Trình duyệt của quý vị không hỗ trợ JavaScript!

Chương 25 - Hình Thành Hợp Đồng Công Nghệ Thông Tin

25.8 khuyến nghị của VITA cho một hợp đồng CNTT thành công

25.8.17 Thỏa thuận bảo mật CNTT

Các bên trong hợp đồng IT thường ký thỏa thuận bảo mật trước khi hợp đồng được ký kết. Bất kỳ nhà tư vấn hoặc nhà cung cấp nào có quyền truy cập vào dữ liệu nhạy cảm của cơ quan phải đồng ý coi dữ liệu đó là bí mật, cho dù đó là dữ liệu nhận dạng cá nhân của nhân viên hoặc cơ quan, danh sách cơ quan, kế hoạch tiếp thị, thông tin tài chính không công khai hay bí mật thương mại. Trong nhiều trường hợp, một cơ quan có thể cần tiết lộ một số thông tin này cho nhà cung cấp IT trước khi hợp đồng được ký kết. Việc bảo vệ tính bảo mật đòi hỏi nhiều hơn một thỏa thuận được viết rõ ràng.

Khi một cơ quan cần bảo vệ thông tin nhất định, nhân viên cần được giáo dục để không tiết lộ thông tin không cần thiết. Trong trường hợp thỏa thuận bảo mật yêu cầu đánh dấu hoặc xác định thông tin là bí mật, nhân viên phải đảm bảo xác định thông tin theo cách đó. Điều quan trọng là phải lưu giữ hồ sơ đầy đủ và chính xác về những người có quyền truy cập thông tin cũng như cách thông tin được truyền tải và sử dụng. Dưới đây là định nghĩa hợp đồng toàn diện về "thông tin bí mật": "Theo cách sử dụng ở đây, thuật ngữ "Thông tin bí mật" của cơ quan có nghĩa là tất cả thông tin mà nhà cung cấp có thể nhận được từ cơ quan, nhân viên, đại lý hoặc đại diện của cơ quan, trước hoặc vào hoặc sau ngày này, mà thông thường không được công khai cho công chúng, bao gồm nhưng không giới hạn ở danh sách cơ quan, sản phẩm hoặc dịch vụ được đề xuất hoặc lên kế hoạch, kế hoạch tiếp thị, hồ sơ tài chính và kế toán, số liệu chi phí và lợi nhuận, dự báo và ước tính và thông tin tín dụng."

  • Xác định thông tin bí mật: Nếu cơ quan muốn thỏa thuận bảo mật có tính hạn chế hơn, họ có thể yêu cầu mỗi mục được tiết lộ phải được xác định cụ thể là "bí mật" để nằm trong phạm vi của thỏa thuận. Sau đây là một ví dụ về điều khoản đó:

    "Nếu Thông tin bí mật được thể hiện dưới dạng tài liệu hữu hình (bao gồm nhưng không giới hạn ở phần mềm, phần cứng, bản vẽ, đồ thị, biểu đồ, đĩa, băng, nguyên mẫu và mẫu), thì thông tin đó phải được dán nhãn là "Bí mật" hoặc có chú thích tương tự. Nếu Thông tin bí mật được tiết lộ bằng lời nói hoặc hình ảnh, thông tin đó phải được xác định tại thời điểm tiết lộ và phải được xác nhận bằng văn bản trong vòng XX ngày kể từ ngày tiết lộ, trong đó ghi rõ địa điểm và ngày tiết lộ bằng lời nói hoặc hình ảnh, tên của nhân viên bên nhận được thông tin tiết lộ bằng lời nói hoặc hình ảnh đó và bao gồm mô tả ngắn gọn về Thông tin bí mật được tiết lộ." Có thể hợp lý khi một cơ quan đưa "tất cả thông tin bằng lời nói và bằng văn bản mà người quan sát khách quan coi là thông tin bí mật khi xem xét đến các tình huống xung quanh".

    Nói cách khác, liệu người nhận có lý do để tin rằng thông tin mà họ nhìn thấy (thay vì thông tin được chủ động cung cấp cho họ) có thể được bảo mật không?

  • Phạm vi nghĩa vụ không tiết lộ: Cốt lõi của bất kỳ thỏa thuận bảo mật nào là điều khoản bắt buộc bên nhận phải coi thông tin nhận được là thông tin bí mật. Điều khoản này có thể được soạn thảo theo nhiều cách khác nhau.

    Sau đây là một ví dụ về điều khoản bảo mật mở rộng:

    "Trừ khi được nêu tại đây hoặc được các bên thỏa thuận bằng văn bản, mỗi Bên nhận phải luôn luôn, trong và sau Thời gian tiết lộ: (i) không tiết lộ bất kỳ Thông tin bí mật nào của bên kia hoặc chi nhánh của bên đó cho bất kỳ người nào khác ngoài nhân viên hoặc đại diện của Bên nhận cần biết thông tin đó; (ii) sử dụng cùng mức độ cẩn trọng và thận trọng để tránh tiết lộ như Bên nhận sử dụng đối với thông tin bí mật của chính mình; (iii) không sử dụng bất kỳ Thông tin bí mật nào trong hoạt động kinh doanh của Bên nhận, cũng như không phát triển, tiếp thị, cấp phép hoặc bán bất kỳ sản phẩm, quy trình hoặc dịch vụ nào dựa trên bất kỳ Thông tin bí mật nào; và (iv) không sửa đổi, thiết kế ngược hoặc tạo ra các tác phẩm phái sinh dựa trên bất kỳ mã máy tính nào thuộc sở hữu của bên kia hoặc chi nhánh của bên đó."

    Điều khoản này bao gồm cả nghĩa vụ không tiết lộ và không sử dụng. Thỏa thuận này chỉ rõ mức độ quan tâm mà người nhận dành cho thông tin bí mật của chính mình và hạn chế người nhận thực hiện kỹ thuật đảo ngược phần mềm của công ty tiết lộ hoặc tạo ra các tác phẩm phái sinh. Một sự thay đổi có thể bao gồm nghĩa vụ tuyệt đối không tiết lộ, thay vì nghĩa vụ thực hiện mức độ cẩn trọng xác định để tránh tiết lộ. Tùy thuộc vào tầm quan trọng của thông tin cần bảo vệ, cơ quan có thể cân nhắc đưa vào phụ lục yêu cầu bảo mật chi tiết. Một cách khác để hạn chế việc sử dụng thông tin là nói rằng người nhận có thể "chỉ sử dụng thông tin cho mục đích mà thông tin được tiết lộ hoặc chỉ vì lợi ích của Người tiết lộ".

    Điều khoản này cũng hạn chế phạm vi các bên mà người nhận có thể tiết lộ thông tin cho nhân viên hoặc đại diện của người nhận, những người cần biết thông tin đó. Một số thỏa thuận bổ sung rằng bất kỳ nhân viên hoặc đại diện nào cũng phải có nghĩa vụ bảo mật tương tự. Ít nhất, người nhận phải có nghĩa vụ thông báo cho những người nhận khác về nghĩa vụ giữ bí mật thông tin của họ. Sau đây là mẫu ngôn ngữ hợp đồng sẽ thực hiện mục đích đó: "Mỗi Bên nhận sẽ đảm bảo rằng nhân viên, đại lý và đại diện của mình cũng tuân thủ các nghĩa vụ về bảo mật và không sử dụng của Bên nhận theo Thỏa thuận này."

  • Ngoại lệ về tính bảo mật: Thông thường, một số thông tin nhất định được miễn trừ khỏi phạm vi bảo mật của thỏa thuận. Ví dụ, đây là một điều khoản "ngoại lệ" điển hình: "Các nghĩa vụ bảo mật và không sử dụng được mô tả ở trên sẽ không áp dụng cho thông tin (i) mà Người nhận đã biết một cách hợp pháp trên cơ sở không bảo mật trước Ngày có hiệu lực; (ii) được Người nhận phát triển độc lập; hoặc được công khai khi nhận được, hoặc sau đó được công khai mà không phải do lỗi của Người nhận hoặc nhân viên, tác nhân hoặc đại diện của Người nhận." Các ngoại lệ khác đối với phạm vi bảo mật có thể bao gồm thông tin thu được từ bên thứ ba mà không có nghĩa vụ bảo mật hoặc thông tin được bên tiết lộ tiết lộ mà không có nghĩa vụ bảo mật.

    Nhà cung cấp cũng có thể muốn có ngoại lệ về tính bảo mật cho "thông tin còn sót lại". Các lập trình viên của nhà cung cấp chắc chắn sẽ học được các kỹ năng thông qua công việc họ thực hiện cho công ty và không thể ngăn cản họ sử dụng những kỹ năng này. Nhà cung cấp sẽ không muốn chịu trách nhiệm về việc vi phạm hợp đồng do việc nhà cung cấp sử dụng những thông tin còn sót lại đó. Sau đây là một số gợi ý về ngôn ngữ hợp đồng để giải quyết tình huống này:

    "Bên nhận có thể tiết lộ, công bố, phổ biến và sử dụng các ý tưởng, khái niệm, bí quyết và kỹ thuật liên quan đến hoạt động kinh doanh của Bên nhận, được chứa trong thông tin của Bên tiết lộ và được lưu giữ trong trí nhớ của nhân viên Bên nhận đã truy cập thông tin theo Thỏa thuận này ("Thông tin còn lại"). Không có nội dung nào trong Mục này trao cho Người nhận quyền tiết lộ, xuất bản hoặc phổ biến, ngoại trừ những điều được nêu ở nơi khác trong Thỏa thuận này:

    1. nguồn Thông tin còn lại;
    2. bất kỳ dữ liệu tài chính, thống kê hoặc nhân sự nào của Người tiết lộ; hoặc
    3. kế hoạch kinh doanh của Discloser."

    Điều khoản này cho phép nhân viên của nhà cung cấp làm việc với các cơ quan khác. Theo quan điểm chung của cơ quan, đây cũng không phải là ý tưởng tồi vì cơ quan này có khả năng được hưởng lợi từ thông tin còn sót lại mà nhà cung cấp nhận được từ các cơ quan khác.

  • Tiết lộ theo yêu cầu của pháp luật: Một bên bị ràng buộc bởi thỏa thuận bảo mật có thể thấy mình phải tuân theo lệnh của tòa án hoặc trát đòi hầu tòa để tiết lộ thông tin mà bên đó có nghĩa vụ theo hợp đồng là không được tiết lộ. Nhiều thỏa thuận bảo mật xử lý cụ thể tình huống này bằng cách yêu cầu thông báo cho người tiết lộ và cho họ cơ hội phản đối hoặc xin lệnh bảo vệ. Sau đây là một điều khoản mẫu để giải quyết vấn đề này:

    "Trong trường hợp Người nhận bị buộc phải tiết lộ bất kỳ Thông tin bí mật nào theo luật định, Người nhận sẽ: (i) thông báo ngay cho Bên tiết lộ rằng thông tin đó là bắt buộc phải tiết lộ, (ii) sử dụng mọi nỗ lực của Người nhận để có được sự đảm bảo ràng buộc về mặt pháp lý rằng tất cả những người nhận được thông tin được tiết lộ đều phải chịu nghĩa vụ bảo mật và (iii) chỉ tiết lộ phần Thông tin bí mật mà cố vấn pháp lý của Người nhận tư vấn là bắt buộc phải tiết lộ theo luật định."

    Hoạt động mua sắm của cơ quan phải tuân theo Đạo luật Tự do Thông tin, ngoại trừ VPPA. Các yêu cầu của Đạo luật Tự do Thông tin của Virginia được thảo luận đầy đủ hơn trong Chương 10 của hướng dẫn này.

  • Thời hạn nghĩa vụ bảo mật: Nhiều người nhận thông tin bí mật từ nhà cung cấp muốn hạn chế thời hạn nghĩa vụ không tiết lộ thông tin đó. Một cách để thực hiện điều này là hạn chế thời hạn nghĩa vụ bảo mật. Ví dụ, một số thỏa thuận yêu cầu người nhận thông tin bí mật phải coi thông tin đó là bí mật trong thời hạn một, hai hoặc ba năm. Mặt khác, người tiết lộ có thể rất coi trọng việc giữ bí mật thông tin được tiết lộ vô thời hạn. Đây là vấn đề mà các bên nên cân nhắc dựa trên thực tế và nhu cầu cụ thể của các bên. VITA thường bao gồm các nghĩa vụ bảo mật trong điều khoản Sống còn của mình.

  • Trả lại tài liệu bí mật: Người tiết lộ thông tin bí mật sẽ muốn đưa vào điều khoản yêu cầu người nhận trả lại thông tin bí mật cho người tiết lộ khi được yêu cầu. Sau đây là một ví dụ về điều khoản đó:

    "Theo yêu cầu của Bên tiết lộ, Bên nhận sẽ nhanh chóng trả lại cho Bên tiết lộ tất cả Thông tin bí mật và tất cả các bản sao của thông tin đó mà Bên nhận đang sở hữu hoặc kiểm soát, và Bên nhận sẽ hủy tất cả các bản sao của thông tin đó trên máy tính, đĩa và các thiết bị lưu trữ kỹ thuật số khác của Bên nhận."

    Khi điều khoản bảo mật là một phần của thỏa thuận lớn hơn, thỏa thuận phải quy định rằng thông tin bí mật sẽ được trả lại cho bên tiết lộ khi thỏa thuận hết hạn hoặc chấm dứt. Thỏa thuận luôn phải nêu rõ rằng thỏa thuận sẽ được điều chỉnh bởi luật pháp của Commonwealth of Virginia. Ngoài các điều khoản được mô tả ở trên, thỏa thuận bảo mật có thể bao gồm các điều khoản có hiệu lực như sau:

    • người tiết lộ có thể nhận được cả biện pháp khắc phục bằng lệnh cấm và bồi thường thiệt hại về tiền tệ trong trường hợp người nhận không tuân thủ và người nhận sẽ trả phí luật sư cho người tiết lộ;

    • người nhận vi phạm phải bồi thường nếu bên thứ ba kiện người tiết lộ do vi phạm;

    • trách nhiệm tài chính do vi phạm được giới hạn ở một số tiền đô la cụ thể:

    • thông tin được tiết lộ vẫn là tài sản của bên tiết lộ;

    • người nhận phải thông báo ngay cho người tiết lộ khi phát hiện bất kỳ mất mát hoặc tiết lộ trái phép nào của bất kỳ nhân viên nào của người nhận về bất kỳ thông tin bí mật nào;

    • mỗi bên phải tuân thủ mọi luật, quy tắc và quy định hiện hành, bao gồm cả những luật liên quan đến xuất khẩu hoặc chuyển giao công nghệ;

    • bên tiết lộ đang tiết lộ thông tin "nguyên trạng" hoặc với sự bảo đảm ngụ ý hoặc rõ ràng;

    • người tiết lộ không cấp giấy phép;

    • người nhận không bị hạn chế cung cấp các sản phẩm hoặc dịch vụ cạnh tranh cho người khác;

    • người nhận không được phép tiến hành kỹ thuật đảo ngược, dịch ngược hoặc tháo rời bất kỳ phần mềm nào được tiết lộ;

    • người nhận sẽ không xuất khẩu bất kỳ phần mềm được tiết lộ nào vi phạm bất kỳ luật xuất khẩu nào;

    • các bên sẽ làm trung gian và sau đó phân xử bất kỳ tranh chấp nào (có điều khoản miễn trừ về lệnh cấm).

Chương hiện tại: Chương 25 - Hình thành hợp đồng IT
Trước < | > Tiếp theo
Chương 24 - Yêu cầu đề xuất và đàm phán cạnh tranh < | > Chương 26 - Đàm phán hợp đồng IT

Tìm kiếm trên tài liệu hướng dẫn bằng từ khóa hoặc thuật ngữ thông dụng.