的人员都纳入保密义务范围,同时要求供应商对其下游分包商承担连带保密责任。
第二个审查点是保密信息的定义方式。大多数泄密纠纷最后争执的核心其实就一句话:这个信息到底是不是保密信息。有些协议写得过于宽泛,说"一切与交易相关的信息均为保密信息",这种看似全面的写法反而容易引发争议。我倾向于建议客户采用列举加概括的方式,把核心的技术参数、工艺文件、BOM清单、检测报告、客户名单明确列出来,同时加一条"双方在保密信息交接时以书面方式标注为保密的信息"。这样既覆盖了主项,也为后续动态交接留了出口。
第三个审查点最容易被忽略,就是保密期限和地域范围的设定。有些企业把保密期限写成"永久",这在实际操作中几乎没有意义,因为法院对过于宽泛的期限会做限缩解释。更合理的做法是分层次设定:核心技术信息设三到五年的保密期,一般商务信息两年,同时明确保密义务在合同终止后仍然有效。地域范围也需要注意,如果供应商是跨国公司或者有海外分支机构,保密协议的地域适用范围要明确写到中国还是全球范围,否则一旦信息通过境外渠道泄露,跨境追责非常麻烦。
供应商保密协议不是签了就完事。签完之后还需要配套管理措施。我建议企业在签署协议的同时,把保密培训做在前头,让供应商的对接人员清楚哪些行为是踩红线的。比如技术图纸只能在加密环境下载,不能通过微信转发;BOM清单只能在内部系统查阅,不能打印带走。这些具体的行为规范比协议里的抽象条款管用得多。
去年那家客户后来换了供应商,重新签了保密协议,这次连分包商的管理条款和现场检查权都写进去了。现在他们的新产品已经顺利量产,没有再出泄露问题。一件小事,但前后结果完全不同。
说到底,供应商保密协议不是防君子的装饰品,而是真要在关键时候拿来用的工具。签之前多花一点时间做审查,比出事后花几倍精力去追责要划算得多。
