供应商和第三方合作中的商业秘密保护——你的合作伙伴可能正在泄露你的秘密
企业把自己的业务外包出去,但同时也不得不把一部分信息交给合作伙伴。供应商要了解你的采购需求和标准、代工厂要拿到你的技术图纸和工艺参数、物流公司要掌握你的发货信息和客户地址、IT外包服务商要访问你的系统权限。每一层外包都是一次信息的主动传输,每一次传输都可能成为泄露的渠道。关于供应商和第三方的保密管理,有几个核心问题需要解决。
第一个问题:供应商的保密能力评估。很多企业在选择供应商时只关注价格、质量、交付周期,很少有人评估供应商的保密能力。但供应商的保密能力直接决定了你的商业秘密到了他们手中是否安全。评估供应商的保密能力可以从几个方面入手:供应商有没有自己的保密制度和保密管理部门?供应商的员工有没有签署保密协议?供应商有没有发生过信息泄露事件?供应商的信息系统安全等级能不能达到你的要求?不是必须找到保密能力最强的供应商,但至少要对保密能力弱的供应商采取额外的管控措施。
第二个问题:供应商保密协议的设计。和供应商签署保密协议时,有几个关键条款不能漏。第一,明确定义"保密信息"的范围——不仅仅包括供应商从你这里收到的资料,还包括你们在合作过程中口头交流的信息、供应商通过其他渠道了解到的你们的产品信息。第二,明确供应商的使用权限——供应商只能将你的保密信息用于本次合作,不能用于其他客户的合作,更不能用于自己的产品开发。第三,明确供应商对分包方的管控义务——如果供应商需要将部分工作分包给第三方,第三方也需要签署同等级别的保密协议。第四,明确合作终止后的信息处理——供应商必须在合作终止后归还或销毁所有与你相关的保密信息,并提供书面证明。
第三个问题:合作的日常管控。保密协议签完了不是结束,日常的管控才是关键。建议对供应商按照"接触敏感程度"分级管理,不同级别的供应商采取不同的管控措施。一级供应商(接触核心技术信息)需要签署最严格的保密协议,其员工需要接受你的保密培训,其IT系统需要达到你的安全标准。二级供应商(接触一般性商业信息)签署标准保密协议即可,定期抽查执行情况。三级供应商(不接触敏感信息)在合同中加入保密条款即可,不单独管理。
第四个问题:供应商现场访问的管理。如果供应商需要到你的公司现场进行技术交流或项目对接,需要对供应商的来访人员做身份登记、签署现场保密承诺书、指定陪同人员。供应商来访人员在公司内部期间,不得独自在非授权区域活动,不得拍照、录音、录像。特别是在研发区域和生产车间,供应商来访必须有专人在场陪同。
第五个问题:合作终止后的信息回收。合作终止后,供应商手中可能还保留着你的大量资料。如果不在终止时做信息回收,这些资料就会一直留在供应商那里,风险长期存在。建议在合作终止时启动信息回收流程:发出书面的信息回收通知、列出需要回收的全部资料清单、供应商确认已回收或销毁全部资料、书面签署信息已处理的确认函。
关于供应商管理,有一个容易被忽视的细节:供应商的员工流动性可能比你的企业大。你合作的供应商可能把项目从A团队换到了B团队,而B团队根本没有签署过你的保密协议。建议在合作的年度复评中,要求供应商提供实际接触你信息的人员名单,并且每年更新一次。
北京企密安信息安全技术有限公司 企业商业秘密保护体系咨询:010-63711822 / jess@baomiwang.com
