觀點

建置營業秘密管理制度的五大重點

2013 / 10 / 31
萬幼筠,林彥良
建置營業秘密管理制度的五大重點

面對日益劇烈的商業競爭與全球化的挑戰,營業秘密保護是企業永續發展與維持核心競爭力的重要基石,唯有捍衛營業秘密資訊方能達成企業永續經營的目標,然而近年來國內陸續發生營業秘密侵害事件,企業捍衛營運核心與經營命脈的決心屢遭挑戰,如何妥善保護企業的營業秘密資訊已是目前國內企業的重要課題。

過往營業秘密外洩多半為離職員工洩漏前公司營業秘密資訊或競爭對手透過商業間諜竊取企業營業資訊,然而近年來除前述情形外,還有來自外部單位參訪活動過程的車間或機台配置資訊外洩、合作廠商管理不當所造成的生產數據外洩,或供應鍊管理的外部稽核造成工廠機台參數或調配比例資訊外洩等情形,以國內企業為例,多數企業為OEM/ODM業者,外洩資訊如產線規劃、機台調配參數、製程參數、原料調配比例、良率報表或測試報告等資料,可能影響產品原有的產能與技術優勢,迫使企業需採取較低的產品報價與其他對手競爭,進而削減了原有的獲利能力。

營業秘密保護的發展與困境
綜觀國內企業營業秘密保護現況,多數企業在推動或建構營業秘密管理制度時,往往會遭遇到許多阻礙,部份企業甚至因此而無法持續推動或運作管理,因此要能成功建置營業秘密管理制度,第一步就是要瞭解企業在營業秘密保護這條路上會遭遇哪些困難或問題:
一、 資訊龐大且樣態眾多,除傳統的紙本資料外,隨著企業資訊化程度提昇,數位型態的電子檔案眾多,若僅由員工羅列日常工作可能取用或產生的紙本資料或電子檔案,往往是掛一漏萬又難以識別企業的營業秘密資訊,同時也無法確認所聲明的項目是否足以稱為營業秘密資訊。

二、 業務流程複雜且資訊交換頻繁,加上業務發展迅速及組織變動頻繁,難以確實掌握資訊流動與管理權責,更無法逐一確認營業秘密資訊的管理現況是否合適,在不清楚資訊流動情形與管理現況的情形下,造成保護措施無法對症下藥,管理制度漏洞百出。

三、 企業內部對於營業秘密保護需求不一致,同時缺乏統籌管理的組織,造成各部門無法橫向溝通風險問題與管理措施,倉促實施管理制度的結果,使一套管理制度在不同部門有不同的解讀與操作方式,更甚者多頭馬車,徒增管理困擾與造成公司資源浪費。

四、 將營業秘密保護視為法律訴訟與資訊安全管理議題,部份企業的營業秘密管理僅由法務部門或資訊部門負責,而實際運用營業秘密資訊或對於營業秘密資訊具有管理權責的單位確認從未參與管理制度的設計與規劃,往往是管理制度實施後才驚覺作業處處制肘而索性消極配合或積極抵抗。

五、 許多企業會透過採購DLP、上網行為管理工具、文件加密工具、郵件稽核/備份工具等技術解決方案來處理營業秘密資訊外洩問題,然而技術解決方案的運用需與業務流程適當整合才能發揮最大的效益,但多數企業僅導入解決方案限制或記錄員工行為,卻未能依照業務活動需要適時調整控管強度,或是控管放行流程過於簡便或繁雜,或是系統設置繁複,形成了大量的例外開放,技術解決方案僅佈建於一般員工,而具有特定權限或一定職級以上的員工則往往是那些例外開放的對象。

六、 最後則是即便已建立了管理制度,但仍然無法提出足夠的管理證據以保障企業權益,例如缺乏完整的軌跡記錄無法清楚說明侵害事件發生的人、事、時、地、物,無法確認侵害行為、行為人及標的物等資訊,另外針對資訊化環境也普遍缺乏相關數位蒐證與封存程序以保護證據之證據能力。

推動營業秘密管理制度的關鍵成功因素
在瞭解到推動營業秘密管理制度可能的困難或問題後,接著要繼續談到企業需要掌握哪些要素才能開闢一條推動與實施營業秘密管理制度的康莊大道,藉由過往協助客戶建置與推動營業秘密管理制度的經驗,歸納幾點如下:

一、 產業特性與組織文化
營業秘密保護與產業發展息息相關,諸如技術型態、發展趨勢、競爭方式、供應鍊管理要求等都會影響企業對於營業秘密保護的態度,如該建構什麼樣的管理制度與投入多少的成本等議題,而企業組織文化與運作模式則是另一項需要掌握的重要課題,營業秘密管理制度無法與組織文化分離,惟有充分瞭解並將管理制度融入企業組織文化,方能順利推動營業秘密管理制度。

二、 業務流程實務控管能力
除產業特性外,企業應考量業務流程設計可實際運作之管理機制,這裡強調的是能針對業務流程所設計的控管措施而非豐富的手冊或程序,同時控制措施需要盡可能降低對於業務運作的衝擊,避免管理機制窒礙難行或無法實施。

三、 管理制度運作機制
企業應瞭解管理制度的運作方式及重要的輸入及輸出資訊,包含管理制度的運作框架、制度持續運行的方式與制度實施的變革促動方法,同時營業秘密管理制度需能妥善與既有管理制度整合,應直接將控制措施落入既有的作業流程中,避免管理制度疊床架屋而徒增同仁作業困擾。

四、 資訊科技運用方式
企業需瞭解資訊科技的運用及其所產生的資訊科技環境風險,不當的資訊科技運用可能形成更大的管理風險,同時應熟悉技術解決方案的技術規格與控管效益,避免造成錯誤投資,除增加管理成本外更可能因為錯誤的資訊科技運用影響工作效率。

五、 營業秘密相關法律規範
最後回歸到法律本質,營業秘密管理制度期望藉由營業秘密保護法充分保護企業營業秘密資訊,因此對於該項法律內容的瞭解是再重要不過,而除了營業秘密保護法外,與資料保護相關法律議題,如民法有關侵權行為、契約責任或保密義務、刑法有關洩漏工商秘密、竊盜、侵占、詐欺背信或妨害電腦使用等、公平交易法有關妨礙公平競爭等內容,而對於牽涉跨國營業秘密保護議題,則需瞭解各國當地之相關規範,若不熟悉相關法律規定恐造成機制規劃之不足或過度而使企業權益受損。

營業秘密管理制度發展策略五大重點
那麼究竟該如何推動營業秘密管理制度呢?首先得先清楚瞭解營業秘密管理制度應該具有哪些功能以協助企業面對日益艱難的營業秘密管理問題,一個良好的營業秘密管理制度應能充分涵蓋預防事件發生的管理措施與萬一不幸發生事件的應變機制,除了能在事前妥善管理營業秘密,阻擋惡意或操作不當造成營業秘密資訊外洩,也能在發生事件時提供企業必要的管理證據,保障企業的權利並協助企業透過法律途徑尋求救助。
以下即為良好的營業秘密管理制度所應具有的管理內涵:

重點一、 管理制度
企業可藉由管理制度的運行持續落實營業秘密保護,主要核心議題包含:
(一) 管理組織與職能強化
建立管理組織並推派適當的部門或人員負責企業營業秘密保護活動,同時藉由高階管理層的支持賦予負責的部門或人員適當的管理權利以推動營業秘密管理制度。
此外,對於企業原有的管理權責應使之充分實施與落實,營業秘密管理責任應整合既有的組織職能分工,並將營業秘密管理制度落實情形納入部門績效指標中,以確保營業秘密管理制度可持續並有效的運作。
(二) 人員訓練與意識提昇
管理制度有效運行的另一項關鍵因素即為人員管理能力與意識的持續提昇,藉由充足的訓練課程輔以適當的宣傳活動提昇員工向心力並齊力推動與落實營業秘密保護制度,同時藉由持續不斷地訓練讓營業秘密保護意識深植人心,唯有全面提昇人員意識,營業秘密管理制度的推動才能坐收事半功倍之效。
(三) 業務流程分析與評估
企業應分析既有業務流程以瞭解企業內部資訊流動方式,針對各項資訊流動情形評估可能的管理風險,包含內外部的資訊傳遞、資訊運用與保存等作業情形,唯有充分的識別出企業內部可能的營業秘密管理脆弱點才能設計出最符合企業需求的管理制度。



(四) 控制措施設計與規劃
營業秘密管理制度的控制措施應結合既有業務流程才能發揮最大的效益,因此控制措施的設計與規劃均需考量業務流程的運作方式,以對業務活動的影響與變動最小化為前提,確保營業秘密資訊的產生、變動、傳遞、銷毀或歸檔均經過適當地審核並留存足夠的管理記錄。
(五) 例外及特殊角色管理
制度的運行往往產生許多例外管理情形,此外多數企業多存在特殊權限或角色的員工或主管,企業應考量藉由人資部門、資訊部門及相關業務單位針對這些例外管理及特殊角色規劃管理機制,同時需避免影響作業效率。

重點二、 資訊生命週期安全控管
除管理制度外,依據業務流程評估與資訊流分析結果,應考量針對企業所保有的營業秘密資訊,依循資訊生命週期包含資訊產生、傳遞、編輯、歸檔或銷毀等過程建置層級化之資料保護管理措施,企業可適當地評估技術解決方案並藉由解決方案落實營業秘密管理制度,但切勿因技術解決方案的功能限制而調整甚至放寬原有控管強度。

重點三、 軌跡留存與證據保全
當管理制度開始運行後應確實留存各項作業之操作軌跡,企業應訂定軌跡資料保存年限並配合資料倉儲作業考量實體環境安全與資料備份備援管理,確保 各項軌跡資料均被妥善保存。

重點四、 資訊外洩事件應變與管理
企業應規劃資訊外洩應變組織並建立緊急應變流程,當發生營業秘密資訊外洩時能據以應變處理,避免事件擴大並降低異常狀況對企業營運的危害及損失。

重點五、 事件調查與數位鑑識

企業運用資訊科技提昇作業效率,因此造成越來越多的營業秘密資訊以數位資料的型態存在於資訊環境中,為因應營業秘密管理可能涉及的相關法律訴訟問題,企業應及早建立訴訟所需之舉證機制與數位鑑識程序,以確保管理制度的執行紀錄得保有其證據能力。

結論
我國營業秘密保護法修訂條文已於今年通過實施,除過往推動資料保護不遺餘力的高科技業外,有越來越多傳統產業開始重視營業秘密的保護與管理,企業除積極提昇資訊安全水準外,更應充分瞭解營業秘密保護法之內涵並據以調整業務流程及規劃相關控管措施,以因應日益激烈的商業競爭並確保企業的永續發展。

本文作者為勤業眾信企業風險管理副總經理、經理