(中央社訊息服務20240612 09:39:58)因應數位轉型,企業越發重視資安管理,目前大量企業導入ISO 27001等資安管理標準,甚至開始採用各類新興技術,來進一步強化管理。惟營業秘密管理仍與資安管理概念和適用不同。曾有企業在營業秘密訴訟中,主張通過 ISO 27001可作為營業秘密合理保密措施有效的證明,但單純以各種資安管控措施之建立,難以使法院認定有意識為營業秘密標的進行保護、採取保密措施。除了主觀意識、標的範圍,落實度亦為營業秘密法遵要求之重點。例如該案中發現該企業允許員工以公用筆電及USB,使用前雇主營業秘密,且將相關檔案存至部門公用槽,甚至主管對於資訊部門的警示,亦未進行監督及改善,故法院強調:「在物理性措施部分,未嚴格實行營業秘密之監督管理」。
從上述實務判決,可以看出資安管理對應到營業秘密管理時常見的兩個迷思,一為企業未適當鑑別營業秘密標的範圍,劃定自身掌握之營業秘密、甚至有從外部取得之他人營業秘密,未能有效管控,不僅造成自身營業秘密外洩,甚至忽略員工可能使用他人營業秘密,導致企業被控侵權;二為未依營業秘密常見洩密途徑進行對應規劃管理措施,甚至企業對他人負有保密義務之範圍與程度,亦會影響營業秘密管理措施之複雜度和嚴謹度。綜上,若未能意識營業秘密、劃定營業秘密範圍、以及洩密管道與保密義務等面向,即使採取各種管理措施仍可能導致營業秘密外洩,不僅喪失秘密性,於訴訟上還難以主張已採取合理保密措施。
若企業已有資安管理基礎,應如何強化管理,才能符合營業秘密法遵要求?資策會科法所創意智財中心鄒宗萱副主任在資安大會上表示:「企業在鑑別營業秘密標的範圍時,需要評估整體業務流程,若只以部門職能為考量因素,恐難確保把所有潛在營業秘密標的、範圍及對象等都納入管理範圍。另外對於營業秘密的適當管理程度,企業需要思考如何才能確保營業秘密內容不會外洩,可以先從常見潛在外洩行為或載體,連結企業對外所負之保密義務等,進行綜合評估,以確實建立符合自身所需之營業秘密管理措施。」
總結來說,為持續強化營業秘密保護,企業需要評估牽涉到營業秘密的不同業務流程,並鑑別對應的營業秘密標的、範圍及對象。此外,在設計管理流程時,仍須留意營業秘密法對於合理保密措施之法遵要求,才能減低營業秘密內容外洩風險,促進符合「秘密性」及「合理保密措施」的營業秘密法遵要求。
【新聞聯絡人】 資策會科法所 顏翩翩 Tel: (02) 6631-1084 Email: [email protected]