• 益思團隊

Work from Home,營業秘密管理準備好了嗎?

◎賴文智律師

面對COVID-19疫情來襲,無論是有職員確診或其他許多國家政府宣布限制非必要的外出的禁令,以員工集中在特定辦公空間工作為常態的台灣企業或是跨國企業,都必須事先規劃因應,以避免企業營運被迫暫時停擺的困境。甚至專家指出此類疫情可能「流感化」,未來年年都須防範,如何與具高度傳染性的疫病共存,Work from Home(在家工作)即成為現代企業必須正視的課題。

以近來因為全球疫情升溫而爆紅的視訊軟體Zoom為例,因為全球企業、政府、教育單位大量使用,陸續傳出陌生人可能中途闖入視訊會議、加密不完整、權限升級漏洞,以及將流量導向中國伺服器等問題,而引發各政府機關以及像特斯拉、Google等公司禁用的新聞,更是讓諸多企業在推動Work from Home時膽戰心驚。其中企業評估最核心的關鍵即為營業秘密的保護,本文就與讀者們一起檢視企業是否已就WFH的趨勢,做好營業秘密管理的準備。

一、WFH在營業秘密管理上的特殊性

一般企業的營業秘密管理,通常包括文件、檔案管理、人員管理、實體空間及資訊科技這幾個面向,但因為這些管理規範在設計時的「潛規則」幾乎都是以員工集中在特定實體場域工作為前提,設法避免營業秘密流動到實體場域之外為最重要的核心,一夕之間需要更改為以WFH為原則,除了失去實體場域所建構出來內外之別的保護外,營業秘密經常性地「流動」也會是屬於常態,員工似乎成為眾多難以管理的外部包商,好奇的家人與不安全的家庭WIFI或行動上網取代企業員工與內部網路,營業秘密管理面臨的企業組織運作的環境發生極大的變動。

面對辦公空間由實體走向虛擬,人員由集中走向分散,在評估企業如何進入WFH階段,針對一般企業比較容易注意到的「資訊安全」的面向,可以先檢視若進入WFH階段,企業針對下述幾個營業秘密管理的問題準備如何:

1. 員工是否僅能在公司所屬的設備上作業?

2. 是否開放員工使用特定的雲端服務或個人裝置?

3. 員工是否可以透過較安全的方式連結至企業端伺服器存取或操作?例如:VPN加上多重的身分認證。

4. 機密資訊本身是否進行檔案加密,以降低外部存取與流動可能帶來的風險?

二、企業營業秘密重新盤點

企業必須在營業秘密保護與業務無縫接軌中取得平衡,前述幾個「資訊安全」面向問題答案,大致上可以觀察到各家企業在營業秘密管理上所選擇的「平衡點」,接下來要處理的就是如何就企業現有的營業秘密管理機制,配合企業所選擇的「平衡點」進行調整,筆者建議最重要的工作,應該是重新進行企業營業秘密的盤點,而這個盤點是帶著目的性的,就是由WFH的角度,重新檢視營業秘密從產出、取用、流動到最終解密(消滅),就營業秘密整個生命周期而言,是否可在適當的保護措施下,儘量維持企業如常平順地運作。

以營業秘密的分級而言,集中工作的情形下,機密資訊的保密等級通常都是「從嚴認定」,主要原因在於對企業運作而言,從「極機密」、「機密」到「密」分級雖有不同,但對於在企業實體場域內部流動的管制影響不大,通常員工不會覺得被過度干擾,然一旦機密資訊可能被以外部連線存取或是由員工在家中的單機設備上使用,即相當於對外流動,若機密資訊都採取「從嚴認定」的原則,因為缺少人員集中辦公可以當面、即時溝通的便利與信任,層層的管制或許可的流程,即可能對於員工日常工作造成負面影響。這反而是一個機會讓企業重新檢視原先對於營業秘密分級認定的正確性,釐清真正核心的營業秘密,這些核心的營業秘密可能就會以避免WFH為原則,其餘的機密資訊則可在分級控制的規範上,因應WFH的需求進行適當調整。

除了營業秘密分級的調整之外,企業營業秘密盤點的另一個重點是把營業秘密日常產出及流動的路徑找出來,通常特定類型的營業秘密由特定的單位或管道產出或取得,這應該是比較明確的,但是哪些營業秘密會由企業哪些部門、哪些層級的人員接觸或使用,則未必是營業秘密管理人員關注的重點。一方面是企業內部的機密資訊並非都以數位方式存在或流動,二方面是企業內部數位檔案流動風險的控管,通常可以用管控實體設備及網路服務的方式加強安全性。但在WFH的情形,機密資訊幾乎全部需要以數位的方式呈現,可能員工平常是直接就近在檔案櫃取用紙本資料,未來可能需由員工自外部連線進行存取,員工存取機密資訊的需求可能大幅增加,這時候了解特定職位日常業務所「應」或所「得」存取的機密資訊及其流動管控的細緻化、明確化,就顯得更重要,才能有效提早發現或降低營業秘密流失的風險。

三、以WFH為導向的管理安排

營業秘密管理有相當濃厚的成份與人員管理有關,如何檢視企業的營業秘密管理是否可配合WFH的需求,筆者建議可以用以下幾個營業秘密管理的關鍵時刻,觀察營業秘密是否有被妥適的管理:

1.企業核心營業秘密產出時

企業是否已就核心的營業秘密先行定義、公告並即時管理,過去企業的營業秘密因為集中在特定的實體場域,就算沒有即時處理,也有相當的機會事後補救,但當員工在家中進行各種對企業重要的產品或服務開發計畫、撰擬業主的行銷企劃構想或參與招標的準備等,企業是否明確公告這類的機密資訊屬於公司的重要營業秘密,需要被即時管理,將成為日後發生營業秘密爭訟時的攻防重點。

2.重要人員到職及離職時

企業並不會因為疫情就完全停止人事的更迭,無論是人員晉用或離職,過去除了勞雇契約或智慧財產權權歸屬或保密文件、聲明文件的簽署之外,通常也會在離職前由高階主管進行離職訪談,當然也包括營業秘密保護的提醒。未來當然也可以透過視訊、數位文件簽署的方式辦理,但因為企業更難掌握員工是否如其聲明地不會在工作上使用前雇主或他人的營業秘密,也無法確知員工是否以其他方式保留或截取營業秘密的資訊,甚至當員工就直接失聯,連公司發給的電腦設備等都不願意處理返還事宜,這些都是需要預做因應的風險。

3.合作或併購開始接觸及停止時

另一個經常發生營業秘密爭訟的類型是發生在對外合作或併購時,目前多數企業都很能接受NDA先行的概念,過去集中辦公室企業比較容易用單一窗口來進行這類由外部合作單位取得的營業秘密的管理,但WFH的趨勢將很難由單一人負責營業秘密的控管,當這類機密資訊散布在不同員工的單機設備,而長期合作案件又可能與人員的流動交互影響,最後企業在面臨有需要銷毀或返還他方機密資訊時,可能就難以明確掌握該等機密資訊是否有被不當應用在企業的商品或服務上(或是與企業自有的財產混同無法分離),是否已確實返還或銷毀而未在任何公司所屬財產上留有複本等。

四、WFH更需要將營業秘密管理制度化

依據Baker McKenzie在 2017年發布的調查報告,82%的資深經理人認為營業秘密很重要,超過1/5的公司認為或知道該公司營業秘密曾遭竊取,有超過2/3的經理人最擔心的是前員工及第三方供應商竊取營業秘密的風險,但只有1/3的公司有營業秘密的清冊或對於避免營業秘密遭竊取採取行動方案,這樣的調查數據真實地呈現營業秘密管理的困難。

本次COVID-19疫情對企業營運的衝擊是全面性的,但也正是企業檢視營業秘密管理的契機。相信絕大多數的台灣企業,沒有辦法像台積電一樣,直接導入特定的遠端工作的系統,一次大手筆地發給三萬名在家工作的員工符合特定安全規格的筆電,讓IT部門有能力掌控分散在員工家中的設備,以期讓企業的營業秘密保護儘量滴水不漏。

然而,營業秘密管理向來不是只有「資訊安全」的問題,能不能自始、持續地符合營業秘密法有關營業秘密保護的要件,才是企業進行營業秘密管理的「核心」。面對Work from Home的趨勢,除了在資訊安全上的投入之外,企業更應該清楚地認知到,機密資訊需要透過主動、積極的管理,才能成為法律上保護的營業秘密,我們也可以觀察到對於無法在資訊安全做較大投資的中小型企業而言,未來勢必將更依賴營業秘密管理規範及契約文件的法律效果,才能處理日益複雜的營業秘密管理情境。把握這個契機,著手營業秘密的管理吧!