没收到验证邮件?请确认邮箱是否正确或 重新发送邮件
#本文由作者授权发布,不代表IPRdaily立场,未经作者许可,禁止转载#
“如何梳理风险、制定保护机制?怎样分级和固化商业秘密元数据?管理机制、管理流程和制度如何准确、高效衔接?”
来源:IPRdaily中文网(iprdaily.cn)
作者:汪静 罗思中国咨询业务总监
商业秘密是企业的重要无形资产,已经成为其在市场竞争中的有力武器。企业对商业秘密的管理程度,无疑反映出企业整体的管理水平,更是企业凸显核心竞争力的重要管理机制。商业秘密保护与管理机制已是企业一把手来抓的重点之一,这在我们的一手调研中得到直接印证。
如何梳理风险、制定保护机制?怎样分级和固化商业秘密元数据?管理机制、管理流程和制度如何准确、高效衔接?本文结合理论与实践,回答上述这些对企业切实落地商业秘密保护而言意义非凡的问题。
本文以科创企业为例,从商密风险防范及管理的企业场景出发,梳理风险点。同时,从商业秘密数据的定级、固化以及员工意识培养三个维度为大家提供建议。
风险梳理体系
01.商业秘密保护之于科创型企业的重要性
科学技术快速发展,科技人才快速流动,科创企业在对外进行技术合作或技术许可时,以及核心技术人员离职后引发商业秘密纠纷等情形时常发生。科技创新型企业发展过程中实际面临的挑战,决定了企业商业秘密保护需求之重要性和迫切性。
从企业属性看,科创型企业的业务发展快、产品更新换代快,需要短时间内召集有经验的人才、快速提取智力内容,营造有利于创造的环境,实现产品的高速复制。反向工程对标分析是这类创新性企业技术开发过程当中的常用方式,目的是不断迭代、寻求突破,第一时间掌握核心技术,从而形成追赶龙头的加速度,成为中国乃至世界赛道的创新引领者。
对于这样的企业,商业秘密的价值远远前置于产品实现市场价值的过程,因为产品可能在数年之后才会落地、产生现金流。在此过程中,如果商业秘密被侵害,不仅影响产品的价值,企业的生存与稳定发展甚至也会受到意料之外的阻力。
需要强调的是,商业秘密可能随着人员的流动被带走。对企业主而言,一方面要留住人才,另一方面也要寻找快速汲取人才技能的应对之法。难点在于,一是如何清楚区分人本身的技能和商业秘密;二是科创型企业的研发人员占比重、涉及人员多,商业秘密以各种形式散落在各个角落,同时新的商业秘密也在企业的发展过程中不断生成,导致商业秘密的保护看似无从着手。
尽管面临着种种困难,越来越多的科创企业管理者有建立商业秘密管理体系的意识,并且花精力、肯投入。但这并非管理者个人的事,它需要集团众多部门和人员通力合作,而需要正视和警惕的是,初创型企业的组织架构未必百分百完善。从商业秘密管理的支持部门来讲,有的初创型企业完全倾斜于研发,甚至法务部、知识产权部、人事部、合规部等的配置并未齐全,比如法务部兼顾知识产权部,面向成百上千的研发人员,专项事务只有一两个人应对。
这种情况下,要高效建立和完善商业秘密管理体系,并在日常具有实操性,做到防患于未然,保障追溯和留痕,且不至于禁锢组织内分享和创造的活力,要求不可谓不高。
02.“三个流”的商业秘密风险梳理体系
商业秘密在产生和使用过程中形成,只有在流动中才产生价值。
建立商业秘密保护以及防泄漏等机制,源头在于,甄别什么是商业秘密?商业秘密属于什么密级?
商业秘密在业务流程中产生,无论是怎样的业务流程,总体可以被透视和归纳为:信息流、人才流、物理流:
信息流:不同主体产生的信息在内外部交互;
人才流:人员的流动,包括招聘、换岗、离职等;
物理流:所有可能涉及商业秘密的载体与可能接触到这些载体的空间、事件,比如:访客接待、研发空间管理、工厂管理、图纸管理等。
用这三个“流”透视业务流程,并在甄别的商业秘密元数据基础上设置关键节点管理措施,使得制定的商业秘密保护机制落到实处。
对技术型公司而言,理清商业秘密的产生与使用方法,最关键的是梳理与关注“信息流”和“人才流”。
信息本身由人产生,所以信息流和人才流关系密切。假设某位员工从一个项目调整至另一个项目或离职等,人才流的保密机制就会启动,是故信息流和人才流环环相扣。
信息流聚焦于源头,即根据产生的主体来锁定主体,观察分析该主体在具体的业务过程中产生的新信息,以及以何种方式和载体呈现。
信息流梳理可以采用从上至下的透视方式层层剥离。不同企业的功能和交互千差万别,笔者在经过十数个案例访谈后,总结出如下技巧诀窍——明确生成潜在商业秘密信息最多的部门是哪个,比如研发部门内最多,同时研发部门和其他部门交互也较多,甚至涉及较频繁的外部交互。那么交互传递了哪些信息?过程中,内部和外部产生了什么风险?可据此梳理,层层明确。
在研发部门内部的不同项目组中,比如按照工种分为算法、软件工程、光学镜头设计、机电设计等。一种常见风险是,尽管有不同分工和各自职责所在,但是所有项目人员可以无差别获得所有材料;另一个风险点是,研发人员要对采购部、生产部等其他部门人员发指令,即部门内信息分发至所有其它相关部门。
企业内部各部门间的信息交互尚且风险可控,而另一方面,一旦涉及研发人员因产品定制等客观需求与供应商等外部交互时,情况会更加复杂。供应商从前期与研发部门单向联系,转变为中后期与品控部、采购部等内部多个部门多线沟通,信息分发面不断扩大;供应商的管控难度有增无减,如果供应商相对集中,企业过于依赖少数供应商,甚至会分享整套关键物料,在双方保密协议不到位,或者保密条款落实不到位,或者缺少核心零部件供应商的定期保密审计等情况下,很容易造成商业秘密泄露。
另外,对商业秘密本身的识别不够透彻,也可能导致风险。例如,客服人员带着完整产品到达客户场域调试,现场根据实际问题产出的解决方案没有被固化,久而久之,积少成多,可能造成严重后果。
沿着信息流,按照内外部使用信息不妥当,以及商业秘密未得到识别两大类风险进行梳理,可以形成完整的风险报告,这在之后制定体系机制和明确各部门负责人的责任范围时,将其作为企业“信息流”“人才流”具体情况的分析基础。
03.小结
在企业不断发展、创新产品持续迭代升级的当下,过程中所产生的数量庞大的商业秘密,需要切实可行的管理流程和措施,便于企业方厘清等级并实施保护。这对企业主、相关负责人甚至普通公司员工,提出了更细节、细致的要求。
元数据的密级与固化
01.商业秘密元数据的密级确定
商业秘密在动态中产生并发挥作用,其核心本质是技术的源头。比如研发人员在项目进程中产生的所有信息,即商业秘密的基础来源,本质上都是保密信息。在技术和产品开发过程中,部分信息可能面临在第二阶段被公开,作为对外宣传和客户需要的信息,类如设备的安装参数,设备的功耗、能耗和性能等。
极端一点说,反向工程可以获得的所有技术秘密,必须要在某一阶段根据专利布局的需求,进行专利保护。换言之,原始保密信息中,若是不必要公开及不用专利保护的,始终属于企业的商业秘密。保密信息产生到专利申请完成的中间过程可能会持续一定时间,期间所有信息都是商业秘密保护的对象。锁定保护对象的一个重要概念是“商业秘密元数据”。
面对数量众多的商业秘密,确定密级很重要,类似日常管理中要提高效能:并非所有东西都值得管理,也绝非以统一标准实施管理。比如,一些项目负责人倾向于对所有保密信息都用绝密的方式实施保护,导致非常大的管理成本投入。分层管理商业秘密才是效率最大化的明确之举。
值得一提的是,并非项目中的每个人都需要具备识别商业秘密及分等级的能力或承担相应责任,更有效的方式是由研发负责人统筹密级。因为密级的定义并不容易,其难点在于,将不同类型的商业秘密放入同一个等级体系,这一过程存在很多方法论,例如技术和产品结构分析、与竞争对手相比的优劣势比较,需要紧扣产品本身和核心卖点进行综合考虑。评估可以量化成打分制,既需要企业端的技术人员、产品经理,也需要律所等专业机构的专利和技术分析人员,共同商议决定。
例如前述的客户调试现场,客服人员可以将商业秘密元数据固定下来,其密级根据本身价值确定,存在共性的问题或对产品迭代有较大启示的内容,定为“机密”;普遍的个案问题定为普通商业秘密。
比如,芯片研发制造领域,核心原理都掌握在排名靠前的国际企业手中。如果一家芯片检测设备供应商经过多年投入和研发,获得一种独一无二的检测方案,可以提高检测准确度和反应度,从而提升检测效率,可以定为“绝密”级别的商业秘密;原理的载体(如纸质图纸、数据化图纸),以及测试时的各种数据和算法模型,和其存放的数据库、代码库,可根据具体情况定为“机密/绝密”级别;系统背后的光学和机械部件等关键客制化组件,可定在“机密”级别。
02.商业秘密元数据固化
商业秘密的权限范围、密级、载体以及保护方式,最终可通过Excel工作表等形式呈现,重点是描述的到位程度和全面性,好比是给IT和信息安全部的一个指令表,对方可以根据表上要求进行实操,有助于商业秘密保护的实际落地。
此处有两个诀窍。如果沿着一条技术线厘清某个产品或项目后,公司内部其他技术和产品的相关保护流程具备一定的可类比性,某种程度上可举一反三。
此外,商业秘密和专利存在动态切换,需要协同保护。在识别商业秘密元数据时,建议将专利状态与专利进程的过程保护系统实行对接,做好商业秘密留痕到主动通过专利化公开的记录。
固化以外,可以通过保密信息分层的方式制定保密流程。结合保密信息机制的“最小化”和“只知道必须知道”的原则,大大降低管控成本。比如食品、饮料相关企业的配方管理:公司只有少数几个人知道其配方本身,大多数员工只知道其中一部分;配方存在数个甜味不同子配方;工厂不同生产线掌握不同配方要素,需要特定加工指标以及调配方式指引,最终产出产品。总而言之,没有任何一人能从头至尾掌控全流程,每一层级对应不同信息。
另一个常见案例是财务报表。财务报表一般建议采取瀑布式分拆,根据不同职位、按照“必须知道”的原则进行。比如,销售只知道售价,但不知道成本,必须和知晓成本端信息的市场部门人员进行制度化隔断,例如签订保密协议。
有了组织架构和管控机制,下一步是如何真正在业务流程中落地?
一个关键概念是——设置IP控制点,在特定节点上,必须要执行跟商业秘密保护或者是专利化有关的具体动作。比如项目立项时,应确定商业秘密元数据负责人是否为项目负责人;拿到项目初审报告时,商业秘密元数据以及背后可能存在的专利意向,包括其密级等,应该有相应的记录和更新;项目过程中,出现人员调动、转岗或离职情况,人才流设置的IP控制点立即启动。
03.员工的商业秘密保护意识培养
帮助员工提高对商业秘密保护的认知和意识,至关重要。
企业商业秘密保护的落地,从人才选择的环节就已经开始——人员来自哪类公司,决定了他对商业秘密保护意识的起点。在整个商业秘密管理体系中,除了员工保密意识的培训外,在商业秘密元数据以及商业秘密和专利协同保护层面,也应安排深入的培训。一般培训形式是教授和问答为主,结合考评进行培训效果验收。同时,教导和警示要从入职第一天开始,比如要求研发人员不可与外部人员单独会议。类似的教育要贯穿职业生涯始终,形成商业秘密保护的企业文化。
改变可以从企业自我诊断开始:企业一把手对商业秘密管控的重视程度如何?如果理念不到位,怎样去影响和提升?如果公司内部还没有管理体系,首先明确商业秘密含金量最高的部门是哪些?重点的产品线能否做试点、立榜样,形成最佳实践?如何与客户在商业秘密保护的理念上达成共识、实现同步?如何利用业务方面的痛点,采用“三个流”(“信息流”“人才流”“物理流”)方式进行风险梳理?能够内部完成还是需要借力外部专业团队?
同时,群众的眼睛是雪亮的。可以询问员工,从他们的观察视角如何评价公司的商业秘密保护意识和能力?有哪些需要改进的地方?从前的工作经验中有哪些可借鉴的经验教训?
当然,各家公司情况各异,一定程度上寻求专业机构的客制化、高效化的支持,可以事半功倍。
04.小结
值得强调的是,任何理念和方法的意义在于实践。借用管理界鼻祖彼得·德鲁克的话:管理是一种实践,其本质不在于知道,而在于行;其验证不在于逻辑,而在于成果。
从当下开始梳理风险、制定相关保护机制并寻求落地之法,不断在过程中发现问题、解决问题,人和事的管理高效配合,使商业秘密管理机制如虎添翼。
(原标题:从风险梳理体系、元数据的密级与固化论商业秘密管理体系的有效制定之法)
来源:IPRdaily中文网(iprdaily.cn)
作者:汪静 罗思中国咨询业务总监
编辑:IPRdaily赵甄 校对:IPRdaily纵横君
注:原文链接:从风险梳理体系、元数据的密级与固化论商业秘密管理体系的有效制定之法(点击标题查看原文)
「关于IPRdaily」
IPRdaily是全球领先的知识产权综合信息服务提供商,致力于连接全球知识产权与科技创新人才。汇聚了来自于中国、美国、欧洲、俄罗斯、以色列、澳大利亚、新加坡、日本、韩国等15个国家和地区的高科技公司及成长型科技企业的管理者及科技研发或知识产权负责人,还有来自政府、律师及代理事务所、研发或服务机构的全球近100万用户(国内70余万+海外近30万),2019年全年全网页面浏览量已经突破过亿次传播。
(英文官网:iprdaily.com 中文官网:iprdaily.cn)
本文来自IPRdaily中文网(iprdaily.cn)并经IPRdaily.cn中文网编辑。转载此文章须经权利人同意,并附上出处与作者信息。文章不代表IPRdaily.cn立场,如若转载,请注明出处:“http://www.iprdaily.cn”
共发表文章4003篇文章不错,犒劳下辛苦的作者吧
- 我也说两句
- 还可以输入140个字
