供应链信息泄露途径及其防范措施
返回

实施信息共享是实现供应链体系高效、协调运转的关键所在。然而,在供应链实际运作过程中,看似有百利而无一害的信息共享实施起来却并不顺利,企业担心信息共享过程中共享的信息会被泄露给竞争对手,从而导致企业丧失竞争优势。因此,使得很多企业不愿意参与信息共享。随着共享信息被频繁泄露及其对供应链的运作产生的不良后果,供应链信息共享过程中的信息泄露问题越来越引起学术界和企业界的关注。

一、供应链信息泄露的概念

信息泄露最早见诸于经济学文献,Grossman和Stiglitz认为在市场中价格有信息收集者的功能,因此,可以将信息从拥有信息的企业传递给没有信息的企业[1],这个传递过程就是信息泄露的过程。在R&D的研究中,为了强调技术创新的私有性,学者们也引入了信息泄露的概念,它专指在R&D过程中研发信息的无意传播,因为从R&D中获利的可能性会让一些搭便车者从其对本身价格的影响推断出信息的内容。Baccara认为信息泄露是指在企业委托承包商(contractor)生产产品时,承包商将产品技术泄露给企业的竞争者的过程[2]。因为,若要委托承包商生产产品,则必须令其了解产品的生产技术,因此,承包商就有了将委托企业的技术泄露给其竞争者的机会。一般来说,承包商会通过以下两种途径把委托企业的信息泄露给其他的企业:一是由于承包商没有很好的控制所掌握的信息而通过溢出效应(spillover)泄露给其他的企业;二是承包商将自己掌握的信息标价出售给其他的企业。

在供应链中,信息共享不仅对于参与共享的零售商有“直接效应”(direct effect),而且由于制造商制定的批发价格是共享的需求信息的函数,没有参与共享的零售商可以通过它推断出共享信息的内容,从而信息共享对于没有参与其中的零售商也会产生“间接效应”(indirect effect),也被称为“泄露效应”(leakage effect),即由于信息泄露对于没有参与信息共享的零售商的决策产生的影响[3]。

综合上述关于信息泄露的描述,所谓供应链信息泄露是指在供应链信息共享过程中,共享的信息被有意或者无意的泄露给没有参与信息共享的其他企业的过程。这里所说的没有参与共享的其他企业既包括供应链上没有参与信息共享的成员企业,也包括供应链之外的企业。

从定义可以看出,供应链信息泄露可以分为无意的信息泄露和有意的信息泄露两种类型。不难发现文献[3]描述的泄露效应,只是片面的强调了没有参与信息共享的企业通过批发价格获得共享信息,即无意的信息泄露的过程,而忽略了制造商主动将信息泄露给没有参与共享的企业的过程。

二、供应链信息泄露的途径

(一)独立于供应链之外的第三方企业泄露信息

在供应链中,企业往往需要和第三方信息收集公司共享信息以便于更好的把握市场状况并进行决策。但是,掌握了供应链成员的信息以后很容易引发第三方信息收集公司的败德行为,比如有一些信息收集公司会将自己掌握的信息标价出售给共享信息企业的竞争对手。2001年Wal-Mart宣布不再和Information Resources Inc.和ACNielsen等第三方信息收集公司共享销售数据,原因是这些公司将共享销售信息出售给了Wal-Mart的竞争对手,从而使Walmart遭受了严重的经济损失[4]。第三方的信息泄露不仅来源于信息收集公司,还来源于第三方的外包加工企业以及咨询公司等。Dye还提到当企业在委托第三方咨询公司对风险投资项目的价值进行评估的时候,往往由于咨询公司泄露了项目的内容而减少了项目的价值[5]。

(二)供应链上游企业泄露信息

供应链信息共享通常是指下游企业将信息和上游企业共享,下游零售商将其掌握的市场需求信息传递给上游制造商与之共享。但是,这也增加了零售商共享给制造商的信息被泄露的可能。原因在于,将共享信息泄露给下游零售商可以提高制造商对市场需求预测的精度,从而使制造商的产量更加接近于市场需求的真实水平,这样就会减少因缺货或者库存而产生的成本。因此,为了提高收益制造商往往会将共享的信息主动或者有意的泄露给没有参与共享的企业。由于泄露信息可以提高自己的收益,制造商往往是无偿披露零售商共享的信息,这一点也有别于Baccara提到的标价出售的有意信息泄露行为。当然,在供应链中也存在供应商将零售商共享的信息出售给其他零售商的现象,比如由supplychainaccess.com进行的一项调查表明,有64%的供应链经理指出其共享信息被供应商出售给他们的竞争对手[6]。在前文音乐产业的例子中,泄露信息的不仅是SoundScan,还有Newbury Comic的上游供应商——唱片公司。

另外,从supplychainaccess.com的调查不难看出,上游企业泄露下游企业的共享信息的现象在供应链中非常普遍。

(三)供应链下游企业泄露信息

在供应链中上游企业将产品出售给下游企业也往往会导致信息泄露的出现。出售给下游企业产品包含了上游制造商的很多技术创新,下游企业购买产品后为了促进上游企业之间的竞争以便获得更低廉的采购价格,往往会将产品中的技术创新故意泄露给其他的上游企业。这种现象在汽车产业中尤为明显,因此,产品创新的保护问题在汽车产业中是一个急需解决的问题。

福特在采购条款中明确说明任何应用与整车的部分设计或者修改必须给福特一个永久的非排他性的许可,这就从根本上给予了福特公司将这些设计和修改出售给其他供应商的可能。这样,福特就能将供应商的产品创新泄露给其他的供应商并获取更低廉的采购价格[7]。20世纪90年代,GM公司在没有得到许可的情况下将供应商的产品创新泄露给其他的供应商,以获得更低的采购价格,从而达到节约成本的目的。在Ward2007年的一项针对447个汽车零配件供应商进行的关于产品创新保护的调查中,有超过28%的汽车零件供应商反应其知识产权至少被一家汽车制造商泄露过[7]。

(四)供应链管理系统泄露信息

供应链是一个极其复杂的信息管理系统,尤其当它发展到集成供应链阶段时,要靠计算机网络来传输和承载大量的数据。除了少数的信息安全要求特别高的供应链网络采用专网以外,绝大多数供应链是基于Internet网络体系构建的。Internet技术的注入,使得供应链上各个节点企业之间进行高质量的信息传递和信息共享成为可能。带来便利的同时,网络环境的开放性使供应链企业在利用Internet进行信息共享的过程中不可避免的带来了信息泄露的隐患。在供应链信息共享过程中信息可能要通过多个网络设备,从这些网络设备上都能不同程度地截获信息的内容,这样就增加了信息泄露的可能。竞争对手或商业间谍可能从Internet入侵企业内网,得到企业的私有信息,从而在市场竞争中获得主动。黑客也可以发起针对供应链网络服务器的攻击,给企业造成巨大的损失。在供应链的网络信息安全问题中,数据库的安全问题尤其需要格外重视,由于供应链中的各个企业往往需要共享库存信息、需求信息、销售信息、预测信息、客户资料和技术文档等信息,这些对各个企业及整个供应链至关重要的共享信息被大量的存储于数据库中,如果数据库遭受攻击,则供应链上所有的企业都将受到影响,如果数据库内的信息被无意或有意篡改,同样这些企业将无法进行正常的经营活动。

 三、供应链信息泄露的防范措施

为了便于说明问题,现将在供应链信息共享中拥有信息的供应链成员称为委托人,接受共享信息的供应链成员称为代理人。在供应链信息共享过程中,代理人为了追求自身利益的增加,往往会将委托人共享的信息泄露给没有参与共享供应链成员,这样会导致委托人的收益的降低,从而打击委托人共享信息的积极性,最终导致供应链合作关系的破裂。因此,如何有效地防范信息共享过程中的信息泄露对于供应链信息共享以及供应链合作有着十分重要的意义。

(一)建立信息泄露识别机制

信息泄露识别是有效的预防供应链信息泄露的首要阶段,是发现潜在信息泄露风险、伴随整个供应链信息交换的关键过程。信息泄露识别是用感知、判断或归类的方式对现实的和潜在的可能发生的信息泄露进行鉴别的过程。只有在正确识别出信息泄露的基础上,供应链企业才能主动选择适当有效的方法进行相应的处理。信息泄露识别的主要任务是要从错综复杂的环境中找出供应链中所有可能发生的信息泄露。信息泄露识别一方面可以通过感性认识和历史经验来判断,另一方面也可通过对各种客观的资料和有关记录来分析、归纳和整理,以及必要的专家咨询,从而找出各种明显和潜在的信息泄露风险及其损失规律。

(二)签订保密协议

供应链运作过程中的信息共享涉及的很多信息是供应链成员的机密信息,但是机密并不意味着绝对不能与其他成员分享。对于要分享的信息,委托人和代理人之间一定要签订保密协议。保密协议应该是供应链合作的第一步,在保密协议中委托人要明确规定保密信息的类型、信息的使用范围及分享范围,不经委托人的(书面)同意,代理人不能将保密协议列出的保密信息的类型泄露给协议规定的信息分享范围以外的任何企业,保证仅限于代理人工作上确实需要知道此类信息的部门指导,并且对此类信息的保护程度要不下于对自己企业的同类信息的保护。

保密协议中还要明确规定,如果协议双方违反协议后应该承担的法律责任,这样就能使用法律武器保护企业的合法权益。不仅如此,委托人还要实施惩罚措施,一旦代理人违反保密协议就给出相应的惩罚。

除了和代理人签订保密协议外,委托人在企业内部也要制定严格的保密措施,限定知悉机密信息的人员,尽量缩小知悉机密信息的范围,严格限制知密人员以外的其他人员出入具有商业机密的场所。还要通过合理的竞业禁止,防止人才流动泄露企业机密信息。对于技术创新和知识产权要及时地申请专利,通过法律手段保护企业的合法权利。

(三)建立激励机制

信息泄露会影响供应链的整体效率。当然,通过供应链节点企业之间建立起良好的信用机制和合作氛围,使各成员的利益和目标相协调,可以在一定程度上减少信息泄露。但由于有限理性的存在,企业往往之关注自身效用和收益的最大化,因此,仅仅靠信用的约束是不够的,必须有一套行之有效的激励约束机制来制约和激励供应链节点企业的信息传递行为,促使代理人不泄露委托人的信息。激励机制可以通过提供合适的信息和激励措施,保证买卖双方协调优化销售渠道的有关条款。它可以在一定的信息结构下制约个体的行为,或者刺激个体提供良好的服务。同时供应链企业要加强对代理人的监督,建立一种全面的指标评价体系和有效的监督机制,有效的改进系统的整体性能。

(四)加强网络安全

构筑并维护供应链完善的网络安全体系是一个庞大而复杂的工程,能从根本上解决通过网络造成的信息泄露。首先必须在供应链构建中考虑信息安全性问题;其次要建立自主产权的网络操作系统,建立在他人操作系统之上的网络安全系统,无论从何角度上讲,安全性都值得怀疑;必须研制高强度的保密算法,网络安全从本质上说与数据加密息息相关,网络安全建设应与密码算法研制、密钥管理理论和安全性证明方法的研究同步发展;最后,可以针对供应链管理系统运行的实际信息安全需要,利用虚拟专用网VPN来构架信息安全框架。VPN可以提供如下功能:加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露;信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份;提供访问控制,不同的用户有不同的访问权限。另外,研制专门针对供应链管理系统网络安全的杀毒软件也刻不容缓。

(五)建立应急处理机制

企业虽然采取了各种措施来规避和控制供应链中的信息泄露。但是,天有不测风云,一些意外的事件会时有发生。在信息泄露发生后,企业要有要采取一定的应急措施,将损失控制在最小范围内。这就要求企业在对供应链信息泄露充分认识的同时,预先建立应急处理机制,对紧急、突发的信息泄露进行应急处理,以避免给供应链中多个企业带来更大的损失。

四、结论

众所周知,信息共享不仅可以使供应链上企业更好的安排生产作业及库存配送计划,降低供应链的整体成本,还能促进合作企业间的相互信任,加快供应链整体对市场变化的响应。但是,由于信息泄露的影响使得信息共享实施起来并不顺利。本文结合前人的研究提出了供应链信息泄露的概念,通过一系列实例分析发现供应链中的共享信息会通过独立于供应链的第三方企业、供应链上游企业、供应链下游企业以及供应链管理系统等四种途径泄露给没有参与共享的其他企业,最后在此基础上提出了建立有效的信息泄露识别机制、签订保密协议、建立有效的激励机制、加强网络安全及建立应急处理机制等防范措施。通过实施这些措施可以有效地解决供应链运作过程中的信息泄露问题。

【来源:杭州会计网】

 
* 技术支持单位:浙江衡信教育科技有限公司 *