并购尽调商业秘密保护准备

并购尽调和业务合作中的商业秘密怎么保护——见面前就应做好的准备

先讲个真实案例。A公司是一家做医疗设备的创业公司，跟一家大型企业谈技术合作。合作前双方签了保密协议，然后A公司把核心的技术图纸、实验数据和制造工艺全套文件发给了对方。谈了大半年，合作没谈成，对方说"不匹配"。过了一年，A公司发现对手出了一款几乎一模一样的产品。A公司气疯了，但打官司的时候才发现，签的那个保密协议对保密范围的定义太宽泛，法院很难认定对方侵犯了具体哪一项商业秘密。

这是我见过最典型的坑——双方见面之前，你觉得自己已经做好了信息保护，实际上什么都没准备好。

企业做并购、合资、技术合作这种重度的信息交换活动，商业秘密保护不是从签保密协议开始的，是从决定跟对方接触的那一刻就要开始准备。

第一步是做自己，不是做对方。很多企业一上来就急着问对方需要什么信息，其实应该先问自己——我们要给出去什么信息？哪些信息必须给，哪些信息完全可以不给，哪些信息可以包装一下再给。我们一般建议企业在开始接触之前先做一个信息披露清单，把信息分成三个层次：可以完全公开的（比如产品介绍、公司基本情况）、需要有限制分享的（比如技术参数、财务数据、客户案例）、绝对不能给出去的（比如核心配方、关键算法、供应链底价）。第三个层次的信息想都不要想，哪怕合作成了也不一定需要全部交出去。

第二步是控制尽调范围。尽调是必要环节，但尽调不等于打开保险柜让随便翻。尽调的范围、目的、人员、复制权限，全都要在书面协议里约定清楚。我见过一家企业在尽调的时候，直接把一个装有200G技术文档的移动硬盘交给了对方，连复制控制都没有。这种操作放在信息安全里就是灾难。尽调应该走虚拟数据室，而且要有严格的访问记录——谁在什么时间看了什么文件、看了多长时间、有没有下载或打印，全都要有日志。

第三步是设计好保密协议的核心条款。这里有几个关键条款很多人不注意。一是保密信息的定义方式，不能简单写"所有交换的信息均为保密信息"，这种条款在诉讼中很难执行。更好的方式是把保密信息框定到具体的文件清单、项目范围和信息类型。二是保密期限，不能写"永久保密"，在中国法律框架下，过长的保密期限反而可能被认定为不合理。我们一般建议信息交换阶段的保密期限设在三年到五年，核心秘密另外单独约定。三是信息归还或销毁条款，合作终止后对方手里还有没有你的文件副本？什么时候销毁？由谁监督？这些都要写清楚。

第四步是信息交换的实操控制。如果你尽调或者合作过程中需要大量交换数据，安全的做法是用虚拟数据室。VDR的好处是你随时可以收回权限，而且能看到每一个人的操作行为。另外，敏感技术的尽调建议走"分段披露"的节奏——开始只给部分信息，对方越深入越需要更多细节，你再逐层释放，而不是一次性把底牌全摊了。

再说一个容易被忽略的善后工作——合作终止后，你做没做信息归还和销毁的确认。很多企业合同写得漂亮，但合作谈崩了或者结束了，文件在对方服务器上留着，也没人去追回或要求删除。等到一年以后对手拿着你的技术文档开发了新产品，你再去找人说"你把文件还给我"，对方说"半年以前就已经删了"，你拿什么证明？所以合作终止的时候，一定要做一个正式的信息归还和销毁确认流程，书面签收，存档备查。

合作是好事，信息交换也是必要的。但如果保护做在前面，你才能在合作失败的时候有底气说——是我的还是我的，你拿不走。