有一家做锂电池材料的中国企业在跟印尼一家矿业公司谈合资。中方聘请了一家国际咨询公司来协助做尽调,咨询公司派了两名顾问到现场工作。一切看起来都很顺利,直到有一天中方发现印尼方面某些内部会议的内容跟中方尽调团队内部讨论的观点高度一致。中方开始怀疑咨询公司是不是在两边同时收费卖信息。虽然这件事最后没有找到确凿的证据,但中方立即换掉了咨询公司,并启动了法律追责程序。这件事耗费了中方大量的时间成本和管理精力,合资项目也因此延期了将近三个月。
海外尽调过程中,第三方中介机构是信息安全的薄弱环节。律师事务所、会计师事务所、咨询公司、评估机构和行业顾问,这些专业服务机构在尽调中扮演着不可或缺的角色,但他们对信息安全管理水平的理解参差不齐,而且他们在一项交易中可能同时为多方提供服务,形成了天然的信息交叉风险。
跟第三方中介机构签订保密协议,是尽调信息保护的起点。但现实情况是,很多企业对保密协议的重视程度远远不够。常见的问题包括保密协议的条款过于笼统,没有明确定义什么信息是保密的,保密期限写得太短,或者在违约赔偿方面没有明确的约定。
一份有效的雇佣尽调阶段使用的保密协议应该包含哪些核心条款呢?保密信息的范围条款是关键的。协议中应该尽可能清晰地定义什么信息属于保密范围,可以采用列举方式加上兜底条款。比如所有与合资项目相关的商业计划、财务数据、技术信息、客户数据和员工信息,以及尽调过程中的内部讨论和分析结论。范围写得太窄会导致部分信息没有法律保护,写得太宽又可能被法院认定为格式条款而削弱效力。
使用限制条款要明确中介机构在尽调过程中获取的信息只能用于尽调这个特定目的。不能用于自己的其他业务,不能用于服务其他客户,不能用于自己的研究和分析。这条限制看起来很简单,但实际执行中很多中介机构会打擦边球。比如咨询公司把尽调中获得的市场洞察用于撰写行业报告,这在表面上没有直接泄露信息,但实际上是把企业的商业情报加工成了公开产品销售。
人员管控条款也是保密协议中必需的内容。中介机构应该向委托方提供参与尽调工作的全部人员名单。这些人员在尽调开始前要签署个人保密承诺书。如果中介机构在尽调过程中需要更换人员,要提前向委托方申请并获得书面同意。中介机构还应该保证这些人员接受过信息安全的培训,清楚认识保密义务的重要性。
信息处理条款解决的是技术层面的事。中介机构在尽调过程中不得将委托方的保密信息存储在他们自己的服务器或者云服务上,只能存储在委托方指定的虚拟数据室中。尽调过程中产生的中间分析成果和笔记也必须存储在数据室内。不得通过个人邮箱、个人网盘或者即时通讯工具传输涉密信息。中介机构的设备接入委托方的信息资源前,需要进行安全检测。
特殊需要关注的是多重代表冲突的问题。大的中介机构经常同时为多家客户提供服务。如果一家会计事务所在同一项交易中同时为买方和卖方提供服务,虽然业务上做了隔离,但信息仍然可能在事务所内部流通。在对中介机构做背景调查时,要确认他们是否同时在跟交易的另一方合作。如果存在利益冲突,要么请中介机构做一个严格的信息防火墙安排,要么直接换一家不会产生冲突的中介机构。
保密期限的设定也需要仔细考虑。在跨境股权交易中,尽调阶段的信息即使在交易完成后也仍然对企业的竞争地位有重要影响。所以保密期限不应该只是尽调期间,而应该延续到交易完成后几年,甚至对于核心技术类的信息设置无固定期限的保密义务。
保密协议的违约责任条款也应该足够有力。违约金应该与实际损失相匹配,但实际损失难以量化时可以设置一个不低于项目交易总额一定比例的违约金。另外,协议中应该纳入对第三方中介机构违反保密义务的追索权,包括要求对方承担因信息泄露引发的法律诉讼费用和赔偿金。
保密协议签署之后还需要跟中介机构的管理层做一次正式的保密交底会。在交底会上把保密协议的核心条款当面解释清楚。让管理层知晓本企业对信息保护的重视程度,以及违反协议后的严肃后果。这种面谈的方式比单纯签署协议文件更有效果,因为面对面沟通的庄重感能让对方更加重视保密义务的严肃性。
最后还需要建立对中介机构的持续监督机制。尽调过程中不能签约后就放任不管,应该定期抽查中介机构的信息安全措施是否到位。检查他们的数据存储和处理是否符合约定,人员变更管理是否规范,信息访问是否有异常。只有持续监督,才能确保保密协议不是一张空头文件。
