在政府將營業秘密侵害視為國安級別的威脅後,營業秘密保護的重要性已獲得各界普遍認同,然而,隨著對營業秘密保護意識的提升,接下來的挑戰是如何規劃和執行營業秘密的管理工作,這成為當前討論營業秘密保護時,大家面臨的主要挑戰,原因就是即便營業秘密侵權相關案例層出不窮,從營業秘密法和相關判例中,我們可以看到很多侵權事件細節,但卻不容易歸納出到底甚麼是完整的營業秘密管理架構,在缺乏明確管理架構的情況下,人們既不知如何開始,也難以判斷已進行的工作是否適當,因此,如何鑑別營業秘密管理工作的執行狀況,成為眾人關注的議題。其實,這個難題還是有解決的可能性,但專業領域的日益細化,使得人們暫時忽視了跨領域整合的巨大價值,我們將法律智財界所熟知的TIPS(台灣智慧財產管理制度)認證和一樣被資訊界所熟知ISO27001(資訊安全管理的國際標準)認證內容進行了解,就能發現裡面有很多條文規範就是營業秘密管理最需要的架構與執行要點。以下,我們挑選兩個重點來協助大家一起進行了解。
營業秘密管理的具體工作內容: ISO27001的認證是檢視一家公司是否建立妥善的資訊安全管理系統(Information Security Management System,簡稱 ISMS),目的在於保護資訊之機密性、完整性及可用性,由於一般認知「保密」就是資安管理的主要工作,所以從資安角度來理解如何進行機密或營業秘密管理是相對容易。的確在ISO27001條文6.1內容中規範企業要對於資訊安全進行風險評估這個評估包含要將資訊安全進行識別,簡單來說就是要找出哪些資訊是屬於機密,而這些被認定為機密的資訊的分類分級、產出使用、存取控制等細節也在附錄的資訊安全控制措施條文中有詳細的說明。另外也提到要分析這些資訊如果發生風險會產生甚麼影響,而這個評鑑目的要產生對應的風險處理方式,以上內容產出可經由公司資產盤點工作上來要求公司員工去遵守使用規則。營業秘密被認作是TIPS的驗證項目之一,在TIPS條文中7.4.3文件管制和8.2.2.1機密管制中都可視為在營業秘密管理工作要有對應合理管制措施,但條中卻沒有對措施內容做更細節的描述,因此,上述提到ISO27001的資產盤點制度的運行規則即可同時使用到營業秘密管理的工作中,這作法也就是我們常聽到的營業祕密盤點。所以如果公司要釐清所欲保護的營業秘密,就可藉由風險評鑑來識別機密等級,並利用盤點工作了解營業秘密在公司運作流程中要投入那些保密工作,也藉此讓公司同仁能明確識別在盤點表當中的資訊都是自己必須遵守保密義務的標的,此作法將同彰顯公司對於營業秘密保護的重視,也為發生侵害時做了舉證的準備。ISO27001的資安風險評鑑和資產盤點可做為營業秘密管理中盤點、識別、分析和因應的方法,也可表示在進行ISO27001驗證時也可檢視營業秘密盤點工作是否切實執行。
營業秘密管理的制度架構設計: 從上述說明感覺既然ISO27001的條文有資安工作具體的細項可引用制營業秘密管理工作,是否通過ISO27001驗證即可符合營業秘密管理的角度,然而這想法並非完全正確,原因是目前各家公司擔任ISO27001驗證的權責單位為資訊部門(俗稱IT),所以常常僅用資訊部門相關業務來做ISMS範圍,但營業秘密的可認定範圍卻可能包含公司全部的業務範圍,這時候以TIPS條文規範的架構來看更為完整。要通過TIPS驗證,在驗證資料準備時,從其權責矩陣表中就會知道要納入準備工作的相關部門比ISO27001更多,除了比較核心的研發和法律智權部門外、還有人資、文管、總務、稽核等,當然也包含資訊部門。此外,TIPS各章節的條文很多都是要檢視上述各部門流程是否符合智財管理的要求,依照營業秘密法第二條規範,可認定為營業秘密的樣態是可能會超出一般資安認定的紙本和電子文件的資訊樣態,譬如產品試作樣本,或許有人會說ISO27001也有針對軟硬體和環境做規範,但這邊又可理解畢竟ISO27001驗證的核心目標是解決資訊安全管理,營業秘密管的範圍是屬於智慧財產管理,兩者規範重點仍有差異。以管理架構來看,TIPS的架構更適合營業秘密保護管理制度制定時要納入權責內容評估的依據,譬如研發部門就要注意8.1.1~8.1.3的條文要求,人資部門要檢視8.2.2~8.2.5的員工入職到離職的規範等,前述兩個部份就和營業秘密產出與營業秘密主角為人這些重要議題的處裡有關,和人有相關規範就會超出資訊部門權責,人資部門的管理規範就成為重點。所以,依照營業秘密屬於智財一種權利的屬性,TIPS條文中對於各部門涉及權責工作有更便於理解的說明,依照驗證準備即可檢視全公司各部門在營業秘密管理上是否有兼顧分工合作的目的,這也提供營業秘密管理流程的制度設計依據。
目前有針對營業秘密管理指針這類由智財局或資策會制定提供給企業從事營業秘密管理的操作手冊,尚未有單獨認定營業秘密管理的驗證標準,這狀況就像是如果一家企業有營業秘密保護上的問題,到底是找律師、資安專家還是企管顧問?其實答案也很簡單,營業秘密保護本身就是非常跨界的一件事,不同的部分要找不同的專業協助。同樣如果要檢視營業秘密管理工作的工作執行狀況是否周全,可藉由ISO27001和TIPS兩者的驗證來進行,假使能順利通過,也間接表示一家公司的營業秘密保護有做到一定程度,對上市上櫃公司來說,還有公司治理評鑑加2分的好處,因此,誠心建議將通過TIPS和ISO27001驗證作為企業營業秘密保護的重要目標選項。
如對運用營業秘密管理爭取公司治理評鑑加分機會的議題有興趣,歡迎參加5/3「管好營業秘密風險,幫公司治理評鑑+3分」線上研討會。