【臺灣資安大會直擊】企業CIO也必懂的營業祕密法衝擊

去年國內一家知名的半導體公司控告其人資主管，私下將員工及應徵者資料以電子郵件送到自己的私人信箱，再和丈夫聯手透過獵人頭公司挖角這家半導體公司的人才，遭該公司以違反營業祕密法提告，但法院以未侵害營業祕密判決無罪。

到底什麼樣的企業資訊屬於營業祕密，而談到營業祕密又容易和資訊安全聯想在一起，兩者間的關係如何？曾經擔任臺灣臺北地方法院檢察署智慧財產權及電腦犯罪專組主任檢察官，現為中華民國電腦稽核協會理事長的張紹斌，在今年的臺灣資安大會中解釋了什麼是營業祕密，為什麼企業認為的重要資訊，卻不被法院所認定。

「營業祕密和資訊安全有直接或間接的關係」，張紹斌表示，營業祕密目的是在確保所有人穩佔市場競爭優勢，肯德基的炸雞調味香料，可口可樂的配方。除了技術資訊外，未上市的手機、新款籃球鞋、服務模式也能被視為營業祕密，但仍有判斷上的空間，不一定是營業祕密。

營業祕密的法制起源

為什麼有些資訊屬於營業祕密，而有些看似重要的資訊卻不是？張紹斌從營業祕密的立法源談起。

營業祕密的法制起源，大約從1994年的WTO規範開始，在與貿易有關的智慧財產權協定中TRIPS首先將營業祕密納入國際公約中。美國則以統一營業祕密法，統合各州相關法律。雖然營業祕密被視為有經濟價值，保密性的資訊，但在不同的法系，對營業祕密的看法其實是有差異的。

他以英美法系為例，將營業祕密視為私權的一種，是一種智慧財產，擁有者可以拋棄、處份或授權，是和商標權、著作權、專利權近似的一種權利。然而，在日本、德國、臺灣在內的大陸法制國家，則是將營業祕密放在反不正當競爭法中，即反托拉斯法，營業祕密是花費時間及金錢辛苦得來的成果，若是以不正當手段，例如竊取、欺騙等方式取得，就是不正當競爭。英美法系和大陸法系對營業祕密保護的立法體制上的差異。

「智慧財產權法是獨佔法，反不正當競爭是反獨佔法，這是兩種相抵觸的思維邏輯」，張紹斌說。他認為以美國為體制的法律會慢慢將對營業祕密的保護，逐漸從公平競爭轉為智慧財產權的法制觀點。

既然將營業祕密視為智慧財產權，屬私權的一種，那麼又和著作權、商標權、專利權又有什麼差異? 從法律來看，著作權必須具有原創性，重表達的形式，不需登記，採創作保護主義，商標權必須可證明其商品來源、表彰其價值、具有識別性，採註冊保護主義，同樣以註冊保護其權利的專利權，是以公開換取法律保護獨佔，缺點是專利保護期一過即失效，營業祕密則是不公開，但具有實質或潛在的經濟價值，所有人以合理的保密措施，不需登記。

專利和營業祕密都在保護企業的智慧財產權，但張紹斌指出，專利權是以公開換取受法律一定時間的保護，如果別人在不知道專利下，開發出相同的產品或技術，有侵犯專利的風險，其缺點是專利保護時間一過即不再受保護；至於營業祕密則是不公開，乍聽之下，營業祕密似乎比較有利於所有者，但因為不公開，他人只要不是以非正當方法獲得，例如自行研發出相同技術或商品，不會有違反營業祕密法的疑慮。

「企業營業祕密提出告訴也有風險，在法庭的攻防裡，主張具有營業祕密特質的資訊會受到質疑，在訴訟的過程中勢必揭露一些資訊，還可能導致機密資訊的外洩。」張紹斌表示。

臺灣營業祕密法為獨立立法，當初是政府為了加入WTO而立。依營業祕密法的定義，營業祕密包括了方法、技術、製程、配方、程式、設計或是其他可用於生產、銷售或經營的資訊，還必須具備三項要件：不是涉及該類資訊的人所知，因其保密而存在經濟價值，所有人已採取合理保密措施。

資訊安全大過營業祕密

營業祕密因保密而具有經濟上的價值，和資訊安全息息相關，但張紹斌指出，資訊安全涵蓋範圍卻遠大於營業祕密，他以受公開帳號及密碼保護的企業內部資訊為例，即便以帳號及密碼保護，因為員工人人都可以看到，不一定能被視為營業祕密。

張紹斌解釋，資訊保護的目的在維護資訊的機密、完整、可用，資訊保密的目的在防止外洩，造成組織的損失，而應該保護的資訊未必需要保密，例如公司的財務計畫、安全維護計畫等等，屬於組織的資訊，雖是組織的資產，卻未必具有財產交換的價值，像是員工的健康檢查紀錄。屬於財產資料又需要保密的，最重要的就是營業祕密。

他建議，當企業發生資訊外洩，先別急著尋求法律救濟，應該先區分洩露資訊的性質，屬財產權的資訊亦或是人格權的資訊(如個資)，在排除職場倫理、業界慣例、不成文感受、政治偏好之下，再理解應受營業祕密法或是個人資料保護法保護。