從日本山崎案談營業秘密不法取得之管理
從日本山崎案[1]談營業秘密不法取得之管理
資策會科技法律研究所
法律研究員 駱玉蓉
105年05月25日
壹、前言
為強化營業秘密的保護,日本從2003年開始,於不正競爭防止法(以下稱本法)中導入刑事保護的相關條文,爾後經過多次修法,在2011年調整刑事訴訟程序的同時,於本法導入了即使行為者不使用或揭露所示的營業秘密,但只要以獲取不當利益為目的,且「以複製」等方式「取得營業秘密」,亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件(ヤマザキマザック事件,以下稱本案)則是在此修法背景中,於少數公開判決中最先單獨引用該法條的案件。
面對層出不窮的營業秘密侵害案件,為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為,我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任,將「知悉或持有營業秘密,未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇,以期可有效遏阻營業秘密侵害案件。
有鑒於營業秘密外洩情形與不法取得手法的多變,本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發,接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護,最後從落實營業秘密管理的面向,彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套,期給予我國企業營業秘密管理的省思。
貳、事件概要
中國大陸籍的被告Y,於2006年4月進入工具機大廠山崎Mazak(以下簡稱原告公司)任職,於2011年8月轉調連結業務部門與研發部門的業務技術部,於2012年3月因獲得其他公司聘書而提出離職申請,預定離職日為同年4月20日。
檢察官於一審的起訴內容提到,被告Y在無業務需求的狀況下,將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中,更於提出離職的當月,下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求,但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。
原告公司在本案當時,對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內,僅業務上有需要的員工才能進行存取、下載,此外,原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證,並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配,為一個部門配發255個IP位址對應255台電腦,當一部門未達255台電腦時,將會有未被電腦對應的IP位址存在,被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址,再進行檔案的存取與複製。經由上述一連串的證據與事實證明,一審法院認定被告Y以不當得利為目的而複製(取得)原告公司的營業秘密,處以拘役兩年、併科罰金50萬日幣的判決。
參、判決評析
從本案可知,原告為保護其營業秘密,針對存取/接觸營業秘密者設有相關限制管理。亦即,藉由IP位址辨識存取網路資料的員工所屬部門及存取權限,再透過存取權限的帳號、密碼進行認證管理,該種管理方式立意良好,但在實施時,卻因為有未被電腦對應的IP位址存在,而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外,雖然原告公司有留存電腦log紀錄,因而最後能證明被告Y曾進行六千次以上的資料存取,但若能在事前做好防備,強化管理措施,例如禁止濫用IP位址越權存取或限定存取次數等方式,增加意圖竊取營業秘密者的取得困難,相信能更遏阻潛在或食髓知味的不法行為。
以下從本案原告公司對於員工接觸權限的控管為啟發,例示限制員工存取/接觸營業秘密,可採取的強化對策。
一、適當賦予一定範圍之存取/接觸權。
例如在企業的研發單位,可依專案或產品線而拆分成多個範圍,依據範圍設定可存取/接觸的權限,藉此可避免出現如本案中,僅限定存取/接觸權、卻未區分範圍,導致一人手持帳號密碼便可通行無阻存取/接觸全部資料,造成外洩時損害程度的提高。
二、在上述對策一的基礎上,於資訊系統中註冊存取/接觸權者的帳號。
除了落實一帳號一密碼的原則,針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外,若是員工有離職、轉調等情況時,亦要配合以刪除ID、更改存取/接觸權限的方式來應對,避免如本案因作業方便而導致有空的IP位址等開後門的情況,而造成營業秘密管理功虧一簣。
三、以區分保管來限制對營業秘密的存取/接觸權限。
區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例,可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域,實施指紋等生物認證的門禁管制。而以資料區分保管為例,常見的做法有高機密性文件與一般文件區分保管。
例如在本案中,隸屬於業務技術部的人員,便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限,建議企業可透過前述的空間分離保管、資料區分保管,兩種方式雙管齊下,實施跨部門資料存取權限的控管。
四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。
嚴禁使用外接式的私人紀錄媒體,企業除了須備足員工所需的紀錄媒體之外,更需制訂與落實紀錄媒體的使用及保管措施。在本案中,即因原告公司當時的業務技術部部長(下稱部長Q)發現到部門內的紀錄媒體使用不受控管,導致私人紀錄媒體濫用的現象,便於其轄下部門制定如:建立可攜式紀錄媒體管理清單及使用規定,落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等,法院因而認定原告公司已採取合理保密措施。
然而,除了明定紀錄媒體的禁止使用或限制使用等規定外,還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則,同時透過定期稽核確保該使用規則的確實執行,避免徒有管理規範卻未落實控管。
肆、結論
本案原告公司雖明定營業秘密相關的管理規定,例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施,而在本案獲得勝訴判決。但除了管理措施有可強化之處外,主要的原因仍發生於管理機制於實際運作上未嚴格落實,而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還,甚或違反禁止使用私人可攜式紀錄媒體的規定,使用私人硬碟等的狀況,造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。
從此可知,即便企業已建立各種營業秘密相關的管理措施,仍須定期追蹤掌握管理機制的落實,例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等,確保營業秘密的有效管理。同時間,企業亦應隨時預警任何不符規定的異常警報,透過log異常行為的警示設定,提早發現問題並採取證據保全措施,將營業秘密外洩風險或損害降至最低。
企業歷經營業秘密的盤點、分級、達成管理措施共識,到形成各部門遵循的管理制度等繁複流程,始確認營業秘密保護標的及合法合理的管理措施,若是未落實執行管理,除了增加營業秘密外洩的風險,於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡,無論是何種對策,確實落實而不流於形式,更是保護營業秘密的不二法則。
本文同步刊登於TIPS網站(http://www.tips.org.tw)
駱玉蓉
法律研究員 編譯整理
使用過Facebook(臉書)上傳照片時,不難發現其內建功能可透過臉部辨識「自動標記」(tag)好友的功能,建議用戶標記照片內的人物,而自從該功能於2011年啟用後,始終存有侵害用戶隱私權的疑慮。本案訴訟自2015年開始,及針對臉書「自動標記」的標籤建議功能爭論。美國於2018年經美國聯邦法院裁定,該功能在未經用戶同意的情況下蒐集並存儲相關使用者的生物特徵資料(biometric data),違反美國伊利諾州(Illinois)生物識別資料隱私法(Biometric Information Privacy Act)。雖然臉書已開始公開與用戶說明其可選擇關閉其識別功能,並針對上述聯邦法院判決提出上訴,卻仍於2019年8月敗訴。因此臉書同意以5.5億美元和解,用於支付伊利諾州的用戶(符合條件的)及訴訟相關費用。
美國專利商標局發布「發明AI」分析報告,由美國專利申請趨勢分析AI技術普及情形美國專利商標局(USPTO)於2020年10月27日發布「發明AI:由美國專利觀察AI普及情形」(Inventing AI: Tracing the diffusion of artificial intelligence with U.S. patents)智財資料分析報告,本報告分析2002年至2018年共16年間美國AI專利之申請資料,發現在AI專利申請數量由3萬件成長至6萬件,成長幅度為100%,而在全體專利當中AI相關專利所占比率,也由原本的9%成長至接近16%,顯示在AI技術研發創新與普及率的顯著成長。 報告指出,自1950年圖靈(Alan Turing)提出「機器能否思考?」問題以來,現今AI技術的發展已經達到連圖靈也會讚嘆的水準,AI技術在發明領域的重要性益發提升,活躍於AI領域的發明人占全體專利權人的比率也從1976年的1%提升到2018年的25%,在組織的發明專利上也呈現相同的趨勢;除了美國銀行(Bank of America)、波音公司(Boeing)以及奇異電子(General Electric)之外,前30大頂尖的AI公司都來自資通訊領域,其中佔據首位者為擁有46,752項專利的IBM,其次為擁有22,076項專利的微軟以及10,928項專利的Google,而AI技術的應用領域也更加多元,並且與在地產業做結合,例如應用在奧勒岡州的健身訓練與設備以及北達科他州的農業上。 USPTO指出,經由專利資料分析顯示AI技術的發展不僅有顯著的成長,並逐漸與在地產業結合、落實在不同產業領域的多元應用,AI對於產業的影響力將不亞於電力或半導體,隨著AI領域發明人的顯著成長,未來將有更多AI技術在各領域的應用出現,而擴大AI影響力的關鍵在於發明者與公司能否成功將AI納入現有或新產品的功能、流程或服務之中。
韓國2月通過《加強保護國家高科技戰略產業競爭力特別措施法(半導體特別法)》韓國2月通過《加強保護國家高科技戰略產業競爭力特別措施法(半導體特別法)》 資訊工業策進會科技法律研究所 2022年3月23日 韓國政府意識到在高科技產業競爭環境中培育知識人才,以及保護國家戰略產業發展的重要性。2019年修訂《防止產業技術外流及產業技術保護法》(下稱產業技術保護法),針對國家核心技術外流及侵害行為加以重罰外;復於2021年12月提出《國際霸權技術競爭下之科技保護策略》(下稱韓國科技保護策略),並於2022年2月3日通過《加強保護國家高科技戰略產業競爭力特別措施法》[1],於同年8月4日生效。分別說明如下: 壹、韓國高科技保護機制發展趨勢 韓國核心科技保護法制體系的特色,是在《防止不當競爭及營業秘密保護法》禁止竊密及《對外貿易法》出口管制之外,訂定了保護產業技術之專法《產業技術保護法》,並以韓國科技保護策略,宣告政府科技保護策略整體方針。 一、產業技術保護法 (一)立法目的 韓國於2006年10月27日制定《產業技術保護法》,該法第1條載明該法立法目的為:「防止工業技術的過度洩露和保護工業技術,以加強韓國工業的競爭力,促進國家安全和國民經濟的發展。」該法規範之國家核心技術係指在國內外市場中,具有較高經濟價值或高度產業成長潛力之技術,此類技術若外洩到國外,對於國家的安全保障及國民經濟發展,將造成重大惡劣影響之虞。 (二)產業技術保護委員會選定國家核心技術防止外流 《產業技術保護法》規定由產業通商資源部部長擔任產業技術保護委員會的委員長,成員包括財政部、教育部、科學部、外交部、法務部、國防部、農林部、保健部、環境部、交通部、海洋部、中小事業部次長、智慧局局長以及民間代表。 各部會由主管業務之產業技術範圍中選定國家核心技術名單,再由產業通商資源部部長及各主管部會部長選定國家核心技術,最後經由產業技術保護委員會經法定程序予以指定、變更、撤銷。該委員會主要根據該產業技術對國家安全保障及國民經濟衍生效益、國內外市占率,以及產業影響力,來進行考量國家核心技術清單,在每年2月底檢討前一年度執行情形,並於10月底更新下一年度國家核心技術及其保護計畫,決定國家核心技術清單。2021年1月產業技術保護委員會審議通過之「國家核心技術指定項目公告」修訂版,指定之國家核心技術包括半導體、顯示器、資通訊、電機電子、機械、機器人、鋼鐵、造船、交通、航太、核能、生命科學等12大領域共71項。 (三)防止國家核心技術外流加重罰則 《產業技術保護法》先後經歷8次修法強化保護力道,最新一次修法是在2019年8月,修法內容包括加強外資管控,凡是國外併購、合併,無論技術是自行開發或政府資助,皆須向政府申報,如果政府認為有影響國安之虞,可下令暫停或禁止;另外是加強技術保護責任,要求國家核心技術之持有及管理者採取必要的保護措施;修法前對於技術外流之懲罰規定僅設有上限(15年有期徒刑及15億韓元),故增訂技術外流至海外之最低罰則為3年以上有期徒刑及15億韓元罰金。 二、韓國科技保護策略 韓國政府2021年12月宣布之科技保護策略,旨在制定各部會科技保護策略方針,以避免韓國核心技術不法外流。該保護策略宣告: (一)將定期檢視國家核心技術之指定、變更與撤銷。 (二)針對國家核心技術清單制定一定執行期間(如5-10年,視技術項目而定)。 (三)規劃於2023年修正《產業技術保護法》,針對外資的認定,增訂間接持股、雙重國籍等情事。 (四)以過去出口管制之企業、投資審查之對象為基礎,將可能持有國家核心技術之企業登錄、加強管制,並建立國家核心技術專家資料庫,以持續監控其出入境。 (五)規劃跨部會合作,包括應用智慧財產局的專利資料庫,認定擁有國家核心技術之相關人員或機構。 貳、《加強保護國家高科技戰略產業競爭力特別措施法》 《加強保護國家高科技戰略產業競爭力特別措施法》(下稱半導體特別法),在《產業技術保護法》之「國家核心技術」外,額外定義「國家高科技戰略技術」,除出口、併購應依現行《產業技術保護法》事先取得產業通商資源部許可外。對於不法侵害國家高科技戰略技術,訂定更嚴厲的罰則;同時針對相關產業提供系統性支援措施。 一、成立由韓國總理主導的「國家高科技戰略產業委員會」,制定5年戰略產業培育及保護的基本計畫。 委員會組成:提高管理層級,由總理為主席,成員包括部會首長、產學研專家,委員人數不超過20名,並由產業通商資源部擔任秘書處。 各領域專門委員會:為協助委員會審查和事先審議,各戰略產業領域得設立專門委員會,每領域委員不超過10名,各專門委員會之主席由「國家高科技戰略產業委員會」主席根據部會首長推薦任命之。 二、「國家高科技戰略技術」由「國家高科技戰略產業委員會」指定,定義為: 影響國家及經濟安全重大者,例如影響供應鏈穩定之半導體技術。 具成長潛力、技術困難度及產業重要性者。 對於相關產業具重大漣漪效益者。 「國家高科技戰略產業」則指研究、開發、商業化國家高科技戰略技術,或以國家高科技戰略技術為基礎,商業化生產產品或服務的產業。 三、加重不法侵害國家高科技戰略技術的罰則:意圖在境外使用或使技術在外國使用,而不法侵害國家高科技戰略技術者,處15年以下有期徒刑、15億韓元以下罰金;未取得許可出口、投資併購而不法侵害國家高科技戰略技術者,處15年以下有期徒刑、15億韓元以下罰金。 四、中央及地方政府應制定培育、保護國家高科技戰略產業必要的政策。有關國家高科技戰略技術的保護,除半導體特別法有規定外,依《產業技術保護法》之規定。< 五、為支持國家高科技戰略產業,提供加速辦理許可、迅速處理環安或職安民事投訴、投入政府預算、減免稅金、培育專業人才等方案。 六、為穩定國家高科技戰略產業供應鏈,政府因自然災害或國際貿易形勢導致相關技術供需穩定有疑慮時,經營者、進出口、運輸、倉儲業者或國營事業,應依據總統令,以六個月為期限,於期間內辦理生產計畫、國內優惠供應方案或設施擴建等事項。 參、代結論:韓國本次《半導體特別法》評析 韓國《半導體特別法》在認定國家高科技戰略技術時,將民間企業或專家的意見,納入國家高科技戰略技術認定與管制機制的決策程序中,綜合考量該技術對國家及經濟安全、技術成長潛力等影響,在最小必要範圍內選定之。另,《半導體特別法》亦特別提出國家高科技戰略產業發展的優惠政策方案,讓該些產業雖因其重要性須受嚴厲管制,但同時也得到政府加速辦理許可、減免稅金等支持。就韓國本次修法,在其認定重要技術的評估方法,以及提供對應配套機制上,值得做為我國未來在保護重要高科技產業做法上的參考。 [1] Cabinet passes National High-Tech Strategic Industries Special Act, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911 (last visited 2022/03/20)
OSS V.S. Mircosoft風暴湧現 誰會是微軟時代的終結者微軟在文書處理軟體的獨占鰲頭局勢已漸漸產生變化。 首先,昇陽(Sun)與Google簽下合作協議將推廣在網路上免費使用的文字處理軟體「OpenOffice」,兩家的合作對微軟OFFICE套裝軟體營收將會有很大的殺傷力。 再者,十月份正式推出的OpenOffice.org 2.0軟體,是第一套可穩定支援新XML開放文件格式(OpenDocument Format;ODF)標準的開放原始碼辦公室軟體。ODF是由OASIS(Organization for the Advancement of Structured Information Standards;結構化資訊標準推動組織)所制定的,採用XML儲存格式,具備共用性、跨平台等特性,並支援文書處理和資料庫等各種儲存格式。OpenOffice.org 2.0軟體還可以支援36國語言,又可在Microsoft Corp's Windows,Linux,Sun's Solaris等多家系統上執行 。 此外,美國麻薩諸塞州宣布自2007年起該州政府文件只能存成OpenDocument或Adobe的PDF兩種格式,因此該州所屬機關必須汰換不支援這2種格式的軟體,當然包括微軟OFFICE套裝軟體,如此一來微軟損失至少數百萬美元以上的商機。如果其他政府部門跟進,這不僅意味ODF的一大勝利,也將重挫微軟的龍頭地位。而Corel及Novell也重申支持OpenDocument格式。 此些舉動對於微軟的根基大業OFFICE套裝軟體可真是成心頭大患。