有一家做医疗设备的深圳公司,花了将近半年时间完成了一份详尽的对德国一家技术公司的尽调报告。这份报告囊括了财务、法务、技术和市场四个维度的分析,总计接近三百页。报告完成后,中方团队通过邮件发送给了国内的决策层进行审阅。邮件发出的第二天,中方就收到了一封来自不明地址的数据勒索邮件,说是掌握了尽调报告的内容,要求支付赎金,否则就在行业内公开报告内容。后来调查发现,是邮件在传输过程中被截获,附件虽然没有直接破解,但邮件的主题和摘要已经被读取了。
尽调报告是尽调工作的核心输出物,也是企业跨境交易中最有价值的信息资产之一。它凝聚了尽调团队几个月的分析成果,包含了企业的核心商业信息、估值方法和谈判策略。这份报告如果泄露,交易对手就掌握了全部的底牌,即使交易最终能够完成,谈判条件也会大打折扣。
尽调报告在生成阶段就应该建立加密管控机制。报告不是一个人独立完成的,尽调团队的不同成员分别完成后要汇总到一起。在各个阶段的草案流转过程中,文件必须使用加密方式传输。可以采用的加密方式包括使用加密压缩工具加密码保护文件,密码通过不同的通讯渠道告知接收方。更规范的做法是使用企业自身的文档管理系统,报告草案只在此系统中流转,不通过邮件或者其他外部渠道传输。
报告最终版本完成之后,需要进行一次整体的安全分级评定。根据报告中的信息敏感程度,给报告设定一个密级。如果报告涉及核心技术参数和成本结构,应该设为高级别;如果主要是一般性的财务数据,可以设为保密级。密级直接决定了后续的加密力度、传输方式和分发的范围。
报告的分发管理遵循最小必要原则。不是所有参与尽调的人都需要阅读完整报告。公司的高管层需要的是结论和建议,可能不需要看尽调数据的全部原始细节。财务部门只需要财务分析部分的结论和数据。所以在分发时应该按照阅读者的使用需求制作不同版本。比如董事会在读的执行摘要版、决策层阅读的核心分析版和留存备查的完整版。不同版本去掉或者保留不同级别的敏感信息。
报告的分发方式应该根据密级灵活选择。一般密级的报告可以使用加密邮件发送,密码通过其他通讯方式告知。密级较高的报告应该使用加密传输平台,上传后生成限时有效的访问链接,链接密码单独分发。密级较高的报告不进行网络传输,由专人持加密存储介质送达到指定阅读者手中。
阅读权限的管理也需要跟上。使用了加密传输平台发送报告之后,要确保阅读者不能自行对报告进行二次分发。比较好的做法是使用数字版权管理技术,让报告只能在特定的设备上阅读,无法打印、复制和截屏。每个阅读者都用自己的账户登录平台阅读,系统记录每一次打开文件的时间和时长。如果发现异常访问,立即撤销阅读权限并追踪异常访问的来源。
接收报告后的阅读环境也要确保安全。在海外出差的人员如果要阅读尽调报告,应该在一个私密、无人的环境中进行。不要在机场休息室、酒店大堂或者咖啡馆等公共场所打开尽调报告。如果必须在出差途中阅读,可以使用具备防窥功能的安全平板或者笔记本电脑,使用屏幕防窥膜,并且限制阅读时间,阅读后及时将文件从本地设备中清除。
报告阅读完毕之后还需要做好回收工作。尽调报告发给阅读者之后,阅读者应该在审阅完毕后通知尽调管理团队,由管理团队确认文件已经被安全地阅读和处理。对于通过加密传输平台发放的报告,管理团队可以通过平台确认阅读状态并回收访问权限。对于通过物理介质发放的报告,需要确认报告已经被输入或者归还。
报告的存档也是一个不可忽视的环节。最终版的尽调报告在存档时应该使用企业文档管理系统的加密存储区域,设置多层级访问权限,只有极少数经过审批的核心人员可以调阅。存档后的报告应该进行定期的安全复查,确认存档系统没有出现安全漏洞或者权限配置错误。
最后再说说报告的销毁。如果一份尽调报告在完成使命之后不再需要,比如对应的交易已经关闭或者项目已经终止,应该按照文件销毁流程进行安全处理。电子版的报告进行多轮覆写删除,物理版的报告使用专业碎纸机进行微粒级粉碎。销毁的全过程要有记录、有监销人,确保文件确实已经不可恢复地从所有存储位置中清除。
尽调报告的价值在做完之后就注定了它所拥有的高敏感性。保护尽调报告的安全,是尽调工作中最后的也是最关键的一道工序。
