今年5月11日於新竹科學園區舉辦一場「營業秘密內控措施與犯罪偵查作為」座談會,現場上百名企業主管與法務人員踴躍出席,可見台灣高科技產業面臨嚴重的營業秘密保護問題。另外,對岸紅色供應鏈興起後,由於兩岸語言相通,所以這些年大陸積極「挖角」台灣科技人才,以迅速發展高科技產業,因此近幾年新聞媒體不斷報導國內高科技產業發生營業秘密外洩的事件。為了協助國內企業多家認識現今面臨營業秘密遭竊的危機,資安人雜誌於7月25/27兩天,分別於台北、新竹舉辦兩場針對營業秘密保護議題的研討會,現場邀請到各界專家業者,分別從法律、管理與技術等不同層面來探討此一議題。
釐清營業秘密認定要件
中華民國電腦稽核協會理事長張紹斌先生,同時也擔任合盛法律事務所主持律師,他以宏達電工業設計部副總簡志霖洩密案為例,此案成為2013年1月營業秘密法修法後的首件起訴案例。當時討論的重點在未公開上市的手機圖形操作界面、捷徑(UI、ICON)是否算是營業秘密或是著作權標的?接著是未上市的手機UI、ICON經濟價值如何估算?屬於實際或潛在經濟價值?如果上市手機最後未採用,此UI界面或ICON捷徑是否仍具經濟價值?這些都是從法律的角度上需要探究的實務問題。
張紹斌以律師的專業角度,建議高科技業者應做到簽署保密契約的最低限度法律要求。要執行營業秘密的訴訟前,需先釐清哪些資訊屬於營業秘密?也就是需符合保密性、有價性與秘密性的法定要件,而且營業秘密所有人主觀上需有保密意思,客觀上要有具體的保密行為,例如在企業內部實施分層授權的資安控制等。除了營業秘密外,他也提醒企業要注意其他像電腦程式著作權、專利權、商標權等無形資產的保護。張紹斌認為,實務上營業秘密案件的定罪率極低,所以這類案例實務上的刑事處理未必是最有效的思考方式,透過競業禁止條款的民事程序,亦不失為保護營業秘密保護手段。
策略、管理、技術三者缺一不可
BSI英國標準協會驗證部協理謝君豪則透過具體的標準管理制度,以系統性方法來討論營業秘密的保護。他強調,企業要做到防止秘密外洩,明確的策略、管理的機制與適當的技術此三者缺一不可。明確的策略能為組織提供執行方向,讓整個行動能在一個正確的出發點上進行,才不會陷入見樹不見林的情況,只「為了稽核而稽核」。接著在此策略下,開始擬定出細項的相關管理措施,像針對風險管理的ISO 31000,與資安管理的ISO27001兩項國際標準;最後就是配合相關的IT技術來達到這些管理要求。謝君豪提醒:「空有技術,無管理機制不會成功」,再先進的防護技術,如果沒有適當的管理機制來搭配,還是可能出現外洩的風險與漏洞。
需特別加強管控的項目
在27001眾多的管控描施中,謝君豪以其豐富的實務稽核經驗,特別點出了幾項與營業秘密保護相關而需加強的部分。例如在行動設備與遠距工作的管控上,他指出台灣高科技公司在這部分的管理呈現兩極化的情況,而有些新創公司在這方面就急需加強。現在企業如果不重視資安的防護,可能就會影響客戶下單的意願,對公司業績產生衝擊。加上一例一休施行後,員工在家遠距工作的情況也會增加,所以對行動設備與遠端工作的需求要訂出合理且可行的管控措施。
另外從生命週期的觀點,他認為人員聘雇前、聘雇中到聘雇終止及變更時,都要有相對的秘密保護機制。像在聘雇前需依照不同職務的風險程度,來進行員工學經歷與信用狀況等方面的篩選,並在聘雇條款中訂定競業條款與合理監控的內容。在聘雇期中則加強宣導人員的資安意識,避免因一時疏忽造成企業機密外洩。最後在聘雇終止及變更時,員工的權限也要隨之變更,甚至在特殊情況下,非預警告知員工離職也是必要的手段之一。
謝君豪以國內某家筆電代工大廠導入資安管理標準為例。此企業是先從R&D部門導入資安驗證,接著才是IT部門。之所以採R&D先行的策略,是因為如果從IT部門開始導入的話,相關的管制措施一定從嚴;但對其他像業務、研發等需要較大彈性的部門來說就會感到不便,使資安管理機制的導入效果不佳。所以如果是連研發部門都能接受的管控機制,再推行到其他部門就不會有太大的問題,這就是一個策略、管理與技術三者成功結合的導入案例。
本文是從法律、管理的角度來看營業秘密的保護,希望能協助企業合法、合理的制定相關的規範。但有了規範後,還是得透過適當的產品技術才能落實,所以接著我們將從技術的層面來探討營業秘密保護。