软件公司承包商NDA：全面操作指南（附免费模板）

以下是不断上演的场景：一家软件公司雇用承包商开发关键功能，向其分享了API架构、数据库架构和客户数据规范。六个月后，该承包商为竞争对手工作——而代码库也随之而去。

一份承包商NDA不能保证完美防护，但它能为您提供法律行动的基础，寻求损害赔偿并阻止进一步披露。没有它，您只能寄希望于承包商的诚信。

本指南涵盖软件公司需要了解的关于承包商NDA的一切：真正重要的条款、适用于不同承包商关系的类型、应引起警惕的危险信号，以及如何快速完成签署。文末还附有一份免费模板。

如果您想了解合同与协议的区别如何适用于承包商关系，建议先阅读该文。

承包商NDA（保密协议）是一份具有法律约束力的合同，要求独立承包商——无论是自由开发人员、分包商还是离岸开发公司——对您的保密信息保密。它定义了哪些信息属于保密范畴、保密义务持续多长时间，以及承包商违约时会发生什么。

对于软件公司而言，保密信息不仅仅是商业计划或财务数据。它包括源代码、系统架构、仓库访问凭证、客户数据、API集成、专有算法以及未发布的产品路线图。这些范围比普通NDA所涵盖的更广、更具技术针对性。

承包商NDA与员工保密协议有一个重要区别：员工通常在雇佣合同中签署嵌入的保密条款，而承包商在工作开始前签署独立的NDA。这种独立结构很重要：它创造了一个独立、范围明确的义务，不会与薪酬争议或劳动法纠缠在一起。

关于可执行性的简要回答：一份精心起草的承包商NDA在所有主要司法管辖区根据合同法原则都是可执行的。在美国，商业秘密还受到联邦层面的《保护商业秘密法》(DTSA)和州层面的《统一商业秘密法》(UTSA)保护——如果承包商挪用您的代码，您有两条独立的法律途径可以追究。

简短回答：承包商不是员工，这一差距在法律上意义重大。

员工拥有多项默示和法定的保密义务，这些义务不会自动适用于独立承包商。默认情况下，承包商可以使用在您这里获得的知识为竞争对手谋利——除非您通过合同明确禁止。NDA填补了这一空白。

软件公司面临的特定风险高于大多数行业：

• 源代码泄露 — 获得仓库访问权限的承包商可以看到您的整个技术实现。如果他们离职时没有NDA，他们可以自由复制或出售这些知识。
• 客户数据访问 — 许多承包商接触客户数据库、CRM记录或暴露客户信息的API端点。这里的泄露不仅是竞争损失；还可能构成GDPR或CCPA责任。
• 架构中的商业秘密 — 您的系统设计、数据管道的构建方式、专有算法——这些只有在被视为秘密时才是商业秘密。NDA是这种保密处理的一部分。
• 分包商传导风险 — 如果您的承包商雇用他们自己的分包商（在离岸外包中很常见），而这些分包商不受保密义务约束，您的秘密就会通过法律框架中的漏洞流失。

对于同时管理多个承包商的团队来说，跟踪NDA状态的行政开销是真实存在的。这就是为什么面向IT公司的文档管理在规模扩大时变得有用——您需要知道哪些承包商已签署、何时签署，以及已执行的协议存放在何处。

公平警告：单独的NDA并不是完整的安全策略。您仍然需要访问控制、离职流程和仓库权限管理。NDA是您的法律后盾，当这些技术控制措施失效或承包商在拥有访问权限的情况下采取欺骗行为时发挥作用。

并非每个承包商合作都需要相同的NDA结构。选择错误的类型会浪费谈判资本，甚至可能表明您不了解这种关系。

单向NDA

这是大多数承包商合作的标准形式。只有一方——通常是软件公司——披露保密信息，只有承包商受保密约束。您雇用某人构建某物。您分享您的规格、架构、客户背景。他们没有向您分享任何专有信息。

在以下情况使用单向NDA：雇用自由开发人员、聘请QA承包商或与个人专家合作完成有明确边界的项目。

双向（相互）NDA

双方共享保密信息，双方都受约束。这适用于您评估外包公司时，对方会向您展示他们自己的专有方法论、流程或知识产权——而他们也有正当理由保护这些信息。

实际上，离岸开发公司经常要求双向NDA。这是合理的。只需确保他们一侧的"保密信息"定义不要过于宽泛，以至于正常的项目沟通都受到限制。

多方NDA

涵盖三方或更多方的单一协议——适用于涉及您的公司、主承包商和需要相互共享信息的专业分包商的项目。一份文件代替三份双边协议。起草更复杂，但管理更简单。

这两份文件经常被混淆，而这种混淆会导致真正的问题。它们保护不同的东西，最好一起使用。

承包商NDA保护您与承包商共享的保密信息。它管理他们不能披露的内容。它没有说明他们生产的工作成果归谁所有。

知识产权转让协议则相反：它管理合作期间创作的工作产品的所有权。在大多数司法管辖区，独立承包商拥有他们编写的代码的版权，除非有书面协议将该所有权转让给您。

这就是为什么这很重要：如果您有NDA但没有知识产权转让，承包商不能泄露您的秘密——但他们可能拥有他们为您编写的代码。这是一个重大漏洞。

对于软件公司，您通常需要两者兼具：

1. 1.
   NDA保护合作期间您共享的保密信息
2. 2.
   知识产权转让将工作产品的所有权转让给您

一些合同将两者捆绑到一份文件中（在咨询协议中很常见），但将它们分开可以使每项义务的范围更清晰，也更容易单独执行。

Chaindoc博客有一篇关于如何创建安全NDA的专门指南，更深入地涵盖了一般NDA结构——值得与本承包商专项指南一起阅读。

竞业禁止条款限制承包商在合作结束后为竞争对手工作或创办竞争企业的一段时间。NDA限制他们可以披露的内容，但不阻止他们为您的竞争对手工作——只是阻止他们带着您的秘密去。

实际上：如果一位高级开发人员了解您的整个技术架构，即使完美执行的NDA也无法阻止他们为竞争对手凭记忆重建它。竞业禁止条款直接解决了这一风险。

也就是说，独立承包商的竞业禁止条款仅在某些司法管辖区可执行，法院会审查其合理性——特别是范围（限制哪些行业或角色）、地域（哪个地区）和期限（多长时间）。例如，加利福尼亚州在很大程度上拒绝为承包商执行竞业禁止。许多欧盟国家也有类似限制。

对于大多数与承包商合作的软件公司：

• 始终使用NDA——几乎在任何地方都可执行，是基本保护
• 有选择地使用竞业禁止——针对能够接触核心知识产权的高级承包商，在执行现实的司法管辖区，范围狭窄且合理
• 不要将竞业禁止嵌入NDA——将它们放在主服务协议或单独条款中，这样关于一项的争议不会使另一项无效

通用NDA模板经常会遗漏使这些协议真正具有保护性的软件特定范围。以下是软件公司承包商NDA应包含的10个条款。

1. 保密信息定义（软件特定）

列出明确类别，不要依赖通用的兜底条款。对于软件公司，这意味着：源代码和编译二进制文件、系统架构和技术规范、数据库架构、API密钥和认证凭证、客户数据和客户列表、产品路线图和未发布功能，以及内部工具或专有工作流程。

2. 仓库访问政策

明确承包商可以访问哪些代码仓库、授予的权限级别（读取、写入、管理），以及合作结束后不得保留副本的义务。此条款是软件特有的，大多数通用模板都不包含。

3. 客户数据处理

如果承包商将访问任何客户数据——即使在测试或暂存环境中——请明确允许的使用方式、禁止保留副本，以及如果他们怀疑涉及该信息的数据泄露时的通知义务。

4. 知识产权转让交叉引用

注明本NDA与单独的知识产权转让协议一并运作，承包商的保密义务独立于知识产权转让——任何一份文件的违约不影响另一份文件的可执行性。

5. 材料归还或销毁

合作终止时，承包商必须归还或可证明地销毁所有保密信息副本——包括本地下载的代码、存储在个人云盘中的文档以及API凭证。要求书面确认。

6. 分包商传导义务

如果承包商使用分包商，这些分包商在接收任何保密信息之前必须受同等保密义务约束。承包商对其分包商的违约行为承担责任。

7. 期限与存续

商业秘密（源代码、核心算法）的保密义务应在合作结束后无限期存续。对于其他保密信息，三至五年是标准期限。明确声明NDA在主服务协议终止后仍然有效。

8. 保密除外情形

标准除外情形：已经公开的信息、未参考您的披露而独立开发的信息、从无保密限制的第三方获得的信息。要具体——过于宽泛的除外情形会造成漏洞。

9. 管辖法律与司法管辖区

明确指定管辖司法管辖区。对于跨境承包商合作，考虑将仲裁指定为争议解决机制——与诉讼相比，仲裁通常更快、跨境更可预测。

10. 救济与禁令救济

明确声明违约将造成不可弥补的损害，证明禁令救济的正当性，无需证明具体的金钱损失。这是标准的NDA条款但至关重要——没有它，您必须在法院采取行动之前量化损失，而知识产权泄露很难量化。

相同的NDA模板并非同样适用于每种承包商关系。以下是风险状况——以及因此产生的NDA要求——如何因承包商类型而异。

自由开发人员

从事单一功能或模块的自由职业者风险有限：他们只看到与其任务相关的内容。您的NDA在这里可以相对标准——单向的，包含软件特定的保密信息定义和仓库访问条款。签署过程应简单快速：发送、签署、继续。这里的摩擦会让您失去优秀的承包商。

分包商（通过主代理机构）

这看起来比实际风险更大。当您雇用代理机构，他们将工作分包给个人开发人员时，您通常不知道这些开发人员是谁，也不知道他们可以访问什么。您与代理机构的NDA应包含分包商传导条款（上述第6条），并要求通知您所有将访问您系统的分包商。如果关键分包商将拥有仓库访问权限，请考虑要求与他们直接签署NDA。

离岸开发公司

这是NDA最需要谨慎的地方。离岸公司可能有自己的标准协议，看起来全面，但受外国法律管辖，在您的司法管辖区可执行性有限。离岸合作的关键补充：

• 指定您的司法管辖区处理争议的管辖法律和司法管辖区条款
• 如果涉及客户数据，明确的GDPR/CCPA合规条款
• 如果公司将分享专有方法论，则使用双向NDA——但确保您的保密信息范围至少与他们的一样广泛
• 争议解决采用国际仲裁（ICC或AAA规则）

对于管理这些不同类型承包商的团队，面向IT公司的合同管理软件可以跟踪哪位承包商拥有哪份协议、何时签署、何时到期或需要审查——而不是依赖 inevitably 过时的共享电子表格。

软件公司最常犯的错误不是起草糟糕的NDA——而是签署得太晚。

NDA必须在共享任何保密信息之前就位。这听起来很明显，但在实践中，在帮助承包商了解项目的初次对话、发现电话和技术范围界定会议中，它经常被跳过。

以下是典型承包商合作的正确签署顺序：

1. 1.
   NDA — 首先签署，在任何讨论技术架构、客户数据或系统细节的发现电话之前
2. 2.
   知识产权转让协议 — 在任何工作开始前签署（最好在NDA之后立即或同时签署）
3. 3.
   工作说明书（SOW） — 定义范围、可交付成果、时间表和付款；在工作开始前签署。请参阅我们关于SOW合同的指南，了解应包含哪些内容。
4. 4.
   主服务协议（MSA）或软件开发合同——持续关系的治理框架

一个有用的规则：如果您即将对潜在承包商说一些您不希望公开的话，NDA应该已经签署。

对于在选定承包商之前的早期对话——探索性电话、RFP流程——您可以只分享一般非保密背景，或使用双方快速签署的轻量级双向NDA。第二个选项更简洁。

对于经常进行承包商入职周期的团队，自动化NDA和承包商入职工作流消除了时机错误——系统在首次授予访问权限之前触发NDA发送。

大多数情况下，您会向承包商发送NDA。但承包商——尤其是成熟的代理机构——有时会出示他们自己的NDA。以下是应该让您 pause 的事情。

他们一侧过于宽泛的"保密信息"定义

如果承包商的NDA将他们的保密信息定义为"合作期间共享的任何信息"而没有有意义的限制，您最终可能会受到限制，无法分享您学到的东西——您自己的架构、您自己的客户背景——与从事类似工作的未来承包商。双向NDA应该在双方都有明确界定且匹配的定义。

非商业秘密信息的不确定期限

一般商业信息（不是特定商业秘密）的不确定保密期限通常不可执行，这是一个危险信号，表明协议起草不仔细。在某些司法管辖区，法院以不合理的商业限制为由，废止一般商业信息的不确定保密义务。予以反驳并定义具体期限。

单方面仲裁条款

如果NDA规定仅在承包商司法管辖区进行仲裁，由承包商选择的仲裁员，那就是不对称的执行机制。您将不得不前往执行自己的保密权利。要么建立中立司法管辖区，要么指定来自公认机构（ICC、AAA）的仲裁规则，而不带偏向某一司法管辖区的地点。

缺少知识产权排除条款

一些承包商出示的NDA包含可能被解读为授予承包商对他们了解的您的知识产权某些权利的语言——特别是如果"保密信息"定义过于宽泛，涵盖他们获得的任何见解。如果NDA没有明确将您预先存在的知识产权排除在对您使用的任何限制之外，请澄清这一点。

没有归还或销毁条款

没有明确归还或销毁义务的承包商NDA允许承包商在合作结束后保留您的代码和文档副本。这是不可接受的。将其作为要求。

风险并非假设。这些案例说明了商业秘密盗用实际上代价有多大。

Cadence Design Systems诉Avanti Corporation（2.65亿美元）

Avanti是一家竞争性的EDA软件公司，被发现使用了Cadence的专有源代码——据称是由加入Avanti的前Cadence员工带来的。该案判决超过2.65亿美元，并对数名个人作出刑事定罪。其根本机制是员工离职，但同样的风险适用于承包商：在多家公司工作的承包商是代码转移的载体，无论有意还是无意。

教训：即使是资金充足、拥有成熟知识产权保护措施的软件公司也面临这一风险。与任何访问专有代码的人签署保密协议是基本的知识产权卫生措施——不是可有可无的附加项。

Waymo诉Uber（2.45亿美元）

Waymo是Alphabet的自动驾驶汽车子公司，在前Google工程师据称将机密技术文件带到一家后来被Uber收购的初创公司后起诉了Uber。和解金额达到约2.45亿美元股权。值得注意的是，该工程师与Google签署了NDA和知识产权协议——这意味着Waymo有法律地位积极追究此案。

反例同样重要：NDA和知识产权转让并没有阻止泄露。但它们给了Waymo采取法律行动的基础。没有它们，Waymo将没有可执行的机制来寻求如此规模的和解。这就是精心起草的承包商NDA的实际价值：不是预防，而是在预防失败时的可执行性。

两个案例涉及的商业秘密远比大多数承包商合作复杂。但模式在软件行业是普遍的：机密代码随着编写它的人而移动。您的承包商NDA是使这种移动可诉的法律机制。

快速让NDA签署到位至关重要。繁琐的签署流程意味着承包商要么跳过它，要么签署得太晚——两者都是失败。以下是如何正确且快速地完成。

第1步：准备NDA文件

使用下面的模板或您自己的定制版本。在发送之前确保所有软件特定条款都已到位。在承包商审查文件后进行临时添加会不必要地延长时间线。

第2步：发送电子签名

将NDA上传到提供防篡改审计跟踪的电子签名平台。这不是官僚偏好——这是证据要求。如果您 ever 需要执行NDA，您需要证明特定的人在特定时间签署了特定的文件，并且该文件此后未被修改。

Chaindoc使用区块链验证在不可篡改的账本上记录每次签署事件。与存在于一家公司服务器中的简单PDF审计日志不同，区块链记录不能被任何一方追溯修改。这在承包商的律师质疑他们看到的文件是否是其客户签署的文件时非常重要。

第3步：签名前验证身份

来自"user at gmail.com"的签名不能证明与您签约的人实际签署了。至少使用电子邮件OTP验证；对于高价值合作，SMS或政府ID验证提供更强的不可否认性。

第4步：带访问控制的存储

签署的NDA应存放在具有基于角色访问权限的文档管理系统中——您的法律团队和高级领导层可以访问，而不是存储在共享电子邮件文件夹中。用承包商名称、合作日期和项目参考标记它，以便在压力下可以检索。

第5步：跟踪到期和续签

如果您的NDA有定义期限，请跟踪到期日期。六个月前到期的NDA今天无法保护您。

对于管理IT团队文档工作流的软件公司，自动化此流程——在添加承包商时触发NDA发送，在授予访问权限前自动提醒，到期警报——消除了导致时机失败的人工开销。查看Chaindoc定价了解包含承包商文档工作流的团队计划。

如需更深入地了解电子签名的法律合规方面，ESIGN法案（美国）和eIDAS（欧盟）都确认，电子签署的NDA与纸质文件具有相同的法律效力。

下面的模板是一个起点——一份内置软件特定条款的单向承包商NDA。它涵盖本指南中列出的所有10个条款，并包含美国司法管辖区默认值（由您指定的州法律管辖，引用DTSA商业秘密保护）。

下载Chaindoc承包商NDA模板：

• 下载PDF
• 下载DOCX

模板中包含的内容：

• 软件特定的保密信息定义（源代码、架构、凭证、客户数据、路线图）
• 仓库访问政策条款
• 分包商传导义务
• 归还或销毁条款，附带认证要求
• 知识产权转让交叉引用条款
• 禁令救济条款
• 管辖法律占位符（填写您的州或司法管辖区）
• 一般保密信息3年期限/商业秘密无限期

重要免责声明：本模板仅供参考，不构成法律建议。可执行性因司法管辖区和具体情况而异。对于高价值合作、新型承包商关系或跨境情况，请在使用前由合格律师审查协议。

对于更完整的承包商入职文档堆栈——NDA、SOW和付款条款——Chaindoc的IT公司合同管理工具让您一次性构建模板，并始终如一地发送给每位新承包商。