2017 年

2017-05-22

有管控是秘密,沒管控是「密me」
Presales 部門經理 張弘達

從文件分享與郵件溝通安全談營業秘密法的因應之道

中國古老的孫子兵法第四篇「軍形」篇明確指出,與敵人作戰必須先立於不敗之地,如何才能立於不敗之地在於嚴密的防守,也就是隱藏軍隊活動,如同將其藏於極深之地,令敵人莫測虛實。商場如戰場,企業在商場上追求永續經營,必先確保立於不敗之地,必須嚴密保護營業秘密,如同戰場上隱藏軍隊活動,將這些商場上致勝的關鍵技術如同將其藏於極深之地,令競爭對手莫測虛實。

企業不斷研發關鍵技術來取得市場的領先地位,妥善保護關鍵技術不被競爭對手抄襲,才能持續保有其競爭力。營業秘密法在第 1 條清楚說明此法的精神在於維護產業倫理與競爭秩序,也就是透過法律的規範,防止企業間惡意挖角,或用不當手法取得對手的機密資料。企業必須了解在營業秘密法的規範,善用此法保護營業秘密,也須謹慎在搜集對手資料時不可誤觸此法造成企業的損失。落實營業秘密保護建議可從 PDCA(Plan-Do-Check-Act) 方法著手,訂定保密政策、執行保密措施、檢視保密成效、修正保密政策,透過有效方法循環管理,以落實營業秘密的保護。

 

盤點營業秘密,訂定保密政策

首先,企業須先了解營業秘密法規範的「營業秘密」保護範疇,營業秘密法第 2 條明確定義,營業秘密必須符合「秘密性」、「經濟性」、並且「採合理保密措施」。換句話說,企業所主張的營業秘密必須是在公開場域無法輕易取得、這些秘密必須有經濟的價值、並且必須針對主張的營業秘密採取合理的保護措施,這 3 個條件缺一不可。因此,在進行營業秘密盤點時,必須思考所認定的營業秘密是否符合上述法規上的3個必要條件。一般來說,營業秘密可能用紙本、電子檔、人腦等方式分別存放在不同的部門,企業必須依照不同的存放類型採取合理的保密措施。例如依紙張方式存放的營業秘密必須在其內容加註「機密」、「限內部」等字樣,並將其放於非一般人可取得的上鎖櫃子。若依電子檔方式存放的資料,則必須依賴系統進行完整的存取權限控管、檢閱的詳細記錄及必要的審核或加密流程等。另外員工經手的營業秘密資料,建議可依員工的到職、任職、離職等職場生命週期進行管理,例如在到職前明確告知及簽約不可不法帶來前公司營業秘密,甚至可避嫌讓其前幾年先從事與前公司不相關的工作內容。並且請其簽訂保密合約及競業條款,明確告知其員工在到職後經手營業秘密時的權利及義務。而在任職過程中依不同的職務管控可能接觸到的營業秘密權限,並導入文件分享、郵件的溝通等系統,透過資料存取權限控管,機密資料分享稽核及完整分享記錄等來保護營業秘密的分享及溝通安全。最後員工在離職前是最容易發生營業秘密外洩的可能,透過系統協助進行離職前資料存取的監控,確認是否有異常的文件分享,最後在離職程序中明確告知保密及遵守合約的義務,以確保員工無心或有意的外洩營業秘密。

 

營業秘密必須採合理保護措施

營業秘密法規範的「營業秘密」明確要求企業所認定的營業秘密必須「採合理保密措施」,這是當進入此法訴訟程序時必須要舉證的重要項目之一。企業盤點營業秘密、訂定保密政策後需透過正式管道明確告知員工機密資料之保密政策,與員工及合作廠商簽訂保密合約,透過系統及流程確實執行保密的措施。營業秘密的外洩管道很多,經由文件不當的分享及郵件寄送的過程是最容易造成外洩的管道,企業要保護營業秘密,必須從這 2 個方面著手。建議可透過分享架構安全及分享過程安全等進行保護措施的規劃。

 

分享架構安全

分享架構安全建議可包含:建置私有雲分享架構、建構無害化郵件溝通環境及機密文件不落地等。營業秘密的文件建議儲存在企業自己可管控的私有儲存空間,隔離不必要的人員存取機會,甚至可評估是否為擁有高機密文件的研發單位,獨立建置一套文件分享及郵件溝通系統,以進行安全且方便的溝通環境。另外可建構內外隔離無害化的郵件溝通環境,除了導入垃圾郵件防護及防毒系統外,去除信件內容中可能的有害連結及確保郵件附檔的安全分享及下載,以確保使用者讀取無害的郵件內容。並打造機密文件不落地架構,透過線上預覽、浮水印、限制附檔下載、限制信件轉寄及列印等功能,讓機密文件在分享的過程兼顧效率分享外也能同時保有安全的管控。

 

分享過程安全

分享過程安全建議可包含:依保密政策設定稽核條件、分層管理即時審核監控、完整歸檔確保郵件安全等。在盤點企業的營業秘密時,必須清楚了解每個部門所擁有的營業秘密種類,例如研發部門的研發記錄、業務部門的客戶資料、財務部門的報價單、法務部門的合約資料等,在相關機密文件中加註「機密」或「限內部檢閱」等字樣,並導入文件分享及郵件稽核系統,依每個部門的特性設定機密文件中可能的稽核關鍵字或樣式,例如研發文件的序號、報價單的「報價」關鍵字、客戶資料的姓名、電話及地址等。透過系統的主動式稽核、審核監控流程及稽核報表等,讓這些機密文件在傳遞分享時受到監控,並能在發生不當分享時即時告警及處置。

 

分享溝通全記錄,告與被告才有路

我國 1986 年首度制定與施行營業秘密法,並於 2013 年進行修法,新增刑事責任並加重域外罰責。面對此法,不論是技術、配方、製程等,企業只要能證明這些資料符合「秘密性」、「經濟性」及已「採取合理保密措施」要件,不需額外申請即可能成為營業秘密而受保護。所以當發生營業秘密訴訟時,除了證明主張的技術秘密性、經濟性外,舉證會是重要關鍵。例如舉證這些技術為企業多年的研發成果、舉證員工確實將此技術不當的外洩給競爭對手、舉證技術已採取合理的保密措施等。為了能順利的舉證,建議導入的系統必須把握 3 個重點:溝通軌跡完整保存、查找證據快速準確、匯出證據方便確實。以郵件系統為例,擁有重要研發技術單位的必須嚴禁使用非企業專屬的郵件系統,因為舉凡所有的免費郵件是不會提供相關的佐證資訊。並導入郵件歸檔系統,將企業專屬的郵件系統完整歸檔,包含內對內、內對外及外對內的所有員工溝通的信件,其歸檔內容必須包含寄收件人、密件副本、信件內文及附檔全文等。唯有進行完整的歸檔,當有不當外洩發生時,才能完整找到相關異常的資訊,並透過郵件流向圖清楚展開外洩郵件的進出情況,找出外洩源頭,並掌握影響範圍,進一步將資訊匯出成呈堂佐證資訊。

孫子兵法有云:知己知彼,百戰不殆。企業該重新思考在營業秘密法規範下的「知己知彼」策略,如何確保合法「知彼」?如何制定保密政策,打造分享及溝通的安全環境,以防止對手透過不當方式「知己」。當對手不合法「知己」時,透過完整的資訊歸檔取得有利的證據以追訴法律責任,唯有積極捍衛企業商業秘密才能確保企業的永續經營。