遠端工作+舊同事情誼+一支手機,就足以擊穿半導體龍頭的機密防線。 2026年4月27日,智慧財產及商業法院對台積電2奈米洩密案作出一審判決,寫下台灣國安法史上多項第一,也為各產業的資訊安全管理敲響了最嚴厲的警鐘。
判決回顧:一場從咖啡廳到廠區的系統性竊密
根據法院判決,本案的起點是一名曾任晶圓廠良率部門的陳姓離職工程師(主謀),離職後轉職至台積電半導體設備供應商的行銷部門。為協助新東家取得客戶蝕刻機台的量產測試數據,他自2023年8月起,多次藉由舊同事情誼,找上仍在職的兩名工程師(吳姓、戈姓)從中協助。
手法極為隱蔽:兩名在職工程師利用遠端辦公的漏洞,使用公司配發筆電從家中連線登入晶圓廠內網,在咖啡廳、個人住處等私下場所開啟機密檔案,由陳姓主謀持手機當場翻拍。涉案圖檔合計逾14張,內容涵蓋蝕刻製程測試數據與廠區配置流程圖,均被經濟部認定為國家核心關鍵技術。後續更查出另一名陳姓在職工程師,直接拍攝製程機密後傳送給主謀。
一審宣判結果顯示,涉案的陳姓主謀與三名在職工程師,依違反《國家安全法》及《營業秘密法》等罪,分別被判處2年至10年不等的有期徒刑。而設備供應商的行銷主管因事後刪除雲端硬碟中的機密翻拍圖檔、涉嫌湮滅證據,另判刑10月並附緩刑;公司法人則以首宗遭《國安法》起訴的企業法人身份,被判處罰金1.5億元,並應賠付受害晶圓廠1億元、繳交公庫5千萬元。
合議庭認定,該設備廠商對員工從事的竊密行為「未善盡監督之責」,更指出其員工考核資料中留有「善用既有客戶資源取得有價值的資訊」等描述,間接證明公司明知員工可能以不當方式蒐集競業情報,卻未採取防止措施。
制度的邊界:TIPS與傳統營業秘密管理看不見的盲角
台灣智慧財產管理規範(TIPS)以及各企業內建的營業秘密管理制度,通常包含以下核心機制:
- 文件機密標示:依機密等級標記文件(如一般、密、機密、極機密)
- 歸檔與版本控制:限制文件存放位置與修改權限
- 傳遞與取用規範:規定文件的對外分享流程與內部閱覽授權
值得注意的是,這些規範雖然定義了各機密等級應如何標示與管控(例如「機密」等級文件須加密傳輸、「極機密」僅限特定人員閱覽),卻未明確說明應依據什麼標準,將一份文件判定為哪個機密等級。這種「有分級框架、無分級準則」的設計,導致實務上的機密標示往往依賴承辦人的主觀判斷,管理的顆粒度偏粗糙——輕則高風險文件被低估等級,重則核心技術資料游走於灰色地帶,缺乏應有的防護強度。
更根本的問題在於,這些規範設計的預設情境,是已知的傳遞路徑——電子郵件附件、USB外接、系統下載——並針對這些路徑建立控制閘道。
然而本案的犯罪手法,精準地繞開了上述所有管制點:
沒有下載、沒有傳輸、沒有電子郵件。只有一台合法登入的公司筆電、一個被開啟的合法授權畫面,以及一支拿在第三方手中的手機。
傳統營業秘密制度沒有預見的情境正是:內部員工與外部人員相互勾結,在非監控環境中,利用遠端辦公的合法連線權限,以實體拍照方式完成資料竊取。
這個漏洞本質上是一個風險情境缺口——現行規範規定了「什麼資料不能傳出去」,卻未能針對「什麼行為組合會繞過傳統管控」進行系統性評估與防制設計。
話雖如此,真正令業界折服的,是晶圓廠的資安與營業秘密管理團隊在這場暗戰中所展現的高度專業。本案從不尋常的存取行為被察覺、到主動向檢調提告、再到協助偵查還原完整犯罪鏈,整個應變過程快速且精準。能在毫無「數位傳輸足跡」的手機翻拍場景下,仍成功偵測異常、固定證據並完成訴訟,充分說明該公司的資安監控與事件應變能力已達到相當成熟的水準——這套偵測能力本身,或許才是本案最值得同業研究的防禦亮點。
營業秘密管理 + ISO 27001 效果增強
ISO 27001資訊安全管理系統(ISMS)的核心邏輯,與傳統文件管理制度有一個根本性的差異:它不是清單式的「規定你不能做什麼」,而是風險驅動式的「評估每一類資訊資產可能面臨的威脅場景,針對性設計管制措施」。
風險評估:把「遠端拍照翻拍」納入威脅模型
在ISO 27001的框架下,企業必須針對每一類資訊資產,逐一評估:
- 機密性(Confidentiality):這份資料一旦外洩,對競爭力或法規合規的衝擊有多大?
- 可用性與完整性:誰在什麼場合下需要存取?現有授權邊界是否足夠?
- 威脅情境(Threat Scenarios):除了外部駭客,是否考慮到「合法授權使用者在非受控環境中操作」的內部威脅?
本案中,兩名在職工程師的遠端連線是合法的——他們通過了身份驗證。但他們所處的操作環境(私人住所、有外部人士在場)是不受監控的。這正是ISO 27001的風險評估框架所應識別的情境:合法帳號在非受控場所的操作風險。
對應管制措施:ISO 27001如何回應?
| 風險情境 | ISO 27001對應控制項 | 具體措施範例 |
|---|---|---|
| 遠端連線時畫面被第三方拍攝 | A.6.7 遠端工作 | 遠端連線時禁止螢幕截圖;會議軟體自動偵測不尋常背景或多人在場 |
| 合法帳號在非受控環境使用 | A.8.3 資訊存取限制 | 高機密文件僅允許於廠區特定網段或裝置開啟(零信任存取控制) |
| 離職員工透過在職同事獲取資訊 | A.6.5 人員離職程序 | 離職後關係人存取行為的異常監控(UEBA行為分析) |
| 外部人員在場時的實體資訊曝露 | A.7.7 無人職守清除桌面 / 實體環境控制 | 敏感場合的螢幕遮蔽規範;禁止在私人場所開啟機密文件 |
| 設備供應商員工的特殊關係風險 | A.6.2 供應商資訊安全 | 供應商員工的接觸紀錄、訪客管理與定期風險複查 |
這套框架的價值在於個別化的風險處理:不同的資訊資產面臨不同的威脅,管制措施的深度與成本也可依機密程度與損害潛力彈性分配,而非一體適用的文件標示規定,在應如何區分文件機密繞圈圈。
企業法人也難逃其咎:監督責任的新標準
本案設備廠商1.5億元罰金背後,法院認定的標準值得每家企業高度重視:「任由受雇人涉犯相關罪行,未善盡監督之責」。
這意味著,企業不僅要對自身員工的行為負責,更需要建立主動識別潛在風險行為的監督機制——包括員工的外部關係、績效考核描述是否隱含不當資訊蒐集行為、以及離職員工與在職員工的非正式接觸。
ISO 27001所要求的內部稽核、管理審查與供應鏈風險管理,正是建立這種系統性監督能力的制度基礎。
從管制文件到管理風險:新聚能的整合解決方案
面對日益嚴峻的營業秘密威脅,光靠文件標示與規章宣導已不足以應對。企業真正需要的,是一套能夠識別風險情境、針對性設計管制措施、並持續監控與改善的完整體系。
新聚能科技(Synergytek) 同時具備 IPServ 營業秘密管理系統 與 ISO 27001 資訊安全管理顧問服務,可協助企業從制度建立到系統落地,實現 ISMS 與營業秘密管理的整合防護:
- 🔐 IPServ 營業秘密管理系統:整合不同來源的機密資訊,可評估其機密、完整、可用性以及營業秘密關注的經濟價值,並依據其風險來源、發生機率或影響範圍,設定合理管制措施。並可結合SIEM等資安工具進行稽核軌跡監控。
- 🛡️ ISO 27001 ISMS 顧問服務:由資深的資安專家及ISO輔導顧問,協助企業完整盤點機密資產與營業秘密,識別如「遠端工作拍照洩密」等非典型威脅情境,設計合理且可稽核的管制措施,取得真正有效的認證。
台積電洩密案的判決,不僅是對涉案個人的法律審判,更是對整個產業的制度體檢。當手機翻拍14張圖就能引發10年刑責與億元賠償,企業的資訊安全投資,終究是對長期競爭力最划算的風險管理。
歡迎洽詢新聚能,讓我們協助您建立真正能抵禦內外部威脅的資訊安全防護體系。
參考資料: