從國外案例談軟體漏洞資訊公布與著作權防盜拷措施

　　英國內閣辦公室於2008年7月7日公佈食品政策報告，內容為檢討衝擊該國食物供應之重大因素，並指出非基因改造動物飼料之取得已有困難，是以食品標準局(Food Standards Agency)預定與環保部門(Department for Environment, Food and Rural Affairs，Defra)合作，重新檢視基因改造產品之標示與銷售法規。 　　關於基因改造產品或食品添加物之標示，英國係遵循歐盟於2004年4月18日起適用之第1829/2003規則(Regulation (EC) No. 1829/2003)，惟僅利用含有基因改造成分飼料所餵養之家禽與家畜，由於該等動物本身的基因並未受到改造，其所產出之肉類、奶類或蛋類，不需依前述規範標示為基因改造產品。一般而言，以供應大眾食用為目的之基因改造產品或添加物，皆負有強制標示之義務，如產品中出現偶發性或無可避免之基因改造成分時，其比例須低於0.9%方不適用該規定。 　　英國民眾對於基因改良產品的接受度不高，超市亦多嚴格要求畜牧業者使用非基因改造飼料；基於環境因素考量，歐盟對於進口產品如含有未經核准之基因改造成份，亦採取零忍受度的政策，是以目前歐盟僅允准一種基因改造穀物於市面上販售。 　　然而，隨著物價持續攀高，畜牧業者不堪負荷下選擇節省成本，反而可能導致諸多基因改造產品在標示不清或根本未為標示的情形下進口至英國。為此，英國政府將持續遊說歐盟修改現有相關制度，並加速核准基因改造飼料進入歐洲市場。

　　韓國首爾高等法院第七行政庭（下稱：韓國高等法院）於2019年12月4日部分駁回高通對韓國公平交易委員會（Korea Fair Trade Commission，下稱：韓國公平會）提起的行政訴訟，高通仍需支付鉅額罰鍰。 　　韓國公平會於2016年12月28日，曾針對高通干涉數據機晶片組（Modem Chipset）的對手廠商之商業活動，進而破壞市場競爭一事，開出史上最高額的行政罰鍰共1.0311兆韓元。當時韓國公平會指出，高通的標準必要專利（Standards-Essential Patents, SEPs）授權不符合「公平、合理、非歧視原則」（Fair, Reasonable and Non-Discriminatory, FRAND），希望藉由開罰徹底矯正高通的商業模式，不讓高通透過該商業模式不合理地維持並擴張其數據機晶片的獨佔地位，進而壓迫數據機晶片業者（如：聯發科或英特爾）和手持裝置（Handset）業者。高通不滿韓國公平會之行政處分，逕向韓國高等法院提出撤銷行政處分之訴，並請求暫緩執行。然而，高通所提出的暫緩執行請求，於2017年11月27日即被韓國高等法院駁回。至於高通所欲提起的撤銷行政處分之訴，韓國高等法院則於本次駁回。 　　儘管韓國高等法院對韓國公平會的部分決議積極地表示贊同，並非照單全收，韓國高等法院於裁判要旨中指出：韓國公平會針對「全面性的專利組合授權」（Comprehensive Portfolio Licensing）請求矯正措施（Remedy）一事係屬違法，換言之，高通毋須逐一重啟授權談判。至於罰鍰和其他決議，韓國高等法院則認為有其合理性。

　　紐西蘭最為歷史悠久的IT專家組織（Institute of IT Professionals NZ）於2012年5月發布雲端運算實務準則（Cloud Computing Code of Practice），藉此彌補實務上缺乏雲端運算標準與實務指針的問題；本準則為自願性遵循規範，以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之，並可向公眾宣示其已遵行此準則，然倘若未遵行而為遵行之宣示，則屬誤導或詐欺行為而觸犯公平交易法（Fair Trading Act 1986）。本準則有四個主要目標：1. 促進紐西蘭雲端產業的服務標準；2. 確立應揭露（disclosure）的標準；3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示；4.強化紐西蘭雲端運算產業的整合性。   　　依據此準則，雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面，業者應表明是否對所上載的資料或資訊主張所有權；而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時，業者應確認其資料所有權之歸屬。   　　在資料管理與保障層面，業者應表明遵從何種資訊安全標準或實務，其已向美國雲端產業聯盟（Cloud Security Alliance）進行STAR登記，或者已通過其他標準的驗證；此外應表明儲存資料伺服器之一處或多處所在地。再者，業者亦須表明服務關係繼續中或終止後，業者或客戶對於客戶所擁有資料之存取權限。   　　在服務提供的適當管理措施上，包含業者的備份（Backup）程序及維護措施，皆應為揭露，使用戶得據以評估是否採取進一步的資料保護措施；此外包括服務的繼續性要求，如備援措施…等，亦應為揭露；又鑒於雲端服務有地理多樣性（Geographic Diversity）的特質，業者應使用戶知悉其提供服務、或營業活動的地點，以判斷此等服務可能適用的法權（Legal Jurisdiction）。   　　依據此準則，雲端業者亦可例如透過服務水準協議（Service Level Agreement）對個別用戶承諾特別的服務支援方案，以提供更好的服務品質。

本文整理美國2025上半年營業秘密管理重要實務，以協助企業強化營業秘密保護。 一、實務常見的兩種不當使用營業秘密情境 由於數位化發展與遠距工作盛行，員工可以更容易地透過隨身碟、電子信箱等方式接觸並傳輸機密（數位文件）。 提醒公司應留意兩個實務常見的不當使用營業秘密的情境： 1. 員工離職後創業或跳槽至競爭公司。 2. 在公司因收購計畫進行盡職調查時，或公司與他方存有供應商、獨立承包商等合作關係期間，公司與他方共享機密資料，接收資訊方卻於協商破局/合作結束後持續留存並不當使用機密。 二、為防患未然，建議公司應「打造營業秘密保護文化」 「打造營業秘密保護文化」的7項重點如下： 1. 識別機密 公司應識別自身所擁有的營業秘密，區分營業秘密與一般資料。如果公司不清楚自己的營業秘密範圍，也會增加員工不知道需要謹慎處理哪些資料的風險。 2. 控管機密文件的重製、流通行為 監控機密文件的列印、下載等重製行為，禁止將公司機密資料傳輸至私人信箱或私人雲端帳戶。 3. 與員工簽訂保密契約，定期提醒保密義務，並客製化員工培訓課程 公司除與員工簽訂保密契約外，當員工開始新專案、轉調部門或升遷時，職務內容的變動，也會連帶影響公司需要向員工更新其對保密義務的理解。 公司應自員工入職起，進行定期的保密培訓與宣導，並針對特定職位客製化相關具體的保密情境，讓員工能夠確實了解公司的保密政策，知道自己應採取/不應採取某些行動，以及行動背後的原因。例如：工程師須了解技術文件的保護方式；銷售團隊需要與客戶資料、定價策略相關的保密培訓課程。 4. 離職人員管理 離職面談應明確提醒員工具持續性的保密義務，且留下相關紀錄，內容應包含對員工任職期間所接觸任何營業秘密的討論資訊，並讓員工簽署書面聲明，確認自己具有保密義務。 5. 網路控管 遠距登入公司系統須透過VPN。 6. 外部活動管理 公司應留意與外部單位（潛在合作夥伴、供應商或客戶）共用敏感資料時，契約須明確約定可共用的資料範圍、可共用資料的人員以及可共用資料的情境。契約應包含保密契約、標示機密資料、返還機密的流程以及定期稽核以確保遵守保密義務。 7. 稽核與改善 定期稽核與持續改善有助於強化營業秘密保護機制，例如：法務、資訊、研發及銷售等部門跨部門協力合作，並持續培訓以打造營業秘密保護文化。 三、面臨營業秘密訴訟，行動策略為關鍵 營業秘密案件通常需要立即採取行動，以防止造成無法彌補的損害。由於在訴訟階段，法院不會僅憑「懷疑」或「模糊描述」就核發禁制令。建議公司平時應落實以下管理措施，以便能夠在發現風險行為後2~3天內，迅速蒐集相應佐證： 1. 證據保全機制應包含：妥善保存電子郵件、系統存取紀錄、裝置使用紀錄等證據。 2. 區分營業秘密的範圍。 3. 持續執行公司所設定的控管措施，如：公司保密政策；保密契約、僱傭契約等契約的保密義務；員工培訓。 4. 留存能夠佐證營業秘密的經濟價值的相關資訊，如：研發投入成本、競爭優勢等。 綜上，公司如欲減少實務上營業秘密糾紛風險，應及早確認是否落實、需要精進公司的營業秘密管理機制，建議國內公司可參考資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」，協助公司檢視並循序調整營業秘密管理作法。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）