随着商业秘密在企业竞争中越来越重要,企业研发成果被泄露、技术秘密被竞争对手窃取、新产品设计、模具被克隆、客户名单飞单、涉密员工跳槽等侵权情况层出不穷。与专利权以公开换取由国家保护的一定年限的垄断不同的是, 商业秘密是一种需要由权利人自力采取保护措施的权利,商业秘密一旦被反向工程披露或被侵权泄露,权利人就永远丧失了对其垄断的权利,具有不可逆性。世界上很多公司因为自己的机密被泄露造成重大损失甚至导致倒闭。虽然对侵犯商业秘密的行为,权利人可以通过诉讼的事后救济挽回一定的损失,但是,企业如何保持其核心竞争力不被披露,也即商业秘密的事前救济,是企业生存发展的刚性需求,如何重视都不过分。
本文从为一个跨国企业在中国的供应商提供商业秘密保护咨询的具体案例,介绍企业在经营管理中普遍存在的失密风险及如何未雨绸缪地采取具体措施预防商业秘密泄露,使企业在商业秘密管控中立于主动地位,保持竞争力。
笔者服务的一家制鞋跨国公司A经过多年的大量投入人力、物力和财力,每年研究、开发出数款新鞋,将其品牌的鞋类产品打造成了既时尚又高品质的受全世界消费者青睐的热销产品。有一年3月,A公司发现其准备在当年7月正式在全球上市的两款夏季凉鞋居然在泰国的市场上出现了同款的假冒产品正在被热卖,使还未面市的品牌正品失去了进入市场的先机。A公司法务意识到这不仅仅是假冒商标的侵权问题,更令权利人不寒而栗的是其在市场竞争中制胜的法宝——商业秘密被泄露,如果不对这种情况予以重视及遏制,将导致更大的无法挽回的损失。
商业秘密泄露途径主要有企业内部人员泄密、外部人员窃密,特别是离职人员违反保密协议泄密等。为调查清楚是供应链哪个环节出了问题以及防止未来更多的新鞋设计被泄露,受A公司法务委托,笔者连续四年主要分几个阶段,即风险评估、风险处理、保密措施跟踪改进对A公司在中国的主要相关供应商进行了商业秘密风险排查、搭建商业秘密保护系统、提供员工保密培训、辅助执行商业秘密管控、并对商业秘密泄露案件进行调查取证、维权服务,大大降低了权利人供应链上下游商业秘密泄露的风险,取得了比较好的效果。
1.供应链商业秘密风险评估
A公司的新产品从研发,开模具、打样、备料到上市前宣传广告、量产、运输、批发、零售是由其分布在全球不同国家的研发部门、供应商与经销商组成的复杂供应链网络完成的。新款鞋子主要由设在欧美的研发部门的设计师设计出来,然后由中国的供应商进行模具、样品开发及生产。
供应链商业秘密管控的强弱取决于其最薄弱的环节。
一款新鞋的款式从设计出来到上市前宣传或量产之前是不为公众所知悉的商业秘密,在这个时间段的新设计流经过的环节包括欧美研发设计出2D图纸(不在本文讨论范围)传输到中国模具厂开发成3D图纸、鞋厂与模具厂合作根据3D图纸先制作纸板鞋样并修改直到经A公司确认,将修改好参数的3D图纸交由模具厂开发出模具并进行修改、微调经A公司确认后,由鞋厂样品开发部门将鞋样打制出来并经修改直到A公司确认成品鞋样,然后由鞋厂生产出一定数量的鞋样由A公司的市场部门进行新款发布,在这些环节中,所有参与的供应商的员工都是涉密人员,任何环节上的涉密人员都有可能泄露商业秘密。然而,商业秘密保护的目的不是要达到百密而无一疏的完美程度,这在客观上也是不可能做到的,而是要对薄弱环节采取适当的保护措施,把失密的风险控制在最小的范围内。
因此,笔者做为A公司的知识产权律师,首先选择其新款鞋开发阶段涉密的供应商包括模具厂、鞋材厂、注塑厂及整鞋装配厂作为评估对象,对他们的商业秘密管控现状做了一轮全面检查评估,对商业秘密制度、保密合同进行审阅、对办公、生产现场进行实地参观,与相关工作人员及涉密人员进行访谈,找出新款开发所有阶段保密信息流转过程中的脆弱点,诊断出供应商所面临的泄密风险及在商业秘密保护方面存在的漏洞,对泄密风险做出高、中、低的等级划分,便于下一步可以有的放矢的制定符合各工厂实际情况的风险处理计划,达到能够最大限度保护商业秘密的目的。
检查评估内容包括但不限于:
1)供应商现有商业秘密保护制度、与A跨国公司相关合同及保密协议、劳动合同、员工手册、涉密员工保密协议、转包合同保密条款及其它相关文件。
2)所有涉密供应商及其涉密员工清单,职位描述。
3)设计图纸的流转途径。
4)开发样品的管控:样品开发各阶段(鞋模、试样、确认样品)样品数量、保密标签、出借、销毁记录等。
5)开发模具的管控:流转、存贮、出借。
6)物理安全:门禁、视频监控、研发部门与其它部门物理隔离、保密文件物理隔离、USB、相机、手机管控等。
7)计算机系统安全:网络结构、内外部访问控制、网络设备安全配置、用户帐号、商业秘密接触级别权限设置、加密设置、电脑维修、淘汰电脑处置等。
8)相关工作人员访谈:高管、研发人员、人事、IT、保安、样品开发员工、量产线员工、仓库负责人、模具管理人员等。
2.供应链商业秘密风险处理
经过对供应商商业秘密风险评估,我们诊断出的主要风险" 脆弱点"和处理建议是:
(1)保密制度及保密机构
大多数工厂没有建立商业秘密管理制度,有的虽然有基本的商业秘密保护要求,但都是零星地出现在不同的规范性文件或合同中,内容也比较模糊笼统,对商业秘密的具体内容及范围也没有明确的定义,这给企业事后的权利救济带来潜在的困难。一些工厂与员工签订的劳动合同中只有竞业禁止条款却没有保密条款,有的工厂涉密人员的保密义务只在劳动合同里有笼统的一般保密条款,没有要求签专门的保密协议。大多数企业基本没有设置专门组织或人员负责保密安全管理工作,管理人员也没有经过相关保密培训,不具备商业秘密方面的知识。
凡事预则立、不预则废。
我们建议企业要高度重视品牌权利人及其自有的商业秘密的保护,要意识到失密的严重后果,提出企业建立符合实际情况的、系统的保密制度具有紧迫性。保密规章制度的设立应当全面、规范,具有可操作性,并根据实际情况及时修订。企业可以聘请专业律师协助制定完整健全的保密制度;根据涉密范围及涉密人员级别拟定相应的保密协议,明确保密范围、保密期限、违反保密义务应当承担的法律责任;拟定员工竞业禁止协议,约定员工离职后一定时间不能到与原单位具有竞争关系的企业任职,也不得自立门户,从事与原单位有竞争关系的生产经营活动,明确涉密人员违反协议应当承担的赔偿责任及其它法律责任;企业应当设置保密机构贯彻实施保密制度;由专人或外部专业律师定期对企业的保密工作进行监督、检查,发现问题及时解决,使企业未雨绸缪,预防失密及在泄密的事后法律救济中能够完成举证责任。
(2)保密意识
在与相关涉密员工谈话的过程中, 我们了解到供应链上的企业为了创造效益,把重点放在扩大生产提高生产效率上,从高管到生产线上的工人的保密意识都非常薄弱,涉密人员虽然在入职的时候签了保密协议,但在工作中研发部与其他部门或与外部合作工厂人员有随意"串门" 和交流敏感信息的情况,有的设计图纸、模具借出、归还不作记录、有的IT对涉密人员手提电脑没有管控、 收发设计图纸不做加密设置等等,存在明显的泄密风险。
加强员工保密意识是企业保密工作的根本。保密宣传教育是增强保密意识的重要途径,企业的保密机构应该定期安排员工的保密知识培训,使每个员工树立"保密无小事"的理念,在工作中保持高度的对保密信息的敏感性和警惕性,言行上逐步养成好的保密习惯,在工作或非工作场合都能有意识地做到不该问的不问、不该听的不听、不该说的不说,并且遵守职业操守,抵御外界诱惑,降低泄密风险。
在做完风险评估后,笔者作为外部律师对供应商的相关人员进行了企业商业秘密管理的培训,对商业秘密保护进行了全面的介绍,内容包括商业秘密对企业生存、发展的重要性、我国商业秘密的保护法律法规、通过案例分析侵犯商业秘密的法律后果、商业秘密权利人的举证责任、商业秘密泄露途径及保护商业秘密的措施。参加培训的人员对商业秘密有了清晰的认识,对法律有了敬畏。
(3)物理安全
对商业秘密进行物理性隔离是保密最基本的措施。A作为跨国公司,其选择的合作供应商都是相对来说有实力的企业,在检查评估过程中,绝大多数的工厂在都聘请了专业的保安,工厂的办公、生产、仓储区域都有基本的门禁、监控, 但是因为企业没有专门就商业秘密的保护制定完整的制度及设定专门的保密部门,对涉密信息如图纸、开发样品、材料、模具、手机、相机、电脑等采取的保密措施, 有的根本没有,有的只做到了"防君子不防小人"的程度,存在很多的漏洞,需要逐一加强保护。
我们的建议是商业秘密的物理性保护措施应该涵盖商业秘密从产生、持续到销毁的整个生命周期。对商业秘密的所有载体,在商业秘密产生、使用、保存、转移、处置、销毁的所有环节都应指派专人采取有效的物理保护措施,使泄密风险降到最低。
(4)计算机系统安全
随着现代社会着计算机与网络技术的飞速发展,在计算机信息系统中也出现了很多问题和安全隐患。近年来我国企业频繁出现的通过计算机信息系统泄密与窃密的事件,给企业造成了不可挽回的损失。加强计算机信息系统安全和防范管理是企业商业秘密保护措施中的重中之重。
笔者在审阅了供应商企业的计算机信息系统管理制度及抽查办公、生产及涉密人员的计算机、手提电脑的使用情况后,发现存在不少泄密隐患,建议企业重新全面更新管理制度并在执行层面加强管控,将泄密风险尽量控制在最低。
以下是几点主要的措施:
(1)制定计算机安全管理制度,计算机管理实行"谁使用谁负责"的原则,建立涉密计算机登记备案制度,由专人统一管理。
(2)涉密计算机必须与国际互联网物理隔离。员工在处理涉密信息时要做到"上网信息不涉密,涉密信息不上网"。
(3)涉密计算机要设置开机密码和屏幕保护密码。
(4)涉密信息加密。
(5)加强涉密存储介质的保密管理,建立涉密存储介质(如软盘、U盘、光盘、可移动硬盘等)的使用登记制度,明确专人统一负责管理。
(6)涉密计算机维修时,对涉密信息应事先拆卸下硬盘、采取转存、删除等措施。安保人员和维修人员必须同在维修现场,并对维修全过程进行监督并记录。
(7)涉密计算机的报废由专人负责,进行物理销毁。
(8)工作电脑禁止安装员工私人购买的软件,防止木马、病毒程序的攻击及软件留有的后门给网络安全带来的隐患。
3.供应商保密措施跟踪改进
在对每一个供应商做出详细的风险评估报告及提出建议采取的具体保密措施后,笔者对他们的商业秘密保护的改进执行情况进行了每年一到两次的回访,逐个检查每个企业对列出的脆弱点的处理状况进行重新评估及进一步提出改进建议,使各个供应商的商业秘密保护有的从无到有,有的从弱到强,A跨国公司也对委托中国企业做新产品的研发更有安全感、更有信心了。
结语
根据中国裁判文书网的判决数据显示,商业秘密民事案件原告的胜诉率非常低,主要的原因是原告不能证明其商业秘密的秘点及范围、原告对该权利采取了合理的保密措施、被告实施了侵权行为及造成的损失。这表明,企业在平时的经营管理中没有保存好相关证据、对商业秘密没有尽到保护责任的,法律不予保护。商业秘密是企业最重要的无形资产, 与其等到商业秘密被泄露花钱聘请律师对侵权人进行索赔或追究其刑事责任进行事后法律救济,企业更应该注重事前投入精力构建完善的商业秘密保护体系并践行,使企业在激烈的市场竞争中赢得主动、保持优势。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.