機密資料保護對高科技產業來說一直是首要任務,尤其在2008年,經濟不景氣,科技園區興起跳槽風,更引發企業對離職員工帶走資料問題的重視。因此高科技廠商對加密、文件管理系統、防制資料外洩等相關解決方案的需求很早就開始。但儘管如此,這些知名大廠卻還是接連傳出資料外洩的事件。於是除了工具產品外,他們開始思考從機密資料管理機制的建立,更全面、完善的做資料保護。
除了高科技業之外,近期也有傳統產業、中小企業開始重視機密資料保護。勤業眾信企業風險管理協理曾韵表示,傳統產業多半資安保護做得少,幾乎要從頭來。而高科技業許多是已經出事了,才從事後的鑑識、證據蒐集等方面開始做,慢慢往前把事前該有的營業祕密保護機制建立起來。
談到機密資料管理,許多企業會導入文件管理系統,從文件管理市場角度來看,以柔資訊許瑞愷博士指出,雖然文件管理系統問世已超過10年,過去大都是高科技廠商有需求,但從去年開始也陸續有零售業、食品業導入。不論何種產業,對企業來說,當業務擴張、需要將標準作業程序制訂下來時就會有文管系統的需求。這也反映了所謂營業秘密,不只是研發、製程等資料,舉凡客戶名單、RD人員名單、行銷計畫、財務併購資料、甚至廠區設備器材配置圖都可以是營業秘密,應受到保護。
營業秘密法修正緣起
營業秘密法舊法自1996年就已頒布,歷經17年,終於在今(2013)年完成修訂,2月1日已正式施行。此次修法增訂刑事責任,即第13-1條~第13-4條,補足犯罪行為態樣,也把刑度提高,同時對洩漏到域外者還加重其刑。刑期最高可到10年,罰金最高到新台幣5千萬元,如果所得利益超過5千萬元,罰金更可能高達5億以上。
此次修法主管機關經濟部智慧財產局法務室主任林清結表示,此次營業秘密法的修法動機可追溯到2010年聯發科與晨星之間的訴訟判決結果。當年聯發科楊姓員工在離職前帶走大量機密資料,而這些資料甚至造成聯發科喪失電視晶片龍頭地位,法院只輕判被告9個月的刑期,准予易科罰金27萬元。當時承審法官遭民意諷刺為恐龍法官後,投書媒體表示「找不到適合的法條來嚴逞」,僅能依刑法第317條「洩漏工商秘密罪」來判刑(此條僅處罰無故洩漏的行為,並不處罰不法取得或使用)。由於該名跳槽晨星的離職員工在離職前原本就對該檔案有合法的存取權限,因此不適用檢察官另外求處的刑法第359條「無故取得刪除變更電磁紀錄罪」,此外該名員工離職後已不再擁有為聯發科處理事務的權限與義務,因此也不適用第342條背信罪。有鑑於上述判決主要因為條文的缺漏而導致此結果,加上包括台積電主管遭三星挖角、友達離職員工外洩資料給中國面板廠商等事件屢見不鮮,且都對產業競爭力造成影響,因此經濟部決定推動修法,而朝野立委也都對修正案有共識,因此營業秘密法修正案得以快速通過實施。
優理商務法律事務所合夥律師劉倩妏指出,在修法前過去此類侵害營業秘密罪案件若是刑法罪行都很輕,只有背信罪較重,可處5年以下有期徒刑,而民事損害賠償又不容易舉證,因此法律能給企業的保障有限。
過去營業秘密案件敗訴原因
根據政大智財所的統計研究,過去營業秘密法的判決中,原告勝訴的比率只有26%。曾韵進一步分析過去此類案件的敗訴原因,可歸納以下兩點:
1.這不是營業秘密
在營業秘密法相關的訴訟法庭上,常見被告也就是離職員工做此抗辯:「這不是營業秘密」、「公司沒有告知」等。因此,對企業而言最優先的是須先確認該標的是營業秘密,必須符合三要件:秘密性(不是所有人皆知)、具有經濟價值、已採取合理保護措施(營業秘密法§2)。
曾韵表示,在企業中不同部門的員工會對甚麼是營業秘密有不同認知。一般建議在文件上要清楚標示是否是機密。實務上,可同時採取建立政策搭配訓練宣導來進行,例如「只要有(配方)或(製程)的文件就是機密」。透過制訂簡單清楚的政策可讓員工容易記憶、識別。此外,通常機密文件等級建議分為三級,不要太多級,會讓員工混淆。
談到何為營業秘密,劉倩妏指出,企業的研發成果可選擇是要申請專利或是列為營業秘密,如果是專利,到時候遇有爭議只要比對專利範圍即可,但營業秘密範圍較難清楚定義。然而即使是專利,如果遇到訴訟,也可能被撤銷,例如新型專利。而營業秘密的另一問題是企業即使有與員工簽訂保密協定NDA,但實際上卻沒在文件上有做任何機密等級的標示,也會被認為不構成是營業秘密。因此,舉凡客戶/報價資料、研發資料都可以是營業秘密。但前者必須透過文件分級、流程控管來證明其秘密性,而後者則可以透過研發日誌或軌跡資料,證明該標的確實為該公司內的研發成果,並且要能證明與員工「職務」有關,並非員工在職務外的個人研究心得。
2.競業禁止無效
曾韵表示,企業即使跟員工簽訂競業禁止條款,但如果限定不夠清楚,只含糊禁止不能到「相關產業」任職,通常會被認為影響員工工作權,而使該簽定無效。建議可明確列出不能到哪幾家公司任職,限定清楚,比較可能被法官認定。此外,人資部門在進行離職程序時,也應對員工清楚說明。
劉倩妏舉出法庭實務上對競業禁止規範採以下五項標準,尤其是前三項更為重要:
1) 公司確實有值得受保護的營業利益。
2) 員工在公司具特定職務或地位。不是每位員工新進公司都要簽,一般員工不需簽。
3) 競業禁止的限制對象(例如跟公司有相競爭的同業)、限制期間(一般為2年)、限制區域、與職業活動不得超過合理範圍。
4) 有填補員工損害的代償措施,如發放紅利。
5) 有顯著背信違反誠信原則。
營業秘密保護如何做
營業秘密法修正案儘管對企業保障提高,但林清結強調最困難的是舉證,同時對企業來說也是最重要的一件事。如前面所提,必須先符合營業秘密定義三要件,確認該標的為營業秘密,以及平常就要建立營業祕密保護機制。
人員管理
營業祕密保護機制的建立可從政策制訂、教育訓練與控制等三方面著手。在控制的部分,又可分為對人員、以及對物(營業秘密)的管理。首先談人員管理的部分,公司可以與員工簽訂以下條款文件,包括保密協定、競業禁止、聲明與保證沒有使用前公司的智財或機密資料等。林清結指出,保密協定可依照不同時期分別與員工簽訂,如下表。除了簽訂相關文件外,也應進行員工教育訓練並留下書面記錄。
保密協定等條款簽訂時機
i. 到職時:可就一般職務概括性的規範簽訂保密協定,同時還可簽訂聲明與保證沒有使用前公司的智財或機密資料。 ii. 在職時:當負責特殊機密專案前,就特定專案內容、所牽涉技術、文件編號等再簽一次。 iii. 離職時:保密協定再更具體化的簽一次,另外也可針對特定職務員工簽訂簽訂競業禁止。
|
對物的管理方面,前面已強調要先界定清楚營業秘密的範圍。曾?表示,界定清楚後,就可分析此種營業秘密資料是如何產生,並從資料流的流向開始做保護。在許多高科技廠,有時研發部門都各只拿到一部份的資料,而最終握有最重要機密資料的其實是在PM手上。或者有時是外部合作廠商才是先拿到完整產品機密資料的人。這時就可在高風險的地方多加管控。
至於對機密資料的管理,可分為電子檔案與實體檔案或設備layout等。電子檔案需有分級、標示機密等級、權限控管、透過檔案管理系統、資安防護等;實體文件則需制訂管理辦法,且機密文件的存取需經過流程簽核,有權限者才可調閱。
文管系統協助控管
上述關於文件的分級標示、權限控管等,也可透過文件管理系統來控管。許瑞愷表示,企業很多部門都會產出文件,如業務、研發部,而文件管理系統則可集中管理。通常企業的文件管理辦法制訂後,會交由文管中心透過文管系統負責落實,包括決定甚麼類型文件要跑甚麼流程、跟催簽核、確保文件內容正確性及產出效率、以及稽核等。
而通常最容易發生資料外洩的源頭正是在端點,也就是在各部門使用者文件製作過程中。因此許瑞愷強調,在端點製作中的機密文件需要透過加密來保護,他同時也建議這部分要先做。而製作完成的最終版文件送到後端檔案伺服器或文管系統集中管理時,才制訂出存取權限來控管(如下圖)。
在研發部門流通的文件可編修並加密,而後其他部門透過文管系統的存取權限來存取。(圖片來源:以柔提供,2013/10)
導入文管系統後,在使用者端點電腦會產生工作目錄,工作目錄底下可依等級分成三個資料夾:機密、密、普通,依照公司的文件管理政策,若與研發有關的文件全部是機密,就全部要放入機密的資料夾,而被放入機密資料夾的文件全部會被加密。若沒有放入就是違反公司政策。
對於計畫導入文管系統者,許瑞愷提出建議:1)若預算有限可先局部導入,以呈現導入效益。例如研發或財務特定部門先導入,或者可按照特定重要專案來導入。2)產品彈性要夠,許多公司的文件管理一開始只有基本辦法,後來才會慢慢制訂完整,產品夠彈性才能滿足將來需求。例如,BOM表在研發部門是要被加密的機密文件,但同份文件業務部需要有可開啟閱讀的權限,這時能搭配唯讀的代理程式會比較符合需求。3)產品要容易管理。許多企業沒有單獨的文管中心,而是由資訊部門負責管理,這時系統的設計就要容易管理。
企業可選擇導入文管系統或各種加密工具,但與個資法相同,這些保護措施的導入只要符合比例原則即可,劉倩妏說。企業可從最關鍵的營業秘密資料開始導入,至少基本需做到營業秘密有清楚標示機密等級,以及採用符合一般防護水準的技術,例如密碼控制或一般加密等。
如何有效舉證
上述談完對人員、對物的管理措施後,若上了法庭該如何提出有效證據?劉倩妏指出,一般可分為人證或書證,目前錄音檔(需有當事人在場)、Email或手機上的簡訊都可被法庭認可做為數位證據。企業為求謹慎也可事先跟員工簽訂資訊設備使用辦法,可參考以下文字「為了管理需要,必須監控網路資訊設備、Email的使用內容等」。通常舉證,會依照企業訴訟目的不同,而決定要蒐證或做鑑識到甚麼程度,有些企業提出告訴僅只為了警告員工,就不會額外投入資源去挖掘數位證據。
曾韵也表示,一般而言有採用資安管理保護措施,所拿出的證據在法庭大都可以被採信。除非是程序問題或蒐集到不夠完整的log證據。簡單來說,舉證時,在界定出營業秘密的標的內容後,所有相關人、事、時、地、物的資訊log,不管是從應用程式、網頁、資料庫或作業系統所產生的都要留下。
總結
新版營業秘密法已正式上路,林清結呼籲企業應特別重視平時的舉證,然而此法未來在執行面上也會是一大挑戰,因此未來會透過採用汙點證人制度,同時通訊監察法的修訂也正在研議中,以便讓證據取得較為容易。
至於外界對於此次修法有部分疑慮,林清結也提出他的看法。首先,在犯罪行為態樣上是否有過寬認定,導致容易觸法?例如第13-1條第三款:「持有營業秘密,經營業秘密所有人告知應刪除、銷毀後,不為刪除、銷毀或隱匿該營業秘密者。」例如員工將工作上資料帶回家加班,並存在家中電腦,這是否會構成違反上述規定,並輕率訴訟?林清結認為,此一條款主觀要件是必須有犯罪意圖,如果只是忘記刪除,沒有犯罪意圖,不會構成犯罪。其次,營業秘密法將來是否演變成為商業競爭手段,例如A公司對競爭對手B公司聲請提出「假處分」來擾亂B的營運?林清結認為實務上B也可提供反擔保金進行反扣押,並非無計可施,如此也可讓法院盡速進入訴訟程序。
本文從過去營業秘密法敗訴原因分析到營業秘密保護如何做,進行概括介紹。下篇文章「建置營業秘密管理制度的五大重點」,將從實務面探討企業進行營業秘密保護的困難並分享推動成功的關鍵因素。
近期營業秘密法案件進度
- 10/28聯合報「先進光跌停 信心喊話:不影響營運」
大立光對先進光兩項專利提出假處分獲准,並對先進光負責人、前總經理及大立光離職員工提出15億元民事訴訟損害賠償。先進光股價受挫,創近半年新低。
- 10/25 中國時報「HTC內賊案 簡志霖延押2月」
台北地檢署8月受理案件,8/31將簡志霖等三人以涉嫌違反證交法、營業秘密法有串證逃亡之虞向法院聲請羈押,日前再度申請延押2月獲准。
- 10/25Money DJ理財網「被控違反營業秘密法,齊瀚:已請律師團研議」
LED封裝廠研晶光電對齊瀚光電及負責人提出違反營業秘密法刑事自訴訴訟,台北地院將於11月開庭調查。
|