營業秘密保護

保護企業資料範圍最廣最嚴格、生命週期最完善

專家觀點

管理規範專家

從輔導企業實務參照法院判決,談基本必要營業秘密管理

資訊工業策進會 科技法律研究所 創意智財中心 施品安 組長

除了申請專利,越來越多企業將核心Know-how以營業秘密方式進行保護管理,作為企業持續維持競爭優勢的利器。然而,營業秘密要如何進行管理方能有效保護、主張權利,成為企業管理上一大重要課題。自過往推動企業智財管理制度之建置及驗證等經驗發現,企業對於「機密」、「營業秘密」、「商業秘密」等內容多有混淆或分級定義不清,於實際管理時就文件分屬不同部門各自保管,但未有任何配套管理措施,抑或要求每項文件皆加密造成業務執行困難反而難以落實管理。

從我國營業秘密相關判決統計,截至105年4月底為止,一審至三審之民、刑事判決共近200件,其中民事原告敗訴及刑事被告無罪之比例各約7成多,究其原因,主要分為兩種:第一種「權利人被侵害的標的不被認定為營業秘密」,例如該內容不具有秘密性或價值性;第二種「權利人未採取任何營業秘密管理措施或有採取措施但未達法律要求的合理保密措施程度」。例如權利人未有任何權限控管、機密標示等管理措施,亦或權利人僅以概括保密約定之簽訂作為保密措施等。

從輔導實務經驗中,確實也發現台灣企業多半對於哪些內容符合營業秘密法規定的營業秘密保護標的並不熟悉,故要進行管控時目標亦不明確。未能明確區分的結果,造成管理成本的浪費或管理範圍過大反而成效不彰等情形。此外,企業進行營業秘密管理時,往往僅簽定保密約定或機密標示,相關管理措施皆未達法律規定和法院實務判決要求的程度,不僅暴露營業秘密外洩風險,於訴訟程序中亦無法有效主張權利保護。

資訊工業策進會科技法律研究所創意智財中心考量企業往往因時間、經費和人力等因素,有心建立卻不知從何下手管理或者著手管理卻內部反彈又不得其法,因此規劃逐步提供「營業秘密管理指針」、「管理查核表」及「相關輔助參考範本」。預計以「營業秘密管理指針」協助企業瞭解營業秘密基本管理要項,並參考指針內容著手建立管理制度,接續以「管理查核表」協助企業自我檢視管理缺漏,瞭解自身對於營業秘密管理的落實程度,最後並會提供企業執行所需之「相關輔助參考範本」,以期更細部協助企業具體落實營業秘密之管理,讓企業能於有限資源下進行一定程度的有效管理,保護營業秘密。 
將於今年第二季推出的「營業秘密管理指針」,主要參考我國判決實務及日本、韓國等國外營業秘密管理作法,輔以過往輔導各類產業之經驗,從企業常見管理漏洞、營業秘密外洩管道或手段等,擬定企業基本必備的管理要項,讓企業透過「營業秘密管理指針」瞭解營業秘密的整體管理架構和重點面向後,即能著手建立營業秘密管理制度或強化既有的管理措施。

此指針內容從政策面涵蓋到實際執行面,分別提出下列管理重點供企業參考:

  1. 政策管理
    營業秘密管理政策是確認企業的管理目標、管理資源,進行規劃管理制度並依循落實的依據,故企業應先有該政策的訂定。而在討論管理政策時,企業應將可能接觸營業秘密者皆納入營業秘密管理對象,並將企業盤點確認的營業秘密標的皆納入管理範圍。實際規劃和執行推動時,企業應設有統籌負責人且具有一定層級和權限,對於洩密風險相對高的主管高層,方能發揮監督控管的作用。在確認管理規定和程序(包含懲戒、救濟)後,務必週知員工,尤其針對有新進員工交替之情形,應確保其知悉企業內部的管理規定和措施。

  2. 內容及流程管理
    此部分為營業秘密標的本身之管理,從營業秘密的產生、保管、權限控管到借閱、攜出、複製、傳遞及銷毀等,各個營業秘密轉換的流程皆應進行控管,避免營業秘密管理漏洞。

    從營業秘密產出而言,應避免任何私下產出情形,並針對營業秘密標的進行盤點分級,明列清單且隨時更新,以確認營業秘密管理標的,避免遺漏。就營業秘密的保存控管而言,應妥善區分管理、權限控管,避免將營業秘密資料和非營業秘密資料混合存放致難以識別區隔、任何員工皆能接觸所有營業秘密資料等,亦須將企業自身與他人之營業秘密明確區分,避免誤用他人營業秘密。

    於營業秘密的使用上,除了嚴格依照權限控管外,對於借閱、複製、對外公開或傳遞等利用情形,須特別留意權限申請許可流程以及使用紀錄的落實,清楚記載使用者、申請及預計使用時間、申請使用次數、申請使用原因等資訊,以利隨時掌握營業秘密的流向。

  3. 人員管理
    營業秘密管理最重要的一環即為人員管理。營業秘密外洩皆是透過人所流出,故除了針對營業秘密保護標的本身進行控管,增加接觸、使用存取的關卡,避免或降低營業秘密被不法取得或利用外,對於會接觸營業秘密的任何人(除現任員工外,尚應包含離職員工、供應商/協力廠、客戶、顧問、外部稽核或拜訪人員等)亦應納入人員管理範疇,建築完整的防護牆。

    人員管理常見問題是簽訂保密約定和競業禁止約定,常見有企業因不確定員工實際將接觸之營業秘密內容,或想簡便的用一份契約來適用在全體員工,所以保密約定多半攏統概括,以致因法院不認同而流於無用。故建議企業應至少針對一定職位或接觸特定營業秘密者另行簽訂具體保密約定,或是於員工到職一定期間後,就其可能接觸之營業秘密再行調整、具體化保密義務範圍。又因應勞動基準法及其施行細則之增修,法律已對此議題有相關明文規定,企業亦應重新檢視競業禁止約定是否符合法規,欲重新擬定者應留意明文規定,例如競業禁止期間限制、合理補償措施等要求。

  4. 環境及設備管理
    從營業秘密的內容和流程管理,以及接觸人員的保密管理,雖可達到物與人的控管,但營業秘密整體的保護仍須搭配環境及設備面向的相關措施,方能從場所空間、硬體設備到任何使用軌跡皆有效管制及追蹤,降低不法入侵、洩密的風險,並掌握營業秘密的流向。

    有關環境及設備管理,對於出入大門、各樓層、樓層特定區域/部門甚至實驗室等空間,企業應明確訂定各空間的出入權限並落實記錄;針對USB、筆記型電腦、可錄音/錄影之相機及手機等進行攜出入和使用管制,降低利用私人儲存媒體或設備存取企業營業秘密後外洩之風險;最後,還需特別留意員工電腦使用情形,例如存有營業秘密系統的登入時間/次數、下載營業秘密內容的標的/時間/次數、利用電子郵件夾帶檔案傳輸的時間/次數/內容等,透過log的留存並設定警示,提早發現異常並即時蒐證,主張營業秘密權利保護。

本文同步刊登於TIPS網站 http://www.tips.org.tw