從日本山崎案談營業秘密不法取得之管理
從日本山崎案[1]談營業秘密不法取得之管理
資策會科技法律研究所
法律研究員 駱玉蓉
105年05月25日
壹、前言
為強化營業秘密的保護,日本從2003年開始,於不正競爭防止法(以下稱本法)中導入刑事保護的相關條文,爾後經過多次修法,在2011年調整刑事訴訟程序的同時,於本法導入了即使行為者不使用或揭露所示的營業秘密,但只要以獲取不當利益為目的,且「以複製」等方式「取得營業秘密」,亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件(ヤマザキマザック事件,以下稱本案)則是在此修法背景中,於少數公開判決中最先單獨引用該法條的案件。
面對層出不窮的營業秘密侵害案件,為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為,我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任,將「知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇,以期可有效遏阻營業秘密侵害案件。
有鑒於營業秘密外洩情形與不法取得手法的多變,本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發,接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護,最後從落實營業秘密管理的面向,彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套,期給予我國企業營業秘密管理的省思。
貳、事件概要
中國大陸籍的被告Y,於2006年4月進入工具機大廠山崎Mazak(以下簡稱原告公司)任職,於2011年8月轉調連結業務部門與研發部門的業務技術部,於2012年3月因獲得其他公司聘書而提出離職申請,預定離職日為同年4月20日。
檢察官於一審的起訴內容提到,被告Y在無業務需求的狀況下,將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中,更於提出離職的當月,下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求,但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。
原告公司在本案當時,對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內,僅業務上有需要的員工才能進行存取、下載,此外,原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證,並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配,為一個部門配發255個IP位址對應255台電腦,當一部門未達255台電腦時,將會有未被電腦對應的IP位址存在,被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址,再進行檔案的存取與複製。經由上述一連串的證據與事實證明,一審法院認定被告Y以不當得利為目的而複製(取得)原告公司的營業秘密,處以拘役兩年、併科罰金50萬日幣的判決。
參、判決評析
從本案可知,原告為保護其營業秘密,針對存取/接觸營業秘密者設有相關限制管理。亦即,藉由IP位址辨識存取網路資料的員工所屬部門及存取權限,再透過存取權限的帳號、密碼進行認證管理,該種管理方式立意良好,但在實施時,卻因為有未被電腦對應的IP位址存在,而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外,雖然原告公司有留存電腦log紀錄,因而最後能證明被告Y曾進行六千次以上的資料存取,但若能在事前做好防備,強化管理措施,例如禁止濫用IP位址越權存取或限定存取次數等方式,增加意圖竊取營業秘密者的取得困難,相信能更遏阻潛在或食髓知味的不法行為。
以下從本案原告公司對於員工接觸權限的控管為啟發,例示限制員工存取/接觸營業秘密,可採取的強化對策。
一、適當賦予一定範圍之存取/接觸權。
例如在企業的研發單位,可依專案或產品線而拆分成多個範圍,依據範圍設定可存取/接觸的權限,藉此可避免出現如本案中,僅限定存取/接觸權、卻未區分範圍,導致一人手持帳號密碼便可通行無阻存取/接觸全部資料,造成外洩時損害程度的提高。
二、在上述對策一的基礎上,於資訊系統中註冊存取/接觸權者的帳號。
除了落實一帳號一密碼的原則,針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外,若是員工有離職、轉調等情況時,亦要配合以刪除ID、更改存取/接觸權限的方式來應對,避免如本案因作業方便而導致有空的IP位址等開後門的情況,而造成營業秘密管理功虧一簣。
三、以區分保管來限制對營業秘密的存取/接觸權限。
區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例,可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域,實施指紋等生物認證的門禁管制。而以資料區分保管為例,常見的做法有高機密性文件與一般文件區分保管。
例如在本案中,隸屬於業務技術部的人員,便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限,建議企業可透過前述的空間分離保管、資料區分保管,兩種方式雙管齊下,實施跨部門資料存取權限的控管。
四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。
嚴禁使用外接式的私人紀錄媒體,企業除了須備足員工所需的紀錄媒體之外,更需制訂與落實紀錄媒體的使用及保管措施。在本案中,即因原告公司當時的業務技術部部長(下稱部長Q)發現到部門內的紀錄媒體使用不受控管,導致私人紀錄媒體濫用的現象,便於其轄下部門制定如:建立可攜式紀錄媒體管理清單及使用規定,落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等,法院因而認定原告公司已採取合理保密措施。
然而,除了明定紀錄媒體的禁止使用或限制使用等規定外,還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則,同時透過定期稽核確保該使用規則的確實執行,避免徒有管理規範卻未落實控管。
肆、結論
本案原告公司雖明定營業秘密相關的管理規定,例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施,而在本案獲得勝訴判決。但除了管理措施有可強化之處外,主要的原因仍發生於管理機制於實際運作上未嚴格落實,而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還,甚或違反禁止使用私人可攜式紀錄媒體的規定,使用私人硬碟等的狀況,造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。
從此可知,即便企業已建立各種營業秘密相關的管理措施,仍須定期追蹤掌握管理機制的落實,例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等,確保營業秘密的有效管理。同時間,企業亦應隨時預警任何不符規定的異常警報,透過log異常行為的警示設定,提早發現問題並採取證據保全措施,將營業秘密外洩風險或損害降至最低。
企業歷經營業秘密的盤點、分級、達成管理措施共識,到形成各部門遵循的管理制度等繁複流程,始確認營業秘密保護標的及合法合理的管理措施,若是未落實執行管理,除了增加營業秘密外洩的風險,於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡,無論是何種對策,確實落實而不流於形式,更是保護營業秘密的不二法則。
本文同步刊登於TIPS網站(http://www.tips.org.tw)
駱玉蓉
法律研究員 編譯整理
歐盟提出現行個資保護指令規範之修正草案 科技法律研究所 2013年10月07日 壹、事件摘要 歐盟於1995年所制定之「個人資料保護指令」(Data Protection Directive,95/46/EC,下稱個資保護指令),其基本原則確保了歐盟會員國個人資料基本權利之保障,後續也成為國際相關立法時之參考依據。但由於個資保護指令制定時為框架式立法模式,歐盟各會員國仍須將相關規定內國法化,導致各會員國間對於個人資料保護標準產生差距。 貳、重點說明 一、立法緣起 歐盟現行之「個資保護指令」是第一部解決關於個人資料處理與自由流通保護之指令,主要在於提供歐盟境內關於個人資料及隱私權保護之規定。但由於該指令使各會員國之規範不具統一性,且制定之時科技尚屬發展階段。為解決科技發展與各國形成之保護差距,歐盟執委會(European Commission)在2012年1 月25 日,向歐洲理事會(European Commission)及歐洲議會(European Parliament)正式提出「一般個人資料保護規則」(General Data Protection Regulation)草案共91 條。預計於2015年施行,並取代現行個資保護指令,全面並一致性適用於各會員國。 二、關鍵改變 本次一般個人資料保護規則草案相較於現行個資保護指令,主要有資料當事人權利行使新增與強化、當事人同意要件標準提高、適用主體擴大、申訴權力強化、資料管理人資料保護責任之加重、損害賠償與相關罰則之規定等,並將各項規定更加明確化,以解決長期以來歐盟會員國間因保護水準不一所形成之衝突現象。 參、事件評析 一般個人資料規則草案提出後,歐盟與英國分別針對新規則草案進行評估。歐盟執委會認為,新規則可協助歐盟境內解決長期以來因個資法保護水準不一所形成之衝突,進而為當地企業帶來約23億歐元之效益;但英國當地卻持反面見解,認為新法將使企業提高所需擔負之行政成本,且高規格之法遵要求也使資料管理人陷入難以遵守之情況,進而影響歐盟之競爭力。國際上激烈的討論聲浪與分歧之見解,也使得該規則草案自提出至今已一年多的時間,仍未正式拍板定案。 歐盟於1995年制定之個資保護指令,自1998年生效之後,不僅在各會員國進行個資保護時扮演關鍵性角色,更為國際上個人資料保護或隱私保護之參考依據,其動向更為各國所專注與留意。而隨著時代轉變與科技演進,歐盟期許未來不只是在歐盟境內,更可將個人資料或隱私保護相關資訊與要求,擴及歐盟以外之國家,因而於2012年提出新規則草案,而後續相關發展,更值得我們持續留意跟進。
澳洲聯邦法院認定Hungry Jack's「BIG JACK」等商標未近似於McDonald's「BIG MAC」等商標澳洲聯邦法院於2023年11月16日宣告著名速食餐飲公司McD Asia Pacific LLC (後稱McDonald's)指控Hungry Jack's Pty Ltd(Burger King Corporation特許經營者,後稱Hungry Jack's)商標侵權的審判結果,確認Hungry Jack's的「BIG JACK」和「MEGA JACK」商標與McDonald's的「BIG MAC」和「MEGA MAC」商標並無誤導性之近似性,考量商標之間的外觀、發音和含義等具有顯著性差異且能夠避免對消費者造成混淆,而判決Hungry Jack's的商標使用並未侵犯McDonald's的商標權。 美國漢堡巨頭McDonald's自1971年開始在澳洲運營並銷售「BIG MAC」漢堡。這起案件始於McDonald's公司於2020年提出的指控,聲稱Hungry Jack's於該年推出並使用的「BIG JACK」和「MEGA JACK」商標與其註冊的「BIG MAC」和「MEGA MAC」商標極為相似,可能導致消費者混淆,損害其商標權益。然而,Hungry Jack's反駁了這一指控,主張其商標「BIG JACK」和「MEGA JACK」在外觀、聲音和涵義上與McDonald's的「BIG MAC」和「MEGA MAC」存在顯著差異,並提出了獨特的市場定位和行銷策略。 聯邦法院指出,McDonald's公司聲稱Hungry Jack's的「BIG JACK」和「MEGA JACK」商標使用侵犯了其商標權,但卻未能提供足夠的證據來支持這一主張。法院特別關注商標在外觀、聲音和含義上的差異,並考慮了它們在市場上的實際使用情況。雖然兩者可能在某些方面顯示出相似性,例如名稱中都包含了「BIG」與「MEGA」,但綜合考慮後,法院發現Hungry Jack's的「BIG JACK」和「MEGA JACK」商標與McDonald's的「BIG MAC」和「MEGA MAC」商標之間,包括外觀風格、字體設計和商業標識等方面存在顯著差異,並未達到引起混淆或誤導的程度。因此,基於對雙方商標相似性的詳細分析和法律準則的適用,最終判定Hungry Jack's的「BIG JACK」和「MEGA JACK」商標使用未對McDonald's商標構成侵權。 本案突顯商標管理在品牌企業發展中的關鍵性。企業應定期檢視品牌商標使用情形與辨識侵權他人或被他人侵權等潛在風險,並適合維權等管制措施以及時保護自身的商標權益,確保品牌在市場中的競爭力。 本文同步刊登於TIPS網站(https://www.tips.org.tw/)
美國總統簽署行政命令,為數位資產帶來全面的管制框架美國總統喬‧拜登(Joe Biden)於美國時間2022年3月9日簽署「確保數位資產負責任發展」行政命令(Executive Order on Ensuring Responsible Development of Digital Assets)。該行政命令為數位資產(Digital Assets)提供全面性的管制框架。所謂數位資產,係指透過分散式帳本技術以數位形式發行,表彰一定價值,或用於支付、投資、傳輸或交易資金或其等價物之憑證或資產。以下將簡述該行政命令所揭示的政策目標: 對於美國消費者、投資者與企業之權利保護,包含機敏資料的隱私保護等; 為降低金融市場的系統性風險,應建構相關數位資產帶來風險之監管措施; 避免因濫用數位資產所衍生之非法金融與國家安全風險; 透過發展支付創新(payment innovations)與數位資產,以加強美國於全球金融體系與經濟競爭力之領導地位; 強調金融服務提供之公平性,並降低金融創新下產生的負面影響,以促進金融普惠; 關注以負責任的方式促進數位資產的技術發展,包括於技術架構中確保隱私與安全,並減少因加密貨幣挖礦所導致的氣候衝擊(negative climate impacts)與環境污染(environmental pollution)。 為達成上述目標,該行政命令要求政府機關應跨部門合作,並於指定期間提出針對數位資產相關議題之評估報告及政策框架等;於國際方面,該行政命令則宣示將透過G7、G20、FATF、FSB等管道擴大與國際的合作,包括洗錢防制、建構中央銀行數位貨幣(Central Bank Digital Currency,CBDC)開發標準、穩定幣(stablecoin)與跨境資金轉帳與支付系統等議題。 其中值得注意的是,有鑑於已有國家嘗試開發CBDC,此次行政命令也顯示美國正視CBDC於金融市場之趨勢,並要求有關政府部門評估政策之可行性與實施條件等。 雖然本次行政命令並未公布新的法律規範,亦未能從行政命令觀察美國政府目前對數位資產監管所採取的立場,但可顯見美國政府藉由此次行政命令宣示將對數位資產進行全面且縝密的政策規劃。
Regolith的試煉:太空物質私有化美國國家航空暨太空總署(National Aeronautics and Space Administration,NASA)向企業購買月球Regolith(岩屑層)與岩石物質,並於2020年9月提出《月球Regolith採購工作績效聲明》(Lunar Regolith Purchase Request Performance Work Statement)。惟月球的物質,是否可以開採? 依據《各國探索與應用外太空、月球暨其他天體之活動管理原則條約》(Treaty on Principles Governing the Activities of States in the Exploration and Use of Outer Space, Including the Moon and Other Celestial Bodies)第2條,外太空、月球與其他星體,非任何國家可藉由使用、占領與其他方式,或應用國家經費,而宣稱擁有主權。針對NASA的月球物質採購計畫,是否合乎該條約?NASA署長Jim Bridenstine指出,Artemis計畫增加商業參與,要求企業蒐集小型的月球「塵埃」(dirt),或月球表面的岩石。Jim Bridenstine並認為此項提案,充分遵守該條約與其他國際義務。申言之,NASA認為月球之物質,具有私有化之可能性。 為採購企業蒐集之月球物質,NASA擬定《月球Regolith採購工作績效聲明》,規範企業的義務為:1、自月球表面蒐集50克至500克的Regolith或岩石物質;2、提供NASA蒐集與物質的影像,該資料足以識別蒐集地點為月球表面;3、就地(in-place)移轉NASA蒐集物質的所有權,此些物質並將成為NASA得以使用的私有財產(sole property)。企業得以決定在月球表面的任何地點蒐集,且無須評估蒐集的材料;NASA係採購蒐集狀態(“as-collected” condition),並有權利獨立確認企業蒐集物質的聲明。亦即企業的任務為採購物質,並提出證明;對月球物質的評估,則由NASA為之。 企業對NASA採購月球物質之履行,須於2024年以前完成;NASA對契約的獎勵,並不以月球物質蒐集的數量為基準。NASA對企業採購月球物質的支付依據:10%來自於企業完成NASA概念審查的提案;10%係企業為此蒐集任務,而由企業系統發射航空器至太空;80%為達成移轉NASA太空物質的所有權。另外,機器人登陸器(robotic lander)的設計與建構,並非屬NASA向企業徵集太空物質之內容。換言之,NASA之採購計畫並非強調太空物質之蒐集數量,而係著重於太空物質所有權之移轉。 綜上所論,NASA向企業採購月球Regolith與岩石物質,並以所有權之移轉為主,開啟太空物質私有化的可能性。