加拿大發布國家智財戰略強化國際競爭力

從日本山崎案[1]談營業秘密不法取得之管理 資策會科技法律研究所 法律研究員　駱玉蓉 105年05月25日 壹、前言 　　為強化營業秘密的保護，日本從2003年開始，於不正競爭防止法（以下稱本法）中導入刑事保護的相關條文，爾後經過多次修法，在2011年調整刑事訴訟程序的同時，於本法導入了即使行為者不使用或揭露所示的營業秘密，但只要以獲取不當利益為目的，且「以複製」等方式「取得營業秘密」，亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件（ヤマザキマザック事件，以下稱本案）則是在此修法背景中，於少數公開判決中最先單獨引用該法條的案件。 　　面對層出不窮的營業秘密侵害案件，為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為，我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任，將「知悉或持有營業秘密，未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇，以期可有效遏阻營業秘密侵害案件。 　　有鑒於營業秘密外洩情形與不法取得手法的多變，本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發，接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護，最後從落實營業秘密管理的面向，彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套，期給予我國企業營業秘密管理的省思。 貳、事件概要 　　中國大陸籍的被告Y，於2006年4月進入工具機大廠山崎Mazak（以下簡稱原告公司）任職，於2011年8月轉調連結業務部門與研發部門的業務技術部，於2012年3月因獲得其他公司聘書而提出離職申請，預定離職日為同年4月20日。 　　檢察官於一審的起訴內容提到，被告Y在無業務需求的狀況下，將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中，更於提出離職的當月，下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求，但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。 　　原告公司在本案當時，對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內，僅業務上有需要的員工才能進行存取、下載，此外，原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證，並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配，為一個部門配發255個IP位址對應255台電腦，當一部門未達255台電腦時，將會有未被電腦對應的IP位址存在，被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址，再進行檔案的存取與複製。經由上述一連串的證據與事實證明，一審法院認定被告Y以不當得利為目的而複製（取得）原告公司的營業秘密，處以拘役兩年、併科罰金50萬日幣的判決。 參、判決評析 　　從本案可知，原告為保護其營業秘密，針對存取/接觸營業秘密者設有相關限制管理。亦即，藉由IP位址辨識存取網路資料的員工所屬部門及存取權限，再透過存取權限的帳號、密碼進行認證管理，該種管理方式立意良好，但在實施時，卻因為有未被電腦對應的IP位址存在，而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外，雖然原告公司有留存電腦log紀錄，因而最後能證明被告Y曾進行六千次以上的資料存取，但若能在事前做好防備，強化管理措施，例如禁止濫用IP位址越權存取或限定存取次數等方式，增加意圖竊取營業秘密者的取得困難，相信能更遏阻潛在或食髓知味的不法行為。 　　以下從本案原告公司對於員工接觸權限的控管為啟發，例示限制員工存取/接觸營業秘密，可採取的強化對策。 一、適當賦予一定範圍之存取/接觸權。 　　例如在企業的研發單位，可依專案或產品線而拆分成多個範圍，依據範圍設定可存取/接觸的權限，藉此可避免出現如本案中，僅限定存取/接觸權、卻未區分範圍，導致一人手持帳號密碼便可通行無阻存取/接觸全部資料，造成外洩時損害程度的提高。 二、在上述對策一的基礎上，於資訊系統中註冊存取/接觸權者的帳號。 　　除了落實一帳號一密碼的原則，針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外，若是員工有離職、轉調等情況時，亦要配合以刪除ID、更改存取/接觸權限的方式來應對，避免如本案因作業方便而導致有空的IP位址等開後門的情況，而造成營業秘密管理功虧一簣。 三、以區分保管來限制對營業秘密的存取/接觸權限。 　　區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例，可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域，實施指紋等生物認證的門禁管制。而以資料區分保管為例，常見的做法有高機密性文件與一般文件區分保管。 　　例如在本案中，隸屬於業務技術部的人員，便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限，建議企業可透過前述的空間分離保管、資料區分保管，兩種方式雙管齊下，實施跨部門資料存取權限的控管。 四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。 　　嚴禁使用外接式的私人紀錄媒體，企業除了須備足員工所需的紀錄媒體之外，更需制訂與落實紀錄媒體的使用及保管措施。在本案中，即因原告公司當時的業務技術部部長（下稱部長Q）發現到部門內的紀錄媒體使用不受控管，導致私人紀錄媒體濫用的現象，便於其轄下部門制定如：建立可攜式紀錄媒體管理清單及使用規定，落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等，法院因而認定原告公司已採取合理保密措施。 　　然而，除了明定紀錄媒體的禁止使用或限制使用等規定外，還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則，同時透過定期稽核確保該使用規則的確實執行，避免徒有管理規範卻未落實控管。 肆、結論 　　本案原告公司雖明定營業秘密相關的管理規定，例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施，而在本案獲得勝訴判決。但除了管理措施有可強化之處外，主要的原因仍發生於管理機制於實際運作上未嚴格落實，而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還，甚或違反禁止使用私人可攜式紀錄媒體的規定，使用私人硬碟等的狀況，造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。 　　從此可知，即便企業已建立各種營業秘密相關的管理措施，仍須定期追蹤掌握管理機制的落實，例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等，確保營業秘密的有效管理。同時間，企業亦應隨時預警任何不符規定的異常警報，透過log異常行為的警示設定，提早發現問題並採取證據保全措施，將營業秘密外洩風險或損害降至最低。 　　企業歷經營業秘密的盤點、分級、達成管理措施共識，到形成各部門遵循的管理制度等繁複流程，始確認營業秘密保護標的及合法合理的管理措施，若是未落實執行管理，除了增加營業秘密外洩的風險，於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡，無論是何種對策，確實落實而不流於形式，更是保護營業秘密的不二法則。 本文同步刊登於TIPS網站（http://www.tips.org.tw） [1] 名古屋地裁平成26年8月20日判決。 [2] 2011年日本《不正競爭防止法》第21條第1項第3款。 [3] 2013年我國《營業秘密法》第13條之1第1項第3款。

　　美國加州行政法辦公室（the Office of Administrative Law）於2019年12月17日宣布，根據日前通過之修訂規範，該州車輛管理局（the Department of Motor Vehicles）將審查州內公共道路上進行輕型自動駕駛（下稱自駕）運輸服務商業化應用測試之申請，換言之，業者如取得車輛管理局之核准，可以測試重量未達10,001磅之自駕運輸車輛（如一般客車、中型貨車、可載運雜貨類商品的客貨兩用車等）服務。另外，業者如欲就該自駕運輸服務收取運輸費用，則必須另向車輛管理局申請佈署（deployment）許可，即商業化或供公眾使用之許可。 　　不論何種自駕運輸車輛服務之測試，均須遵循現行測試、佈署之申請程序要求，並根據車輛管理局的核准內容進行有或無安全性駕駛人（safety driver）的自駕運輸服務測試，簡要整理不同規範要求如下： 如為有安全性駕駛人之測試與應用，有以下要求： 證明車輛已經曾在符合應用目的之情境（如駕駛環境）下進行測試。 維持測試駕駛人（test driver）的培訓規劃，並且證明每位測試駕駛人均完成培訓。 確保測試駕駛人維持潔淨（clean）的駕駛記錄。 確保測試駕駛人在測試期間乘坐在駕駛座上監控車輛的運行狀況，並在有需要的時候可以即時接管車輛。 須提交年度脫離（或譯為解除自駕）報告（disengagement report），且如有發生碰撞，須於10日內提交碰撞報告予車輛管理局。 　　如為無安全性駕駛人之測試與應用，有以下要求： 提供測試自駕運輸服務所在地方當局之書面通知以茲證明。 證明自駕測試車輛符合以下要求： 　 (1)車輛與遠端遙控操作者間具有通訊連結。 (2)車輛與執法部門間的通訊方式。 (3)製造商將如何監控測試車輛之說明 提交一份與執法部門如何互動交流的計畫。 證明自駕測試車輛符合聯邦機動車輛安全標準（FMVSS），或提供國家公路交通安全管理局（NHTSA）之豁免監管證明。 證明自駕測試車輛可以在沒有駕駛人存在的情況下可以自主運行，並屬於美國汽車工程師協會（SAE）標準等級4、等級5之車輛。 證明測試車輛已經曾在符合應用目的之情境（如駕駛環境）下進行測試。 通知車輛管理局將要測試營運的區域範圍。 維持遠端遙控操作相關培訓規劃，並證明每位遠端遙控操作者均完成培訓。 須提交年度脫離報告，且如有發生碰撞，須於10日內提交碰撞報告予車輛管理局。 　　如自駕運輸服務擬商業化或供公眾使用，申請佈署之相關要求如下： 證明車輛： 　 (1)配備自駕車輛資料紀錄器，此技術是根據加州車輛法規（California Vehicle Code）設計來偵測並反應道路實際狀況 (2)符合聯邦機動車輛安全標準或提供國家公路交通安全管理局之豁免監管證明。 (3)符合現行關於網路攻擊、非經授權侵入或錯誤車輛控制指令之防護、偵測與回應等產業標準。 (4)製造商曾進行測試與驗證，並有足夠信心將車輛佈署於公用道路上。 提交一份與執法部門如何互動交流的計畫複本。 如果車輛不需要駕駛員，製造商必須證明其他事項： 　 (1) 車輛與遠端遙控操作者間具有通訊連結。 (2) 當碰撞事故發生時，車輛可以顯示或傳輸相關資訊予車輛所有人或操作員。 　　綜上所述，若要在加州進行自駕運輸車輛服務測試，須視其服務型態及是否涉及佈署，以遵循不同規範要求，申言之，服務採行有無安全性駕駛人與是否商業化或供公眾使用，二者為併行關係，舉例來說，如業者擬佈署有安全性駕駛人之商業運輸服務，則須同時符合有安全性駕駛人之測試與應用以及佈署等要求。加州對於自駕車輛運輸服務商業化之措舉，值得我國借鏡以完善自駕車輛運輸應用之推動。

　　CRADAs係研發合作契約（Cooperative Research and Development Agreements）之縮寫，為美國國家衛生研究院（National Institute of Health，NIH）與業界和學術界進行科學技術研究發展產學研合作時所簽訂之契約。基於美國國家衛生研究院投入相關領域技術發展之機關設置目的，其所屬之科學家們可以利用本身的科研資源，與業界或學術界共同合作促進保健藥品和原型（prototype）開發與產品進一步的商業化量產。此外，業界也可利用本身私部門的研發力量，介接在國家層級最先進的技術研究合作。 　　研發合作契約的目的是專為使政府設施、政府補助研發成果之智慧財產權，透過與私部門之產學研合作提供合作互動，以促進科學技術知識之發展轉化為具有市場價值之商業化用途。配合契約之簽署，針對研發合作之權利義務，美國國家衛生研究院另設置有科技發展合作中心（Technology Development Coordinator，TDC），作為研發合作早期階段進行磋商與諮詢之專業機構，以幫助瞭解和研擬適當內容的研發合作契約，並順利依法獲得相關主管機關之核准。

　　於2018年02月26日，美國肯塔基州（下略）參議院通過「通訊醫療照護（Telehealth）法案」《第112號修正法案》，修法精神聚焦在增進人民受到照護的機會，同時節省花費，但明文禁止通訊醫療照護適用於人工流產，此部法案將於2019年07月01日生效。 根據前開法案，州政府應： 發展、完善相關政策及程序以確保通訊醫療照護得被適當地使用，同時亦應保障個人資料、隱私、落實知情同意、適當補助等。 增加通訊醫療照護作為醫療照護的機會。 維護通訊醫療照護政策、綱領，同時避免醫療補助保險資源遭浪費、詐害與濫用，並提供得施行通訊醫療照護的醫師名單予具醫療補助保險（Medicare）適格的公民，藉此保障前揭公民均可受到安全、妥適、有效率的醫療照護。 保障醫療補助保險的適用者得以使用通訊醫療照護。 　　參議員Ralph Alvarado（提修正法案之議員）表示通訊醫療照護通過後有以下優點： 監控慢性疾病的能力提升。 增加特殊照護、心理健康（衛生）的機會。 減少急診室的使用。 降低病患因交通而不便就醫的情況。 節省花費。 　　申言之，前開修正內容明確要求政府相關人員必須建立更詳細的通訊醫療照護管控機制，並且將通訊醫療照護納入醫療補助保險的範疇，並具有前開諸多優點。另外，因為通訊技術（即時視訊及通訊）的特性使然，使用通訊醫療照護技術的醫生（下稱醫生）可能在世界上的任何一個地方進行，然而前開法案要求醫生須在肯塔基境內取得執照，以利獲得醫療補助保險的補助。 　　此外，參議員Wil Schroder在本次修法中提出禁止通訊醫療照護適用於人工流產（為防免懷孕初期以服用藥物之方式進行人工流產）的提案，確切的條文規定為「醫師為人工流產醫療行為時，必須患者待在同一空間並親自為之。」（A physician performing or inducing an abortion shall be present in person and in the same room with the patient.），甚者，若違反前開通訊醫療照護禁用於人工流產的禁令時，則將背負D級的刑事罪責，最後以32：3之高票通過；然而，其中投下反對票的參議員McGarvey認為通訊醫療照護對於肯塔基州的醫療照護是重要的實踐與擴張，因此應開放通訊醫療照護適用於人工流產。 （註：telehealth常見翻譯為遠距醫療照護／遠距醫護，然考量我國醫師法第11條授權訂定「通訊診療辦法」之名稱，故本文從之。）