【事件:地球上保管时间最长的商业机密】

1886年,药剂师约翰彭伯顿在美国亚特兰大调制出一种深褐色糖浆,这就是后来风靡全球的可口可乐。从诞生至今超过130年的时间里,可口可乐的原始配方从未被公开过,也从未被成功窃取过。这听起来像是一个商业传奇,但其背后是一套极其严谨甚至堪称偏执的保密制度体系。可口可乐的配方被称为七X配方,这个配方被存放在亚特兰大世界可口可乐博物馆地下一个重达数吨的保险库中。关于配方存在一个广泛流传的说法:配方被拆分为三部分分别由三名公司高管各自保管一段,三人在同一时间到场才能拼凑出完整的配方信息。更有说法称每年只有两名高管知道完整的配方内容,而且这两人不能乘坐同一架飞机出行。虽然这些说法有些带有传奇色彩,但不可否认的是,可口可乐在过去一百多年里从未发生过配方泄露事件,这对于一个年销售额超过四百亿美元的全球品牌而言绝非偶然。对比之下,许多科技公司在短短几年内就经历了核心技术人员跳槽、技术文档外泄甚至整个产品线被复制的困境。可口可乐用一百三十年的时间向全球企业证明了:制度设计得当,商业秘密确实可以做到永不泄露。

【链路:百年保密制度的设计逻辑】

可口可乐配方保密制度的核心逻辑可以用三个关键词概括:最小知悉原则、分散控制原则和纵深防御原则。最小知悉原则指的是,公司内部真正掌握完整配方的人被严格控制在个位数以内,即便是在可口可乐总部负责产品研发的高级技术人员,也只知道配方中的一部分成分,无法还原整体配方。分散控制原则是可口可乐保密制度中最精妙的设计:配方的最核心部分被称为七X香料混合物,由一家独立的供应商按照保密协议生产,而这部分混合物的具体成分既不存放于可口可乐公司内部的文件系统中,也不以电子形式存储在任何服务器上。纵深防御原则包含了物理防护、法律防护和流程防护三道屏障。物理防护是指保险库本身的安保措施,包括防爆墙体、多重生物识别锁、二十四小时不间断监控记录以及独立的安防系统;法律防护是指所有接触到配方信息的员工和供应商均签署了极其严苛的保密协议,违约责任条款之严厉足以让任何人望而却步;流程防护是指任何与配方相关的操作都必须有两名以上授权人员在场,且所有操作记录均需经过独立审计。这三个原则的组合构成了一个近乎完美的商业机密保护体系,在没有任何现代网络安全技术的时代就已经做到了数据分级管理、访问控制、操作审计和供应链安全管控。

【启示:从可乐配方看中国企业保密制度的方向】

可口可乐的保密制度能够延续百余年,对中国企业的商业秘密保护有着深刻的启示意义。首要,保密制度的有效性不在于技术手段多么先进,而在于制度设计是否合理。很多中小企业花几十万购买防火墙和终端安全软件,却把源代码的管理密码贴在显示器上;又或者部署了完善的网络安全产品,但对员工离职时带走的移动硬盘没有任何检查要求。技术工具永远无法弥补制度漏洞,制度建设才是商业秘密保护的根基。第二,保密制度要遵循少而精的原则而非大而全。可口可乐公司至少有数万名员工,但知晓完整配方的人数从未超过两个手掌。企业应当建立密点清单,甄别出哪些信息真正构成了不可替代的核心竞争力,并对这些核心信息实施特殊保护,而非对所有商业信息平均用力。第三,供应链保密不是可以外包的责任。可口可乐最核心的配方部分交由第三方独立供应商生产,但这家供应商与可口可乐之间建立了世界上最严格的保密契约关系,且供应商的工厂本身也接受可口可乐的审计和监管。今天很多中国企业把核心技术部件委托给外协工厂加工,但对供应商生产车间的保密措施、员工背景调查和数据回收制度几乎没有任何管控。

【行动建议:中国企业的四级保密制度落地路径】

北京企密安信息安全技术有限公司借鉴可口可乐百年保密制度的设计理念,为中国企业量身打造四级保密制度落地路径。首要级是密点识别与分级,由专业的定密服务团队进入企业内部,通过访谈、文档审查、流程梳理和技术评估,帮助企业建立一份完整的保密资产清单,并将商业秘密按照核心级、重要级、一般级和内部级四个等级进行分类管理。第二级是访问控制体系设计,针对不同密级的信息制定差异化的访问规则:核心级信息仅限特定高管在特定区域访问,重要级信息实行逐次授权和全程审计,一般级信息采取最小知悉范围原则。第三级是物理与流程双重管控,包括敏感信息的物理隔离存放、权限拆分的多人在场制度、关键操作的交叉审计机制,确保不存在单人可以完全掌控核心秘密的可能。第四级是持续运行保障,保密制度不是建完就结束的工作,需要定期的制度审计、员工复训和演练验证。北京企密安为企业提供从制度设计到落地培训再到运行审计的全程支持服务,帮助企业把保密制度从墙上的标语变成真正可执行的防线。如您的企业有商业秘密保护方面的需求,欢迎致电010-63711822或访问baomiwang.com了解更多服务详情。

案例来源:Coca-Cola Company Corporate Archive / The Coca-Cola Formula Protection Protocol (Industry Reference)
内容类型:全球商业秘密50案系列