營業秘密保護

保護企業資料範圍最廣最嚴格、生命週期最完善

專家觀點

制度諮詢專家

從人資業務角度,透過5大程序落實機密保護制度

中華數位科技 企業資料保護研究小組 吳毅勛 顧問

企業人資人員在企業管理上,負責人才從招募、任用、在職教育訓練、離職管理與留才任務,當企業營業秘密管理制度在導入時,人資應扮演非常關鍵的人員安全管理角色,才能有效落實企業營業機密保護管理制度,每個企業都應該努力提升人資人員該有的營業秘密管理能量。從法律面,公司必須識別營業秘密價值,維持隱密性並採取合理保護措施;而實務面,人為主體,營業秘密為客體,人資業務結合營業秘密管理,是非常有效的內控作法。本文將剖析從人資角度協助企業機密管理時,最重要也最有實施價值的管理配套。

界定「管制職務」

由於企業資源有限,不管是採購資安工具、推動營業秘密內控SOP、或導入競業禁止政策及補償金等,企業均必須面臨在有限管理能量與預算下,協助企業發揮最大的營業機密保護效果。於是,企業面對營業機密管理議題,其中一個重點即是:必須有能力辨識出企業內部接觸營業秘密最核心同時也是風險較高的員工!這一群人,是企業營業機密管理的重點對象,在發放競業禁止補償金時,要優先考慮發放;在導入資安工具與規範時,也是必須採取相對高規格的工具與較為嚴謹SOP,來確保企業投入合宜成本達成有效管理營業秘密的目標。甚至是離職程序時,這類員工,也必須提交離職稽核報告,去檢視離職前一定期間的機密檔案存取記錄,以建立起企業的機密保護傘。這群特定員工,其工作屬性會存取公司大量機密,因此必須賦予更嚴格的保密要求,所以中華數位企業資料保護研究小組的顧問團隊與合作過的企業,共同發明一個用語,取名為「管制職務」。目的是,藉由公告或核定該名單,讓企業管理階層與相關員工,可以清楚瞭解公司的營業機密重點管理單位有哪些,被嚴格管理的單位也會清楚知悉,為何需接受如此高規格的管理措施!

實務上,管制職務的可能涵蓋範圍有哪些,依照中華數位企業資料保護研究小組的實務經驗,一般最常指定的為「重點研發單位」、「部門主管以上管理層級」、「PM單位」,再來的是「HR(薪資管理人員)」、「業務(成本管理)」、「工廠(核心製程)」等等。

管制職務該如何設置?建議應該由企業經營會議的跨部門主管進行討論,在評估包括「技術與KnowHow含量」、「工作敏感度」、「工作範圍」、「是否參與公司決策」等,來界定清楚。一旦公司核定後,再由HR部門來對公司特定員工正式公告!

設置各部門專責「營業秘密管理師」

營業秘密管理制度的推動,對於企業而言,是非常「有機的」(Organic),必須透過一連串精心設計的過程,來調整企業管理體質與建立文化,達到企業機密管理能力改造的目標!為了改造企業體質,必須由各部門主管遴選較為資深且具對組織較有向心力的代表,來學習營業秘密管理的各項工作技巧,並透過這群代表作為種子在各部門持續推動,並以1-3年為期間持續落實。如果各部門的窗口只是出公差交報告的心態在執行,進而養成員工應付的心態,普遍認定公司都是表面上的管理,則企業長期是不可能達到實際風險降低的可能。

企業推動營業機密管理文化,作業流程上,應該先訓練出先鋒部隊,由管理階層或外部顧問團隊提供高品質的管理訓練,讓這個部隊先把管理制度的Know-How學起來,並通過認證考試,成為一個管理制度的種子人員。這類的種子人員,為了提升其榮譽感,中華數位顧問團隊取其名為「營業秘密管理師」,透過HR部門的正式公告,來宣示這群人的管理責任與角色,並培養這群人在企業內部的使命感,來協助推動。

「營業秘密管理師」是專案推動的成敗關鍵,挑選時,應當選擇最少年資3-5年,熟悉部門業務是絕對必要,人格特質上也需要較為熱心且跟同事關係良好,才能夠配合公司政策去推行許多的規範。

設置「嚴謹的員工到職程序」

「人」是保護或侵害營業秘密的主體,人資部門無庸置疑的應當扮演好自我防衛的第一道關卡,以降低企業的營運風險。以人才聘僱舉例,聘僱流程如果設計不當,人為因素造成侵犯營業秘密的風險會大幅提高,因此公司內部應當設計良好的管理政策與規範,在此列舉管理方式如下:

面對直接競爭對手的敏感部門員工求職,企業應謹慎考慮錄用與否,以免成為競爭對手操弄暗樁或提起訴訟攻擊的途徑。競爭對手的敏感員工如有錄用的必要性,最少在到職時,必須避免進入「管制職務」,或必須在一般職務工作滿考核三個月到一年,才可以轉入「管理職務」進而發揮所長。「管制職務」是接觸企業核心營業秘密的單位,從企業風險角度,如果從對手挖角進入我方「管制職務」擔任重要研發或營運角色,確實可能有被認為不當使用機密或營業秘密的風險。

企業在雇用員工時,其聘僱流程,建議注意以下事項:

  1. 面試主管切勿於面試過程探詢應聘人員前雇主營業秘密,此觀念應辦理正式宣導課程並由與會主管簽名。
  2. 聘僱流程應新增「新進員工智慧財產權聲明書」,要求據實陳述是否負有前雇主約定保密或競業禁止等義務及其內容。
  3. 正式聘僱時,應要求具結「無侵害前雇主智慧財產」保證條款。
  4. 「管制職務」員工應針對其學經歷的背景資訊,落實查核。
  5. 「管制職務」員工,應簽署非常嚴謹的保密切結書以及競業禁止合約。
  6. 「管制職務」員工,其在試用期間,應要求稽核單位查核相關電子監控記錄及檔案使用記錄,以確保沒有侵害前雇主情事發生。(如遇前雇主控告侵害營業秘密,可自行舉證無侵害且已盡力預防。營業秘密法新法規定,受雇者侵害營業秘密時雇主併同受罰,除非雇主能自行舉證已盡力防止)

新修正的營業秘密法,新增企業之代表人、代理人、受雇人或其他從業人員因執行公司業務而違犯營業秘密法時,企業應併同處罰之規定,且由於現在商業競爭激烈,企業惡意挖角與商業間諜等事件頻傳,人資管理應該基於保護公司立場,先設立防火牆,以善盡人資工作的基本職責。

設置「嚴格的員工離職程序」 

好好分析企業人員管理中哪個環節風險最大,人資部門才能對症下藥,有效協助企業降低風險。在營業秘密侵害事件中,對企業傷害最大的是機密資料電子檔案的竊取,根據美國電腦安全研究組織委託卡內基美隆大學所做的研究分析指出,80% 侵害營業秘密的人是在已經確定有新工作或開始籌辦新公司時犯案、65% 於在職時犯案、73% 的侵害案件都是在上班時間發生,如此可以推論離職員工於離職前的行為,存在極高的風險。加上員工在職才有機會存取公司真正的核心機密,因此當這群原本信任的員工離職時,風險控管的程序就必須納入。如何有效的監督離職員工以及必要的離職面談程序,將是企業大幅降低營業秘密風險事件的關鍵因素。

針對離職員工的安全控管程序,可以分為兩個層面,一是離職程序的宣示作為,以道德觀及法律保密的程序來提醒營業秘密管理的遵法義務;另一層面是以營業秘密存取軌跡之稽核報告來確實查核人員的風險,以下分述離職面談程序及離職稽核報告兩樣作為的營業秘密內控建議:

離職面談程序

  • 提示營業秘密法對於員工保密之要求,以及違反之法律效果。
  • 要求主動刪除營業秘密之義務,以及不作為所可能違反之法律效果。
  • 機敏資料刪除程序需明確規範包括私人電子郵件、網路硬碟、私人儲存設備等均需一併刪除,並要求簽署切結書。
  • 如設有競業禁止政策,應一併說明其法律效果。
  • 針對企業營業秘密範圍(如使用營業秘密盤點表),再次由直屬主管主動提示。

離職稽核報告

  • 請資訊單位提供主要營業秘密儲存系統之稽核軌跡異常報告。
  • 稽核報告應由直屬主管或稽核單位查核,並確實分析有無異常情事。
  • 員工在職期間,人資應提前告知離職稽核程序,以建立互信與信賴基礎。
  • 人資應協調稽核、法務、資訊單位建立此項作業程序,以有效落實。

設置「營業秘密事件通報與應變程序」

企業針對營業機密管理程序,最常見的缺失算是「沒有設置營業秘密事件的通報窗口」!一般企業在實務運作上,通常不會針對萬一發生營業秘密事件時,制訂內部通報程序。但中華數位顧問團隊經驗上,曾有客戶的部門秘書在其主管離職時,有發現其不當資料的存取行為,但卻因為公司並無一套標準通報流程,而遲遲不敢向公司高層舉報,結果反而造成一件非常遺憾的重大營業秘密侵害案件。由此可見,制定一套標準的營業秘密事件通報流程,有其絕對的必要性。

公司在設置此類事件通報窗口時,與HR窗口結合是常見的作法,原因包括HR是人員安全管制的核心業務單位之一,人員的到職資料調查、在職狀況瞭解、離職安排等,都是HR業務,調查員工時,除了IT可以調查LOG外,HR的資源也比一般部門多。因為HR部門與各單位關係較好,也容易互動,因此通報程序上,由HR部門擔任主導角色,也容易發揮效果。

企業在營業管理制度上,最少要有公開的窗口供員工舉報,舉報後的標準作業流程,跨部門協調程序,以及事件的等級識別與通報SOP等,都是企業所必須思考的管理需求。