文/蕭奕弘
台積電近期爆發的員工洩密案,再次突顯營業秘密保護的重要性。對於 CIO 而言,這不只是法務部門的事,更是全公司都必須正視的核心資訊治理議題。相較於專利而言,營業秘密並不需要申請核准,只要符合法律規定的要件,即屬營業秘密而受到法律保護。營業秘密涵蓋範圍廣泛,除了與研發或創新技術有關的「技術性營業秘密」(如方法、技術、製程、配方及程式等),也包括「商業性營業秘密」(企業的客戶名單、經銷據點、商品售價、進貨成本、交易底價、人事管理、成本分析等)。
只要用於生產、銷售或經營之資訊,因為秘密性而具備經濟價值,具有合理的保密措施,都可以受到營業秘密的保護。然而,許多資訊主管可能誤以為,營業秘密保護需要投入龐大資源,但司法實務告訴我們,關鍵在於措施是否有效。如何將法律要求的「合理保密措施」,轉化為具體的技術與組織方案,是 CIO 的首要任務。只要企業願意投入適當資源,完善內部控制制度與規範,就可以達到一定程度的防護。
三大核心要件與司法實務關點
資訊要成為營業秘密而受到保護,必須符合以下三大要件:秘密性、經濟價值與合理保密措施,那麼司法實務是怎麼看待這三個要件?
◾ 秘密性:不求絕對機密,但求相對封閉。
司法實務認為秘密是相對的概念,並非只有極少數人知悉才算機密。只要資訊的詳細內容跟範圍是可以特定的,跟知悉人數的多寡,並無直接關係。
某 DRAM 公司的營業秘密案中,涉及內部訓練的教材,可以接觸的人不少。但法院認為晶圓先進製程,需大量資金、人力及物力投入及參與始能成就,不能只以具有閱讀權限人數較多,而否定內容為機密或不具保密措施。重點在於知悉秘密的人具有一定的封閉性,而且企業明確地將資訊當秘密來對待,並採取相當的措施予以保密。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 linkedIn,與全球CIO同步獲取精華見解 ]
換言之,公司的資訊治理政策必須確保,只有真正因業務需要的人,才能接觸到特定機密資訊,並留下完整的存取日誌,做到「最小權限原則」。
◾ 經濟價值:資訊就是競爭力
司法實務認為經濟價值除了資訊本身會帶來有形的金錢收入外,還包括市占率、研發能力、業界領先時間等經濟利益或競爭優勢,只要因為資訊被其他人擅自取得、使用或洩漏,會造成企業經濟利益損失或減少競爭優勢,該資訊就有經濟價值。
換言之,除了金錢可以衡量的價值外,企業的核心競爭力,更是營業秘密反映出來的間接經濟價值。在某電子公司的營業秘密案中,涉及的營業秘密是採購資料,屬於商業性的營業秘密,法院認為採購資料是公司長期經驗累積,如果被競爭同業取得,可以縮短摸索時間及耗費成本,足以造成公司經濟利益之損失,並削減公司競爭優勢,具有經濟價值。
因此,即使是看似普通的資料,如果經過長期累積,能讓對手縮短研發或採購成本,就具備經濟價值。公司應隨時檢視內部資訊,評估商業價值與風險等級,配置相對應的保護機制,每一個辛苦累積的不公開資訊,都是公司的資產。
◾ 合理的保護措施:組織跟技術雙管齊下
這或許 CIO 最難掌握的部分,怎麼樣的保護措施,才算合理?請記得:法律要求的是「合理」、「有效」,不是「滴水不漏」。法院認為只要能依照自身的人力、財力狀況跟資訊性質,以可能的方法或技術,將資訊以不容易被任意接觸的方式來控管,可以達到保密目的,就算是有效的合理保密措施。
[ 推薦文章:將個資保護 DNA,注入資通系統新生命 ]
合理的保密措施涵蓋了技術面與組織面,比如跟員工簽訂保密協議、資訊管理控制及加密、機密文件標示、依照業務需要分類分級等方式,都是司法實務認定有效的合理保密措施。
點在於企業有意識地將特定資訊視為秘密,並落實技術與組織並行的保護。
內化為企業 DNA
營業秘密的保護,不只是法務、資訊部門的任務,需要公司管理階層的支持,每一個部門的參與,將營業秘密保護的要求納入公司內部控制制度,並確實執行。
對 CIO 而言,將法律要求落實為資訊安全與組織規範,不僅能防範資安風險,更能結合資安防護、營業秘密與個資保護,更能將資訊安全文化深植於企業 DNA,為公司的長期發展築起一道堅實的防線。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
