rhythmic:层层布防：华为商业机密管理秘笈

“华为每年销售额的10%要投入到研发当中，2007年华为销售额在160亿美金左右，其中10%即16亿美金要投入到研发当中，而研发成果的绝大部分是以商业秘密的形式存在的，这些商业秘密，不但是企业最重要的价值，而且是企业发展的根基。” 深圳华为副总裁宋柳平说。

“在华为公司，我们有一个部门就叫信息安全部，将近200个人从事这项业务，主要工作内容就是商业秘密的保护，我们采取的保护商业秘密的制度比美国都要严格很多。”

事实上，不只是这200多人的信息安全部工作人员，华为还拥有令国内其他企业颇为羡慕的强大知识产权部门，“该部门不但囊括了国内知识产权界的精英，而且其从业人数的比例达到甚至超过了国际企业对法务人员要求的员工比例，足见企业的重视程度。”路伟国际律师事务所北京代表处首席合伙人吕立山律师评价说。

于是，作为知识产权保护重要内容的“商业秘密”，也就得到了双层甚至多层架构上的保护。

产品开发：软件捆绑硬件

在华为的产品战略里，历来有一条不成文的规定，即绝不生产应用型和通用型软件。所有研发的软件必须与硬件捆绑。

宋柳平告诉记者，“软件行业里，应用型和通用型的软件在中国往往是全军覆没，因为这种软件，投资数亿，最后的结果可能就是一张光盘。企业还没有研究出如何升级，市场上早已经流传开了。”

“除非是一些专业性的软件公司，比如证券的软件和财务软件，只有跟硬件捆绑才能生存。”虽然华为70%的成果都是软件，但华为就是靠专用设备，跟硬件捆绑，提高了侵权门槛，活了下来。

专利和商业秘密交叉保护

在华为，商业秘密是知识产权所有的权利形式中最大的一部分，因为企业在进行知识产权保护的时候，往往采取专利和商业秘密交叉保护的方式，即针对比较容易构成侵权的、比较容易看到的成果，采用专利技术来保护；对于很难通过外部形式来看到的成果，则采用商业秘密的形式来保护。

中国尽管可能是专利申请第一大国，但是那种尖端的、发明的、原创的专利很少，在这样的情况下，商业秘密将会成为中小企业尤其是高科技企业主要的知识产权的形态和内容。

实际上侵犯商业秘密比侵犯专利权对企业的威胁更大。因为他得到的是一个可以直接制造产品的成果，所以，“专利和商业秘密交叉保护”策略在一定层次上能解决专利之外的商业秘密保护问题。

靠企业文化扼制“泄密侵权”行为

在华为，差不多每年都会查出上百件侵犯商业秘密的事件，除了极少数非常恶劣的情况，绝大多数不会走到法律程序的层面。

然而，在这上百件的侵权事件中，基本都出在国内的研发机构。

“我们在美国、印度、瑞典、英国等地都设立了研究所。1995年开始到现在，已经十几年时间了，我们还没有碰到过严重的侵犯商业秘密的案例，更没有碰到拿着我们的技术去做产品的案例。”

　　“在欧美的法制环境与文化认同里，侵犯专利权实际上只是一个经济的代价，无非就是赔偿的问题。但是侵犯商业秘密和著作权，就不仅仅是经济代价的问题，还有一个名誉的代价问题。‘拷贝’与‘复制’，在他们看来就是‘偷窃’。所以往往在欧洲和北美，如果侵犯了一个企业的商业秘密，这个人和这个企业就很难再生存下去，因为它的诚信已经没有了。”

然而，我们国内还没有建立起这种深度诚信的环境，所以在华为，除了不自觉地流露出对这种外部环境的羡慕之情外，也自然而然地将很多研发中心移到了国外，也希望这种跨国的文化认同一定程度上感染国内的研究人员。

不过，企业文化认同的基础往往还是社会文化与法制环境，所以，一度在媒体面前保持低调的华为，频频在有关知识产权的会议上露面，期待通过自身的努力与呼吁推进法制环境对泄密侵权行为的扼制。

研发过程控制：“分项目、分地域进行研发”

在华为，很多研发设计是分项目进行的，把一个产品分解，由多个项目组完成。这样，没有哪一个人包括这个业务领域的最高行政长官都没有权力拿到所有的东西，因此，泄密者也不可能拿到一个产品所有的东西，最多只能拿到一部分。

“然而，任何再高明、再缜密的组织设计和结构设计，都不能保证‘人’不会出问题，于是，有人会这样干，每个项目挖一个人，一个产品可能有10个项目，每一个项目挖一个以上的人，他们总共挖了三十几个人，这样一凑起来就是一个完整的产品。”

“于是，这些人拿着‘偷’来的产品很容易就能融到上千万元资金，你的企业用人留人的制度再好，你能给员工开出这样高的工资吗？更何况，在华为，有5000多名这样的研发员工，给一个人这样的待遇就会把整个价值体系打乱。”宋柳平不无气愤地说。

所以，华为只能再想其他的办法，在分项目的基础上，再采用分地域完成的方式，将分解的软件，由处于全球不同地区的公司开发，然后再组合在一起，形成一个完整的产品。

“华为这种全球同步异地开发的设计，一个产品可能有一部分在印度开发，有一部分在美国开发，正好有时差，可以传递着来做一些事情。同时又保证没有哪一个地方可以拿全东西，这样在地域的安排上来使得信息更加安全一些。”

系统的信息安全保护

华为的信息安全保护采用最严格的方法，分为三个方面，第一是制度设计，第二是管理授权的设计，第三是技术设计。

“在制度设计上，华为有一整套的管理文件，并赋予该管理文件以最高权力，如果有工程师触犯相应的管理规定，就要承担非常严重的后果。”

“在管理授权的设计方面，华为建立了基于国际信息安全体系架构的流程和制度规范。举例来说，在‘进驻安全’和授权的控制上，我们保证一个‘相关性’原则和‘最小接触’原则，也就是说，所有的文档和技术根据其保密的分级分层来进行不同的授权，只有一个完全必要的人才能接触相关的技术，而且接触是在相应的控制和监督的情况下进行。”

这套看似简单的流程控制制度，在实际的安排中是很复杂的。华为员工告诉记者，他们有一本很厚的《信息安全白皮书》，专门对此进行约束。

“有关技术设计的手段，除了前述将(软件)产品进行肢解跨地域开发的方法外，我们所有的研发网络是跟大网断开的。再如，在全球化异域同步开发体系中，研究人员开发的成果并不在本地的计算机上，而是在一个设控状态的服务器上，任何从该服务器发出的信息都是有备份的，如果有问题可以回溯和检查等等。”（首席信息官）