愛看Meme的網友們注意了！歐盟新著作權指令「迷因禁令」（Meme Ban）

淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 　　根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版，近年來隨著科技的進步，遠距工作在全球越來越普及，過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊，使辦公的地點、時間更具有彈性，遠距工作模式成為後疫情時代的新生活常態。 　　因應資訊化時代，企業在推動遠距工作時，除業務效率考量外，更需注意資安風險的因應對策是否完備，例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 　　本文將聚焦在遠距工作型態中，因應網路資安管控、員工管理不足，所產生的營業秘密資訊外洩風險為核心議題，研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1]，以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容，藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 　　遠距工作是指藉由資訊技術(ICT Information and Communication Technology)，達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例，依據業務執行的地點，可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種： 1.居家辦公：在居住地執行業務的工作方式。此方式因節省通勤時間，是一種有效兼顧工作與家庭生活的工作模式，適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室（Satellite Office）辦公：在居住地附近，或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時，可選擇優於居住地之環境執行業務，亦可在移動過程中完成工作，提高工作效率。 3.行動辦公：運用筆記型電腦辦公，自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 　　遠距工作時，企業內外部資訊的交換或存取都是透過網際網路執行，對於資安管理不足的企業來說，營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊，或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺（Business Email Compromise，簡稱BEC）之案例，以真實CEO之名義傳送假收購訊息，藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 　　由於員工在遠距工作時，常使用私人電腦或智慧型手機等終端機進行業務資料流通，若員工所持有的終端機資安風險有管控不佳的情況，即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼，再以此做為跳板，進入企業伺服器非法存取企業之營業秘密資訊，造成超過180家客戶受到影響[4]。 　　關於遠距工作網路資安的風險對策，在技術層面上，企業可使用防毒軟體或電子郵件系統的過濾功能，設定遠距工作之員工無法開啟含有惡意程式的檔案，或是透過雲端服務供應商代為控管存取資料之驗證機制，使遠距工作的過程中不用進入企業内網，可直接透過雲端讀取資訊。另外，建議企業將資訊依照重要程度作機密分級，並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5]，屬營業秘密、顧客個資等機密資訊者，應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上，企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況；甚至要求員工在連結企業内網或雲端資料庫時，須使用資安管理者指定的方法連結，未經許可不得變更設定。 　　除上述網路資安的風險外，員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此，企業雇主與員工在簽訂保密協議時，雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例，營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施，而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事，則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中，原告Peoplestrategy公司除了要求員工須簽屬保密協議外，同時有採取保護措施，禁止員工將公司資訊存入筆記型電腦，並且要求員工離職時返還公司所屬之機密資訊，並讀取資訊的過程中，系統會跳出顯示提醒員工有保密義務之通知，故法院認定原告有採取合理的保護措施，保護機密資訊的秘密性[9]。與之相反，Maxpower Corp. v. Abraham案例中，原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼)，且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序，故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 　　藉由前述兩件判決案例，企業在與員工簽屬保密協議時，應向員工揭露企業的營業秘密保密政策，並說明希望員工如何適當處理企業所屬的資訊，透過定期的教育訓練宣導機制，以及員工離職時再次提醒應盡之保密義務。理想上，企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整，例如員工因為遠距工作使工作時間、地點的自由度增加，是否會發生員工接觸或進一步與競爭對手合作的情形。對此，企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 　　以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展，企業在推動遠距工作普及化的過程中，同時也面臨到營業秘密管控的問題，以下以四個面向給予企業建議的管控對策供參。 （一）教育宣導：企業可定期安排遠距工作資安教育訓練，教導員工如何識別釣魚網站、BEC等網路攻擊類型，並以企業電子報、公告提醒資安新聞。另外，規劃宣導企業營業秘密保密政策，使員工清楚應盡的保密義務，以及如何適當處理企業的資訊。 （二）營業秘密資訊管理：企業應依照資訊重要程度作機密分級，例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級，對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施，以及對應其相關資料應審慎管理對應之權限、存取審核。 （三）員工管理：企業在最理想的狀況下，應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施)，並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時，使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時，在未經許可之情況下持有企業的營業秘密資訊。 （四）環境設備管理：遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊，避免直接進入到企業內部網站為原則。同時，需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]〈遠距工作資安指引〉第5版，總務省，https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日：2022/04/27）。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1，頁99。 [4]同前揭註1，頁103。 [5]同前揭註1，頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).

從智慧財產法院104年度民暫抗字第7號民事裁定看營業秘密案件聲請定暫時狀態處分 資策會科技法律研究所 法律研究員　蔡怡萱 105年04月29日 壹、案件摘要 　　智慧財產法院於去（104）年10月2日針對新世紀光電對於103 年度民暫字第21號第一審裁定提起抗告，做出裁准暫時狀態處分之 104 年度民暫抗字第 7 號民事裁定，以下概述智慧財產法院於本案中所採取的法律判斷依據。 　　本案事實為李允立（下稱相對人）於102年離職後自行成立公司（下稱相對人公司），隨即新世紀光電（下稱抗告人）之關鍵研發團隊重要成員及各部門重要員工多名先後離職，部分至相對人公司任職。相對人公司現有經營方式為無廠半導體公司，專門研發及販售發光二極體磊晶圓及晶粒技術與產品規劃，透過租賃機台之方式製造相關產品，與抗告人業務相同。相對人為公司負責人，抗告人主張相對人不可避免的會使用抗告人公司的機密資訊及營業秘密，而造成抗告人重大損失，而抗告人為避免發生重大難以回復之損害，依營業秘密法第11條第1 項[1]、兩造間的服務契約書、民事訴訟法第538 條第1 項[2]、智慧財產案件審理法第22條第2 項[3]規定，聲請撤回原審裁定並定暫時狀態處分。 　　本案法院於此次裁定將原裁定廢棄，在兩造間侵害營業秘密爭議之本案訴訟判決確定前：（1）禁止相對人利用、發表或洩漏任職抗告人公司期間所知悉抗告人公司有關於LED 產品及製程相關之營業秘密及機密資訊，包括：非一般涉及該類資訊所知之一切製程、程式、專門技術、技術資料、經營資料、材料、設計、參數及配方、客戶明細、銷售資料等；（2）相對人不得為自己或第三人之利益，唆使或利誘抗告人員工離職。 貳、重點說明 一、營業秘密具體認定爭執及以定暫時狀態之處分為手段 　　綜合以上兩造爭執點在於，（1）在相對人離職後所持有於抗告人公司任職時所知悉的營業秘密及機密資訊的具體內容該如何認定，相對人爭執於離職時原公司並未明確界定，抗告人卻反駁確有保護營業秘密及機密資訊之說明。（2）透過兩造簽署之服務契約書，是否可以透過定暫時狀態處分為手段，達到確認或重申請求裁定禁止相對人唆使或利誘抗告人之員工離職。 二、定暫時狀態之處分需符合的要件 　　聲請定暫時狀態之處分需符合下列要件：（1）兩造有爭執之法律關係，且以本案訴訟能確定該爭執之法律關係者為限；以及（2）為防止聲請人發生重大損害或避免急迫危險或有其他相類之必要性情形。因此在符合法定要件的前提下，可以請求法院針對侵權爭議的本案訴訟判決確定前，禁止侵害人為特定行為 [4]。 　　另依本案法院的釋明，所謂爭執的法律關係，應不以法律關係已經訴訟繫屬為限，凡金錢請求以外，有繼續性且適於為民事訴訟之標的者，於事人間發生爭執或被侵害等情形，均屬之。更尤，所爭執之法律關係雖尚未有訴訟之繫屬，只要債權人因避免重大之損害或因其他情事，而有定暫時狀態之必要者，即得依聲請定暫時狀態之處分，故法院據以得心證的理由為下列幾項判斷依據。 三、法院判斷依據及裁定結果 （一）兩造有爭執之法律關係 　　以兩造間爭執的法律關係來說，抗告人因發現相對人離職後，有多位員工相繼離職到相對人所成立之公司任職，因此依與相對人任職時所簽署服務契約書中約定離職後的保密義務，向法院聲請禁止相對人不得利用或洩漏先前任職期間所取得公司的營業秘密，法院認為是抗告人就相對人離職後涉及有無違反上述服務契約書約定之保密義務與誘使抗告人員工離職爭議，為雙方所爭執之法律關係。 （二）營業秘密保全的必要性 　　抗告人就可能被相對人利用或洩漏之「營業秘密」所主張，雖然相對人堅稱該內容為業界習知技術，但抗告人提出細部結構設計及製程方式等資訊，經法院認定該等資訊有助於提升產品效率，而且可以減少不必要的錯誤實驗，抗告人也另外提出專利佈局及業務與生產資訊之相關報告及資料，因此法院認為該相關事證使法院大致心證認為其主張該等資訊為其所欲保護之營業秘密事實之存在，而認為為正當之心證。另外就兩造所簽訂的服務契約書中所稱「營業秘密是指具有財產利益或經濟價值的任何口頭及書面機密資訊（料），包括但不限於圖樣、規格、原型、製程..專門技術、客戶明細、晶片、及其他銷售資料..」，也足以證明相對人於原公司任職時已清楚知悉何謂營業秘密，也負有保守其營業秘密的義務。 　　另外相對人所設立之公司其股東及董事皆為抗告人的競爭對手，因此法院認為相對人於原任職期間所知悉上述的營業秘密，推認有可能揭露予他人，而此為抗告人所欲防止的危險，而有保全的必要性。 （四）相對人應遵守禁止挖角義務 　　針對相對人挖角抗告人員工使其離職，而抗告人依兩造的服務契約書中禁止挖角義務條款，請求禁止相對人為挖角行為，法院亦肯定相對人應遵守禁止挖角義務。抗告人公司其他員工於短期內相繼離職，法院雖認為離職為個人選擇，但皆於相對人離職後才相繼離職，且半年即有多人加入相對人所設立公司，故可推認多名離職員工與相對人有關，且為了避免再有員工從抗告人公司繼續離職加入相對人設立之公司，法院相信抗告人的主張大致可採，故就此部分亦准許抗告人請求禁止挖角行為。 （五）相對人應遵守不作為義務 　　定暫時狀態之處分，雖非以保全執行為主要目的，惟仍屬保全權利之方法，原係法院為防止發生重大損害或避免急迫危險或有其他相類之情形認有必要時，為平衡兩造間之權利義務或利益而為之裁定 [5]；又聲請為定暫時狀態之處分，不論係單純不作為處分，或容忍不作為處分，法院為裁定時，對於當事人雙方因准否處分所受利益及可能發生之損害，應依利益權衡原則予以審酌而為准駁 [6]。最後法院衡量抗告人與相對人的權益，營業秘密的洩漏將對抗告人產生損害，但禁止相對人洩漏營業秘密及不得挖角，僅是請求相對人遵守不作為義務而不致有損害，故不對抗告人命供擔保。 參、案件評析 一、由上述案件內容可知，透過具體管理機制所產出之事證可為法院判斷是否為營業秘密遭受侵害的正當之心證，如下述： (一)公司於離職員工任職時所簽訂的服務契約之詳盡程度，包括:於契約文件中定義營業秘密的具體範圍；於契約規範在任職中不得交付或洩漏於任何第三人；於契約規範離職後仍負有保密義務等。 (二)各紀錄文件應完整留存以作為日後法院裁判的事證依據，包括研發紀錄簿中實驗參數文之成敗紀錄或研發例行月會報告，或技術發展計畫等相關資料；專利佈局的規劃，業務與生產資訊（包括可知之銷貨成本、銷貨毛利、人事資料以及研發專案等資訊，他人即可從該等資訊得知銷售狀況）。 (三)制定相關管理辦法並予以區分文件機密等級及管控，如本案中抗告人提出「文件與資料管制辦法」及「門禁管理辦法」，供法院參考以證明抗告人對其生產、營運訊有採取保密措施。 　　由上述提出之事證就可以使法院大致相信所主張之資訊為其所欲保護的營業秘密，並得到大致為正當之心證。 二、如何判斷是否有挖角行為，法院除了以經驗法則及一般人可推知來判斷，雖然於何處任職是個人權利，但不尋常的大量員工於同時間或先後離職，甚至離職後都到同一家公司任職，很難不推認和挖角行為的直接關連；而法院也認為相對人縱使離職後也應該要遵守當時兩造的服務契約中禁止唆使或利誘他人離職。於現今一直苦於受到人才大量流失，甚至競爭對手惡性挖角的國內企業來說，於員工的任職契約約定禁止唆使或利誘挖角原公司員工，也不失為遏止的方法。 三、為了因應智慧財產權相較其他財產權市場上跟策略上的急迫性和時效性，在相較於其他智慧財產假處分案件而言，法院在此案中呈現出考量營業秘密保護相關案件具有緊急性及難以進一步舉證之特性，對於權利人應為釋明之程度較為放寬[7]，是否會形成通案慣例，值得追蹤觀察。 本文同步刊登於TIPS網站(http://www.tips.org.tw) [1]營業秘密受侵害時，被害人得請求排除之，有侵害之虞者，得請求防止之。 [2]於爭執之法律關係，為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要時，得聲請為定暫時狀態之處分。 [3]聲請定暫時狀態之處分時，聲請人就其爭執之法律關係，為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要之事實，應釋明之；其釋明有不足者，法院應駁回聲請。 [4]洪陸麟，以專利案件為中心論智慧財產案件審理法，國立政治大學法律學系碩士班論文，99-100頁，2009年。 [5]最高法院94年度台抗字第743 號民事裁定。 [6]最高法院94年度台抗字第380 號民事裁定。 [7]莊郁沁，智慧財產法院就營業秘密保護案件裁准定暫時狀態處分聲請之案例介紹，理律法律雙月刊，9-10頁，105年1月號。

　　巴拿馬避稅文件被揭露後，引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection)，避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 　　執委會2013年11月正式提出歐盟營業秘密指令草案，目的為調合歐洲內部市場營業秘密規範，以建立保護創新者的環境，並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商，對於歐盟營業秘密指令內容達成共識，準備進入立法表決。 　　巴拿馬事件發生後，公民團體Corporate Europe Observatory之代表Martin Pigeon認為，歐盟營業秘密指令可能成為企業對付揭弊人的工具，以掩蓋不當或違法行為，而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示，營業秘密指令會明確地將記者及揭弊人除罪化。 　　事實上，為了保障公共利益所為之揭露行為，執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定，會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity)，不會觸犯(entitle)營業秘密法之任何罪名。換句話說，即便取得企業機密之方式違法，揭弊人為了公共利益之行為不會違反營業秘密指令。 　　歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準，若歐盟營業秘密指令順利通過，仍待會員國依據該指令各自立法，訂立境內營業秘密相關規範，以落實營業秘密之保護。

　　為了致力於確保及避免因特定奈米材料的曝露而不經意對環境、健康與安全（Environmental, Health and Safety，簡稱EHS）帶來潛在危害，美國環保署（Environmental Protection Agency，簡稱EPA）預計將於今（2011）年1月針對奈米材料的管理規範公佈三項新規定，此舉將使得EPA更能對於目前既有與未來新興奈米材料上有更充分的管理空間，同時這三項新規定也將接受來自公眾與各界人士的意見評論。 　　這三項新規定分別與顯著新用途規則（Significant New Use Rule）、試驗規則（Testing Rule）和資料收集規則（Data Collection Rule）有關。首先，就顯著新用途規則而言，多年來相關倡議團體（advocacy group）請求EPA將既有的奈米材料視為是「毒性物質管理法」（Toxic Substances Control Act，簡稱TSCA）下的顯著新用途，依此EPA將可管理奈米銀、奈米級二氧化鈦、奈米級氧化鋅等材料，亦可因此對要求廠商限制產量、採取勞工安全措施、進行毒性測試，並要求廠商不得故意將奈米材料釋出或排放至環境中。雖然現在尚無法確知詳細法令規定，但已知EPA有意透過TSCA第5條處理上述種種問題，其可能作法為奈米材料將不再受既有化學物質並非顯著新用途的限制，而任何以既有化學物質製成的新型奈米材料將被視為是顯著新用途。 　　其次，則是試驗規則，目前EPA對於特定奈米材料要求進行90日呼吸毒性試驗，而新規定將在TSCA第4條之下，要求對奈米粘土、奈米氧化鋁、奈米管等也進行相同的試驗。此係由於目前在經濟合作開發組織（Organization of Economic Cooperation and Development，簡稱OECD）主導的毒性試驗計畫之下，仍未有其他國家願意主導奈米黏土、奈米氧化鋁的試驗，以及通常90日呼吸毒性測試所費不貲，故未來美國預計率先投入，各界亦期盼EPA所提出的新規定將准予廠商以合作提出申請，以利於降低成本並落實相關試驗。 　　此外，資料收集規則將要求廠商必須正式遞交相關奈米材料的EHS資料，以供EPA進行評估審查，故新規定將在TSCA第8條之下，將原先EPA「奈米材料管理計畫」（Nanoscale Materials Stewardship Program，簡稱NMSP）的自願性參與改為強制性的資料收集，然而由於TSCA中規定對於僅使用少量奈米材料或作為研究目的者，可申請免除資料收集，故廠商仍可依此排除此一義務。 　　綜合以上，使用相關奈米材料的廠商應密切觀察未來三項新規定的發展動向，以確定日後如何遵守EPA的相關法令規定，落實風險管控，保障自身權益。