前言
越多越多营业秘密侵害事件发生,政府相关部门多年来积极推动营业秘密的讲座,立法部门也在2019年底通过营业秘密法部分条文修正、2020年1月15日由总统公布,引进「侦查保密令」制度并强化对外国人营业秘密之保护,在在显示营业秘密逐渐成为知识产权的显学,其重要性已经逐渐被业者认识。
然而,了解营业秘密重要性是一回事,如何推动或落实相应的防范保护措施则完全是另一回事,究竟企业内部具体应该(或可以)怎么做?多数业者仍然缺乏认识而裹足不前。因此,以下先简单说明具体保密措施之标准后,尝试整理实务上常见的具体做法,俾利业主参考进而根据企业自身情形斟酌运用。
「合理保密措施」之标准
对营业秘密「采取合理之保密措施」不但可以维持企业竞争优势地位,更是营业秘密法的法律要件(营业秘密法第2条)。然而,何谓「合理」之保密措施?根据2020年08月19日裁判之「台湾台中地方法院108年智诉字第9号刑事判决」意旨:
一、兼具主、客观要件:
倘若不需要知道该信息的人,都可以任意接触到该信息,显见信息所有人亦不在乎该等信息被无关之人知悉,则法律不必以营业秘密保护之。因此,营业秘密之所有人应在主观上有保护之意愿,且客观上有保密的积极作为,使人了解其有将该信息当成秘密加以保守之意思。
二、采取之保密措施必须「有效」:
不要求须达「滴水不漏」,但营业秘密所有人需按其人力、财力,依其信息性质,依社会通常所可能之方法或技术控管营业秘密,始得认定已采取合理保密措施。
三、确认营业秘密不易被任意接触:
至少应作到「不需要接触的人就不要让他接触,该接触的人让他在该知道的限度内接触」,才算已尽到基本的合理保密措施。
「合理保密措施」之做法
参考过往主张营业秘密保护之案例,不论成功与否,均可窥见法院实务上对于认定「合理保密措施」可行或应行之做法。例如:
一、对营业秘密信息的识别、分类及控管:
1. 档案示为机密、设定机密等级,根据不同等级采取不同加密及保密做法。
2. 经过信息单位分级管理、保存。
3. 明定公司机密信息保护的管理程序及规范(机密信息保护政策,PIP政策),确保各单位及承办人员明白秘密的标示、期限及解除流程。
二、对环境、资安的管控:
1. 做好工作场域的管制,违禁品不得进入管制区、架设金属探测器。
2. 设定防火墙、服务器访问权限或限阅名单。
3. 限制智能型手机进入管制区、限制USB存取、门禁管制。
4. 侦测邮件内容、邮件密码保护、收发拦截或禁止对外网络传递。
5. 文件打印及扫描之同时,以监控软件记录文件文件名、另行备份内容存盘。
6. 内部管理规章之保护措施有确实落实执行。
三、对人员管控:
1. 将营业秘密分割或设置多把钥匙分由不同人员保管。
2. 在职员工定期教育训练进行倡导,有效传达、反复提醒并进行考核,使员工明白公司有将该信息当成秘密加以保守之意思,包括营业秘密分级及内容、保护政策及保护方式,故而在工作中落实执行。
3. 与员工、技术合作及往来厂商签立保密合约。
4. Need to Know原则:仅职务上所需之人得以接触且避免传递,设定权限及管制措施,使他人无法轻易得知秘密内容。
5. 因公而需将信息携出公司时,需报备直属主管同意并开立信息资产放行单。
6. 对新进员工善尽调查义务,报到面谈或新人训练时强调公司不侵害他人智慧财产之政策,并请员工签立保证书,避免营业秘密遭受污染尽监督管理之责[1]。
7. 在一定合理期间内,新进员工从事的业务与前一份工作的职责有所区隔。
8. 离职面谈、离职异常清查,要求离职员工删除在职期间持有之营业秘密,确认离职前是否有大量下载或清除犯罪之纪录。
结语
对于营业秘密之保护仰赖企业之自觉与自决,何谓已经采取合理之保密措施?需按企业自身之人力、财力而量身打造。在台湾彰化地方法院109年智诉字第1号刑事判决中指出:「系争加工单价系由会计人员负责保管,除厂长外,公司其他人员不得阅览系争加工单价数据,足征oo公司已依业务需要分类、分级而由不同之授权职务等级者知悉,并对有权限接触该等秘密信息之人设有管制措施,使他人无法轻易得知其内容,应认oo公司除主观上有保护之意思外,客观上亦已采取合理之保密措施。」……「为仅有12人之小型公司、年营业额亦仅有2千多万元等情,足见oo公司为人力、财力有限之小型企业,其虽未与可接触系争加工单价者签订保密协议、亦未订有信息分层管理规则,或对系争加工单价数据加密处理;然其既已将系争加工单价资料责令会计人员负责保管,并要求会计人员不得将该资料交予他人阅览,堪认oo公司已依其企业规模,以不易被任意接触之方式加以控管,而达到保密之目的,实难谓其未采取有效之保密措施。」有其个案特殊性,或许亦与公诉意旨仅追诉被告以不正方法取得营业秘密之行为,并未及于被告取得后进而使用、泄漏之行为有关,值得持续观察实务上对于中小企业较为宽松之标准是否仍有程度分级,或实务在个案采取宽松与否之影响因素。不论如何可以确定的是,只有空泛的、形式上的管理规章、契约规范及门禁管制恐怕往往不够的。
有趣且困难的是,企业自身情形随时间、科技及大环境改变时,营业秘密保护之做法亦需与时俱进、适时补强漏洞,依据「规划、执行、查核与行动(Plan-Do-Check-Act, PDCA)」的管理循环,持续不断强化机密信息保护的能力,并提升人员对机密信息保护的正确观念及警觉性,降低机密信息外泄的风险[2],甚至有谓:
「如何保护营业密秘也是一种营业秘密!」[3]
幸而,台湾在这过程中,有许多企业、从业人员及有关机关乐意分享并积极推动,更有倡议推动创新且跨界合作的营业秘密守护保险[4]。本文认为至少应掌握:营业秘密保护意识务必体现于外,企业定期检视制度并教育员工及往来厂商,必要时运用科技防范于未然。
[1] 倘员工不当将前雇主之营业秘密带入企业内部使用,若漠视其发生或有意促成员工携带前雇主之营业秘密带枪投靠,且用于企业之产品开发、营运等相关业务,企业则有未尽监督管理责任之虞,依营业秘密法第13条之4规定,有并科罚金之适用,将造成企业经营风险。见《营业秘密保护实务教战手册2.0》,2019年12月,页11。
[3] 庄完祯,从案例看营业秘密保护作法 (参产业专利知识平台IPKM,专栏文章2020年08月07日https://ipkm.tipo.gov.tw/article/columnist/1)。
[4] 谢福源,创信思维的营业秘密守护保险,知识产权月刊,第264期,2020年12月。
会员登入
