營業秘密保護

保護企業資料範圍最廣最嚴格、生命週期最完善

正確的遵法觀念

營業秘密管理制度的涵蓋範圍為何?

企業建立營業秘密管理制度,中華數位企業資料保護研究小組的實務作法上,建議應包括『管理組織』『文件管理』『人員管理』『稽核與監控』『法務工作補強』等幾個面向,介紹如下:

『管理組織』 

營業秘密的管理,其中許多的政策與規劃,譬如監控的方式、機敏資料的管理辦法等,都必須透過跨部門的主管會議的討論與核定,所以企業首先應先成立營業秘密管理委員會,來核定相關的管理規章以及制度的日常維運方式。

『文件管理』

機敏資料的控管是營業秘密最重要的根本。企業的重要營業秘密一般都是以紙本或電子檔方式儲存,而侵害營業秘密的方式也均以資料外洩居多。文件管理包括應先盤點機敏資料的範圍,再將機敏資料做分級控管以及文件標示,並討論相關的審核流程如何設計,包括攜出、在家辦公、調閱等均應通過審核流程。

『人員管理』

人員是企業營業秘密管理的核心,因為企業最重要的Know-How都在員工身上。較完整的人員安控管理,必須要針對人員的生命週期來做規劃,一般包括『到職前階段』『正式聘僱階段』『試用期間』『任職期間』『離職程序』。管理上的配套一般包括好的聘僱與競業禁止合約設計、聘僱前的人員風險評估程序、新進員工的內控與風險控管、在職員工的不定期稽核程序、離職員工的深入稽核等方式。

『稽核與監控』

電子監控是企業營業秘密安全控管的強化手段,唯有建立適當的電子監控政策,才能有效預防惡意員工的侵害,以及在司法訴訟上有效舉證侵害的事實。電子監控需要透過公告或員工同意的方式,來避免侵害員工隱私,而稽核的時間點,通常建議會從『新進員工』『離職員工』等時機來做,可以有效降低惡意員工的侵害風險。

『法務工作補強』

企業的營業秘密保護除了內部管理外,外部供應商、貨運公司、技術合作廠商等均是管理的對象,但是因為對象不是公司的一部份,所以必須透過合約與稽核的手段來保護公司的智慧財產權益。保密規範、產業競業禁止條款、技術授權限制等,都是常見的控管措施。

上述介紹的5個營業秘密管理面向,是企業營業秘密管理制度的基礎工作,當然如果企業上述的範圍均有完善的執行後,一般會建議企業可以朝向更全面的資安控管制度。ISO 27001 是一個非常成熟且符合大部分企業資安需求的標準,企業可以利用ISO 的控制項目來進行內部查核,確保公司所有的營業秘密均有妥善的安全控管措施。