企業應該如何透過人事規範設計保護商業秘密?
02 Jul, 2025
問題摘要:
企業若欲有效保護商業秘密,須從人事制度設計、契約管理、技術管控及法律救濟四大面向同時著手,並應與員工建立明確法律關係與保密責任,避免日後發生資訊外洩後無法可依之困境。唯有如此,方能在知識經濟與高度競爭的市場環境中,確保企業關鍵資產與競爭優勢不致流失。
律師回答:
關於這個問題,企業為保護商業秘密,應從人事規範與組織制度的設計上著手,系統性建立防止資訊洩漏的機制,並確保員工於入職、在職與離職各階段,均明確了解並遵守有關商業秘密的保密義務。
商業秘密及保密等級之設計規範
所謂商業秘密,依營業秘密法定義,係指不為公眾所知悉、可用以產生經濟利益,並經相當保密措施保護之資訊,包括設計圖、產品配方、研發技術、客戶名單、行銷策略、人事資料及管理制度等,兼具秘密性、經濟價值性與保密措施三項要件。
商業秘密(亦作營業秘密,俗稱商業機密)是指包括設計、程序、產品配方、製作方法、製作手工藝、管理訣竅、客戶名單或產銷策略等的技術信息和營業信息:且該信息不為普遍所知,能為權利人帶來經濟利益,具有現實的或潛在的實用性,並經權利人利用保密手段管理;同時該信息不與公共利益相衝突;作為商業秘密,通常需要如下構成要件:秘密性、新穎性、實用性及經濟價值性。
未經公開資料之保護權如有資料具有:1、具有秘密性質(例如方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊等),且不論由就其整體或細節之配置及成分之組合視之,該項資料目前仍不為一般處理同類資料之人所得知悉或取得者;2、因其秘密性而具有商業價值;3、且業經資料合法持有人以合理步驟使其保持秘密性時,自然人及法人對其合法持有之資料,應有防止被洩漏或遭他人以有違商業誠信方法取得或使用之可能。
企業內部之營業秘密,可以概分為「商業性營業秘密」及「技術性營業秘密」二大類型。所謂「商業性營業秘密」,主要包括企業之客戶名單、經銷據點、商品售價、進貨成本、交易底價、人事管理、成本分析等與經營相關之資訊。所謂「技術性營業秘密」,顧名思義係指與特定產業研發或創新技術有關之機密,包括方法、技術、製程及配方等」基此,我國訂有營業秘密法。
企業應透過正式的人事制度與文件規範強化員工對商業秘密之保密義務,常見的作法包括:
第一,於聘僱契約中明列保密條款,明確界定「商業秘密」之範圍、保密義務內容、違約責任及賠償範圍。
第二,訂立獨立的保密協議,於員工報到前即簽署,並明訂保密義務之存續期間可延伸至離職後若干年。
第三,設置分級資料存取制度,僅授權具業務需求之員工接觸特定敏感資訊,並以密碼、憑證、指紋等方式強化技術防護。
第四,建立資訊安全政策與內部管控機制,如文件標註「機密」、網路封鎖外部儲存裝置、限制離職員工存取公司系統等。為強化法律保護效果,企業亦應定期辦理員工教育訓練,讓員工明白洩漏商業秘密可能構成民事違約、刑事責任或勞動契約終止之風險。
此外,針對高階技術人員與關鍵職位者,企業可考慮簽訂競業禁止條款,限制員工於離職後一定期間不得於競爭對手任職或自行營業,惟應符合合理期間、地區及業務範圍等限制,方能符合法律規定。
值得一提的是,營業秘密與工商機密雖在實務上概念相近,但仍有立法目的與保護門檻上的差異。營業秘密法所保護者以競爭秩序及產業倫理為核心,著重於合理保密措施的有無,需具備秘密性、經濟價值性及合理保密措施三要件;而刑法第317條之工商機密洩漏罪則以經濟效益為主要保護法益,條件相對寬鬆,僅須資訊具有非公開性、秘密意思與秘密利益性三要件,即可能構成犯罪,二者在刑責重輕與實務判斷基準上不盡相同。
依據最高法院109年度台上字第2709號判決來看,刑法中妨害秘密罪章的「秘密」應該要有3個要件,即資訊的非公開性、秘密意思和秘密利益性。資訊的非公開性是指非一般人能得知的資訊,秘密意思則為本人不希望其他人所獲知之資訊,最後秘密利益性則為從一般客觀的角度來看本人對該秘密有保護的價值,當這個資訊受侵害時會對於本人產生一定的影響力。
工商機密係指工業上或商業上之秘密事實、事項、物品或資料,重在經濟效益之保護。與營業秘密法的立法目的相比,其為維護產業倫理與競爭秩序,調和社會公共利益,其與刑法洩漏工商機密罪著重在經濟效益的立法意旨截然不同,兩者的刑度更是相差甚遠。換言之,兩者在保護法益上有所差異。營業秘密需要包含秘密性、具經濟價值性和有合理保護措施等3個要件才能構成。
相對於此,以營業秘密的角度來看,必須要達到合理保密措施;工商機密則是認為企業只要具有「秘密意思」就符合。從而,對於多數中小企業來說,營業秘密所稱的合理保密措施必須依據企業行業別、企業規模及具體措施予以判斷;至於工商機密,只要擁有該資訊的所有人不希望秘密被公開並有加以保護該秘密,例如以契約與員工進行約定,且確實尚未對外公開,就可能足以構成刑法第317條之工商機密。至於毫無經濟性價值的文件,如果只是擁有者主觀上不想被公開,即使事後遭他人公開也不會有工商秘密等問題。
實務中,法院對是否構成營業秘密往往要求企業能提出具體而一致的保密管理措施,單純將資訊註記為「機密」或僅口頭提醒並不足以構成法律認定的「合理保密措施」,企業應具備制度化且能落實執行的內部機制,方具實質法律效力。例如於企業網路或電腦設備中設定文件使用權限、操作紀錄追蹤機制、定期修改密碼、設立離職員工清帳機制與存取權限終止作業等,均為法院判定保密措施有效與否的重要指標。
尤其在現代企業強調靈活工作與遠距辦公模式下,資訊流動之風險顯著提高,企業更應強化對數位資料的控管與稽核,避免因資安疏忽導致資訊外洩,損害公司核心利益。另企業若將資訊儲存於雲端平台或與第三方服務商合作,亦應透過契約明訂對資訊保密之義務與損害賠償責任,以減少因外部合作導致商業秘密洩漏之風險。
從實務面觀察,我國中小企業在商業秘密管理普遍存在制度鬆散、文件不齊、技術落後與人員流動頻繁等問題,導致營業秘密之保護成效有限。
企業除自行訂定內部保密制度外,亦可聘請專業律師或顧問協助建構營業秘密管理制度,包含風險盤點、資料分類、保密政策制定、法令教育訓練與危機應變流程設計等,形成制度與技術並重之雙軌防線。當發現資訊遭不法洩漏或竊取時,應立即蒐證並提出告訴或民事訴訟,主張損害賠償或請求停止侵害,並視情況聲請假扣押、假處分等緊急保全措施,以防止商業秘密被進一步使用或擴散。
-勞資-員工保密義務-營業秘密
(相關法條=營業秘密法第2條=刑法第317條)
瀏覽次數:2
