现代企业中的商业秘密:再度风行

随着专利市场不确定性的增加,商业秘密保护对企业的重要性已超过以往任何时候。

你是知识产权战略的责任人,那么可能已感觉到它的风潮涌动。从我们的职业生涯来看,专利不仅是一种创新标志,而且也是公司保护和利用自身竞争优势的主要途径。但这种情况已发生改变。就像再度风行的老款服装一样,商业秘密又成为人们关注的焦点。

对于认为商业秘密甚至不应被列为知识产权的少数人来说,接受这种回归可能相当痛苦。然而,它们实际上是最古老的一种知识产权,更多地根植于自我约束而不是极其复杂的法律框架中,所涵盖的信息也不仅仅是发明技术。商业秘密与其他形式的知识产权之间最明显的差异 — 除缺少政府认证外 — 或许就是机密不是一种排他性的权利,预防的只是保密关系中的偷窃或滥用。因此,保守商业秘密需要更多心思和精力。

如今,无论是胆大妄为的黑客攻击的新闻报道,还是面对专利的影响力被削弱而束手无策,或是通过提供更加和谐的环境来帮助企业维护商业秘密权的政治努力(最引人注目的莫过于拟议的欧盟指令),秘密本身受到的关注程度已越来越大。

然而,商业秘密重新受到关注并不意味着它会简单易用。事实上,在今天相互连通和全球化的经济环境中,使用这种形式的知识产权已变得更具挑战性。不过,通过精细入微的商业秘密管理便可收获巨大的回报,同时避免发生严重的问题。以下是需要考虑的七大事项。

共享,还是不共享?

无形资产已取代有形资产,成为工业发展的基础,这已是信息时代的一种老生常谈。这种变化发生的速度让人震惊。根据布鲁金斯学会的一份研究,1978年上市公司80%的价值都与有形财产有关。10年内,这一比例下降到45%;到1998年,有形财产与无形财产的比例分别为30%和70%。

在研究无形财产保护方式的同时,商业秘密的重要性无疑也在上升。当然,它一直是工艺技术最宠爱的一种方法,专利侵权在那里很难被发现。所有专利起初都是商业秘密,因为世界上大多数国家都缺乏一种宽限期,且要求的是绝对新颖性。然而,面对瞬息万变的市场和更短的产品生命周期,专利在许多经济领域都已贬值。2000年,Carnegie Mellon对美国研发公司的一项调查表明,使用机密来保护创新成果的做法比使用申请专利更普遍。这种趋势也得到了美国国家科学基金会和人口普查局2009年一项研究的证实。该研究结果发现,在研发密集型企业中,选择商业秘密进行保护的是专利的两倍。

然而,这些日益重要的商业秘密从未变得像今天这么脆弱。无情的网络攻击总能屡屡得手。通信技术一方面在推动着全球生产力阔步前进,另一方面也造成了无法避免的信息丢失。数据安全的威胁者不只限于互联网,而且还包括U盘和智能手机等移动设备。现在,许多企业高管在旅行前和返回后,都不得不将他们的笔记本电脑清理一遍。

因此当企业领导者获悉信息资产的合理利用离不开广泛共享,有时甚至是与缺少知识产权保护的国家的公司进行共享时,企业领导者常会显得满腹疑惑。这种新现象被称为共享困境。一个世纪前,亨利·福特创建了一种垂直整合的新型行业模式,福特拥有自己的橡胶种植园、铸造厂和交通网络,控制着汽车的设计、生产和销售等所有环节。

然而,随着全球市场的萎缩,企业为获得比较优势不得不将一些重要的业务外包。信息经济时代加速了这一趋势发展,开放式创新也由此诞生 — 企业向外寻求产品理念和工程解决方案。事实上,如今这个过程最热心的支持者就是福特汽车公司。

开放式创新与开放源码并不一样:开放式创新可以是少数行动者根据特定协议开展工作。但是,这个过程离不开信息共享,因为只有相互了解彼此的产品平台和方向才能形成最有效的合作,才能利用自己的特殊视野或技术资产来添加价值。这种合作联动变得越来越频繁,再加上全球供应链的推动作用,便形成了现代化的企业:它们完全依赖于创建和控制信息资产,同时也需要通过一种临时、关系通常浅显的网络进行分享。

在这种困境中生存需要精细化管理,尤其是在跨境交易中。虽然情况不尽相同,但控制风险都离不开这样一些技巧:

  • 仔细选择你的合作伙伴。他们是否与你同样重视信息安全?
  • 尽管存在对《与贸易有关的知识产权协定》的一致承诺,但要意识到机密法,尤其是执法机制会千差万别。
  • 不仅要通晓当地的法律,而且还要了解可能影响所信赖个人行为的当地习俗。
  • 对于自己的信息,不要依赖于陈旧的同等保护原则,而是要明确界定合作伙伴的行为,特别是与自己的员工和顾问合作时。
  • 需求促进信息安全的检查权和审计权。

制定有效的执行措施,如选择自己所在的司法管辖区,或选择仲裁(有效取证程序,可以帮助了解事实)。

图1:2010年的商业秘密保护指数(按经济和组成部分分列)
资料来源:经合组织
图2:按年份分列的裁决情况
资料来源:“联邦法院商业秘密诉讼统计分析”,Gonzaga Law Review,2010年

网络威胁

1970年代,当我第一次与客户进行商业秘密问题的合作时,保护信息安全非常简单:看护好复印机,监视哪些人出入写字楼。内部计算机网络让这种事情变得更为复杂,但信息技术人员和系统能够控制和记录每一个进入点。公司系统一旦与外界连接,特别是随着互联网的出现,一切都改变了。数据获取的全天候化和全地域化不只是一种优势,而成为生意往来的一个绝对要求。保护信息城堡的安全已变得越来越困难。

或许我们应该预料到这一点。随着信息变得值钱,黑客便像银行劫匪一样到处刺探哪里有数据。有时这只会造成一些损害,如恶意袭击公司服务器的拒绝服务攻击。但随着技术的日益成熟,网络窃贼开始反复侵入周界,植入反病毒软件无法识别的恶意软件,而这些软件会悄然查询、收集并盗走公司最有价值的信息。

通过看管前门来确保安全的做法已变得不可思议。由于商用网络与成千上万部笔记本电脑、平板电脑和智能手机(其中许多属于员工个人所有)连接在一起,现在已有不可计数的通道可进入公司的信息金库。物联网 — 包括完全连接在一起的锁闭系统、打印机和视频会议设备等的来临只会使这些问题变得更糟。最近对接入互联网的商用设备的审查发现,其中4000万至5000万都在使用存在各种已知漏洞的旧协议。

鉴于这些新情况的出现,大多数安全专家都认为单纯防御外围的做法已属愚蠢,明智的战略假设是入侵者早已进入城堡之内。因此,保护安全的重点应是进行检测和做出响应,以控制破坏造成的后果,而不是假设这些可以预防。

然而,这种环境下的风险管理已不仅限于你自己的信息技术系统。在某种程度上,每家公司都是与众多的供应商、客户和合作伙伴连接在一起,其中许多都拥有可信接入,因此公司风险会延伸到所有的这些第三方。他们的安全戒备程度就是你自己的防弹衣。回想一下,Target公司的数据外泄事故并不是由于系统本身遭到直接入侵,而是因为其空调承包商的保护协议不完备所致。

这里的教训是妥善管理信息资产、防止遭受网络攻击,需要的不只是加强信息技术防御。必须将这项工作纳入风险和优先事物的综合性跨职能评估中。

内部威胁

几十年来,内部人士的粗心行为一直是一种信息安全风险,并没有发生真正的变化。虽然我们都会犯错,但研究表明员工由于健忘和判断失误造成的信息丢失最严重,而不是蓄意间谍活动。

这不只牵扯到了普通员工。以北电网络为例,高管不经意间点击了一份看似正常的电邮附件,殊不知病毒由此展开了约十年的信息技术系统破坏活动,并最终造成公司倒闭。(安全公司Websense通过研究发现,三分之二钓鱼邮件是在周一和周五出现,这些时候人们都非常忙碌,便会放松警惕。)

近年来,至少有两种内部威胁已对信息安全提出了更大挑战。第一种是员工与公司之间或多或少的持续电子连接。在家中、在路上,员工常会使用自己的智能手机或其他移动设备进行联系、完成工作。个人装备的这种“随身携带”式扩散反映了一个事实,即大多数企业的信息技术部门已失去了对数据系统的绝对控制权。就在不久前,集成安全和集中管理功能的黑莓手机还是大多数员工的标准装备。现在,信息技术部门必须要防御各种安全级别的小玩意,这需要极其复杂的设备管理软件来减少风险的增加。

第二种转变是员工的态度,他们是公司最宝贵、最脆弱资产的日常掌控者。特别是千禧一代(也被称为Facebook一代)已经习惯了共享信息,认为这是一种很自然、很惬意的行为。已习惯整晚通过社交媒体深度表露自我的员工,在第二天早上登录公司系统时不太可能突然就改变他们的习惯。他们更可能养成缺乏安全意识的习惯 — 例如使用机场或酒店的公共WiFi查看公司的电子邮件,却不知道有人已植入了一个便宜的中间人设备来挖掘他们的流数据和寻找密码,或伺机植入可感染公司系统的恶意软件。

对于内部威胁,一个好消息是已经制订了明确和经济的防御方法:有效培训加上完备政策。信息安全常是在入职培训时萌芽。就现在的威胁和责任而言,需要对员工进行专业化、多样化(方式要有趣而难忘)和定制式的连续培训,帮助他们了解自己在保护公司无形资产中的角色。还需对这些工作进行持续的衡量和评估,以确保员工不仅收到了相关信息,而且还能转化成为日常行动。事实上,如果这方面的管理做得扎实,员工便会认清一个道理:保护商业秘密,就是保护自己的饭碗。

输入型威胁

商业秘密管理的一个最深刻变化已影响到威胁的爆发方向。在以前,保护好自己的机密即是将其限制在组织内部,或在输出时进行严格控制。输出型威胁仍然至关重要,但现在人们已广泛认识到确保信息完整还需要防范无用数据进入组织和发生感染。

正如“感染”这个词所示,不需要的信息就像一种病毒,借助于各种载体制造威胁,并可在新寄主进行自我复制,将它们彻底根除便是一种巨大的挑战。

勿庸置疑,感染最常见的载体便是新员工。根据行业和工作性质的不同,新员工可能会认为他们可通过提供以前的有用信息,增加自己的成功机会。此外,还有一些员工(比如软件工程师)觉得自己在情感上难以与以前的工作成果分舍。当然,这种现象并不鲜见。然而,这种感染的发生率已逐渐增多:传输大量数据已变得更加简单,检测技术已变得更加先进,其后果已变得更为严重,可施以刑事处罚。我们只有深入剖析这些因素,才能更好地理解这种风险的本质。

在以前,跳槽时带走有用信息意味着要拖走几箱子的文件或至少是抱走一叠文件夹,其中装的都是机密备忘录、图纸或战略规划等。根据离职员工停留时间的多少,他们在收拾物品时(或在以后)会对这些敏感文件进行筛选,自己到底带走了什么根据无迹可查。即使在电子媒体的初期,存储成本实际上非常高,人们在带走资料时也会“三思后而行”。现在,员工的存储设备几乎拥有无限大的容量,因此常会保存下所有资料,如果可能的话,匆匆离开时也会带走一切。

当然,带走资料现也变得容易得多,特别是当前雇主没有先进的工具来侦测复制或下载行为时。员工只需花几分钟敲几下键盘,便能将数以千份的文件复制到U盘,或作为电邮附件发送到家里。一次复制这么多资料可能会引起人们的怀疑,不过员工常会化整为零,花更多的时间来这么做,所以不会触发警报。因此,今天的新员工 — 即使是出于善意 — 可能将大量的敏感数据装入了自己的虚拟公文包中。

再来看一看以前的情况,物理文档可能会被丢在车库中,多年得不到(明显)应用。然而,电子资料通过某种方式来到新雇主的平台,在这里新雇员可轻松访问它们。这些资料放在那里,直至因某场官司(也许是无关的)而被现代的法院调查工具所发现。因此,技术不仅会让资料的转移变得更轻松,也会让这种行为更容易暴露。

这便会给我们带来新的后果。1999年,波音公司和洛克希德公司对一项重要的国防采购展开了竞争。波音公司一位名叫Erskine的经理挖走了洛克希德公司的一位员工Branch。Branch履新时还带来了洛克希德公司的几份文档,波音公司发现后便及时上报。然而,Branch实际上带走的是超过25000页的机密信息。美国已在几年前通过《经济间谍法》,并首次将盗窃商业秘密列为联邦罪行。最终尘埃落定时,波音已损失约10亿美元的火箭发射合同,支付了6.15亿美元来解决民事索赔;Branch与前经理Ersk ine也被控犯了联邦罪。正如我在下文将会说明的,这个案件强调了公司管理人员和董事所面临的履约义务。

输入型威胁不仅可能来自新员工,而且也会来自兼职承包商和顾问(这种情况已越来越多)。由于是短期合作关系,他们的忠诚度也就较低。由于承包商和顾问很可能最近刚为竞争对手工作过,这些关系便存在诸多的泄密可能性,而他们个人需要努力确保自己的已知数据能得到正确分类和保护。因此,顾问需要特别注重管理 — 特别是在承包过程中,必须面对和处理好忠诚与分舍心理困境。至少必须坚守对别人的承诺,顾问的工作不得受到任何人商业秘密的影响。

控制输入型风险的另一个关键领域就是所谓的“自制或外购”困境,这涉及到外包趋势或开放式创新。通常,当一家公司决定进入一个新市场或出售新产品,却无法确定应进行内部开发还是购买必要的技术时,便会产生这种问题。理想的做法是应将寻找和分析购买机会的团队与内部项目的实施团队分离开来。然而,由于两个团队中的关键技术人员都是负有保密责任的同一群人,他们通常会参加潜在许可的所有检查和评估;因此,如果公司最终决定“自制”而不是“购买”,便会面临可能的索赔:其了解的外部技术将会对其内部开发产生不当影响。正如问题说明所揭示的,要避免它的发生就需建立完整、管理良好的独立团队来各负其责,甚至是聘请独立的公司展开分析。

表1:盗用信息者身份
  1950年-2007年 2008年
雇员或前雇员 52% (142人) 59% (71人)
商业伙伴 40% (109人) 31% (37人)
不相关的第三方 3% (8人) 9% (10人)
其他或未知 7% (19人) 5% (6人)
资料来源:国家科学基金会/国家科学与工程统计中心,2008年商业研发和创新调查
图3:2008年企业对知识产权重要性的认识,按有无研发活动及知识产权的类型分列
资料来源:国家科学基金会/国家科学与工程统计中心,2008年商业研发和创新调查

管理问题

当商业秘密只是留给律师和信息技术部门考虑的一种神秘知识产权时,除非发生了重大诉讼,董事不会对其多加关注。现在,商业秘密已成为公司资产的重要组成部分,包括董事会在内的所有管理层也须密切关注。

避免承担法律责任,也许是最明显的一个关注理由。在基本层面上,董事会和高层管理人员负有信托责任,确保公司遵守所适用的法律。正如我们在波音公司一案所看到的,与此有关的后果可能非常严重。那么公司该怎么解决这个问题呢?

要最大限度地避免违反《经济间谍法》,便应按照《联邦量刑指南》的要求制定合规计划。参考刑事判决似乎是一种奇怪的减债方式,但实际上法官判刑时所依据的罪责评估准则,也会被检察机关用来决定是否在一审中提起控诉。这样做不无道理,因为实施良好的合规计划通常表明相关公司已尽全力来监督自己的员工,因此不应为一个或两个无赖员工的行为而担责。以下为具体要求(注意对管理高层参与的强调):

  • 政策和内部控制团队要减少输入型感染的风险;
  • 董事会及高级管理人员应了解相关项目,项目经理直接与董事会接触;
  • 为董事会及高级管理人员提供相关培训;
  • 拥有审计和监控系统;
  • 奖励合规,严惩违规;
  • 对不当行为的证据做出及时响应。

虽然根据《经济间谍法》制定的合规计划对遵从其他国家刑法的公司无法产生直接影响,但只要政府愿将公司采取预防措施作为不起诉的理由,便可使用这些原则。

董事会对于保护和利用公司商业秘密的责任,还存在其他的理由。在美国,许多政府机构最近已对这个问题表示出了兴趣。例如,2012年,美国联邦贸易委员会就计算机系统遭黑客入侵,由此造成客户信息泄露和1000万美元的欺诈损失而起诉温德姆酒店。其中的赔偿依据是,温德姆酒店管理层对自己的网络“没有合理确保其安全性”,联邦贸易委员会声称这违反了有关不公平和欺诈行为的法律。第三巡回上诉法院最近的判决认为,这种主张在该机构的职权范围内。相关的股东诉讼之所以能被驳回,就是因为温德姆酒店已采取了迅速行动,审查和解决了系统的漏洞问题。尽管该案是关于个人的隐私信息,但不难想象这种判例同样适用于因忽视严重安全问题而引发的诉讼。

2011年,美国证券交易委员会发布了本属自愿性质的网络安全准则,但许多人都期望它能成为对上市公司的强制要求。2013年,欧盟委员会公布立法案,要求企业必须评估和解决自己的信息安全风险,并指出:“行业应考虑让首席执行官和董事会承担更多责任,以确保网络安全。”2014年2月,隶属于美国商业部的国家标准技术局发布了自己的《网络安全框架》,提出了保护关键基础设施的最佳实践。不过,该框架几乎适用于所有的企业,安全专家认为它会成为机密信息审慎风险管理的一种实际标准。

事实上,我认为国家标准技术局的《网络安全框架》是任何组织解决信息管理问题的可靠出发点。其准则按照经典的风险管理进行制定,因此很容易将信息安全合并到其他的公司职能中。尽管标注的是“网络安全”,但这份保护可及性数据完整性的文件的覆盖范围相当广,并根据其复杂性和成本(在交易管理费用及费用方面)制定了各种程度的控制措施。英特尔的一位经理近日称,使用该框架有助于“协调我们的风险管理技术和语言,提高我们对英特尔风险状况的认知,把握整个公司的风险承受能力,以及加强我们制定安全优先事项、计划预算和部署安全解决方案的能力。”

初创公司风险

所有公司面临的信息安全风险都已成倍增加,初创公司更是如此。一方面,这是因为它们在进行自我定义和证明未来大量投资的必要性时,对运算法则、商业模式、创新产品等信息资产有着严重的依赖性。另一方
面,这是因为企业在羽翼未丰时一般极少关注安全,它们关心的只是完成原型的创建和下一轮融资。虽然这些风险值得创始人和投资者给予更多关注,但有一种商业秘密风险明确更严峻:招聘。

正如前文所讨论的,所有公司在招入新成员时,都会面临输入型感染的风险。但是,对于成熟组织而言,这通常只会偶尔发生在一个人身上,且存在合理的缓解之策:要求做出书面保证,认真进行入职培训并发出明确警告。此外,大型企业招募员工是为了利用他们的技术专长,而不是诱导他们使用属于前雇主的机密信息。

相比之下,初创公司会更频繁、更广泛地招聘人才,经常会挖掘特定企业的现成人才,而这些人从事的都是自身行业最前沿的工作。换句话说,在争夺立足之地的比赛中,它们是从竞争对手中招聘人才。他们往往还没来得及思考,更别谈论落实解决这些问题的全面程序。其结果是,初创公司及其热情高涨的新聘员工更有可能犯下代价高昂的错误,会随意使用信息来促进新团队发展,而忽略了其保密性。

更糟糕的是,这种危险行为总会在企业没有金钱和精力应对商业秘密诉讼时发生,因此极具毁灭性。受影响的竞争者对这种脆弱性非常通晓,它们会将失去宝贵员工的刺痛归咎于其他原因,而不是自己的管理不善。出于这种动机,情断义绝的前雇主常会提起诉讼。他们的主要动机是为了捍卫自己的知识产权,还是想通过法律诉讼扼杀乳臭未干的竞争对手,这一点永远无人知晓。

正在成长的年轻公司(及其支持者)必须重视他人的商业秘密权所能带来的特殊风险。建立既能降低此类风险,同时又能招募到优秀员工的公司方案并不困难。

图4:受访机构信息安全管理过程的成熟度
资料来源: 2013年安永全球信息安全调查
图5:2013-2014年安全事件来源
普华永道,2015年全球信息安全现状调查

保密挑战

保密协议(NDA)已变得像PowerPoint一样常见,尤其是当合作成为业务重点时。许多大公司都不可能精确地说出自己已签署了多少保密协议。他们当然也讲不清楚每项协议的具体内容、其管理者以及它们是否都得到了遵从。具有讽刺意味的是,行业如此严重依赖于机密来保护其竞争优势,但与此相关的合同管理却是相当随意。

态度要转变,首先必须做的是制定新的保密协议:它们是极其重要的协议,而不是敷衍了事的表格;进行谈判时应全面了解各方的特定利益和责任,对于保密协议应达到的目的应展开坦诚交流。这就是说,我们应注意不要在这个阶段商议最终交易。保密协议是达成交易过程中的一个步骤,而不是交易本身;应将两者区分开来。

在谈判中,应特别注意以下术语:

  • 保护要求 — 应以对待接受方的那种谨慎,质疑保护对方信息的标准承诺。这种保护程度对于你的信息可能不够,因此要花时间弄清你到底想如何保护自己的数据,以免受到不当披露或使用。
  • 以书面形式确认口头披露 — 务必要求在特定的时间内,以书面方式确认所有口头披露的机密信息,以更好地保护自己。然而,正如下文所述,要确保自己已准备好遵守此项规定。
  • 处理余留条款 — 如果你没有放弃自己的部分权利,有些公司就不愿签署保密协议:对于员工可能记得的东西 — 只要他们没有提及具体文件 — 不会受到保护。制定协议时应针对这些关注点展开讨论,寻找替代方法。如果无法做到这一点,则应想方设法限制其效力。
  • 时间限制 — 通过设定年期,控制机密永久承诺的后端风险。但是,请记住这是一把双刃剑,按此条款分享你自己的机密数据可能等同于商定的销毁条约。
  • 出口控制 — 不要忘记,机密信息如果被透露给外国公民,即使没有发送到国外也应做好控制。


第二个转变是对保密协议义务的管理。大多数此类协议都具有两面性,所以你不仅要关注别人应如何保护自己的信息,而且还应注意自己该如何履行承诺,保护好对方的机密数据。至关重要的是每份保密协议都应由专人负责履行并承担责任,最好是聘请其他组织来跟踪它们的履行情况。确认口头披露需要双方共同配合。如果你的团队曾透露的信息需要确认,必须准备好相关文件并及时交付。如果你的团队收到确认,必须有人进行准确性核查,并提出其中存在的任何差异。

有关使用和披露的监控限制未免令人尴尬。大多数合作都是为了制定合作条款,促进人们共同完成项目。然而,所商议的限制应得到尊重,这一点不能被这些现实所抹杀。保密协议管理者应承担这项任务。

确保机密档案在项目完成后被返还或被销毁,可能比较困难,也是吃力不讨好的事。这种清理工作不会增加成果价值,而且管理者总是坚持双方进行确认,有时会感觉他非常讨厌。然而,在这个事情上虎头蛇尾只能招致更多麻烦。

管理现代企业的知识产权,需要懂得商业秘密的实际工作原理,以及如何评估和控制其中的风险。虽然相对于其他形式的知识产权来说商业秘密看上去神秘而含糊,但它们却是我们客户创造和保持价值的核心所在。因此,充分了解它们有助于我们进一步了解客户的核心业务。

行动计划

将商业秘密纳入自己组织的风险管理流程时,你应做到以下几点:

  • 对于信息技术系统,要认识到检测和响应与入侵防御一样重要,且网络并不是信息完整性的唯一威胁来源。应查找人际关系和行为管理中的薄弱环节。
  • 审查自己的战略计划,对信息资产进行全面评估。评估该计划对确保信息安全与利用的有效性,并进行相应调整。然后查看在包括机密在内的各种知识产权中,自己的知识产权战略是否获得了最佳平衡。
  • 审查与自己共享机密信息的外部关系。要确保合作伙伴对信息安全同样关注,并采取了合理程序来解决相关问题。
  • 要建立控制措施,防范他人机密信息的感染威胁,首先应核查自己的人才招聘做法和保密协议管理措施,以快速修复漏洞;然后制定有高层管理人员参与的合规计划,并加强数据安全文化。
  • 为员工制定世界一流的培训计划,明确他们在创造和保护公司最有价值资产中的作用。应利用各种主题和内容进行常态化培训,且管理层也要参与其中。
硅谷律师James Pooley是世界知识产权组织的前副总干事,著有《机密:网络间谍时代的信息资产管理》(Verus Press 2015年)

Get unlimited access to all IAM content