【專題探索】淺談企業營業祕密保護與管理之推動——從資訊安全管理談起
廖淑君 (2015/07/20) 《台經月刊第38卷第7期》
根據Forrester顧問公司之研究,企業資訊安全維護對象可分為兩大類別,分別是祕密與保管性資料資產,前者得以協助企業維持長期競爭力,例如:產品計畫、收入預測及營業祕密,後者為依強制性規定而必須維護其安全性者,當發生毀損、滅失、竊盜等情況時,會變成「毒藥」,企業必須負擔損害賠償責任,例如:客戶資料、醫療資訊、或信用卡資訊等,其中,就企業整體資訊資產的價值來看,有2/3的價值是來自於祕密資產。是以,有關於營業祕密之保護對於企業而言具有實質的重要性。
近年來我國企業發生營業祕密外流之新聞時常可見,有關於營業祕密保護之爭訟亦屬屢見不鮮。是以,企業如何透過有效的營業祕密保護與管理措施,以確保取得或開發之營業祕密,未有侵害他人的營業祕密,並避免所持有之營業祕密遭到未經授權或逾越授權之存取、重製、揭露或使用等,以維持企業之利益,漸成為重要的課題。為此,本文將從營業祕密保護與管理併入資訊安全管理作業角度出發,就營業祕密保護與管理之推動進行說明。首先,將就營業祕密保護與管理進行說明,包括營業祕密之構成要件、侵害營業祕密之行為態樣,以及營業祕密保護與管理之目的和相關措施;其次,將就資訊安全管理進行介紹,並說明可透過資訊安全管理,推動營業祕密保護與管理,惟應注意營業祕密法令遵循之考量;最後,將營業祕密保護與管理併入資訊安全管理作業可能面臨之困難,並提出相關建議。
營業祕密保護與管理
(一)何謂營業祕密?
實務上常可見機密或極機密等用語,或約定企業所屬人員對於機密資訊負有保密義務等做法。然而,將資訊標示為機密或極機密文件,或是以契約概括約定所屬人員之保密義務,並不當然立即表示該資訊即為營業祕密法所稱之營業祕密。按我國營業祕密法第二條之規定,得作為該法保護對象之營業祕密,必須符合以下四個要件,分別是:(1)可用於生產、銷售或經營上之資訊,例如:方法、技術、製程、配方等;(2)具有祕密性,即該等資訊必須是非為一般涉及該類資訊之人所知者;(3)具有經濟價值,即該等資訊必須因其祕密性而具有實際或潛在的經濟價值;(4)具有保密措施,即所有人已採取合理的保密措施。所以,如果只是於文件上標示密件,而無其他相對應的保密措施,例如:未為閱覽權限之管理、未交由特定專人保管……,難謂其為營業祕密。
(二)何謂侵害營業祕密?
根據我國營業祕密法之規定,如有侵害營業祕密之行為發生,必須負損害賠償責任,而何謂侵害營業祕密?按營業祕密法第十條之規定,其指行為人有下列情形之一:(1)以竊盜、詐欺、脅迫、賄賂、擅自重製、違反保密義務、引誘他人違反其保密義務或其他類似方法(即不正當方法),取得營業祕密者;(2)知悉或因重大過失而不知其為以不正當方法取得之營業祕密,而取得、使用或洩漏者;(3)取得營業祕密後,知悉或因重大過失而不知其為以不正當方法取得之營業祕密,而使用或洩漏者;(4)因法律行為取得營業祕密,而以不正當方法使用或洩漏者,諸如擅自重製、違反保密義務等;(5)依法令有保守營業祕密之義務,而使用或無故洩漏者。
同時,於2013年之後,如行為人有下列情形之一,亦將面臨刑事責任,包括:(1)以竊取、侵占、詐術、脅迫、擅自重製或其他不正方法而取得營業祕密,或取得後進而使用、洩漏者;(2)知悉或持有營業祕密,未經授權或逾越授權範圍而重製、使用或洩漏該營業祕密者;(3)持有營業祕密,經營業祕密所有人告知應刪除、銷毀後,不為刪除、銷毀或隱匿該營業祕密者;(4)明知他人知悉或持有之營業祕密有前三種情形之一,而取得、使用或洩漏者。
營業祕密、資訊安全管理、保密措施、法令遵循、風險評鑑、資料外洩、內部稽核、資安政策、企業治理、資產保護
分享:
