2018/01/02
洩密議題是企業經營者的燙手山芋,防範營業秘密被侵害、外洩,需要佈建更周延的保護網。資策會科技法律研究所創意智財中心建議企業應從法律遵循、制度管理與執行落實三大措施著手,才能有效保護營業秘密。
市場競爭激烈,營業秘密被企業視為維持優勢的生存命脈。近年來,企業資安事件頻傳,造成公司資料被竊、管理系統被駭,讓企業主難以招架。
「公司導入ISO 27001資安管理制度,可以防堵駭客入侵、機密外洩,就算做好營業秘密管理了吧!」有不少企業認為建立好資安管理制度,應能降低洩密風險,以及相關訴訟的產生。
然而我國《營業秘密法》於企業強烈呼籲「竊取營業秘密課以重刑」的呼聲下,於二○一二年底大幅修正,增訂刑事責任及加重民事賠償金額,自二○一三年實施以來,檢調單位累計偵辦五十七件營業秘密案件,卻僅有二十七件順利起訴,且判決中僅兩件成立營業秘密侵害。由上述數據來看,企業常見的資安管理措施若未能符合我國《營業秘密法》規定,總在法院苦吞敗訴結果。
營業秘密成為智財攻防新焦點
智慧財產的管理,是當今企業必須投入駕馭、掌握的經營領域,企業視營業秘密為智財攻防的新焦點。
根據歐盟智財局(EUIPO)二○一七年發布歐盟會員國內企業「透過營業秘密和專利保護創新:歐盟公司的決定因素」的調查報告顯示,二○一○年至一二年間從事創新的企業,進行產品、流程或服務創新時,選擇營業秘密保護創新的比率,均高於專利。
在我國,經濟部技術處於二○一三年發布的產業技術白皮書,統計台灣製造業採用的智慧財產保護措施裡,營業秘密占比為四五.九%,僅次於發明與新型專利的四九.九%。
保護營業秘密 ISO27001力有未殆
確認營業秘密(具體保密標的)、採取合理保密措施,是保護營業秘密的兩大重點,也是訴訟舉證的核心基礎。
長年統籌企業智財保護管理及策略運用等相關專案的資策會科技法律研究所創意智財中心(以下簡稱資策會科法所創智中心)副主任鄒宗萱指出,國內有不少企業認為導入ISO 27001,有資安管控措施將足以保護營業秘密。
「但這觀點只對了一半!」鄒宗萱解釋,ISO 27001是控管資訊安全,通常有強大的技術支援,確實有助提升保密措施運作效率,但對於營業秘密保護而言,仍有兩大弱點必須補強。
第一,營業秘密標的必須具體且符合法律要件。即使企業能舉證已採取合理保密管控,仍有近四成判決因未能具體指出受侵害的營業秘密,而敗訴收場。
第二,對於營業秘密採取的保密措施,必須達到「合理」程度。在逾三成的判決中,企業已執行資安管理,但法院卻認定未達合理保密措施的法律要求。例如,企業雖有設定部門存取權限,但部門所有同仁,不論職級皆有權限接觸某個營業秘密,意味著權限管控未達合理、有效。
鄒宗萱強調,「營業秘密管理與資安管理不是雙軌制」,而已導入ISO27001的企業,有保密管理的軟硬體資源做為先天優勢,但必須補根基,強化營業秘密管理的法律遵循,才能使企業的競爭核心,受到《營業秘密法》保護。
營業秘密要能受到法律保護,必須符合《營業秘密法》要件。因此必須遵循法律建立營業秘密管理制度,或調整既有資安管理制度,符合營業秘密法遵。最重要的是,制度必須有效落實,才能將洩密風險降到最低。
「營業秘密管理需仰賴法律遵循面、制度管理面、執行落實面的結合。」鄒宗萱以她擔任TIPS智財管理制度驗證委員十年多的經驗觀察,企業即使有管理資安或智財,但以營業秘密保護立場,仍有很大的加強空間。在稽核過程中,儘管企業具備設定接觸權限、規範借閱流程等「管理面」措施,但這些相關紀錄連結到訴訟舉證,能否作為證據使用,將是「法遵面」的一大隱憂。
「管理紀錄留存的最終目的應與訴訟端連結,必須能提供檢調辦案、法官判決所需證據資料,也要避免取證過程受到汙染、付之一炬。」鄒宗萱指出,許多企業對於哪些標的屬於營業秘密、如何有效且合法掌握營業秘密流通軌跡,都不太清楚。而這現象造成了管理嚴密但保密標的不明確,外洩發生也難以舉證的困境。
再者,針對第三方管理,儘管許多企業規範應與供應商簽訂保密協議,但實際發現契約未據以執行,像是提供營業秘密資料沒有加密、標示機密字樣等措施,以及合作結束後未要求實際銷毀或返還營業秘密資料等,因而潛藏供應商洩密給競爭對手的風險,這就是「落實面」的問題。
系統性的洩密預防戰略
資策會科法所創智中心自二O一五年起,開展由「查核」、「執行」到「稽核」的三階段洩密預防戰略,協助企業保護管理營業秘密。目前已有生技、電子、食品等行業運用「營業秘密自我查核表」發掘洩密缺口;或參考「營業秘密管理指針」,及運用教具「營業秘密保護管理系列」,確立營業秘密標的、建立符合企業文化的管理制度。
接下來二O一八年即進入第三階段的「稽核」,資策會科法所創智中心將強化「法遵面」、「落實面」,重點鎖定「營業秘密法遵X資安洩密風險」查驗,協助企業有效防禦洩密風險、及時因應洩密爭議。同時,亦提供法遵符合度、訴前管理查驗;由ISO 27001驗證機構如BSI、SGS*提供資安管控缺漏稽核,聯手協助企業完善營業秘密保護,鞏固企業核心競爭力。(*依驗證機構名稱字首字母排序)
「營業秘密管理指針2.0」:營業秘密管理指針2.0
「營業秘密管理自我查核表」:營業秘密管理自我查核表
「強化企業智慧財產經營管理計畫」:TIPS網站