當代法律辦論壇 教戰營業秘密及資安保護

由當代法律主辦，台灣科技法學會、財團法人資訊工業策進會、陽明交通大學科技法律研究所、華淵智慧財產顧問公司、誠美材料科技公司協辦的「營業秘密及資安的挑戰與保護」研討會，15日在國立政治大學公企中心6樓A605會議教室舉行，聚焦最新的營業秘密及資安雙主軸，吸引眾多關心該議題的人士出席。

台灣科技法學會理事長劉尚志開幕致詞表示，過去5到10年，營業秘密在臺灣是智慧財產權領域中最熱門的主題，跟專利不太一樣，大部分是藉以提告對方，捍衛自身權益，在臺灣智慧財產權領域裡面扮演劃時代意義，位於新竹科學園區旁的交通大學，也針對該議題投入許多心力。

劉尚志指出，台灣以製造業為主，但申請製造專利的時候，有可能被競爭對手抄襲，因此營業秘密的推廣有其必要性。同時，臺灣法發展到營業秘密，代表臺灣從過去智慧財產權的追隨者，逐步轉為引領科技的創新者。

劉尚志表示，營業秘密的合理保密措施到底有哪些？以及資訊安全與國安結合等先進議題，今日與會講者將提供各界前瞻、專業的見解。

第一場次「營業秘密管理」主持人：當代法律社長兼總編輯廖義銘指出，營業秘密管理有三個核心問題，就是：沒有被好好保護的營業秘密算不算營業秘密？沒被全部偷走的營業秘密，算不算是侵害到有價值的營業秘密？不成功的營業秘密，是否屬於值得好好保護的營業秘密嗎？這三點值得各界思考。

針對法人機構營業秘密管理，與談人：資訊工業策進會科技法律研究所會務法律中心主任許慧琪點出，實務上要特別注意：促進營業秘密的通報及登錄、追蹤離職人員營業秘密不法侵害行為，並保存及管理數位證據。

此外，許慧琪說，隨著我國積極推動產學合作，相關法人研究機構都有可能與國外企業合作，合作期間，除了企業要將提供給法人研究機構的營業秘密做好相關管理之外，法人研究機構也可能將其技術機密或研發成果提供給企業，凸顯出法人研究機構管理營業秘密的重要性。

對此，許慧琪表示，現階段法人研究機構應從文件資料與人員雙管齊下保護核心項目，在文件方面，要鑑別是否屬營業秘密，如是，則應並進行權限控管，並留存相關使用紀錄，至於人員，要簽保密及營業秘密歸屬約定，並進行相關宣導與教育訓練，對外也需簽署外部單位保密及營業秘密歸屬約定，以保護營業秘密。

與談人中國文化大學法律學系教授王偉霖表示，依照近期法院關於營業秘密要件值得觀察之判決來看，營業秘密有三議題值得各界關注、探討。首先，在價值性判斷上，除積極價值外，具有潛在經濟價值之資訊也符合營業秘密法規定之價值性。其次，在保密義務方面，除法律規定或簽NDA外，個案中也可能因為誠信原則而產生保密義務例如員工與雇主間縱使沒有簽NDA，在職或離職後，均有按照誠信原則所生之保密義務。再者，只偷到部分營業秘密，縱使偷到的部分無法單獨評價為營業秘密，因已著手為犯罪行為，有論以未遂犯的空間。

王偉霖強調，「不能用於生產的資訊並不等於欠缺價值性」，例如智慧財產法院104年度刑智上易字第39號判決曾指出一個4mask技術圖檔因為無法用於生產，仍不能認定為營業秘密，這樣的認定方式忽略潛在經濟價值。此外，誠信原則所生保密義務也容易被忽略。至於，行為人偷營業秘密只偷到一部分，偷到部分縱使不能單獨評價為營業秘密，但應屬未遂。這些問題未來值得法院注意。

與談人：眾律國際法律事務所所長范國華指出，營業秘密相關訴訟敗訴率很高，背後代表的意義？會不會因此浪費太多國家資源？值得各界深思。

針對營業秘密法第二條第一項第一款，范國華表示，實務解釋多為：所謂「秘密性」，係採「業界標準」，也就是說，除了須一般公眾所不知者外，相關專業領域中之人亦不知悉，始符合秘密性要件。

至於營業秘密法第二條所謂「合理保密措施」，范國華分享實務上大多解釋，是指祕密所有人主觀上有保護之意願，且客觀上有保密的積極作為，使人了解其有將該資訊當成秘密加以保守之意思。只需所有人按其人力、財力，依其資訊性質，以社會通常所可能之方法或技術，將不被該專業領域知悉之情報資訊，以不易被任意接觸之方式予以控管，而能達到保密之目的。事實上，應採多少種保密措施才被實務認定已盡合理保密措施之，第一審、第二審以3-4項為主流判斷趨勢。

與談人：萬國法律事務所合夥律師洪志勳指出，營業秘密三要件中，有無採取合理保密措施是實務審理重點，但是否合理往往取決於公司的規模大小，如果公司規模屬於中小企業(譬如5-10人)，法官跟檢察官對採取合理保密措施是否周延的容忍度可能相對高。

洪志勳舉例，依據過往承辦的案件，曾主張公司採行的合理保密措施即是門禁卡管理，而且進出該門禁管制辦公室之人只限研發人員，並提出相關證據證明該公司基於有限公司資源，這是能力範圍能做到最嚴格的保密措施，最終，檢察官肯認該公司確有採取合理保密措施，並提起公訴。但是，如果用同樣標準去看上市科技大廠，法官或檢察官可能不會認同，因為法官跟檢察官對於公司內部所採取的合理保密措施判斷標準，其實是視個案而定，如何符合法官或檢察官的要求，就變成訴訟上的重點。

洪志勳說，訴訟過程當中，將公司內部的合理保密措施呈給檢察官或法官時，如果發現檢察官或法官不斷地質疑公司保密措施哪邊做的不好，就是警訊，這時候就要回到公司內部，依據檢察官或法官認為不足的地方，盡可能用公司現有的制度補充說明，以讓檢察官或法官能夠相信公司確實有採取合理保密措施，以增加勝訴機率。

與談人：當代法律雜誌總編輯辦公室主任廖宏偉表示，保密措施是業者很大的困擾，如果沒有事前先思考規畫，要如何識別營業秘密，如何管理營業秘密；等到營業祕密外洩後，不論是因為員工離職或是員工用惡意手段導致秘密外洩，企業才想到要去亡羊補牢，訴訟上輸的可能性非常高。會輸的主因是舉證門檻以及攻防上企業較弱勢，因此，提前準備更為重要。

廖宏偉指出，AI時代將使營業秘密議題更為複雜，如系統在人臉辨識的準確度上，男女、人種的準確度是否不同？要怎麼事先知道AI準確度高不高，如果誤用準確度不佳的AI，可能會無端受累。監管下的科技，勢必要面對秘密性與公益價值的權衡，尤其是高風險的AI應用秘密性與揭露義務的衝突必須設立機制才能化解。

廖宏偉舉例，一個已經被停用的系統，該系統原本是要偵查有沒有人濫用福利制度，並試著對公民評分，以篩選出有欺詐政府可能性的公民。但其演算法可能違反倫理原則，預設所有公民都變成嫌疑犯，導致該系統最後被停擺，歐盟的AI法也因而催生，希望透過透明揭露，解決演算法衍生的問題。

不僅如此，廖宏偉說，在相關研究中發現，我國的營業秘密保護走的很超前，近些年已經在思考如何將營業秘密的經濟性與合理保密措施連動，以避免要求太高，許多中小企業不符合標準，相信未來在法規推動的時候，我國一定能率先找到一條適合道路。

第二場次「資安管理」主持人：當代法律副社長吳志豪表示，「AI 算力即國力」，目前已有許多產業都積極運用AI增加競爭力，而AI的進程更是以過往沒有辦法想象的速度發展，然而，AI 只是一個「中性」的工具，在科技運用的同時，也已經發現幾個比較大的問題。如去年台灣是全球造訪最多惡意網站的第三名，表示我國常被惡意網站攻擊，此外，臺灣被勒索軟體攻擊次數也是全球第四，可見資安的重要。2024 年全球關注的資安議題包括：1 .AI成為駭客工具、2 .供應鏈有漏洞的隱憂、3.區塊鍊將成為一個新的戰場、4.勒索病毒威脅沒有停歇、5. 駭客攻擊鎖定太空建設。

吳志豪提到，這場四位講者都分別來自於不同的專業背景，以下將從產業面、金融科技創新面、策略面及風險管理面，來解析相關的資安議題。此外，他也建議，政府應加速設立金融創新管理單位，並通過類金融專法，進一步完善金融資安，並且持續關注上述的資安議題。

與談人：鴻海精密工業股份有限公司法務林柏霖律師舉例，某A公司同仁為證明供應商的物料品質差，竟然將內部其他供應商測試物料的數據，Email提供給該供應商作為佐證資料。此案例重大缺失為員工缺乏基本資安保密意識，對測試機密數據未加保密，導致第三人可任意取得、使用、洩露或將客戶訊息輕易轉寄給競爭對手，均將面臨高額的民事求償。又某B集團企業郵件寄發宣導資訊時，誤將約一萬筆個資資料一齊寄給數百餘位同仁。此案例重大缺失為對個資資訊保密不夠嚴謹，不僅未設密碼保護，發信前更未進行SOP審核，員工缺乏資安保密意識可見一斑。

林柏霖強調，保護營業秘密不能只是口號，如果公司自身不遵循法令，又如何期待受到法律保障？企業應從組織面、人員面、契約面、資安面、管理面等五大面向，進行內部更新與改造，除建立合規管理體系外，更須以一專責組織－法令遵循委員會予以佈達與落實，不僅應制訂法遵作業程序，辨識與評估風險、提出改善與控制計畫、更應有舉報與稽核的相關規範相輔相成，並導入各類支援性技術工具，具體落實保護營業秘密措施。

與談人：信曦科技管理顧問有限公司共同創辦人李蘊恆表示，區塊鏈有各種優勢與特性，但應用到實際虛擬資產交易，可能反而表現出金融與數位技術的雙重風險。如同任何網路服務，Web3產業也難逃駭客攻擊與資安事件。李蘊恆並舉出不同類型的交易媒介可能發生的資安挑戰，以錢包 （Crypto Wallet）使用來說，連網的熱錢包容易引起駭客透過網路漏洞進行攻擊，竊取錢包私鑰、盜取資產；對交易所（Crypto Exchange）而言，用戶透過交易所熱錢包管理資產，交易所本身也有營運資金，都可能被駭客攻擊；至於去中心化金融DeFi平台則經常被駭客針對開放式協議及智能合約漏洞來部署攻擊方式。

李蘊恆指出，根據國際研究報告，加密資產駭客攻擊自2020年後大幅攀升，特別在2022年被盜資產高達30多億美金，駭客攻擊的重點則由交易所轉移為更多地攻擊DeFi，包括跨鏈橋在內的許多DeFi協議攻擊事件層出不窮。而資安攻擊也可能造成交易所平台受到龐大損失，過去就曾有日本的比特幣交易所因不當經營及嚴重的系統漏洞，在 2011 年及 2014 年分別遭受兩次駭客攻擊，被從熱錢包竊走高達 4.37 億美元的比特幣，致使該交易所最終破產。

李蘊恆提到，要在區塊鏈上保有資產的核心關鍵是：私鑰 Private Key、種子助記詞 Seed Phrase、智能合約 Smart Contract，而資安攻擊經常就是透過竊取私鑰、助記詞，或是攻擊智能合約漏洞而竊取用戶的資產。李蘊恆也表示未來區塊鏈產業資安管理重點應聚焦在：建立嚴謹的內外部系統權限設定及操作管理、落實系統開發之安全審查及積極測試、強化用戶資產之私鑰管理機制、導入ISO 27001 等國際資安標準、透過交易監控即時發覺安全風險的存在、加強人員訓練及建立風險意識，才能夠有效應對資安風險，保障用戶資產。

與談人：AON怡安保險經紀人股份有限公司副總經理謝杰凌分享國內法規監理動態指出，2024年一月，資安重訊發布規定，重大資安事件的發布時間，要在次一營業日開盤前2小時（ 7點前）發布；違反重訊發布規定，可處違約金3萬~500萬元；此外，旗下子公司發生重大資安事件，母公司也需要替子公司進行公告。

在資安重訊發布重大性標準認定方面，謝杰凌說，2024年五月，明確規範並放寬資安事件之「重大性」標準的認定情境，資通系統、官網遭駭，或遭DDoS攻擊、個資或內部文件外洩之虞時即要發布重訊。此外，公司的資通系統、官方網站或機密文件檔案資料等，遭駭客攻擊，遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊（ DDoS）等，致無法營運或正常提供服務，或有個資、內部文件檔案外洩之虞等情事等，即屬造成公司重大損害或影響，公司即應依重大訊息處理程序法規的第26款發布重大訊息。

對此，謝杰凌表示，未來資安風險管理循環將朝著重框架管理，並以量化分析(Cyber Impact Analysis)發展，相關資安保險需求也可望同步增加，以強化企業面對風險的韌性。

與談人：勤業眾信聯合會計師事務所 風險諮詢服務 資深執行副總經理林彥良表示，依Deloitte 2023年《Global Future of Cyber Survey》，超過90%受訪者表示曾發生資安事件或資料外洩，在營業秘密案件常見的員工或合作方等涉嫌人之內部威脅外，Deloitte 2024《Annual Cyber Threat Trends》顯示，各產業企業亦面臨來自勒索軟體、惡意軟體等外部威脅鎖定重要資料竊取，因此，企業保護重要資料時，應掌握「具價值的資料範圍」，並就該資料所處環境強化資安防護。

其中，林彥良點出，Know-how、發明、創新構想為多數企業認為最有價值且具競爭優勢的無形資產，但管理上更面臨困境。依Deloitte調查，77%企業認為內部有大量重要的資料資產，且所有受訪企業對於註冊的無形資產(專利、商標)管理皆具成熟度，然而，對於其它具有重要價值但不易掌握具體內容的無形資產，如Know- how、營業秘密、資料資產等，企業缺乏識別、統籌梳理該等資產及系統化管理的方法論，致使控管執行困難重重。

林彥良說，為避免該等資產因不易顯見而被忽視或落於有安全漏洞的環境下，企業須儘速掌握這些資產及其資安弱點，並以資產為中心的方法進行持續監控與控管，確保這些無形資產的安全並得以實現最大價值。

針對營業秘密保護管控實施面向，林彥良表示，營業秘密保護控管，除了營業秘密本身的外洩防控，企業亦應平日做好證據管理、異常偵側與提升應變及回復的能力。然而，資訊環境不斷改變，資安管理也需要數位轉型，以因應新一代數位工作環境的挑戰。不在僅僅是做好資料分級，更重要的是「資料治理」。以風險為基礎(RBA)，落實營業秘密資料保護流程， 從監控目標到分析與應變，關鍵要留存流程中的資料處理紀錄，並做好資訊服務供應鏈的第三方風險管理。