營業秘密要具備秘密性、經濟性和合理保護措施，找出營業秘密打官司勝訴的關鍵

許多國際大廠針對違反營業秘密保護的判例，少說是上千萬起跳的賠償金額，而在營業秘密的認定上，臺灣有許多企業將攸關公司營運、技術、專利等相關資料視為營業秘密，因此，在各種研討會場合中，大家也可以看到講者的簡報當中，直接標示相關內容屬於公司內部機密，此舉也讓大家對於營業秘密保護的面貌，有一些基本認知。

對許多企業而言，營業秘密保護是維持公司持續營運的重要關鍵，因此，許多企業都會採取保護措施，確保公司營業機密不會遭到外洩。臺灣安永諮詢服務公司執行副總經理曾韵表示，所有的營業秘密不僅須符合秘密性和經濟性，同時需要搭配保護的措施，根據許多判決案例所示，倘若公司針對這些營業秘密無法提供「合理保護措施」時，法院就會認為公司並不重視這些所謂的營業秘密，之後，一旦進行相關訴訟，法院往往會判決原告敗訴或不起訴處分。

曾韵進一步表示，這些合理的保護措施，除了要有明確的政策規範，更重要的是，要有相對應的控管行動，她也建議，企業可以從資料的各種使用狀態，搭配人員、流程和技術的控管措施，落實營業秘密合理的保護措施。

營業秘密必備的三要件

然而，並不是所有企業認定是「營業秘密」的資料，到法院訴訟時就一定可以成立的。曾韵表示，根據《營業秘密法》第二條的規定，營業秘密要成立，必須具備秘密性加上經濟性，並且必須有合理的保密措施，才可以被視為營業秘密，這三者缺一不可。

她解釋，很多人都會把所謂類似「祖傳秘方」的各種珍貴配方、技術、方法、技術、甚至是製程、設計等，視為營業秘密，但實際上，真正的營業秘密並非自己認為是秘密，就是法庭上認可的秘密，還必須搭配三項其他要件，包括：（1）這些「秘密」不是該領域行業大家都知道的資訊；（2）這些秘密必須具備實際或潛在的經濟價值；（3）更關鍵的是，擁有該「秘密」的所有者，有對此採取合理的保密措施。上述三要件但凡有一項不具足，就不是營業秘密。

有些企業老闆將公司內「所有資料」都視為營業秘密，一旦發生資料外洩，公司就要引用《營業秘密法》向員工求償，對此，曾韵坦言，等到法庭開始審理案件後，企業就會發現：企業要證明對於保護營業秘密是有效的措施，往往有其難度。

她以製作蔥油餅的食譜來舉例，材料有麵粉、油及蔥，這些資訊大家都知道，所以這不是秘密；但是，蔥油餅麵團獨門的水和粉的比例、揉捏力道、時間與溫度和入蔥的時機點等，各家都有祖傳秘方，這也是不同蔥油餅口味是否受到顧客喜愛的關鍵，而這些資訊就具有經濟價值。

她也說，為了保護這些食譜的秘密配方，店家對於聘僱的廚師、店員或者是材料採買等部門，都必須有一套嚴謹的管理規則，以保護店家重要的配方，這才算有合理的保密措施。

一般而言，公司企業的秘密可以從「商業」和「技術」兩個層面來看，不管是商業上的客戶名單、併購資訊、商品售價、成本資訊、交易底價、競爭策略、人事管理……等，或是技術面上的秘密，像是化學成分的公式、製造過程、原料處理或保存、機器型式或裝置等，都可以作為秘密性的評估標準。

但要如何判斷該秘密的經濟價值呢？曾韵表示，可以從企業於研發過程投入的成本、實際市場占有率或銷售額的增減、能降低錯誤以提升競爭力的資訊，以及未來能為企業創造的產值或收益，至少必須滿足上面條件的秘密，才能被視為具有經濟價值的營業秘密。

至於該如何認定合理的保密措施呢？曾韵認為，企業必須採取合理的保密措施，要讓外界認為企業確實將該資訊當成機密並加以保護，要採取的相對應手段包括：分級與標示、外界無法以正常方法探知，但她也提醒，中間有一些細節必須留意，像是：資料放公用資料夾，然後用權限控管，這樣做就可以嗎？是否有簽署保密合約就可以了呢？「這中間最重要的關鍵在於，該機密是否是任何人都可以取得的呢？合理的保護措施並不是要求滴水不漏的防護。」她說。

曾韵認為，要判斷這些秘密是否真的是營業秘密，也可以從下列六個面向去評估。首先，確認在公司外部能了解資訊的程度；其次，確認員工和公司內部其他人對資訊的了解程度；第三，公司為確保資訊機密性而採取保護措施的程度；第四，評估這些資訊對公司及其競爭對手的價值；第五，公司在開發資訊所花費的時間，精力和金錢；最後，確認他人可以取得或複製資訊的難易程度。

以法律實務而言，先確認營業秘密存在才檢討行為和損害

有些人很天真，認為把所有的文件都加上機密等級，並作權限控管，一旦需要上法院時，這些就可以視為營業秘密，但曾韵表示，就法律實務而言並非如此。她進一步解釋，一旦進到法院訴訟程序時，就必須從原告主張、被告抗辯進行營業秘密的訴訟攻防。

就原告主張來看，必須要證明真的有營業秘密的存在；證明原告是該營業秘密的的所有人，這包括僱傭關係、委任關係或是共同開發，都可以；原告也必須證明已經採取適當的保護措施，被告知道某些特定資訊是屬於營業秘密，可以是透過簽署條款、上課、電子郵件通知等等；最後原告也必須證明被告在特定的時間、地點，曾經接觸過該營業秘密，其中，原告也必須提供如何控管該營業秘密，以及能否追蹤被告接觸該營業秘密的接觸史。

至於被告的部份，可以抗辯該營業秘密是可以從公開資訊取得的資訊，例如工商名簿、網路資訊、廣告或是付費平臺；或者證明該營業秘密其實是可以輕易取得，例如技術已經公開、產品已經大量生產製造等，因為法院在意的是，資訊取得方法是否合法、合理。

如果被告是透過正當管到取得產品，而藉由「逆向工程」的方式所得知的營業秘密，屬於「輕易取得」的特殊類型，不算是營業秘密範圍；而該營業秘密雖然是處於秘密狀態，但因為無法突顯「最低程度的原創性」，例如，沒有經過特殊整理分類的客戶名單資料，因為缺乏新穎性，也不算是營業秘密；其他若是屬於過時的資訊且被認定缺乏經濟價值的，也不在營業秘密的範圍。

曾韵表示，原告和被告雙方最有爭議的論點經常是「合理保密措施」，像是原告要證明營業秘密的存在，也要證明被告曾經接觸該營業秘密；被告則可以抗辯該營業秘密是公眾周知的資訊，相關技術已經可以輕易取得等方式作為抗辯。她也說，兩造雙方都必須先舉證完畢後，才會去檢討被告是否有侵害原告營業秘密的「行為（Use）」以及是否該負擔相關的「損害（Damage）」

合理保護措施包括主觀意願和客觀技術

合理的保護措施必須具備兩大前提，曾韵表示，首先是主觀上有保護意願，再者是客觀上有保密的積極作為，目的都在於使人了解，公司有將該資訊視為秘密並加以保護的意義。

她笑說，有些公司就為了證明公司的資料都是營業秘密，所以便在所有的文件上面都列印「機密」字樣，當所有文件打開、全部都是機密時，這時候的機密就不是機密了。

事實上，積極的作為不只是保護資料，還必須讓可以接觸這些機密資料的人知道，公司對於這些機密資料，採取哪些保護措施，需要大家一起保護機密資料。

不過，她也指出，這些保密措施並非要求一定要做到滴水不漏的程度。重點在於，每一家公司的狀況不同，要依照其相關人力、財力、資訊性質，以及社會上可以使用的方法或技術，讓不被特定專業領域熟知的情報資訊能獲得有效控管，任意人無法接觸，達到保密的目的，而這便是符合「合理保密措施」的要求。

進一步分析「合理保密措施」應有的元素，她建議，可參考內政部警政署保安警察第二總隊的「合理的保密措施─內部自行檢核表」，當中有分類的五項措施，包括：確立保密標的、控管接觸權限、限制使用範圍、控管資訊設備，以及人員知悉保密義務。

在確立保密標的上，要先做到盤點營業秘密，才知道哪些是營業秘密，必須要

做好管理；控管接觸權限的部份，則是針對已經定義的營業秘密，要限制人員的權限，只有特定角色或職位才能存取。

另外，針對限制使用範圍，要做到「即便可以存取，也應該限定使用範圍」，例如僅能閱讀但不能下載等；在控管資訊設備方面，則要做到各種分級和標示，場所必須區隔與相關門禁管制，其他像是網路連線、帳號權限存取、加密、防火牆……，也都必須有所管控。

最後，關於人員知悉保密義務上，除了要在員工手冊有相關宣導，並提供相關教育訓練和簽署相關保密協定外，員工離職前，也需要針對營業秘密保護做額外簽定與提醒。

曾韵表示，很多公司內部對於「機密」的定義不一，ISO等各種文件可能會寫上「機密」，不同部門對於機密定義卻可能有不一樣的見解，所以，一定要先確認需要保密的標的後，再進行相關的權限控管或限制使用範圍，例如某些檔案只有研發人員或部分高階主管才能存取，某些檔案只能查詢但無法列印下載等等。

像是保密義務不只是規範員工，其他許多合作廠商也同樣有保密義務，所以，公司可以要求員工和廠商簽署保密協議，也同樣要做相關的定期宣導及教育訓練，提升員工和廠商的保密意識。

合理保護措施只有規範不夠，必須要有實際行動

關鍵是，是否只要有訂定相關的管理辦法，上法院訴訟就不用擔心了呢？曾韵以法院判決為例，某公司有三位高階主管欲離職、籌設新公司前，三人都擅自複製拷貝並重製該公司重要設計圖、產品資訊，以及相關廠商資訊等資料。

該公司強調，對於相關營業秘密已制定保密措施，員工也都簽署相關保密條款，且公司伺服器已針對員工職掌進行權限控管，內網電腦採實體隔離且並未連接外部網路，相關保密文件都由文件管制中心統一管理，並有門禁卡管控人員進出。

然而，法院針對被告三人，最後都是「無罪」判決！為何如此？最重要的關鍵在於，法院認定該公司並未對相關營業秘密採取合理的保密措施。

曾韵進一步解釋，法院判決無罪的關鍵在於，認定該公司並未採取合理的保密措施，不管是對於營業秘密的定義過於空泛，相關文件並沒有標示「機密」分類字樣，像是有爭議的文件，只有ISO文件蓋有該公司管制中心的戳章外，其他文件都沒有管制中心的戳章，也都沒有「機密」字樣，發包給廠商的圖面同樣沒有標示機密字樣，無法讓人明確知道相關文件是公司的機密文件。

此外，該公司對於機密檔案存取並沒有嚴格的權限控管，每一個員工的帳號密碼，都可以登入並存取其他員工電腦的文件資訊；公司並沒有宣導保密措施；各部門之間並未設門禁控管；紙本圖檔也沒有保密措施；而存放圖檔的電腦，並未設置帳號密碼，也沒有權限控管、繪圖完成後直接存檔在該臺電腦等，這些都是被告最終獲判無罪的關鍵。

曾韵指出，從法院的判決可以得知，營業秘密的保護，司法單位必須要能判斷是否為營業秘密，也必須證明公司對其有保護意圖。她強調，公司有規範不代表有相對應的措施，重點在於，公司能否證明對於營業秘密的保護有相關的保護行動。

一旦共用帳密，權限控管就失效

保護營業秘密不僅要做到合理的保護措施，對於權限的控管也是重要。曾韵引用另外一起法院判決來說明此事，在該案例中，被告利用其擔任原告繪圖設計工程師之便，趁著有閱覽伺服器最高權限的機會，未經原告同意，下載原告各項重要檔案，並以通訊軟體和電子郵件方式，傳送於他人謀利，成功複製原告商品並出售獲利。

但法院最後仍駁回原告的告訴，最關鍵的原因在於：法院認為企業並未採取合理的保密措施。曾韵指出，原告公司雖然設定了分類管控資訊，但沒有明確設定分層權限控管和資料分類管理的措施，針對電子資料傳遞和電子檔案列印紙本等作法，原告公司也都沒有做到積極保密的作為。

原告公司設有「公用資料夾」和「正式發行圖面」資料夾，重要檔案放在「正式發行圖面」資料夾中，公司員工雖然有50人，但全部都只共用2組帳號密碼。實際上，不管是設計、採購或會計部門都可以讀取「正式發行圖面」資料夾的資料，也沒有人員使用記錄的具體追蹤措施。

而原告公司在紙本檔案的控管上，也有疏漏之處，像是組裝人員要用圖的時候，就是直接出圖列印；列印的資料不用後，則是直接丟棄垃圾桶，或背面空白處會被其他人用來隨手記錄；相關列印資料也沒有標示「機密」或是「限閱」等警語。

曾韵表示，雖然原告公司看似有權限控管的規定，在實際作為上，法院認定原告公司明面上雖有設定權限，但允許共用帳密的作法，就讓權限控管失效。

另外，曾韵坦言，合理的保密措施，是指營業秘密的所有人在主觀上有保護的意願，客觀上有保密的積極行為，也就是說，保密的作為不只是簽署相關的保密協議而已，要確認是否為營業秘密，即便沒有標示「機密」或「密」等字樣，但有其他配套措施能證明該營業秘密是重要的。

參考十大營業秘密保護機制檢核表

曾韵表示，法院對於營業秘密訴訟的判定，很關鍵的一點在於，原告公司對其重要的營業秘密，是否提供合理的保護措施。她認為，可以參考經濟部智財局「中小企業營業秘密保護機制檢核表」的項目，作為企業檢視針對營業秘密的相關保護，判定是否有落實「合理」的保護措施的參考依據。

檢核表的項目，分成十大項。第一，建立營業秘密保護政策：要有專責人員、編列經費及各項程序規範；第二，新進員工管理：簽署保密協定、員工手冊、競業禁止、新進員工查核；第三，紙本檔案管理：標註機密等級、分級保存、造冊管理、銷毀SOP；第四，電子檔案管理：制定檔案管理機制、使用監控機制、機密等級、存取管理；第五，稽核與處份：落實稽核預警SOP、改善SOP、違規處理SOP。

第六，員工在職期間管理：輪調陳報與聲明義務、調動管理（宣導、權限……）；第七，員工離職處理：偵測異常進行調查、刪除帳號、追蹤員工、必要證據保存；第八，營業秘密教育訓練：定期訓練及考試、不定期宣導（案例、信件或會議提醒）；第九，委外廠商與人力管理：簽署保密協定、相關規範的必要揭露、建立終止關係措施；第十，營業秘密保護外部互動：參與研究討論、瞭解可能的聯絡窗口（如司法警察等）。

曾韵認為，思考營業秘密合理保護措施的重點在於：如何展現保密的積極作為，各種文件規範是基本功，相關政策、管理程序亦然；至於控管有效性，主要是對於技術落實控管的作法，不要只做「防君子不防小人」的表面控管而已，可援引外部專家協助以瞭解控管的適當性。

她舉例，公司要控管員工不能使用私人的USB隨身碟，如果只有政策規範，但系統無法警示有員工使用私人隨身碟，這就是無效政策。

她表示，要針對異常監控，得做到提早發現並進行控管；對於紀錄的保存，相關保存期限要依照公司能力做適當規畫，主要是要避免進行調查時，相關記錄都已銷毀。

曾韵強調，公司如果沒有良好的數位建設，一旦需要進行相關資安事件調查時，最大的痛點就是「舉證」，很多情況下，因為許多系統登錄檔（Log）早就被刪除了，缺乏證據。

至於相關登錄檔要保留多久呢？曾韵認為，這其實沒有標準答案，許多駭侵事件從入侵到被發現，甚至長達三、五年，很多登錄檔根本不會保存這麼久，但她認為，相關檔案至少要保留一年以上。

怎麼樣才算是盡力做到合理的營業秘密保護措施呢？曾韵指出，不能不花錢，但也不用花過頭，最基本的合理程度：就是要與同業相當，將保護措施的流程都予以保留相關證據，萬一要上法院提供證據時，就有相關證據可用。

企業可以參考經濟部智慧財產局所提供「中小企業營業秘密保護機制檢核表」，作為檢視營業秘密保護措施是否合理的參考依據。

從五大面向導入營業秘密保護機制

營業秘密是以資料為核心的概念，資料使用情境可分成：使用中（In Use）、靜止中（At Rest）、移動中（In Motion），以及歸檔中（Archived）等四種使用狀態，再加上人員（People）、流程（Process）、技術（Technology）的控制措施配套，就能從五個面向導入營業秘密的保護機制。

首先，要了解（Understand），掌握組織內擁有哪些資料及其價值，並且要能從資料的生命周期，知道哪些部分可構成智慧財產，資料都會儲存在哪裡，以及如何傳輸。

其次，要分類（Classify），在智財產生時就對其分類並清楚標示，對其存放的資訊系統也要進行標示；第三，要保護（Protect），藉由設計不同分類與分期的管控措施，來保護智慧財產。

第四，要監控（Monitor），需能涵蓋未適當分類的智財，及其相關不當行為；最後，就是要做到持續的改善相關措施（Improve and remediate），最終目的就是讓企業可以保持競爭優勢。

從人員、流程和技術做控管

曾韵表示，要做好營業秘密合理的保護措施，實務上，必須要能夠從人員、流程和技術三個層面，落實控管措施。

她指出，人員控管的部份，要做到定義角色權責以及宣導和訓練；流程控管的部份，除了要制定政策與規範，進行資料識別和造清冊，並進行資料保護風險評估以及資料分級，而在制定資料保護架構之後，也必須規畫一旦資料遺失時的應變措施。

技術控管部分則是相對複雜。她說，針對資料使用狀態不同，會有不一樣的配套措施，目前不論是針對結構化或是非結構化資料，都已經有相對應的保護措施。

當資料正在移動時，針對資料的保護，要注意邊界安全、網路監控、網站內容過濾、第三方資料交換、訊息管理和遠端存取得議題；當資料正在使用時，要留心使用者行為監控、工作站限制、應用程式控制、標示（Labeling / Tagging）、外部媒體控管和列印管理。

最後，當資料呈現靜止狀態時，相關的合理資料保護措施就要做到加密（Encryption）、混淆（Obfuscation）或記號化（Tokenization）、移動設備的保護、網路和伺服器的程式碼控管、實體的媒體控管，以及做到存檔（Archive）、處置（Disposal）和銷毀（Destruction）。但她也說，不管資料處於哪一種使用狀態，目前也可以使用Cloud DLP（資料遺失防護）作為保護措施。

曾韵表示，針對營業秘密保護需要提供合理的保護措施，從相關的案例判決中，至少可以釐清如何做到科學的、合理的資料保護。

企業可以從人員、流程和技術等三個控管面向，去落實合理的營業秘密保護措施。