臺灣資安大會提供
許多國際大廠針對違反營業秘密保護的判例,少說是上千萬起跳的賠償金額,而在營業秘密的認定上,臺灣有許多企業將攸關公司營運、技術、專利等相關資料視為營業秘密,因此,在各種研討會場合中,大家也可以看到講者的簡報當中,直接標示相關內容屬於公司內部機密,此舉也讓大家對於營業秘密保護的面貌,有一些基本認知。
對許多企業而言,營業秘密保護是維持公司持續營運的重要關鍵,因此,許多企業都會採取保護措施,確保公司營業機密不會遭到外洩。臺灣安永諮詢服務公司執行副總經理曾韵表示,所有的營業秘密不僅須符合秘密性和經濟性,同時需要搭配保護的措施,根據許多判決案例所示,倘若公司針對這些營業秘密無法提供「合理保護措施」時,法院就會認為公司並不重視這些所謂的營業秘密,之後,一旦進行相關訴訟,法院往往會判決原告敗訴或不起訴處分。
曾韵進一步表示,這些合理的保護措施,除了要有明確的政策規範,更重要的是,要有相對應的控管行動,她也建議,企業可以從資料的各種使用狀態,搭配人員、流程和技術的控管措施,落實營業秘密合理的保護措施。
營業秘密必備的三要件
然而,並不是所有企業認定是「營業秘密」的資料,到法院訴訟時就一定可以成立的。曾韵表示,根據《營業秘密法》第二條的規定,營業秘密要成立,必須具備秘密性加上經濟性,並且必須有合理的保密措施,才可以被視為營業秘密,這三者缺一不可。
她解釋,很多人都會把所謂類似「祖傳秘方」的各種珍貴配方、技術、方法、技術、甚至是製程、設計等,視為營業秘密,但實際上,真正的營業秘密並非自己認為是秘密,就是法庭上認可的秘密,還必須搭配三項其他要件,包括:(1)這些「秘密」不是該領域行業大家都知道的資訊;(2)這些秘密必須具備實際或潛在的經濟價值;(3)更關鍵的是,擁有該「秘密」的所有者,有對此採取合理的保密措施。上述三要件但凡有一項不具足,就不是營業秘密。
有些企業老闆將公司內「所有資料」都視為營業秘密,一旦發生資料外洩,公司就要引用《營業秘密法》向員工求償,對此,曾韵坦言,等到法庭開始審理案件後,企業就會發現:企業要證明對於保護營業秘密是有效的措施,往往有其難度。
她以製作蔥油餅的食譜來舉例,材料有麵粉、油及蔥,這些資訊大家都知道,所以這不是秘密;但是,蔥油餅麵團獨門的水和粉的比例、揉捏力道、時間與溫度和入蔥的時機點等,各家都有祖傳秘方,這也是不同蔥油餅口味是否受到顧客喜愛的關鍵,而這些資訊就具有經濟價值。
她也說,為了保護這些食譜的秘密配方,店家對於聘僱的廚師、店員或者是材料採買等部門,都必須有一套嚴謹的管理規則,以保護店家重要的配方,這才算有合理的保密措施。
一般而言,公司企業的秘密可以從「商業」和「技術」兩個層面來看,不管是商業上的客戶名單、併購資訊、商品售價、成本資訊、交易底價、競爭策略、人事管理……等,或是技術面上的秘密,像是化學成分的公式、製造過程、原料處理或保存、機器型式或裝置等,都可以作為秘密性的評估標準。
但要如何判斷該秘密的經濟價值呢?曾韵表示,可以從企業於研發過程投入的成本、實際市場占有率或銷售額的增減、能降低錯誤以提升競爭力的資訊,以及未來能為企業創造的產值或收益,至少必須滿足上面條件的秘密,才能被視為具有經濟價值的營業秘密。
至於該如何認定合理的保密措施呢?曾韵認為,企業必須採取合理的保密措施,要讓外界認為企業確實將該資訊當成機密並加以保護,要採取的相對應手段包括:分級與標示、外界無法以正常方法探知,但她也提醒,中間有一些細節必須留意,像是:資料放公用資料夾,然後用權限控管,這樣做就可以嗎?是否有簽署保密合約就可以了呢?「這中間最重要的關鍵在於,該機密是否是任何人都可以取得的呢?合理的保護措施並不是要求滴水不漏的防護。」她說。
曾韵認為,要判斷這些秘密是否真的是營業秘密,也可以從下列六個面向去評估。首先,確認在公司外部能了解資訊的程度;其次,確認員工和公司內部其他人對資訊的了解程度;第三,公司為確保資訊機密性而採取保護措施的程度;第四,評估這些資訊對公司及其競爭對手的價值;第五,公司在開發資訊所花費的時間,精力和金錢;最後,確認他人可以取得或複製資訊的難易程度。
以法律實務而言,先確認營業秘密存在才檢討行為和損害
有些人很天真,認為把所有的文件都加上機密等級,並作權限控管,一旦需要上法院時,這些就可以視為營業秘密,但曾韵表示,就法律實務而言並非如此。她進一步解釋,一旦進到法院訴訟程序時,就必須從原告主張、被告抗辯進行營業秘密的訴訟攻防。
就原告主張來看,必須要證明真的有營業秘密的存在;證明原告是該營業秘密的的所有人,這包括僱傭關係、委任關係或是共同開發,都可以;原告也必須證明已經採取適當的保護措施,被告知道某些特定資訊是屬於營業秘密,可以是透過簽署條款、上課、電子郵件通知等等;最後原告也必須證明被告在特定的時間、地點,曾經接觸過該營業秘密,其中,原告也必須提供如何控管該營業秘密,以及能否追蹤被告接觸該營業秘密的接觸史。
至於被告的部份,可以抗辯該營業秘密是可以從公開資訊取得的資訊,例如工商名簿、網路資訊、廣告或是付費平臺;或者證明該營業秘密其實是可以輕易取得,例如技術已經公開、產品已經大量生產製造等,因為法院在意的是,資訊取得方法是否合法、合理。
如果被告是透過正當管到取得產品,而藉由「逆向工程」的方式所得知的營業秘密,屬於「輕易取得」的特殊類型,不算是營業秘密範圍;而該營業秘密雖然是處於秘密狀態,但因為無法突顯「最低程度的原創性」,例如,沒有經過特殊整理分類的客戶名單資料,因為缺乏新穎性,也不算是營業秘密;其他若是屬於過時的資訊且被認定缺乏經濟價值的,也不在營業秘密的範圍。
曾韵表示,原告和被告雙方最有爭議的論點經常是「合理保密措施」,像是原告要證明營業秘密的存在,也要證明被告曾經接觸該營業秘密;被告則可以抗辯該營業秘密是公眾周知的資訊,相關技術已經可以輕易取得等方式作為抗辯。她也說,兩造雙方都必須先舉證完畢後,才會去檢討被告是否有侵害原告營業秘密的「行為(Use)」以及是否該負擔相關的「損害(Damage)」
合理保護措施包括主觀意願和客觀技術
合理的保護措施必須具備兩大前提,曾韵表示,首先是主觀上有保護意願,再者是客觀上有保密的積極作為,目的都在於使人了解,公司有將該資訊視為秘密並加以保護的意義。
她笑說,有些公司就為了證明公司的資料都是營業秘密,所以便在所有的文件上面都列印「機密」字樣,當所有文件打開、全部都是機密時,這時候的機密就不是機密了。
事實上,積極的作為不只是保護資料,還必須讓可以接觸這些機密資料的人知道,公司對於這些機密資料,採取哪些保護措施,需要大家一起保護機密資料。
不過,她也指出,這些保密措施並非要求一定要做到滴水不漏的程度。重點在於,每一家公司的狀況不同,要依照其相關人力、財力、資訊性質,以及社會上可以使用的方法或技術,讓不被特定專業領域熟知的情報資訊能獲得有效控管,任意人無法接觸,達到保密的目的,而這便是符合「合理保密措施」的要求。
進一步分析「合理保密措施」應有的元素,她建議,可參考內政部警政署保安警察第二總隊的「合理的保密措施─內部自行檢核表」,當中有分類的五項措施,包括:確立保密標的、控管接觸權限、限制使用範圍、控管資訊設備,以及人員知悉保密義務。
在確立保密標的上,要先做到盤點營業秘密,才知道哪些是營業秘密,必須要
做好管理;控管接觸權限的部份,則是針對已經定義的營業秘密,要限制人員的權限,只有特定角色或職位才能存取。
另外,針對限制使用範圍,要做到「即便可以存取,也應該限定使用範圍」,例如僅能閱讀但不能下載等;在控管資訊設備方面,則要做到各種分級和標示,場所必須區隔與相關門禁管制,其他像是網路連線、帳號權限存取、加密、防火牆……,也都必須有所管控。
最後,關於人員知悉保密義務上,除了要在員工手冊有相關宣導,並提供相關教育訓練和簽署相關保密協定外,員工離職前,也需要針對營業秘密保護做額外簽定與提醒。
曾韵表示,很多公司內部對於「機密」的定義不一,ISO等各種文件可能會寫上「機密」,不同部門對於機密定義卻可能有不一樣的見解,所以,一定要先確認需要保密的標的後,再進行相關的權限控管或限制使用範圍,例如某些檔案只有研發人員或部分高階主管才能存取,某些檔案只能查詢但無法列印下載等等。
像是保密義務不只是規範員工,其他許多合作廠商也同樣有保密義務,所以,公司可以要求員工和廠商簽署保密協議,也同樣要做相關的定期宣導及教育訓練,提升員工和廠商的保密意識。
合理保護措施只有規範不夠,必須要有實際行動
關鍵是,是否只要有訂定相關的管理辦法,上法院訴訟就不用擔心了呢?曾韵以法院判決為例,某公司有三位高階主管欲離職、籌設新公司前,三人都擅自複製拷貝並重製該公司重要設計圖、產品資訊,以及相關廠商資訊等資料。
該公司強調,對於相關營業秘密已制定保密措施,員工也都簽署相關保密條款,且公司伺服器已針對員工職掌進行權限控管,內網電腦採實體隔離且並未連接外部網路,相關保密文件都由文件管制中心統一管理,並有門禁卡管控人員進出。
然而,法院針對被告三人,最後都是「無罪」判決!為何如此?最重要的關鍵在於,法院認定該公司並未對相關營業秘密採取合理的保密措施。
曾韵進一步解釋,法院判決無罪的關鍵在於,認定該公司並未採取合理的保密措施,不管是對於營業秘密的定義過於空泛,相關文件並沒有標示「機密」分類字樣,像是有爭議的文件,只有ISO文件蓋有該公司管制中心的戳章外,其他文件都沒有管制中心的戳章,也都沒有「機密」字樣,發包給廠商的圖面同樣沒有標示機密字樣,無法讓人明確知道相關文件是公司的機密文件。
此外,該公司對於機密檔案存取並沒有嚴格的權限控管,每一個員工的帳號密碼,都可以登入並存取其他員工電腦的文件資訊;公司並沒有宣導保密措施;各部門之間並未設門禁控管;紙本圖檔也沒有保密措施;而存放圖檔的電腦,並未設置帳號密碼,也沒有權限控管、繪圖完成後直接存檔在該臺電腦等,這些都是被告最終獲判無罪的關鍵。
曾韵指出,從法院的判決可以得知,營業秘密的保護,司法單位必須要能判斷是否為營業秘密,也必須證明公司對其有保護意圖。她強調,公司有規範不代表有相對應的措施,重點在於,公司能否證明對於營業秘密的保護有相關的保護行動。
一旦共用帳密,權限控管就失效
保護營業秘密不僅要做到合理的保護措施,對於權限的控管也是重要。曾韵引用另外一起法院判決來說明此事,在該案例中,被告利用其擔任原告繪圖設計工程師之便,趁著有閱覽伺服器最高權限的機會,未經原告同意,下載原告各項重要檔案,並以通訊軟體和電子郵件方式,傳送於他人謀利,成功複製原告商品並出售獲利。
但法院最後仍駁回原告的告訴,最關鍵的原因在於:法院認為企業並未採取合理的保密措施。曾韵指出,原告公司雖然設定了分類管控資訊,但沒有明確設定分層權限控管和資料分類管理的措施,針對電子資料傳遞和電子檔案列印紙本等作法,原告公司也都沒有做到積極保密的作為。
原告公司設有「公用資料夾」和「正式發行圖面」資料夾,重要檔案放在「正式發行圖面」資料夾中,公司員工雖然有50人,但全部都只共用2組帳號密碼。實際上,不管是設計、採購或會計部門都可以讀取「正式發行圖面」資料夾的資料,也沒有人員使用記錄的具體追蹤措施。
而原告公司在紙本檔案的控管上,也有疏漏之處,像是組裝人員要用圖的時候,就是直接出圖列印;列印的資料不用後,則是直接丟棄垃圾桶,或背面空白處會被其他人用來隨手記錄;相關列印資料也沒有標示「機密」或是「限閱」等警語。
曾韵表示,雖然原告公司看似有權限控管的規定,在實際作為上,法院認定原告公司明面上雖有設定權限,但允許共用帳密的作法,就讓權限控管失效。
另外,曾韵坦言,合理的保密措施,是指營業秘密的所有人在主觀上有保護的意願,客觀上有保密的積極行為,也就是說,保密的作為不只是簽署相關的保密協議而已,要確認是否為營業秘密,即便沒有標示「機密」或「密」等字樣,但有其他配套措施能證明該營業秘密是重要的。
參考十大營業秘密保護機制檢核表
曾韵表示,法院對於營業秘密訴訟的判定,很關鍵的一點在於,原告公司對其重要的營業秘密,是否提供合理的保護措施。她認為,可以參考經濟部智財局「中小企業營業秘密保護機制檢核表」的項目,作為企業檢視針對營業秘密的相關保護,判定是否有落實「合理」的保護措施的參考依據。
檢核表的項目,分成十大項。第一,建立營業秘密保護政策:要有專責人員、編列經費及各項程序規範;第二,新進員工管理:簽署保密協定、員工手冊、競業禁止、新進員工查核;第三,紙本檔案管理:標註機密等級、分級保存、造冊管理、銷毀SOP;第四,電子檔案管理:制定檔案管理機制、使用監控機制、機密等級、存取管理;第五,稽核與處份:落實稽核預警SOP、改善SOP、違規處理SOP。
第六,員工在職期間管理:輪調陳報與聲明義務、調動管理(宣導、權限……);第七,員工離職處理:偵測異常進行調查、刪除帳號、追蹤員工、必要證據保存;第八,營業秘密教育訓練:定期訓練及考試、不定期宣導(案例、信件或會議提醒);第九,委外廠商與人力管理:簽署保密協定、相關規範的必要揭露、建立終止關係措施;第十,營業秘密保護外部互動:參與研究討論、瞭解可能的聯絡窗口(如司法警察等)。
曾韵認為,思考營業秘密合理保護措施的重點在於:如何展現保密的積極作為,各種文件規範是基本功,相關政策、管理程序亦然;至於控管有效性,主要是對於技術落實控管的作法,不要只做「防君子不防小人」的表面控管而已,可援引外部專家協助以瞭解控管的適當性。
她舉例,公司要控管員工不能使用私人的USB隨身碟,如果只有政策規範,但系統無法警示有員工使用私人隨身碟,這就是無效政策。
她表示,要針對異常監控,得做到提早發現並進行控管;對於紀錄的保存,相關保存期限要依照公司能力做適當規畫,主要是要避免進行調查時,相關記錄都已銷毀。
曾韵強調,公司如果沒有良好的數位建設,一旦需要進行相關資安事件調查時,最大的痛點就是「舉證」,很多情況下,因為許多系統登錄檔(Log)早就被刪除了,缺乏證據。
至於相關登錄檔要保留多久呢?曾韵認為,這其實沒有標準答案,許多駭侵事件從入侵到被發現,甚至長達三、五年,很多登錄檔根本不會保存這麼久,但她認為,相關檔案至少要保留一年以上。
怎麼樣才算是盡力做到合理的營業秘密保護措施呢?曾韵指出,不能不花錢,但也不用花過頭,最基本的合理程度:就是要與同業相當,將保護措施的流程都予以保留相關證據,萬一要上法院提供證據時,就有相關證據可用。
企業可以參考經濟部智慧財產局所提供「中小企業營業秘密保護機制檢核表」,作為檢視營業秘密保護措施是否合理的參考依據。
從五大面向導入營業秘密保護機制
營業秘密是以資料為核心的概念,資料使用情境可分成:使用中(In Use)、靜止中(At Rest)、移動中(In Motion),以及歸檔中(Archived)等四種使用狀態,再加上人員(People)、流程(Process)、技術(Technology)的控制措施配套,就能從五個面向導入營業秘密的保護機制。
首先,要了解(Understand),掌握組織內擁有哪些資料及其價值,並且要能從資料的生命周期,知道哪些部分可構成智慧財產,資料都會儲存在哪裡,以及如何傳輸。
其次,要分類(Classify),在智財產生時就對其分類並清楚標示,對其存放的資訊系統也要進行標示;第三,要保護(Protect),藉由設計不同分類與分期的管控措施,來保護智慧財產。
第四,要監控(Monitor),需能涵蓋未適當分類的智財,及其相關不當行為;最後,就是要做到持續的改善相關措施(Improve and remediate),最終目的就是讓企業可以保持競爭優勢。
從人員、流程和技術做控管
曾韵表示,要做好營業秘密合理的保護措施,實務上,必須要能夠從人員、流程和技術三個層面,落實控管措施。
她指出,人員控管的部份,要做到定義角色權責以及宣導和訓練;流程控管的部份,除了要制定政策與規範,進行資料識別和造清冊,並進行資料保護風險評估以及資料分級,而在制定資料保護架構之後,也必須規畫一旦資料遺失時的應變措施。
技術控管部分則是相對複雜。她說,針對資料使用狀態不同,會有不一樣的配套措施,目前不論是針對結構化或是非結構化資料,都已經有相對應的保護措施。
當資料正在移動時,針對資料的保護,要注意邊界安全、網路監控、網站內容過濾、第三方資料交換、訊息管理和遠端存取得議題;當資料正在使用時,要留心使用者行為監控、工作站限制、應用程式控制、標示(Labeling / Tagging)、外部媒體控管和列印管理。
最後,當資料呈現靜止狀態時,相關的合理資料保護措施就要做到加密(Encryption)、混淆(Obfuscation)或記號化(Tokenization)、移動設備的保護、網路和伺服器的程式碼控管、實體的媒體控管,以及做到存檔(Archive)、處置(Disposal)和銷毀(Destruction)。但她也說,不管資料處於哪一種使用狀態,目前也可以使用Cloud DLP(資料遺失防護)作為保護措施。
曾韵表示,針對營業秘密保護需要提供合理的保護措施,從相關的案例判決中,至少可以釐清如何做到科學的、合理的資料保護。
企業可以從人員、流程和技術等三個控管面向,去落實合理的營業秘密保護措施。
熱門新聞
2024-11-22
2024-11-25
2024-11-24
2024-11-25
2024-11-25
2024-11-22