營業秘密保護與防範商業間諜之實務作法(下)

8月號(上)篇文章介紹對於在職員工、離職員工宜採取較為嚴格且全面的控管機制，在實務上可以看到諸多利用在職員工或離職員工作為竊取營業秘密的手法，以財訊雜誌在今年6月10日報導砷化鎵技術竊取遭檢察官起訴的案例為例，採用獵人頭業者與相關產業的資深技術工程師接洽，並在高薪挖角條件下，要求工程師提供關鍵的製程參數細節，工程師亦突破內部控管違規列印機密文件，另有利用公司報告時將硬碟替換為個人硬碟，以利將報告資料拷貝至個人硬碟中，獵人頭業者亦有對離職工程師的面試也以填寫機密製程詳細資訊等手法，足見對在職員工與離職員工之控管，是保護營業所必須優先考慮的。

接著討論的是對於交易對手的營業秘密保護管理對策，一般交易對手的範圍可以分為上下游供貨的廠商、代理經銷廠商及共同研發的廠商，日本經濟產業省認為可能造成營業秘密外洩的原因包括交易對手本身故意違法揭露給其他第三人或交易對手遭其他不法取得營業秘密，例如大型醫藥製造業就部分營業秘密、個人資料授權委託廠商使用時，宜先對委託廠商的資訊安全管理制度進行確認，如委託廠商是否已取得資訊安全管理制度的認證或隱私權標章、認證，如未取得認證之廠商是否定期進行稽核，對再委託之廠商亦應給予相同強度之控管。

日本經濟產業省也舉例說明，對於攸關核心技術的營業秘密不應給予交易對手，而僅揭露外圍週邊的技術資訊，過去營業秘密外洩案例就有將樣本交給海外競爭關係的交易對手，反而導致機密外洩，故對於樣本的交付亦須相當慎重，報價單上也應儘量避免揭露公司營業秘密、圖說等資料，也可以考慮交易對手相關人員之機密資料存取紀錄定期檢視，或對交易對手的營業秘密管理制度執行成效進行評估與監督。另外亦應留意使交易對手及其員工意識到機密資料也是必要的，例如向交易對手揭露的資訊標示為「機密」、「極機密」，亦為訴訟實務上攻防之關鍵證據資料，在委外廠商進入公司提供駐點或支援服務時，亦應採取相當的保密措施，例如內部網路連線的控管，避免廠商連接網路線即可進入公司內部網站，或控管進入公司之委外廠商人員隨身之筆記型電腦或隨身碟等資訊設備。

至於其他外部不當存取資料之第三人竊取營業機密之情形，如果是透過員工或離職員工取得機密資料，並非直接由外部第三人直接取得機密資料，故日本經濟產業省在此處的概念係指第三人進入公司實體環境或資訊環境，不當地存取公司機密資料，故涉及到實體環境的控管部分，包括門禁、監視攝影器或允許外部人員進入的場域，避免有公司機密資訊存放，至於涉及資訊環境部分，則有避免駭客入侵、電腦病毒等資安問題，也應有防火牆、入侵防禦系統(Intrusion Prevention System)等控管措施。

綜合本期與前期文章之分析，可以了解企業在採行營業秘密保護的管理措施時，宜就可能發生營業秘密外洩及商業間諜入侵的相關威脅來源及面向，依風險基礎方法訂定相關控管措施，除參考同業一般控管措施外，也必須考慮企業本身的情境加以控管。

• 營業秘密保護與防範商業間諜之實務作法(上)：https://deloi.tt/2oIbnTQ