德國法院依據歐盟法院先決裁定發出第一例禁制令
2015年11月3日德國杜塞道夫地方法院(以下稱德國法院)依據歐盟法院之《華為訴中興》案(Huawei v ZTE case, 16 July 2015, Case C- 170/13)的先決裁判發出第一例禁制令(Cases 4a O 144/14) (Nov. 3, 2015)。這個判決係義大利公司SISVEL公司認為青島海爾德國公司(以下稱海爾公司)侵害其有關GPRS及 UMTS無線網路專利組合之標準專利,並已經對海爾公司發出專利侵權通知,並發出授權要約,海爾公司則抗辯認為,SISVEL僅通知其母公司而未通知其分公司,且其授權要約不符合FRAND原則。
德國法院認為,SISVEL只要將足夠的專利侵權資訊及授權要約通知海爾母公司進而據以判斷是否與SISVEL展開授權協商即可,若要求專利權人亦須一一通知其分公司,則將流於形式。
其次,海爾公司雖因認為SISVEL要求之授權金過高,故拒絕SISVEL的授權要約並提出反向要約,但卻未在提出反向要約後之合理期間內依據歐盟法院在《華為訴中興》案先決裁判中之見解,對SISVEL提供保證金以擔保其授權協議尚未達成前對SISVEL專利之使用費用。故德國法院進一步對前述合理期間給予確切期間,即拒絕專利權人要約時起一個月內。
至於海爾公司主張SISVEL授權要約不符合FRAND原則之抗辯,德國法院認為因海爾公司未履行前述程序,故尚無須判斷SISVEL授權要約是否FRAND原則。故何種情形屬於符合FRAND原則,仍留由後續之實務見解加以補充。
本文為「經濟部產業技術司科技專案成果」
劉憶成
法律研究員 編譯整理
Sisvel v.Haier〔case 4a O 144/14〕, https://www.justiz.nrw.de/nrwe/lgs/duesseldorf/lg_duesseldorf/j2015/4a_O_144_14_Urteil_20151103.html (last visited Jan. 1, 2016)
DE - SISVEL v. Qingdao Haier Group – first German injunction after CJEU FRAND decision: http://www.eplawpatentblog.com/2015/November/Arnold%20Ruess%20Injunction%20on%20SEPs.pdf (last visited Jan. 1, 2016)
淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版,近年來隨著科技的進步,遠距工作在全球越來越普及,過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊,使辦公的地點、時間更具有彈性,遠距工作模式成為後疫情時代的新生活常態。 因應資訊化時代,企業在推動遠距工作時,除業務效率考量外,更需注意資安風險的因應對策是否完備,例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 本文將聚焦在遠距工作型態中,因應網路資安管控、員工管理不足,所產生的營業秘密資訊外洩風險為核心議題,研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1],以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容,藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 遠距工作是指藉由資訊技術(ICT Information and Communication Technology),達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例,依據業務執行的地點,可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種: 1.居家辦公:在居住地執行業務的工作方式。此方式因節省通勤時間,是一種有效兼顧工作與家庭生活的工作模式,適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室(Satellite Office)辦公:在居住地附近,或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時,可選擇優於居住地之環境執行業務,亦可在移動過程中完成工作,提高工作效率。 3.行動辦公:運用筆記型電腦辦公,自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 遠距工作時,企業內外部資訊的交換或存取都是透過網際網路執行,對於資安管理不足的企業來說,營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊,或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺(Business Email Compromise,簡稱BEC)之案例,以真實CEO之名義傳送假收購訊息,藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 由於員工在遠距工作時,常使用私人電腦或智慧型手機等終端機進行業務資料流通,若員工所持有的終端機資安風險有管控不佳的情況,即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼,再以此做為跳板,進入企業伺服器非法存取企業之營業秘密資訊,造成超過180家客戶受到影響[4]。 關於遠距工作網路資安的風險對策,在技術層面上,企業可使用防毒軟體或電子郵件系統的過濾功能,設定遠距工作之員工無法開啟含有惡意程式的檔案,或是透過雲端服務供應商代為控管存取資料之驗證機制,使遠距工作的過程中不用進入企業内網,可直接透過雲端讀取資訊。另外,建議企業將資訊依照重要程度作機密分級,並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5],屬營業秘密、顧客個資等機密資訊者,應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上,企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況;甚至要求員工在連結企業内網或雲端資料庫時,須使用資安管理者指定的方法連結,未經許可不得變更設定。 除上述網路資安的風險外,員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此,企業雇主與員工在簽訂保密協議時,雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例,營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施,而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事,則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中,原告Peoplestrategy公司除了要求員工須簽屬保密協議外,同時有採取保護措施,禁止員工將公司資訊存入筆記型電腦,並且要求員工離職時返還公司所屬之機密資訊,並讀取資訊的過程中,系統會跳出顯示提醒員工有保密義務之通知,故法院認定原告有採取合理的保護措施,保護機密資訊的秘密性[9]。與之相反,Maxpower Corp. v. Abraham案例中,原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼),且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序,故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 藉由前述兩件判決案例,企業在與員工簽屬保密協議時,應向員工揭露企業的營業秘密保密政策,並說明希望員工如何適當處理企業所屬的資訊,透過定期的教育訓練宣導機制,以及員工離職時再次提醒應盡之保密義務。理想上,企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整,例如員工因為遠距工作使工作時間、地點的自由度增加,是否會發生員工接觸或進一步與競爭對手合作的情形。對此,企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展,企業在推動遠距工作普及化的過程中,同時也面臨到營業秘密管控的問題,以下以四個面向給予企業建議的管控對策供參。 (一)教育宣導:企業可定期安排遠距工作資安教育訓練,教導員工如何識別釣魚網站、BEC等網路攻擊類型,並以企業電子報、公告提醒資安新聞。另外,規劃宣導企業營業秘密保密政策,使員工清楚應盡的保密義務,以及如何適當處理企業的資訊。 (二)營業秘密資訊管理:企業應依照資訊重要程度作機密分級,例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級,對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施,以及對應其相關資料應審慎管理對應之權限、存取審核。 (三)員工管理:企業在最理想的狀況下,應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施),並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時,使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時,在未經許可之情況下持有企業的營業秘密資訊。 (四)環境設備管理:遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊,避免直接進入到企業內部網站為原則。同時,需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]〈遠距工作資安指引〉第5版,總務省,https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日:2022/04/27)。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1,頁99。 [4]同前揭註1,頁103。 [5]同前揭註1,頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).
日本經產省修正《輸出貿易管理令》對南韓出口之電子原料實施嚴格管制審查2019年7月1日,日本經產省依據《外匯及對外貿易法(以下簡稱外匯法)》,對於產品技術的輸出與輸入進行適當之進出口管制,要求日本國內向南韓進行輸出之行為,必須通過嚴格的出口管制審查。日本經產省表示,進出口管制制度係建構在國際信賴關係的基石之上,近年來有相關產品技術輸出南韓管制不當之案例,已造成日韓兩國間信賴關係嚴重損害(例如二戰強徵勞動力的訴訟案件爭議,以及日本提供的材料可能從南韓非法轉運至北韓、被轉為軍事用途之風險等),故提出兩項政策以為反制,包括將南韓從白色國家名單移除,及提升對南韓出口管制審查標準等,具體說明如下。 1.修正日本對南韓之輸出貿易管理列表 基於《外匯法》第48條,擬修正外匯法之政令《輸出貿易管理令》附件三類別表,將南韓從日本安全保障、友好貿易夥伴的「白色國家」列表中刪除,透過監管改革嚴格審查對南韓的出口管制制度。 2.針對向南韓出口之電子原料實施嚴格管制審查與核發特定出口許可證 自2019年7月4日起,針對日本向南韓出口的三項半導體關鍵電子原料,含氟聚醯亞胺(Fluorine Polyimide)、光阻劑(Resist)、蝕刻氣體(Eatching Gas)以及轉讓相關連的製造技術等,均被排除於綜合出口許可證制度範圍外,須額外單獨申請特定出口許可證並進行出口審查。 針對日本管制措施,南韓產業通商資源部(Ministry of Trade, Industry and Energy, MOTIE)表示強烈抗議,認為日本在未提供任何具體證據的情況下逕行對南韓實施出口管制,並將南韓從白色國家名單中刪除,已違反WTO自由與公平貿易原則(Free and Fair Trade),構成貿易壁壘與歧視性差別待遇,嚴重威脅日韓經濟夥伴關係,恐將引發兩國企業及全球產業供應鏈動盪,對自由貿易造成負面影響。南韓政府已強烈要求日本取消對於出口管制的不公平措施,撤銷將南韓從白色國家名單移除之《輸出貿易管理令》修正案,同時積極尋求聯合國安全理事會介入調查。
以『江蘇科技改革30條』解析中國大陸科研經費改革制度中國大陸近年致力發展其國內技術研究產業,但在基礎研究經費申請制度上,長期存在一些結構問題,如在科研資助、實施和成果傳播三個階段。故自2017年起,中國大陸陸續修正關於科研經費制度,以使科技研究人員得以順利進行科研項目。截至目前,依中國大陸國發〔2018〕25號文為基準,江蘇省推出《關於深化科技體制機制改革推動高品質發展若干政策》(下簡稱『江蘇科技改革30條』),並出台完整的實用手冊 。 此次江蘇科技改革30條,明確落實中央對科研經費鬆綁及對科研結果獎勵與容錯的改革措施。在科研經費可直接列支項目的直接預算,如設備費、材料費等,從原本九個項目改合併為五個項目,科目經費支出將不再受比例限制;另在無法直接羅列預算項目的間接預算上,如績效支出等費用則精簡列支項目,提高間接費用核定比例。在科研結果獎勵與容錯改革上,建立原創成果獎勵機制、創新補償機制、援助機制及免責機制。 中國大陸科研經費長期採用嚴格預算制,直接預算需按照法律規範羅列,然間接預算部分常使研究人員因不知如何羅列,而導致研究經費中斷或減少。對於較易失敗的基礎研究上,研究人員則擔心在階段性考核中因錯誤致使研發經費無法取得,進而將錯就錯,謊報研究成果。此次江蘇科技改革30條修正,解決了上述科研經費制度的部分問題,並具體規範了實務上的操作。然各部會間如何解決關於監管經費結餘規範之法律衝突,及科研成果容錯機制之評價,仍待後續觀察。
事前的事故應變計畫得降低資料外洩成本根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每項資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,資料侵害事故的平均成本也會節省4英磅。 依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。 專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。