新近奈米科技智財法制之發展趨勢

　　英國為眾多國家中致力發展金融科技的佼佼者，其相關政府部門-英國金融行為監理總署（Financial Conduct Authority, FCA）早於2016年即推出世界首例金融監理沙盒（Financial Regulatory Sandbox）制度，同時也與英格蘭銀行致力發展開放銀行業務、金融創新項目以及監管措施改革等等。也因為英國為金融科技提供了良好的環境以及養分，使目前英國金融科技佔全球市場總額10%，並有71%的英國公民至少接受一間金融科技公司提供服務；2020年金融科技為英國吸引了41億美元的投資，遠超德國、瑞典、法國、瑞士和荷蘭的總和。 　　為使英國金融科技持續成長，英國財政大臣於2020年要求針對英國金融科技現況及未來發展進行獨立性研究，該研究並於2021年2月公布。根據研究報告指出，英國金融科技正面臨下述三大問題： 其他國家紛紛仿效英國之成功模式，致使英國金融科技不再具有獨占地位。 英國脫離歐盟導致監管措施的不確定性。 新冠肺炎的來襲，迫使各國均快速發展並靈活運用金融科技，導致英國金融科技優勢地位逐漸喪失。 　　為了解決上述三大問題，研究報告提出了五項建議計畫： 針對政策以及監管方式之持續進步 雖然英國目前仍處於金融科技政策以及監管的領先地位，但隨著業務、科技等發展，必須確保政策以及監管方式繼續保護金融消費者，同時創造鼓勵創新和競爭的環境。因此建議的方案包含：實施新型態監理沙盒（Scalebox）；建立一個數位經濟工作小組以確保政府各部門之一致性；確保金融科技成為貿易政策的一部分。 培養人才 英國需要確保金融科技擁有充足的國內和國際人才供應，以及因為預計在2030年，英國有90%勞動者需要學習新技能，因此也需要培訓和提升現有和未來勞動力技能的方案。因此建議的方案包含：辦理針對成年人進行再培訓和提高技能之短期課程；創建一個新的簽證類型，以提高獲得全球人才的機會；為學習金融科技的學生以及創業者建立媒合平台，設置金融科技人才管道。 建立友善的投資環境 英國雖然透過私募基金成功地為英國金融科技事業募資，但英國仍應該持續加強金融科技事業從初創到公開發行的一系列融資過程，尤其是融資的後期階段。因此建議的方案包含：擴大金融科技獎勵措施以及便利金融科技事業籌資（包含：擴大研發稅收抵免額度、企業投資計畫、風險投資信託）；英國應該另行增設一個約10億英鎊之基金供金融科技發展使用；放寬英國上市公司限制（例如：雙層股權結構）；創設一個全球金融科技指數以擴大金融科技事業知名度。 與國際合作 雖然英國目前取得金融科技的成功和未來數位貿易崛起的機會，但仍應採取更多的措施用以獲得更多國際支持，這將會成為英國在脫離歐盟後針對國際開放性作出的重大表態。因此建議的方案包含：針對金融科技提出國際行動方案；推動設立金融、創新和技術中心，並成立國際金融科技工作小組；推出國際金融科技認證組合。 英國國內整合 金融科技在國家的支持下，英國各地皆分布大量的金融科技人才。為了保持英國作為金融科技中心的地位，英國須注重規模和支持區域專業，尤其是大學正在創造的重要的智慧財產權。因此建議的方案包含：培育十大金融科技重鎮，而每個重鎮均應設置一個以強化金融科技、培養專家以及增加國家競爭力為目的的三年目標；通過金融、創新和技術中心協調國內金融科技發展策略；通過進一步的投資計畫加快金融科技重鎮的發展以及成長。

論美國公務機關就一般公務機密核密狀態爭議之處理 科技法律研究所 2013年07月16日 壹、前言 　　對於公務機密是否具機密核定適當性的問題，從近來公務機關內部所爆發的許多爭議案件中，已經逐漸引起社會大眾的關注。所謂公務機密，一般來說係包含國家機密與一般公務機密。有關於國家機密的核定權責機關、核解密方式，抑或是國家機密維護等事宜，主要係規範在國家機密保護法內；至於攸關一般公務機密的所有事宜，則主要是由行政院祕書處所頒布的文書處理手冊來作規範。 　　觀察國家機密保護法與文書處理手冊就機密核定狀態爭議的處理，依據國家機密保護法第十條第一項規定，原核定機關或其上級機關有核定權責人員得依職權或依申請，就實際狀況適時註銷、解除機密或變更機密等級，並通知有關機關。其乃賦予原核定機關或其上級機關，對於國家機密的機密核定或機密等級是否適當之問題，有主動行使機密狀態註銷、解除或變更的權限。然而，針對一般公務機密機密核定是否適當與其爭議處理，文書處理手冊並未為相關的機制設計，因此也引發一般公務機密的核定機關，當其認為機密核定有不適當之情形時，無相關管道可針對此項爭議提出異議。 　　是以，本文欲從美國公務機關解決公務機密狀態爭議（包含國家機密與一般公務機密）的機制出發，來觀察我國未來針對一般公務機密狀態爭議的機制建立，所必須著重與思考的面向，以作為未來主管機關增修相關法規範的參考。 貳、美國公務機關如何解決公務機密核密狀態之爭議 一、行政命令第13526號（Executive Order 13526） 　　為了在政府資訊公開與國家資訊保護兩者間界定完善的平衡點，美國歐巴馬政府於 2009 年頒布第 13526 號行政命令（ Classified National Security Information ）[1]，該行政命令主要係規範涉及公務機密（包含國家機密與一般公務機密）之密等核定、機密維護與機密解密或降密等事宜。本號行政命令可視為是美國聯邦政府機關在其職責內涉及公務機密之公務資訊，如何就前述資訊建立其內部公務機密管理機制的範本。 　　在本號行政命令第一部分，主要針對機密分類規範（ Classification Standards ）[2]、機密分類層級（ Classification Levels ）[3]、機密分類權限（ Classification Authority ）[4]、機密分類種類（ Classification Categories ）[5]、機密存續期間（ Duration of Classification ）[6]、機密識別與標示（ Identification and Markings ）[7]、機密分類禁止與限制（ Classification Prohibitions and Limitations ）[8]、機密分類爭議（ Classification Challenges ）[9]，以及基本分類指導複查等事項（ Fundamental Classification Guidance Review ）[10]，來提供聯邦政府機關制定內部規範的基準。其中，在機密分類爭議部分，若經授權持有公務機密之人善意且相信該機密的分類狀態（ status ）屬不適當時，其可依循所屬聯邦政府機關內部程序來就該機密的分類狀態提出異議 [11]。有關於該程序的建立，各聯邦政府機關首長或資深機關職員必須就該程序確保（ 1 ）該提出機密分類異議之人（包含經授權持有機密之機關內外部人員）不會因該異議的提出而遭受報復；（ 2 ）提供公正之官方人員或專門審查小組就機密分類異議有複查機會；（ 3 ）該提出機密分類異議之人若不滿聯邦政府機關內部所為之決定時，可向跨機關安全分類事務上訴委員會（ Interagency Security Classification Appeals Panel, ISCAP ）提出上訴。然，若公文因不揭露協議（ Non-Disclosure Agreement, NDA ）而需作發佈前審查（ prepublication review ）或依其他行政程序而需先行提出時，則不適用本項之規定。 　　在第二部分，係規範使用派生機密分類（ Use of Derivative Classification ）[12]的情形與要求各聯邦政府機關需就該派生機密的使用制定指導手冊（ Classification Guides ） [13]；在第三部分，主要規範解密的權責機關（ Authority of Declassification ）[14]、被移轉機密紀錄（ Transferred Records ）[15]、機密自動解密（ Automatic Declassification ）[16]、機密系統性解密複查（ Systematic Declassification Review ）[17]、機密強制性解密複查（ Mandatory Declassification Review ）[18]、處理機密請求與複查（ Processing Requests and Reviews ）[19]與建立國家資訊解密中心（ National Declassification Center ）[20]等事項。 　　在第四部分中，則規範一般使用限制（ General Restrictions on Access ）[21]、機密散佈控管（ Distribution Controls ）[22]、特殊使用程序（ Special Access Programs ）[23]，以及針對過去有使用機密紀錄之研究者與某些前政府人員使用資訊（ Access by Historic Researchers and Certain Former Government Personnel ）[24]的情形。在第五部分，其謂資訊安全監督辦公室主任（ The Director of the Information Security Oversight Office ），在檔案保管員（ Archivist ）的指示且諮詢國家安全顧問（ National Security Advisor ）後，應發佈可落實本行政命令且拘束各聯邦政府機關的指令[25]。同時，也針對資訊安全監督辦公室與 ISCAP 的設立、權責、功能、規則與程序作逐一說明[26]。此外，亦對各聯邦政府機關首長就其機關內部所建立之機密分類機制所應負的責任與若違法時所應遭受的裁罰另作完整規範[27]。 　　最後，在第六部分，係針對名詞定義[28]、一般事項[29]、有效日期[30]與發佈[31]等行政事宜作完整說明。 二、美國國防部（ Department of Defense ）公務機密管理機制 （一）美國國防部公務機密管理機制介紹 　　為遵循美國行政命令第 13526 號，美國國防部對於其業內公務機密（包含國家機密與一般公務機密），亦建立自身公務機密管理機制來防止該資訊受到外國或恐怖分子的刺探或取得。美國國防部公務機密管理機制主要分成六個部分[32]，第一部分為參照（ References ）；第二部分為責任（ Responsibilities ）；第三部分為資訊安全工作概觀（ DoD Information Security Program Overview ）；第四部分為分類資訊（ Classifying Information ），其就機密分類政策、機密分類等級、機密最初分類與派生分類的規定與流程、機密分類期限與機密分類爭議等事項作敘明；第五部分為解密與分類變更（ Declassification and Changes in Classification ），其涉及機密解密程序、機密自動解密、機密強制解密複查、機密解密系統性複查等其他攸關解密或變更機密等事宜；最後，第六部分為安全分類指導（ Security Classification Guides ），其內容乃就前述涉及安全分類內容、資料編輯考量、安全分類複查、安全分類取消或安全分類變更報告等程序或細部事項提供內部權責人員在處理相關事務時的參考。 （二）美國國防部就涉及機密分類爭議的處理方式 　　如前所述，美國國防部公務機密管理機制第四部分針對機密分類爭議設有明確的處理原則與程序，在分類爭議處理原則中[33]，假若機密持有人有足夠理由相信其持有機密的分類是不適宜或不必要時，該持有人應該就此確信向資訊安全管理者或最初分類權責機關（ Original Classified Authority, OCA ）提出任何必要矯正建議。前述矯正建議可藉由非正式（ informal ）或正式（ formal ）方式提出。以正式提出而言，機密持有人應聯絡原始文件或資料分類者（ the classifier of the source document or material ）來解決機密分類的爭議；同時，其必須就該爭議機密提出足夠描述來容許原分類者盡合理努力來發現是否有不合宜或不適當的機密分類情況，且應提出理由來說明為何他（她）相信該機密是被不合宜或不適當分類的依據。此外，本規範亦要求美國國防部內部主事者（ Heads ）應確保對提出機密分類狀態質疑或就機密分類爭議以正式方式提出之任何人，不得對其行使報復行為或採取類似行動；同時，就受質疑的機密應確保其保密狀態且亦受到保護，除非且直到原核定人員已經作出解密之決定。然而，有關於可受機密分類爭議的客體，將不會擴及因同意不揭露協議而需受發佈前審查或依其他行政程序而需先行提出的資訊。 　　至於處理機密分類爭議的程序[34]，美國國防部內部主事者應就分類爭議建立完善的處理程序，該程序需就以正式方式提出機密分類質疑的處理情形、追縱情況與記錄均建構完整的流程（其中包含就持有機密者因不滿決定所提出的上訴程序）；同時，就機密分類爭議的審查，也必須賦予公正的官方人員或委員會就該爭議機密有再次複查的機會。有關於處理流程，審查機密分類爭議的權責人員必須於收受案件後 60 日內以書面方式回覆處理情形，假若未於 60 日內作出完整回覆，則美國國防部應轉而接受處理該機密分類爭議並提供預期的回應日期。前述美國國防部收受確認回覆之聲明，應包含假若對機密分類提出質疑之人於提出後 120 日內未收到任何回應，則該質疑者有權將該案件轉交 ISCAP 。此外，當美國國防部於收受上訴申請後 90 日內未對上訴進行回應時，則該質疑者也可將該爭議案件轉交 ISCAP 來作裁處。 三、美國國土安全部（ Department of Homeland Security ）公務機密管理機制 （一）美國國防部公務機密管理機制介紹 　　為了落實第 13526 號行政命令，美國國土安全部就其業內公務機密（包含國家機密與一般公務機密），對於機密分類機制的履行、管理與監督亦建制自身的公務機密管理規範。美國國土安全部公務機密管理機制主要區分為六章[35]，第一章為制定目的（ Purpose ）；第二章為適用範圍（ Scope ）；第三章為制定權限授與（ Authority ）；第四章為名詞定義（ Definitions ）；第五章為掌管公務機密安全之權責機關責任（ Responsibilities ）；第六章為公務機密安全的政策與流程（ Policy & Procedures ）。在第六章中，其規範內容包含最初分類、派生分類、機密分類考量（其中亦涉及機密分類爭議處理程序）、機密解密、機密解密之強制複查、資訊自由法（ Freedom of Information Act ）與隱私法（ Privacy Act ）之法規要求、機密解密之系統性複查、機密分類降級與升級事項等事項。 （二）美國國土安全部就涉及機密分類爭議的處理方式 　　對於美國國土安全部機密分類爭議處理[36]，假若經授權之機密持有者善意相信其所持有的機密分類狀態係屬不適當時，其可對該機密分類狀態提出質疑。該機密分類爭議應該向機密核定者（ the classifier of the information ）提出，當有必要性時，對於機密分類狀態有質疑者可以透過美國國土安全部安全工作室（ the DHS Office of Security ）來就相關程序尋求協助與 / 或以匿名的方式來進行機密分類爭議流程。 　　至於機密分類爭議的提出方式，美國國土安全部公務機密管理機制將其區分為正式提出與非正式提出而異其流程。先以正式提出而論，對於機密分類狀態有疑問者，應先以書面方式向該機密的最初分類權責機關提出機密分類爭議，且此程序相互往來之書面文件應保持在不核密（ unclassified ）的狀態。然而，假若該機密分類爭議案件包含其他經核密的資訊時，則該爭議案件應該為保密標示且作任何必要的保護措施[37]。 　　有關於書面撰寫內容，對機密分類狀態有質疑者應對爭議機密有足夠的描述，且僅可包含為何該機密被核密或為何該機密被核定為某等級機密的問題[38]。同時，對機密分類質疑者不得就其提出行為進行任何類型的報復，且美國國土安全部安全工作室亦可要求該爭議程序需以匿名的方式來進行處理。若以匿名方式進行時，美國國土安全部安全工作室必須對機密分類質疑者承諾其匿名性，並作為該質疑者在相關爭議案件程序的代理人（ agent ）[39]。 　　當爭議機密的最初分類權責機關在收受該爭議案件後，其應於 60 日內以書面方式對該機密分類質疑者作出是否仍維持該機密核密狀態或進行解密程序的決定[40]。若機密分類質疑者不滿最初分類權責機關之決定時，其可就該決定上訴至 ISCAP[41]。有必要時，美國國土安全部安全工作室就上訴程序需提供機密分類質疑者各式相關的協助[42]。至於爭議機密的狀態，在最初分類權責機關作出最後決定前，應該確保該機密在爭議案件程序中仍然維持其核密狀態並提供其最高程度的保護[43]。 　　相反的，以非正式提出而言，經授權之機密持有者可直接聯繫該機密的最初分類權責機關來獲得質疑內容的所有澄清[44]。假若該爭議機密已經由非正式提出方式獲得分類狀態的解決時，該機密分類質疑者應確保作出分類狀態改變之機關係有權責來作出此項決定，且應確保變更過程中的各式相關紀錄（包含機關人員姓名、職位、服務機關、日期）有影印之副本存[45]。茲以下表來比較美國國防部與美國國土安全部所建立之公務機密狀態爭議處理機制。 參、代結論 　　考量美國公務機關針對公務機密（包含國家機密與一般公務機密）狀態爭議設有完整的處理程序，來供公務機密持有者當就手邊的公務機密狀態有所質疑時可提出異議。由於該處理機制對涉及國家機密或一般公務機密狀態爭議有一體適用的特性，也因此讓人思考是否在機制設計上有偏重國家機密，而在以相同機制處理一般公務機密的面向上，存有處理方式失衡的可能性。為了避免發生如同美國公務機關，以相同機制處理國家機密與一般公務機密所致生的權重失衡問題，未來我國公務機關在設計一般公務機密爭議處理程序時，除應考慮一般公務機密與國家機密有本質與特性的差異外，也須考量現行我國行政機關處理一般公務機密的實際運作環境，來制定出切合行政機關需求的一般公務機密爭議處理機制。 　　然而，相較於美國公務機關對於公務機密狀態爭議訂有完整的處理方式，作為我國一般公務機密處理準則的文書處理手冊，僅要求對於納入檔案管理之機密文書，若有變更機密或解密者，應即按規定辦理變更或解密手續[46]，但對於何人可提出解除機密或機密變更的聲請、提出解除機密或機密變更的方式、一般公務機密原核定機關對於解除機密或機密變更的處理期限、提出一般公務機密狀態是否適當之質疑者的人身或職位安全保障，抑或是對原核定機關解除機密或機密變更之決定有不服者如何提出複查之聲請，均未有完整的規範。 　　由於文書處理手冊的規範，現行我國公務機關就一般公務資訊或有可能發生不當核密（或解密）的情況，其緣由可能因核定人員為防止不確定是否為機密之公務資訊有外洩之虞，抑或是因機關內部缺乏合適的諮詢單位，而導致核定人員誤將非機密之公務資訊以機密文書方式處理。因而，如何在一般公務機密核密狀態遭受質疑時，能提供原核定機關或持有一般公務機密者有適當管道或機制來作相應處理，乃是我國公務機關遲早必須面對的議題。 [1] The White House （ 2013 ） ‧ Exec. Order No. 13526 ‧Retrieved from http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed July. 16, 2013) [2]id . Sec. 1.1. [3]id . Sec. 1.2. [4]id . Sec. 1.3. [5]id . Sec. 1.4. [6]id . Sec. 1.5. [7]id . Sec. 1.6. [8]id . Sec. 1.7. [9]id . Sec. 1.8. [10]id . Sec. 1.9. [11] id. Sec. 1.8(a). [12]id. Sec. 2.1. [13]id. Sec. 2.2. [14]id. Sec. 3.1. [15]id. Sec. 3.2. [16]id. Sec. 3.3. [17]id. Sec. 3.4. [18]id. Sec. 3.5. [19]id. Sec. 3.6. [20]id. Sec. 3.7. [22]id. Sec. 4.1. [22]id. Sec. 4.2. [23]id. Sec. 4.3. [24]id. Sec. 4.4. [25]id. Sec. 5.1(a). [26]id. Sec. 5.2 & 5.3. [27]id. Sec. 5.4 & 5.5. [28]id. Sec. 6.1. [29]id. Sec. 6.2. [30]id. Sec. 6.3. [31]id. Sec. 6.4. [32]Department of Defense ‧ DoD Information Security Program: Overview, Classification, and Declassification ‧ Retrieved from http://www.dtic.mil/whs/directives/corres/pdf/520001_vol1.pdf (last accessed July. 16, 2013) [33]id. Sec. 22(a). [34]id. Sec. 22(b). [35]Department of Homeland Security Management Directive System ‧ Protection of Classification National Security Information Classification Management ‧ Retrieved from http://www.fas.org/sgp/othergov/dhs/md11044.pdf (last accessed July. 16, 2013) [36]id. Chapter IV, E, 3. [37]id . at 3(a)(1). [38]id. [39]id . at 3(a)(2). [40]id . at 3(a)(3). [41]id . at 3(a)(4). [42]id . [43]id . at 3(a)(5). [44]id . at 3(b). [45]id . [46]文書處理手冊第 71 點。

從日本山崎案[1]談營業秘密不法取得之管理 資策會科技法律研究所 法律研究員　駱玉蓉 105年05月25日 壹、前言 　　為強化營業秘密的保護，日本從2003年開始，於不正競爭防止法（以下稱本法）中導入刑事保護的相關條文，爾後經過多次修法，在2011年調整刑事訴訟程序的同時，於本法導入了即使行為者不使用或揭露所示的營業秘密，但只要以獲取不當利益為目的，且「以複製」等方式「取得營業秘密」，亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件（ヤマザキマザック事件，以下稱本案）則是在此修法背景中，於少數公開判決中最先單獨引用該法條的案件。 　　面對層出不窮的營業秘密侵害案件，為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為，我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任，將「知悉或持有營業秘密，未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇，以期可有效遏阻營業秘密侵害案件。 　　有鑒於營業秘密外洩情形與不法取得手法的多變，本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發，接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護，最後從落實營業秘密管理的面向，彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套，期給予我國企業營業秘密管理的省思。 貳、事件概要 　　中國大陸籍的被告Y，於2006年4月進入工具機大廠山崎Mazak（以下簡稱原告公司）任職，於2011年8月轉調連結業務部門與研發部門的業務技術部，於2012年3月因獲得其他公司聘書而提出離職申請，預定離職日為同年4月20日。 　　檢察官於一審的起訴內容提到，被告Y在無業務需求的狀況下，將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中，更於提出離職的當月，下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求，但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。 　　原告公司在本案當時，對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內，僅業務上有需要的員工才能進行存取、下載，此外，原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證，並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配，為一個部門配發255個IP位址對應255台電腦，當一部門未達255台電腦時，將會有未被電腦對應的IP位址存在，被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址，再進行檔案的存取與複製。經由上述一連串的證據與事實證明，一審法院認定被告Y以不當得利為目的而複製（取得）原告公司的營業秘密，處以拘役兩年、併科罰金50萬日幣的判決。 參、判決評析 　　從本案可知，原告為保護其營業秘密，針對存取/接觸營業秘密者設有相關限制管理。亦即，藉由IP位址辨識存取網路資料的員工所屬部門及存取權限，再透過存取權限的帳號、密碼進行認證管理，該種管理方式立意良好，但在實施時，卻因為有未被電腦對應的IP位址存在，而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外，雖然原告公司有留存電腦log紀錄，因而最後能證明被告Y曾進行六千次以上的資料存取，但若能在事前做好防備，強化管理措施，例如禁止濫用IP位址越權存取或限定存取次數等方式，增加意圖竊取營業秘密者的取得困難，相信能更遏阻潛在或食髓知味的不法行為。 　　以下從本案原告公司對於員工接觸權限的控管為啟發，例示限制員工存取/接觸營業秘密，可採取的強化對策。 一、適當賦予一定範圍之存取/接觸權。 　　例如在企業的研發單位，可依專案或產品線而拆分成多個範圍，依據範圍設定可存取/接觸的權限，藉此可避免出現如本案中，僅限定存取/接觸權、卻未區分範圍，導致一人手持帳號密碼便可通行無阻存取/接觸全部資料，造成外洩時損害程度的提高。 二、在上述對策一的基礎上，於資訊系統中註冊存取/接觸權者的帳號。 　　除了落實一帳號一密碼的原則，針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外，若是員工有離職、轉調等情況時，亦要配合以刪除ID、更改存取/接觸權限的方式來應對，避免如本案因作業方便而導致有空的IP位址等開後門的情況，而造成營業秘密管理功虧一簣。 三、以區分保管來限制對營業秘密的存取/接觸權限。 　　區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例，可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域，實施指紋等生物認證的門禁管制。而以資料區分保管為例，常見的做法有高機密性文件與一般文件區分保管。 　　例如在本案中，隸屬於業務技術部的人員，便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限，建議企業可透過前述的空間分離保管、資料區分保管，兩種方式雙管齊下，實施跨部門資料存取權限的控管。 四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。 　　嚴禁使用外接式的私人紀錄媒體，企業除了須備足員工所需的紀錄媒體之外，更需制訂與落實紀錄媒體的使用及保管措施。在本案中，即因原告公司當時的業務技術部部長（下稱部長Q）發現到部門內的紀錄媒體使用不受控管，導致私人紀錄媒體濫用的現象，便於其轄下部門制定如：建立可攜式紀錄媒體管理清單及使用規定，落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等，法院因而認定原告公司已採取合理保密措施。 　　然而，除了明定紀錄媒體的禁止使用或限制使用等規定外，還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則，同時透過定期稽核確保該使用規則的確實執行，避免徒有管理規範卻未落實控管。 肆、結論 　　本案原告公司雖明定營業秘密相關的管理規定，例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施，而在本案獲得勝訴判決。但除了管理措施有可強化之處外，主要的原因仍發生於管理機制於實際運作上未嚴格落實，而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還，甚或違反禁止使用私人可攜式紀錄媒體的規定，使用私人硬碟等的狀況，造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。 　　從此可知，即便企業已建立各種營業秘密相關的管理措施，仍須定期追蹤掌握管理機制的落實，例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等，確保營業秘密的有效管理。同時間，企業亦應隨時預警任何不符規定的異常警報，透過log異常行為的警示設定，提早發現問題並採取證據保全措施，將營業秘密外洩風險或損害降至最低。 　　企業歷經營業秘密的盤點、分級、達成管理措施共識，到形成各部門遵循的管理制度等繁複流程，始確認營業秘密保護標的及合法合理的管理措施，若是未落實執行管理，除了增加營業秘密外洩的風險，於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡，無論是何種對策，確實落實而不流於形式，更是保護營業秘密的不二法則。 本文同步刊登於TIPS網站（http://www.tips.org.tw） [1] 名古屋地裁平成26年8月20日判決。 [2] 2011年日本《不正競爭防止法》第21條第1項第3款。 [3] 2013年我國《營業秘密法》第13條之1第1項第3款。