從日本山崎案[1]談營業秘密不法取得之管理
資策會科技法律研究所
法律研究員 駱玉蓉
105年05月25日
壹、前言
為強化營業秘密的保護,日本從2003年開始,於不正競爭防止法(以下稱本法)中導入刑事保護的相關條文,爾後經過多次修法,在2011年調整刑事訴訟程序的同時,於本法導入了即使行為者不使用或揭露所示的營業秘密,但只要以獲取不當利益為目的,且「以複製」等方式「取得營業秘密」,亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件(ヤマザキマザック事件,以下稱本案)則是在此修法背景中,於少數公開判決中最先單獨引用該法條的案件。
面對層出不窮的營業秘密侵害案件,為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為,我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任,將「知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇,以期可有效遏阻營業秘密侵害案件。
有鑒於營業秘密外洩情形與不法取得手法的多變,本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發,接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護,最後從落實營業秘密管理的面向,彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套,期給予我國企業營業秘密管理的省思。
貳、事件概要
中國大陸籍的被告Y,於2006年4月進入工具機大廠山崎Mazak(以下簡稱原告公司)任職,於2011年8月轉調連結業務部門與研發部門的業務技術部,於2012年3月因獲得其他公司聘書而提出離職申請,預定離職日為同年4月20日。
檢察官於一審的起訴內容提到,被告Y在無業務需求的狀況下,將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中,更於提出離職的當月,下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求,但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。
原告公司在本案當時,對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內,僅業務上有需要的員工才能進行存取、下載,此外,原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證,並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配,為一個部門配發255個IP位址對應255台電腦,當一部門未達255台電腦時,將會有未被電腦對應的IP位址存在,被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址,再進行檔案的存取與複製。經由上述一連串的證據與事實證明,一審法院認定被告Y以不當得利為目的而複製(取得)原告公司的營業秘密,處以拘役兩年、併科罰金50萬日幣的判決。
參、判決評析
從本案可知,原告為保護其營業秘密,針對存取/接觸營業秘密者設有相關限制管理。亦即,藉由IP位址辨識存取網路資料的員工所屬部門及存取權限,再透過存取權限的帳號、密碼進行認證管理,該種管理方式立意良好,但在實施時,卻因為有未被電腦對應的IP位址存在,而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外,雖然原告公司有留存電腦log紀錄,因而最後能證明被告Y曾進行六千次以上的資料存取,但若能在事前做好防備,強化管理措施,例如禁止濫用IP位址越權存取或限定存取次數等方式,增加意圖竊取營業秘密者的取得困難,相信能更遏阻潛在或食髓知味的不法行為。
以下從本案原告公司對於員工接觸權限的控管為啟發,例示限制員工存取/接觸營業秘密,可採取的強化對策。
一、適當賦予一定範圍之存取/接觸權。
例如在企業的研發單位,可依專案或產品線而拆分成多個範圍,依據範圍設定可存取/接觸的權限,藉此可避免出現如本案中,僅限定存取/接觸權、卻未區分範圍,導致一人手持帳號密碼便可通行無阻存取/接觸全部資料,造成外洩時損害程度的提高。
二、在上述對策一的基礎上,於資訊系統中註冊存取/接觸權者的帳號。
除了落實一帳號一密碼的原則,針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外,若是員工有離職、轉調等情況時,亦要配合以刪除ID、更改存取/接觸權限的方式來應對,避免如本案因作業方便而導致有空的IP位址等開後門的情況,而造成營業秘密管理功虧一簣。
三、以區分保管來限制對營業秘密的存取/接觸權限。
區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例,可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域,實施指紋等生物認證的門禁管制。而以資料區分保管為例,常見的做法有高機密性文件與一般文件區分保管。
例如在本案中,隸屬於業務技術部的人員,便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限,建議企業可透過前述的空間分離保管、資料區分保管,兩種方式雙管齊下,實施跨部門資料存取權限的控管。
四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。
嚴禁使用外接式的私人紀錄媒體,企業除了須備足員工所需的紀錄媒體之外,更需制訂與落實紀錄媒體的使用及保管措施。在本案中,即因原告公司當時的業務技術部部長(下稱部長Q)發現到部門內的紀錄媒體使用不受控管,導致私人紀錄媒體濫用的現象,便於其轄下部門制定如:建立可攜式紀錄媒體管理清單及使用規定,落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等,法院因而認定原告公司已採取合理保密措施。
然而,除了明定紀錄媒體的禁止使用或限制使用等規定外,還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則,同時透過定期稽核確保該使用規則的確實執行,避免徒有管理規範卻未落實控管。
肆、結論
本案原告公司雖明定營業秘密相關的管理規定,例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施,而在本案獲得勝訴判決。但除了管理措施有可強化之處外,主要的原因仍發生於管理機制於實際運作上未嚴格落實,而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還,甚或違反禁止使用私人可攜式紀錄媒體的規定,使用私人硬碟等的狀況,造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。
從此可知,即便企業已建立各種營業秘密相關的管理措施,仍須定期追蹤掌握管理機制的落實,例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等,確保營業秘密的有效管理。同時間,企業亦應隨時預警任何不符規定的異常警報,透過log異常行為的警示設定,提早發現問題並採取證據保全措施,將營業秘密外洩風險或損害降至最低。
企業歷經營業秘密的盤點、分級、達成管理措施共識,到形成各部門遵循的管理制度等繁複流程,始確認營業秘密保護標的及合法合理的管理措施,若是未落實執行管理,除了增加營業秘密外洩的風險,於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡,無論是何種對策,確實落實而不流於形式,更是保護營業秘密的不二法則。
本文同步刊登於TIPS網站(http://www.tips.org.tw)
德國聯邦網路局(Bundesnetzagentur) 法規問題研究工作小組(Wissenschaftlicher Arbeitskreis für Regulierungsfragen)於2015年11月18日提出「在OTT服務業者重要性提升背景下電信與媒體法制演變進程」意見報告(Evolution der Regulierung in den Telekommunikations- und Mediensektoren angesichts der Relevanzzunahme von OTT-Anbietern)。此報告針對OTT服務提出以下建議: 1. 是否電信服務(Telekommunikationsdienst)定義僅侷限於「電子信號的傳送」。倘若如此,是否亦須將OTT-I類型服務,亦即網路語音通話或電子郵件服務(例如:Skype, Gmail等),如同歸類並視電信服務而所規範。基於OTT-I服務的性質跟傳統通訊服務相似度很高(例如電話通訊服務),因此是否傳統電信服務定義須要涵蓋OTT-I服務,仍待明確的法制規範。 2. 倘若OTT-I種類的服務被歸類為「電信服務」,依此邏輯是否須要遵守德國電信法(Telekommunikationsgesetz)相關的傳統電信服務義務,像是緊急電話撥打義務、消費者保護、通訊隱私保障、資料保護等,仍待明確的法制規範。 3. 透過OTT服務所蒐集到的資料,均需透過明確的授權規範才得以讓OTT服務提供者有足夠的權限商業性的應用該資料。 4. 在OTT-II服務,亦即內容提供服務(Inhaltdienste)業者快速成長的背景下(例如Youtube,Netflix等),建議鬆綁歷來針對傳統影音媒體服務業者要求之嚴格廣告規範。 5. OTT-II內容平台需在公開網路上履行公平原則及反歧視原則。此原則亦應落實於終端設備使用者。 6. 支持歐盟資料保護規章的市場位置原則(Marktortprinzip)。 7. 電信法與媒體法在實體法上應更佳有所統合性。主管機關需符合憲法權限制訂法制規範,其規範亦必須符合其適當性(Zweckmäßigkeit)。
美國聯邦貿易委員會推動「不留痕」機制,使消費者可選擇不在網路上留下個人資訊美國聯邦貿易委員會(Federal Trade Commission ,FTC)最近開始推動一套「不留痕」(do-not-track)機制,旨在防止網站蒐集未經使用者授權之個人資料。 FTC所出具的報告,旨在幫助政策制訂者和立法者形塑隱私規則,同時要求網站揭露更多其所蒐集之資料的相關事項,諸如蒐集的資料種類、如何使用該資料、以及保存期間。該報告並建議企業提供使用者更多拒絕被蒐集資料的退出選擇方案。 FTC主席Jon Leibowitz在最近的記者會中指出,目前有許多尚未受到網路隱私規範之行銷方式,普遍受到廣告商、社群網站或是搜尋引擎運用。FTC當局的建議由五人所組成的委員會無異議通過,由於網路廣告商、媒體經營者以及零售商所建立的新的行銷模式均建基於個人資料的使用上,因此此建議亦同時考量到該等業者之利益平衡,至2011年1月31日前持續蒐集業者之意見。Leibowitz表示,FTC希望確保新興成長的資訊市場是建立在促進隱私、透明、商業革新和消費者選擇的框架上,而這也是多數美國民眾所希望的。」 此一「不留痕」機制是參照FTC另外一套受歡迎的「勿來電」機制,也就是將電話號碼註冊在一特定的名單上,以防止電話推銷員來電,不過實際上的運作模式仍略有差異。相較於將姓名註冊在一份中央管控的名單,此一機制則是透過網頁瀏覽器的工具,傳送不願被追蹤或接受特定廣告的訊息,Google、Microsoft和 Mozilla都已測試過此套技術。 在此一報告提出後不久,麻州參議員John F. Kerry表明他將會推動一部隱私權相關法律,使FTC有更多規則制訂權以實現其報告所提建議。因為作為相關主管機關,FTC制訂規則的權利其實很有限。
從知名髮油商標侵權案看企業商標管理從知名髮油商標侵權案看企業商標管理 科技法律研究所 2014年07月24日 隨著同性質的消費性產品選擇越來越多元,品牌對於消費者而言無疑愈加重要,尤其在未使用過產品、不確定產品品質時,品牌已成為消費者選購產品的重要指標。正因如此,企業無不爭相投入資源經營品牌,提升品牌能見度。然而品牌一旦知名後,仿冒亦如雨後春筍般接連發生,正如最近許多明星加持的護髮產品-摩洛哥優油,疑似於知名連鎖通路出現分身,在現行商標法體制下,商標權人如何主張保護、利用人(產製商、通路商)行為是否構成侵權及應負哪些責任,成為關注焦點,國內許多新聞亦特別報導此判決結果[1],以下就今年(2014)5月的摩洛哥優油商標仿冒侵權案(智慧財產法院102年度民商訴字第19號民事判決),進行評析並提供我國企業商標管理作法建議。 壹、事件摘要(編碼請使用手動,以防上傳後格式會跑掉) 原告為產製摩洛哥優油護髮產品的公司,並以「moroccanoil」文字及「特殊藍綠底色配上橘色M字母」包裝積極行銷推廣產品,並於2008年在台灣註冊有「moroccanoil」文字商標[2]及「特殊藍綠底色配上橘色M字母,以及白色moroccanoil文字」平面圖形商標[3]。被告共有三者,產製商、行銷代理商及銷售通路商,被告所產製及銷售的產品包裝是由被告產製商委託他人設計,該包裝主要色調同樣以藍綠色底色搭配橘色M字母,惟於包裝上另有花朵圖案、橘色M字母另有一片綠葉。又被告產品上印有白色字體為「morocco hairoil」,惟另有白色字體「magic」商標及「頂級摩洛哥黃金優油」文字。原告認為被告行為構成商標侵權及不公平競爭,遂提出民事訴訟,請求被告停止侵害並負擔損害賠償。智慧財產法院認為被告行為構成商標侵權,判決被告應即停止侵害商標權行為,並給付原告新臺幣貳佰肆拾貳萬柒仟玖佰壹拾伍元損害賠償。 貳、重點說明 從此判決中主要爭議可分成兩部分。第一,在於被告使用行為是否構成商標使用,並產生混淆誤認的可能,進而構成侵權。第二,原告對於被告侵權請求損害賠償之認定及計算方法。 一、商標使用之定義 行為人於自身產品上標示自有品牌商標外,若於產品上想同時使用他人商標來描述產品成分或性質等,須特別注意使用方式,避免將他人商標作為商標使用。亦即,若整體觀察產品包裝設計、排版位置,他人商標為產品包裝整體之主要顯著部分,則該行為尚難被認定僅係將他人商標作為產品產地、成分等描述性說明,而可能被認定為商標使用行為。故應盡量避免使用他人商標,若有使用他人商標需求時,即便同時有使用自身商標,仍應注意使用他人商標的方式,避免將他人商標作為產品來源之主要識別。 二、商標侵權之認定 是否構成商標侵權,主要判斷相關消費者是否產生混淆誤認之可能。而認定是否產生商標混淆誤認之虞,其中判斷因素之一「商標近似程度」,係以通常消費者施以普通注意、異時異地整體觀察。亦即,將行為人使用的標識和他人商標於不同時間、不同地點分別觀察,且是以消費者一般消費時所施的普通注意力就標識及商標的整體來觀察。故若以前述原則觀察認為兩者近似程度高,縱然將兩者同時同地、相互比對時可發現許多細節差異,仍不影響此商標近似程度之判斷。 三、侵權之故意或過失要件 委託他人設計商標者,擁有實際指示和最終確認他人設計之權限,不得以他人設計為由,認為自身無侵害商標權之故意或過失。此外,銷售通路商雖非自行製造產品者,惟上架銷售前,仍有義務注意其營業是否侵害他人權利,無法完全推諉責任。然而值得注意者,從本案中可發現判斷銷售通路商是否有故意或過失,尚有其他相關事實須綜合考量,例如銷售通路商的企業型態、規模、他人商標於該類產品的識別度或知名度等。 四、損害賠償之計算 本案損害賠償主要牽涉商標法第71條第1項第3款規定[4]。「產品零售價格」應考量現今企業行銷手法,主要仍須觀察「常態」的售價為何。若給予產品較高之定價,再慣常的以折扣後價格實際販售予消費者,則應認折扣後的價格為產品在一般情況零售時之常態價格,而原本定價僅有影響消費心理之作用,不得認定為產品之零售單價。又「查獲數量」應注意數量計算標準,以實際查獲為主,行為人產製的數量、進出口銷售量等皆不得作為數量之計算。 參、事件評析 雖全案仍可上訴,惟對於商標權人、利用人(產製商、銷售通路商)而言,此案就利用人的商標使用行為、商標侵權的認定分析及損害賠償的計算,仍值得我國企業留意。以下就產製商、銷售通路商及商標權人分別提供企業建議: 一、從產製商觀點 委託他人設計商標或產品包裝時,應盡監督之責,並於合約中明定設計成果侵權時之責任負擔。例如於合約中要求設計單位產出的設計成果不得侵害他人權利,若有侵權情事,由設計單位全權負責。此外,產製商若有必要使用他人商標以描述自身產品時,應注意使用方式,避免突顯他人商標,以降低侵權風險。例如於產品型錄正中央放置他人商標且超過2/3版面,僅將自身品牌logo放置於型錄封底的角落處。 二、從銷售通路商觀點 應確認產品來源及產品相關權利狀態,例如產品由誰產製、由何處進口;該產品是否有相關技術受專利權保護:該產品包裝是否侵害他人著作權及商標權等。此外,進貨時應與供應商簽約,明確約定產品侵權之風險分擔。例如產品對外販售時發生商標權人主張侵權、請求損害賠償時,由供應商負擔全額損害賠償,亦或由銷售通路商及供應商按特定比例分擔損害賠償。 三、從商標權人觀點 現今多數國家採商標註冊主義,原則上商標取得註冊後方享有商標權保護。商標權人應於各行銷國家妥善註冊商標並建立仿冒因應機制,定期由專人追蹤商標侵權仿冒情事,並完整蒐集相關證據資料,例如侵權仿冒品及發票或相關購買證明,俾利後續權利的主張,包含商標權侵害的排除、損害賠償的請求。 隨著品牌對市場行銷日益重要,商標侵權仿冒愈趨嚴重,在現行商標法下商標權人、利用人(產製商、通路商)皆應注意法規及實務判決動向,以反映在自身企業管理上,達到有效維權,降低侵權風險的目標。 [1]孫友廉,〈賣山寨髮油,屈臣氏判賠〉,蘋果日報,2014/05/11,http://www.appledaily.com.tw/appledaily/article/headline/20140511/35824255/ (最後瀏覽日:2014/06/15);〈賣山寨摩洛哥優油,屈臣氏判賠242萬〉,PChome新聞,2014/05/11,http://mypaper.pchome.com.tw/smallfower140508/post/1327780287 (最後瀏覽日:2014/06/15) [2]註冊號01336555。 [3]註冊號01336554。 [4] 「商標權人請求損害賠償時,得就下列各款擇一計算其損害:…三、就查獲侵害商標權產品之零售單價一千五百倍以下之金額。但所查獲產品超過一千五百件時,以其總價定賠償金額。」