搜尋

冠中智訊

冠中智訊第32期-營業秘密保護──「合理保密措施」可以這樣做【智訊彙編小組】

2021/8/23

前言

    越多越多營業秘密侵害事件發生,政府相關部門多年來積極推動營業秘密的講座,立法部門也在2019年底通過營業秘密法部分條文修正、2020115日由總統公布,引進「偵查保密令」制度並強化對外國人營業秘密之保護,在在顯示營業秘密逐漸成為智慧財產權的顯學,其重要性已經逐漸被業者認識。

    然而,了解營業秘密重要性是一回事,如何推動或落實相應的防範保護措施則完全是另一回事,究竟企業內部具體應該(或可以)怎麼做?多數業者仍然缺乏認識而裹足不前。因此,以下先簡單說明具體保密措施之標準後,嘗試整理實務上常見的具體做法,俾利業主參考進而根據企業自身情形斟酌運用。

 

「合理保密措施」之標準

    對營業秘密「採取合理之保密措施」不但可以維持企業競爭優勢地位,更是營業秘密法的法律要件(營業秘密法第2)。然而,何謂「合理」之保密措施?根據20200819日裁判之「臺灣臺中地方法院108年智訴字第9號刑事判決」意旨:

一、兼具主、客觀要件:
    倘若不需要知道該資訊的人,都可以任意接觸到該資訊,顯見資訊所有人亦不在乎該等資訊被無關之人知悉,則法律不必以營業秘密保護之。因此,營業秘密之所有人應在主觀上有保護之意願,且客觀上有保密的積極作為,使人了解其有將該資訊當成秘密加以保守之意思。

二、採取之保密措施必須「有效」:
    不要求須達「滴水不漏」,但營業秘密所有人需按其人力、財力,依其資訊性質,依社會通常所可能之方法或技術控管營業秘密,始得認定已採取合理保密措施。

三、確認營業秘密不易被任意接觸:
    至少應作到「不需要接觸的人就不要讓他接觸,該接觸的人讓他在該知道的限度內接觸」,才算已盡到基本的合理保密措施。

 

「合理保密措施」之做法

    參考過往主張營業秘密保護之案例,不論成功與否,均可窺見法院實務上對於認定「合理保密措施」可行或應行之做法。例如:

一、對營業秘密資訊的識別、分類及控管:

1. 檔案示為機密、設定機密等級,根據不同等級採取不同加密及保密做法。

2. 經過資訊單位分級管理、保存。

3. 明定公司機密資訊保護的管理程序及規範(機密資訊保護政策,PIP政策),確保各單位及承辦人員明白秘密的標示、期限及解除流程。

二、對環境、資安的管控:

1. 做好工作場域的管制,違禁品不得進入管制區、架設金屬探測器。

2. 設定防火牆、伺服器存取權限或限閱名單。

3. 限制智慧型手機進入管制區、限制USB存取、門禁管制。

4. 偵測郵件內容、郵件密碼保護、收發攔截或禁止對外網路傳遞。

5. 文件列印及掃描之同時,以監控軟體記錄文件檔名、另行備份內容存檔。

6. 內部管理規章之保護措施有確實落實執行。

三、對人員管控:

1. 將營業秘密分割或設置多把鑰匙分由不同人員保管。

2. 在職員工定期教育訓練進行宣導,有效傳達、反覆提醒並進行考核,使員工明白公司有將該資訊當成秘密加以保守之意思,包括營業秘密分級及內容、保護政策及保護方式,故而在工作中落實執行。

3. 與員工、技術合作及往來廠商簽立保密合約。

4. Need to Know原則:僅職務上所需之人得以接觸且避免傳遞,設定使用權限及管制措施,使他人無法輕易得知秘密內容。

5. 因公而需將資訊攜出公司時,需報備直屬主管同意並開立資訊資產放行單。

6. 對新進員工善盡調查義務,報到面談或新人訓練時強調公司不侵害他人智慧財產之政策,並請員工簽立切結書,避免營業秘密遭受污染盡監督管理之責[1]

7. 在一定合理期間內,新進員工從事的業務與前一份工作的職責有所區隔。

8. 離職面談、離職異常清查,要求離職員工刪除在職期間持有之營業秘密,確認離職前是否有大量下載或清除犯罪之紀錄。

 

結語

    對於營業秘密之保護仰賴企業之自覺與自決,何謂已經採取合理之保密措施?需按企業自身之人力、財力而量身打造。在臺灣彰化地方法院109年智訴字第1號刑事判決中指出:「系爭加工單價係由會計人員負責保管,除廠長外,公司其他人員不得閱覽系爭加工單價資料,足徵oo公司已依業務需要分類、分級而由不同之授權職務等級者知悉,並對有權限接觸該等秘密資訊之人設有管制措施,使他人無法輕易得知其內容,應認oo公司除主觀上有保護之意思外,客觀上亦已採取合理之保密措施。」……「為僅有12人之小型公司、年營業額亦僅有2千多萬元等情,足見oo公司為人力、財力有限之小型企業,其雖未與可接觸系爭加工單價者簽訂保密協議、亦未訂有資訊分層管理規則,或對系爭加工單價資料加密處理;然其既已將系爭加工單價資料責令會計人員負責保管,並要求會計人員不得將該資料交予他人閱覽,堪認oo公司已依其企業規模,以不易被任意接觸之方式加以控管,而達到保密之目的,實難謂其未採取有效之保密措施。」有其個案特殊性,或許亦與公訴意旨僅追訴被告以不正方法取得營業秘密之行為,並未及於被告取得後進而使用、洩漏之行為有關,值得持續觀察實務上對於中小企業較為寬鬆之標準是否仍有程度分級,或實務在個案採取寬鬆與否之影響因素。不論如何可以確定的是,只有空泛的、形式上的管理規章、契約規範及門禁管制恐怕往往不夠的。

    有趣且困難的是,企業自身情形隨時間、科技及大環境改變時,營業秘密保護之做法亦需與時俱進、適時補強漏洞,依據「規劃、執行、查核與行動(Plan-Do-Check-Act, PDCA)」的管理循環,持續不斷強化機密資訊保護的能力,並提升人員對機密資訊保護的正確觀念及警覺性,降低機密資訊外洩的風險[2],甚至有謂:

「如何保護營業密秘也是一種營業秘密!」[3]

    幸而,臺灣在這過程中,有許多企業、從業人員及有關機關樂意分享並積極推動,更有倡議推動創新且跨界合作的營業秘密守護保險[4]。本文認為至少應掌握:營業秘密保護意識務必體現於外,企業定期檢視制度並教育員工及往來廠商,必要時運用科技防範於未然。

 

[1] 倘員工不當將前雇主之營業秘密帶入企業內部使用,若漠視其發生或有意促成員工攜帶前雇主之營業秘密帶槍投靠,且用於企業之產品開發、營運等相關業務,企業則有未盡監督管理責任之虞,依營業秘密法第13條之4規定,有併科罰金之適用,將造成企業經營風險。見《營業秘密保護實務教戰手冊2.0》,201912月,頁11

[3] 莊完禎,從案例看營業秘密保護作法 (參產業專利知識平台IPKM,專欄文章20200807https://ipkm.tipo.gov.tw/article/columnist/1)

[4] 謝福源,創信思維的營業秘密守護保險,智慧財產權月刊,第264期,202012月。

TOP