PoC 為什麼常常卡在法務、資安、採購?
法務、資安、採購不是流程障礙,而是三個各有否決權的風險守門人:法務看合約與 IP、資安看資料去向、採購看資格與比價。本文拆解三個單位各自的否決點,以及在 PoC 設計初期就該拉他們進場的方法。
本文目錄(16)
先講結論
在你的公司,誰有權對一個技術上完全成功的驗證案說「不行」?如果答案不只一個人,而你的 PoC 時程表上只排了技術里程碑,那麼卡關不是意外,是必然。法務、資安、採購之所以成為驗證案的三大墳場,不是因為他們反對創新,而是因為他們各自守著一種公司不能承受的風險——而創新窗口往往在最後一刻才把案子送到他們桌上,要求用三天走完平常三週的審查。
直接回答
三個單位卡的是三種不同的東西。法務卡合約與權利:新創的服務條款對不上公司的合約模板,IP 歸屬、責任上限、個資條款談不攏;資安卡資料去向:內部資料要進別人的雲、模型訓練會不會留存資料、供應商資安問卷填不出來;採購卡資格與程序:供應商登錄門檻、比價要求、簽核權限。共同點是:三者都有實質否決權,而且審查時程都以週為單位計算。解法不是繞過,而是把三個單位的審查項目變成 PoC 設計的輸入條件——啟動前各談一次,遠快於結案後逐關闖。
法務的否決點:權利義務對不上
新創通常拿自己的標準服務合約來簽,企業法務則習慣用公司的採購合約模板。兩份文件在幾個地方必然相撞:測試產出的智慧財產歸誰(新創要保留改進演算法的權利,企業要確保場域資料的衍生成果不外流)、責任上限怎麼訂(新創賠不起無上限條款)、保密義務的範圍與年限、以及如果用到客戶或員工個資,個資保護的告知與委託處理條款。
這些都談得攏,但每一條都要來回。聰明的做法是準備一份PoC 專用的簡化合約模板:範圍限定於驗證、雙方資料各自歸各自、衍生改良權利先擱置到正式合約再談。把戰場縮小,法務的審查天數會跟著縮小。
資安的否決點:資料要去哪裡
資安的第一個問題永遠是:「我們的資料會離開公司嗎?」新創方案多半架在公有雲上,這立即觸發一串審查:資料放在哪個地區的機房、傳輸與儲存是否加密、誰有存取權限、測試結束後資料怎麼銷毀、新創通不通得過供應商資安評估問卷。對金融、醫療這類受監理產業,還疊加主管機關的委外規範。
縮短這一關的實務做法有三種,按成本排序:用去識別化或合成資料做驗證,讓敏感資料根本不出門;要求地端或公司虛擬環境部署,資料不離開內網;或者協助新創提前填寫資安問卷,把來回次數從五次壓到兩次。哪一種可行,取決於驗證目標需不需要真實資料——這正是為什麼資安要在設計階段就進場,而不是部署前一週。
採購的否決點:資格與程序
採購看的不是技術好不好,是這筆錢花得合不合規:這家公司在不在合格供應商名單?不在,登錄要多久、過不過得了資本額與年限門檻?金額落在哪個簽核層級?要不要比價?獨家方案有沒有例外程序的依據?這些問題每一個都有答案,但答案都需要文件與時間。最被低估的是金額設計:同樣的驗證,報價單拆法不同,可能落在完全不同的簽核層級與程序要求裡——這是窗口在 PoC 報價階段就該跟採購對齊的事。
判斷表
| 守門人 | 核心問題 | 否決點範例 | 啟動前該做的一件事 |
|---|---|---|---|
| 法務 | 權利義務是否對等 | IP 歸屬、責任上限、個資條款 | 用 PoC 簡化合約模板開局 |
| 資安 | 資料是否受控 | 雲端存放、存取權限、銷毀機制 | 決定用去識別化資料或地端部署 |
| 採購 | 程序是否合規 | 供應商資格、比價、簽核層級 | 預審資格並對齊金額與路徑 |
正確的順序:第一次設計會議就有三張椅子
把流程從「技術驗證完 → 闖三關」改成「三關的要求 → 寫進驗證設計」。具體做法是在 PoC 啟動前開一場一小時的設計會議,法務、資安、採購各派一人,只回答三個問題:這個案子用什麼合約、資料怎麼處理、成功之後走哪條採購路。會議產出寫進啟動文件。
這場會議最大的價值不是省時間,是改變三個單位與案子的關係:他們從「最後蓋章的人」變成「設計的共同作者」,審查當下就不再是陌生案件。多數情況下,卡關的真正原因不是制度嚴格,而是守門人第一次看到案子的時間太晚。
常見誤解
「法務資安採購就是慢,沒辦法。」——他們處理熟悉案件並不慢,慢的是非標準案件的首次審查。把 PoC 標準化(固定合約模板、固定資料處理方式、固定採購路徑),第二案開始速度會完全不同。
「先用免費試用就不用走這些流程。」——免費不等於免審。只要內部資料流向外部系統,資安審查一樣觸發;只要有簽署文件,法務一樣要看。免費省掉的只有採購程序,而那往往是三關裡最快的一關。
「找高層施壓就能加速。」——高層可以調整優先順序,不能替公司承擔個資外洩或合約瑕疵。施壓換來的加速通常以略過檢查為代價,出事時第一個被檢討的就是當初施壓的案子。
下一步建議
下一個 PoC 啟動前,先做一件事:分別約法務、資安、採購各三十分鐘,問同一句話——「如果這個驗證成功、要走到採購,你們那關最可能卡在哪?」把三個答案寫進啟動文件,再開始驗證。已經卡住的案子則反過來診斷:先確認卡在哪一關、缺哪份文件,逐關補件,而不是籠統地「再催催看」。
參考來源與延伸閱讀
本文為一般教育資訊與實務觀點整理,不構成投資、法律、會計或稅務建議;涉及交易條件與公司治理,應另洽專業顧問。
FAQ
三個單位的審查可以同步進行嗎,還是要照順序?
可以同步,而且應該同步。法務、資安、採購的審查項目互不依賴,序列化只會讓時程相加。唯一的順序建議:資料處理方式(資安)先定,因為它會影響合約條款(法務)的寫法。
新創填不出資安問卷,這個合作該直接放棄嗎?
不必。先區分「填不出」的原因:是真的沒有資安管理(這是實質風險),還是沒有人力處理上百題的問卷格式(這是成本問題)。後者可以用去識別化資料、地端部署等設計繞開資料風險,或由企業端窗口協助對齊問卷語言。
受監理產業(金融、醫療)的 PoC 有什麼不同?
多一層主管機關的委外與資料規範,審查深度與文件要求都更高。實務上更需要在設計階段就用合成資料或沙盒環境驗證,把「碰真實資料」延後到制度準備完成之後。
公司根本沒有 PoC 專用的合約模板,誰該推動建立?
通常是創新部門發起、法務主筆。理由很實際:每一個新驗證案都重新談一次合約,成本由所有未來案子分攤;一份限定範圍的標準模板,是創新部門能送給自己最划算的基礎建設。
延伸閱讀
風險提醒
本文為一般教育資訊與實務觀點整理,不構成投資、法律、會計或稅務建議;也不承諾募資成功、投資報酬、退出可能性或企業採購結果。