從南亞科到聯發科,最近多家台灣科技公司發生員工竊取公司營業祕密而被檢察官起訴的案子,究竟甚麼樣的資料可以算是公司的營業秘密?公司又應該如何保護這些營業秘密呢?
營業秘密的定義
營業秘密是指公司內部具有經濟價值且符合秘密性的方法、技術、製程、配方、程式、設計或其他可以用於生產、銷售或經營的資訊,且公司對於這些資訊已採取合理的保密措施者。因此,除了技術資料外,公司內部的財務報告、客戶名單等商業資訊,也都可能是公司的營業秘密。
實務上常將營業秘密分成「商業性的營業秘密」及「技術上的營業秘密」二大類,前者包括客戶名單、交易底價或成本分析等財務資料、行銷計畫、公司未來中長程的發展計畫等,而後者則包括研發資訊、演算法、產品配方、製程、規格或設計原型等。
目前全世界著名的營業秘密大都屬於「技術上的營業秘密」,包括:Google搜尋引擎演算法、肯德基炸雞配方、可口可樂配方、Lena
Blackburne棒球摩擦泥土配方、Mrs. Fields巧克力脆片餅乾、Twinkie 餅乾配方、紐約時報暢銷書名單決定方式、李施德林漱口藥水配方、WD-40去汙水配方、Krispy
Kreme甜甜圈配方、麥當勞大麥克醬汁配方等。
營業秘密之保護
營業祕密對公司既然重要且有價值,公司即應採取適當的保護措施來保護該些資料,以防止其被竊取或外洩。因此營業秘密法規定,公司須採取合理的保密措施來保護這些資料,否則該些資料將不會被認定為公司的營業秘密,而無法受到營業秘密法的保護。
但是,公司對於營業秘密究竟要為那些管理,才會被認為已採取合理的保密措施呢?實務上一般可分成「物的管理」及「人員管理」兩大類,「物的管理」是指對儲存機密資訊的媒體,以及存放該媒體的空間進行管理,以防止這些機密資訊被竊取,而「人員管理」則是指對於員工、合作夥伴及上下游廠商等之管理,以防止其等因故意、過失而洩漏公司的機密資訊。
物的管理:機密等級的界定與標示
首先,公司應依這些資料的重要性、敏感性及機密程度區分成不同等級,採取不同程度的保護措施,以兼顧資料的安全及使用的效率。再者,為使員工知道該資料具有機密性而應妥善管理,故應對於機密資料進行標示,紙本文件應在文件封面加蓋「密」、「機密」、「極機密」等標示,電磁紀錄則應在檔案名稱或載體為標示,並依機密等級設定不同安全程度之密碼,目前實務多數見解認為,未標示為密件之資料,不屬於公司的營業秘密,而無法受到營業秘密法的保護。
物的管理:存取控制
機密資料除應為機密等級的標示外,也應進行存取控制,即規定何部門、何層級的人員才能讀取該資料。其中,紙本的機密資訊,應放在上鎖的櫃子並由專人管理,由專人依控制規則將資料出借給有權使用之人,且使用者於取用及歸還時,皆應進行登記,故當資料有外洩、毀損等問題時,可迅速追查嫌疑人。至於電磁紀錄,則應存放於公司伺服器中,並限制得接觸該資訊之員工身分。亦即,任何人要存取該資料皆應登入公司之伺服器,且唯有輸入有權接觸該資訊之員工的帳號密碼,才能讀取該資訊。至於機密資料之下載則應從嚴控制,以防止員工將資料下載後攜出。
物的管理:區域控管
為防止無權限之人接觸到機密資料,應將存放機密文件之櫃子及儲存機密檔案之伺服器放置於特定區域,並應對該區域進行門禁管制,除限制可進入該區域之人員,並對於進出人員進行記錄、監視、監聽外,亦應針對外來人士訂定出入管制程序,避免其任意進出管制區域甚至接觸營業秘密。再者,人員進出管制區域時,應對具有照相、錄影、錄音功能之資訊設備及儲存媒體進行攜入管制,並對含有營業秘密的紀錄媒體、資訊設備及模具、試作品等物品進行攜出管制,以避免營業秘密遭攜出後洩漏出去。
物的管理:電腦系統管理
為避免公司內部人員利用網路將機密資訊外洩出去,公司應訂定網路連線管理規則,並進行網路流量監管、電子郵件備份、監控等管制行為;為避免機密資料於傳遞過程中遭竊取、外洩,公司應要求員工需將機密資料加密後,始能進行網路傳輸,或存放於隨身碟等裝置中;為防止駭客入侵而破壞、竊取公司機密資訊,公司應加強外部入侵之防禦,除可設置防火牆、防毒軟體以防範電腦病毒等惡意攻擊程式外,亦可設置弱點掃描、入侵偵測系統(IDS)、虛擬私有網路(VPN)等,以強化網路安全管理。
----待續
沒有留言:
張貼留言