信息时代下如何规范企业保密工作
《民法典》第501条规定,当事人在订立合同过程中知悉的商业秘密或者其他应当保密的信息,无论合同是否成立,不得泄露或者不正当地使用。2019年4月23日修订实施的《反不正当竞争法》第9条罗列了构成侵犯商业秘密的行为。2020年9月12日施行的《最高人民法院关于审理侵犯商业秘密民事案件适用法律若干问题的规定》(以下简称“《商业秘密规定》”)进一步明确了技术信息、经营信息、客户信息等具体属于商业秘密的信息范围,为市场主体提示了应该重点关注保密信息的范围。同时,该司法解释第六条列举了“应当认定权利人采取了相应保密措施”的六种情形,亦是对企业管理者如何保护企业信息资产提供了参考和指导。涛哥就商业实践中的保密措施有关问题侃如下几点:
一、商业交易中保密协议的具体适用
保密协议,是为了保守交易各方已有的或者交易执行过程中新产生的技术、经营、客户等信息秘密而签署的书面协议。《民法典》中虽然没有将保密协议规定为典型合同,但保密协议或者保密条款在一些交易中构成典型协议不可或缺的组成部分,比如,对保密性要求比较高的技术合同中,技术委托开发合同和合作开发合同中,交易双方对合同履行过程中对已有技术及新开发技术等信息或资料负有同等保密的责任,构成双方信赖的最为核心合同利益;技术转让、技术许可、技术咨询、技术服务等交易中,当事人签订保密协议一方负有对另一方的已有技术信息和资料进行保密约定,更加强调信息接收方的保密义务。在其他一些典型合同中,保密协议或者保密条款构成主合同附随义务,比如对买卖、租赁、运输、保管等交易中的信息进行保密约定,仅作为合同标的权利与义务内容的附随义务,违反保密义务并不致使当事人合同主要目的落空。
有些商事交易领域,保密协议可在交易主合同成立前签署,比如投融资并购交易中,投资方为了解被投资方企业资产、负债或经营情况,需要对被投资企业进行法律、财务、业务尽职调查,综合调查所掌握信息做出投资决策。此时,投融资交易谈判双方尚且不能确定最终是否签署投资协议(不论是股权转让协议、增资协议或者资产收购协议等),被投资企业为了避免其内部技术、经营或客户等信息为投资者知悉后泄密甚至滥用,双方往往会签署保密协议,主要条款可以涵盖保密信息的定义或范围、保密各方的权利与义务、违反保密义务的违约责任、保密有效期限、保密义务豁免等内容。在具体尽职调查执行程序中,相关中介服务机构(如律师事务所、会计师事务所、评估师事务所、财务顾问等)会根据自己职业规范和被调查企业的要求,签订保密协议或者保密承诺书,构成了投资方保密义务的有效延展。经过专业机构审慎尽调结论,即使投资方最终作出不予投资决策,投资方及其委托中介机构依然要严格遵守保密义务,这亦是《民法典》第501条规定不以“合同成立”为前提的法定保密义务。
二、企业保密措施的选择
企业保密措施以适用对象不同可以分为对企业所有者(股东)措施、对工作人员措施、对外部人士保密措施,针对不同场景又可具体采取网络保密技术和物理保密措施。
第一,对企业所有者(股东)的保密措施。
公司股东总是通过公司股东会表决程序、审阅财务报表、听取管理层汇报等信息管道掌握着公司最为核心技术、经营信息、供应商体系、核心客户名录、核心人才等。一般公司经营目标与股东利益目标一致,不会发生股东泄露公司保密信息情形。但在股东利益与公司利益并不完全一致的情形,公司股东可能会有泄密动机。比如,一股东在A公司持有30%股权比例,在外个人独资成立B公司,B公司与A公司生产同一类产品、面对同一类客户,则根据舞弊三角理论分析,该股东有冲动将掌握A公司的客户信息和产品技术信息泄露给B公司,因为就同一笔生意而言,该股东显然可从B公司获取更多利益。这也是企业拟IPO项目中,监管层为何会禁止关联企业存在同业竞争的情形。为了避免出现股东泄密情况发生,我们可以通过公司章程中明确股东保密义务,同时设置竞业禁止规则,各股东将不直接或间接从事或参与任何与公司相同、相近或类似的业务或项目,不进行任何损害或者可能损害公司利益的其他竞争行为。从根本上堵截公司股东对本公司商业秘密泄密的舞弊动机。
第二,对企业内部员工的保密措施。
从企业内部各职能部门的一线工作职员和部门负责人,到企业中高层的管理者,职位越高可能越容易获取企业保密信息,保密要求应当越严格。公司内部不同职能部门对信息保密程度不同,比如:财务部门和研发部门保密要求一般高于其他部门,这是因为财务部门知晓公司整体资产负债、采购和销售情况、经营现金流等情况,并掌握公司全体职工薪酬等情况,职工薪酬信息对外泄密可能易被竞争对手“挖人才墙角”,对内泄密可能会影响内部同事之间的团结和工作积极性等;研发部门的研究开发技术人员对公司已有核心技术和在研技术充分掌握,设置高保密要求更是不言而喻。当然,所处行业不同的公司需要采取保密措施的侧重也有所不同,比如,贸易公司可能更加侧重核心供应商和客户的信息保密;软件开发企业更侧重对软件开发环节计算机程序的保密工作;涉及军工的企业则不仅需要做好一般商业保密工作,同时要遵守《保守国家秘密法》对核心军事信息做好高级别保密措施等。
对员工的保密措施可以制定内部公司保密制度,通过对员工做入职培训、定期培训等方式,对能够接触、获取技术信息、经营信息、客户信息的员工提出保密要求。对于公司高管和核心技术人员,应当签署保密协议。员工离职时,公司亦应按照保密制度或者保密协议约定,要求离职员工登记、返还、清除、销毁其接触或者获取的商业秘密及其载体,继续承担保密义务。有朋友可能认为《商业秘密规定》第二条第2款规定排除了离职员工对原单位客户信息的保密义务。笔者认为,这一条款的适用应着眼分析交易发起的先后顺序,客户主动发起与离职员工或其新任职单位进行交易的情形,而非员工利用原工作单位保密客户信息去寻求交易,不构成员工侵犯商业秘密。因此,并不意味着员工离职后对原任职单位的客户信息不负有保密义务。
但实践中,确实很难讲清交易发起到底谁是主动,与员工签署保密协议或者保密条款,似乎很难限制离职员工和竞争对手“撬客户”的行为。为了弥补商业保密规则的不足,可以采取员工竞业限制协议或条款,在与员工签署劳动合同时明确离职后一定期限内(不超过两年),离职员工不得在生产同类产品或经营同类业务的单位就职,也不得自己生产与原单位同类的产品或经营同类业务。
需要注意的是,与前述股东竞业禁止协议或条款不同,离职员工遵守竞业限制协议或条款的前提是,公司在竞业限制期限内向该离职员工提供离职补偿费用,金额一般每月按照在职期间平均工资发放。从公平角度而言,公司如不支付补偿费,离职员工当然有权利用自己专长就职同类型公司的工作岗位。
第三,对企业外部人士所采取的网络保密技术和物理保密措施的具体应用场景。
应对不同信息和资料,大致可以从计算机电子数据信息安全和企业信息资料的物理安全两个角度设置不同措施。前者应用最为广泛的是防火墙和安全密码应用,比如,只有经过安全授权用户才能访问企业数据库;安全密码可能应用于准入密码、密码修改提示、文件复制密码、文件解锁等场景。企业信息资料的物理安全,可能包括对企业厂房、车间设置门禁,对保密资料进行标记、分类、隔离、加密、封存、限制等措施。
在高度信息化的时代,企业的技术信息、经营信息、客户信息等构成了企业最为核心的资产和资源,对有价值的保密信息采取适当防范措施是企业管理的重要课题。针对企业内外部不同防范对象、防范场景,我们需要综合采用制度性规范文件、保密协议、竞业禁止协议、竞业限制协议、网络技术和物理防范等措施,切实保障企业信息资产的安全。
