第25章 - 信息技术合同的形成

25 .8. 17 IT 保密协议

IT合同的双方经常在签订合同之前签订保密协议。任何有权访问敏感机构数据的顾问或供应商都必须同意将该数据视为机密数据，无论它是可识别个人身份的员工或机构数据、机构名单、营销计划、非公开财务信息还是商业秘密。在许多情况下，机构可能需要在签订合同之前向 IT 供应商披露部分信息。保密保护需要的不仅仅是一份写得好的协议。

当机构需要保护某些信息时，需要教育员工不要进行不必要的披露。如果保密协议要求标记或以其他方式标识信息为机密，则员工必须确保如此标识该信息。完整准确地记录谁有权访问信息以及如何传输和使用信息非常重要。以下是“机密信息”的全面合同定义：“在此使用的代理机构的“机密信息”一词是指供应商在本协议日期之前、当天或之后从代理机构、其雇员、代理人或代表处收到的所有信息，这些信息通常不向公众公开，包括但不限于代理机构名单、拟议或计划中的产品或服务、营销计划、财务和会计记录、成本和利润数字、预测和预计以及预计和信用信息。”

• 识别机密信息：如果机构希望保密协议更加严格，则可以要求将披露的每项内容明确标识为“机密”，以符合协议范围。以下是此类条款的一个例子：

  如果保密信息体现在有形材料中（包括但不限于软件、硬件、图纸、图形、图表、磁盘、磁带、原型和样品），则应标记为“保密”或带有类似的说明。如果以口头或视觉方式披露保密信息，则应在披露时予以识别，并在披露后XX天内以书面形式确认，注明口头或视觉披露的地点和日期以及接受此类口头或视觉披露的接收方员工的姓名，并在其中包含对所披露保密信息的简要描述。对于一个机构来说，将“客观观察者考虑到周围环境而认为是机密的所有口头和书面信息”列为机密信息可能是有意义的。

  换句话说，接收者是否有理由相信他或她看到的信息（而不是主动提供给他或她的信息）可能是机密的？

• 保密义务的范围：任何保密协议的核心都是要求接收方有义务将收到的信息视为机密的条款。此条款可以以多种方式起草。

  以下是广泛保密条款的一个例子：

  “除本协议另有规定或双方另有书面约定外，在披露期内及披露期后，各接收方应始终：（i）不得向除接收方需要知晓此类信息的员工或代表以外的任何人披露另一方或其关联方的任何机密信息；（ii）采取与接收方对待其自身机密信息相同的谨慎和判断措施，避免披露信息；（iii）不得在接收方的业务中使用任何机密信息，也不得开发、营销、许可或销售基于任何机密信息的任何产品、流程或服务；（iv）不得修改、反向工程或基于另一方或其关联方拥有的任何计算机代码创建衍生作品。”

  该条款包括保密义务和不使用义务。它规定了接收方对其自身机密信息的谨慎程度，并限制接收方对披露公司的软件进行逆向工程或创建衍生作品。一种变化可能包括绝对不披露的义务，而不是采取一定程度的谨慎措施以避免披露的义务。根据所保护信息的重要性，机构可能会考虑添加详细的安全要求附录。限制信息使用情况的另一种方式是规定接收者“只能将信息用于披露信息的目的，或者仅将信息用于披露者的利益”。

  该条款还限制了接收方可以向需要了解此类信息的接收方员工或代表披露的信息范围。一些协议还规定，任何此类雇员或代表都必须承担类似的保密义务。至少，接收者应该有义务告知其他接收者他们有义务对信息保密。以下是可以实现该目的的示例合同语言：“每个接收方应确保其员工、代理人和代表也遵守本协议规定的接收方的保密和不使用义务。”

• 保密例外：某些信息通常不受保密协议的约束。例如，这里有一个典型的“例外”条款：“上述保密和不使用的义务不适用于以下信息：（i）接收方在生效日之前已经以非保密的方式合法知晓的信息；（ii）由接收方独立开发的信息；或在接收时已公开的信息，或此后并非因接收方或其雇员、代理人或代表的过错而公开的信息。”保密范围的其他例外可能包括从没有保密义务的第三方获得的信息，或披露者没有保密义务披露的信息。

  供应商可能还希望获得“剩余信息”的保密例外。供应商的程序员不可避免地会通过为该机构执行的工作来学习技能，并且不可能阻止他们使用这些技能。供应商不会希望因为使用此类剩余信息而承担违约责任。以下是一些针对这种情况的建议合同语言：

  接收方可以披露、发布、传播和使用与接收方业务活动相关的、包含在披露方信息中并保留在根据本协议有权访问该信息的接收方员工记忆中的想法、概念、专有技术和技术（“剩余信息”）。本节中的任何内容均不赋予接收方披露、发布或传播的权利，除非本协议其他部分另有规定：

  1. 残留信息的来源；
  2. 披露方的任何财务、统计或人事数据；或
  3. Discloser 的商业计划。”

  这样的条款允许供应商的员工与其他机构合作。从代理机构的角度来看，这一般来说也不是一个坏主意，因为代理机构可能会从供应商从其他代理机构获得的剩余信息中获益。

• 法律要求的披露：受保密协议约束的一方可能会发现自己受到法院命令或传票的约束，要求披露该方根据合同义务不得披露的信息。许多保密协议专门处理这种情况，要求通知披露者并提供反对或寻求保护令的机会。以下是解决此问题的示例条款：

  如果接收方依法被迫披露任何机密信息，接收方应：（i）立即通知披露方此类信息需要披露；（ii）尽最大努力获取具有法律约束力的保证，即所有收到此类信息披露的人员均须遵守保密义务；（iii）仅披露接收方法律顾问建议依法需要披露的那部分机密信息。

  机构采购受《信息自由法》约束，但《VPPA》有例外。本手册10章更详细地讨论了《弗吉尼亚州信息自由法》的要求。

• 保密义务的期限：许多来自供应商的机密信息的接收者都试图限制其不披露此类信息的义务的期限。一种方法是限制保密义务的期限。例如，一些协议要求机密信息的接收方在一年、两年或三年的时间内将该信息视为机密。另一方面，对于披露者来说，无限期地保守所披露信息的机密性可能非常重要。这是各方应根据具体事实和需要考虑的问题。VITA 通常在其存续条款中包含保密义务。

• 归还机密材料：机密信息的披露方将希望加入一条条款，要求接收方根据要求将机密信息归还给披露方。以下是此类规定的一个例子：

  “根据披露方的要求，接收方应立即向披露方返还接收方所拥有或控制的所有机密信息及其所有副本，并且接收方应销毁接收方计算机、磁盘和其他数字存储设备上的所有机密信息副本。”

  当保密条款属于更大协议的一部分时，协议应规定在协议到期或终止时将保密信息返还给披露方。协议应始终规定其将受Commonwealth of Virginia法律的管辖。 除上述条款外，保密协议还可能包含以下规定：

  • 如果接收者不遵守规定，披露者可以获得禁令救济和金钱赔偿，并且接收者将支付披露者的律师费；

  • 如果第三方因违约而起诉披露者，违约的接收者必须赔偿；

  • 违约的金钱责任仅限于指定的美元金额：

  • 所披露的信息仍属于披露方的财产；

  • 接收方发现任何机密信息丢失或者被接收方人员未经授权泄露时，应当立即通知披露方；

  • 各方应遵守所有适用的法律、法规和规章，包括与技术出口或转让有关的法律、法规和规章；

  • 披露者按“原样”或以暗示或明示的保证披露信息；

  • 披露者未授予许可；

  • 接收者不受限制向他人提供竞争性产品或服务；

  • 接收方不得对任何披露的软件进行反向工程、反编译或反汇编；

  • 接收方不得出口任何违反出口法的披露软件；

  • 双方将通过调解，然后仲裁解决任何争议（但有禁令豁免）。