IMD世界人才評比

　　雲端運算具有降低資訊營運成本、資料集中化管理等正面效益，因此，許多事業紛紛選擇將資料轉而儲存至雲端運算設備。 　　事業會評估多項因素做為選擇雲端運算廠商之依據，這些因素包含資料隱私防護程度、權限控管功能等。為提供事業更有效率及精準地選擇雲端運算廠商，紐西蘭個人資料隱私主管機關（Privacy Commissioner）特別諮詢及訪談了當地使用雲端運算的企業及政府單位，彙整其所提供之經驗與意見後，撰寫檢視雲端運算廠商之指導原則。該原則不僅著重於協助中小企業如何有效管理上傳及儲存於雲端運算或其他委外設備儀器資料之隱私及安全性，另還發展出10項檢視要點，提供企業做為選擇評估之自我檢視工具。 　　10項檢視要點分別為：（1）評估事業所能承受之風險等級與擁有之資源，選擇相對應的雲端運算供應商與類型；（2）確認所上傳至雲端運算之資料對於當事人隱私之重要程度；（3）確認事業所需承擔之所有責任；（4）資料傳輸過程與儲存位址之安全維護措施；（5）確認雲端運算供應商條件是否符合資格；（6）確認與雲端運算供應商所簽合約之涵蓋範圍及條件保障；（7）對資料提供者踐行告知義務並建立完善之回應機制；（8）了解資料儲存城市或地點，並確認該地區所提供之隱私保護制度與侵害申訴管道；（9）資料使用及接觸之人員權限管理；（10）雲端運算供應商服務契約終止後資料之處理及提供方式。 　　紐西蘭個人資料隱私主管機關相信，事業必須確保傳輸至雲端運算資料之隱私及安全能受到一定程度之保護，才能避免其商譽及信譽受到損害。

　　德國總理梅克爾（Angela Merkel）所領導的內閣於2017年4月5日通過社群媒體管理草案(Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken)，該法案要求社群媒體必須積極管理使用者散布的仇恨言論及假消息，未善盡義務的社群媒體最高可裁罰5千萬歐元。 　　德國早於2015年12月已與Facebook、Google及Twitter等知名社群網站達成協議，必須在24小時內刪除網站上的不實或違法言論。但根據jugendschutz.net組織公布的數據，Facebook刪除了39％違法內容、Twitter只刪除了1％違法訊息，而Google的Youtube則需要以其他工具進行實測。由於社群媒體自我管理的效果不彰，促使德國政府認為在業者自律之外，必須要制定法律與罰則讓社群媒體負起責任，積極管理網站上使用者的不實與違法言論。 　　本草案重點包括： 適用範圍：本草案適用於電信媒體服務提供商，且該提供商之網路平台係以營利為目的，允許使用者與其他使用者共享訊息或對大眾分享任何資訊。 社群媒體必須設立24小時受理案件之投訴管道。 接到投訴後，社群媒體必須在24小時內刪除「明顯違法」之內容，其他有爭議的內容必須在7天內確認並刪除違法內容。 社群媒體必須定期提供主管機關其投訴之處置報告。 　　本草案已送交德國立法機關進行立法程序，但反對者認為一旦通過立法，可能會對言論自由產生不良影響，並抑制網路言論的發表。德國對於社群媒體之管理，值得持續關注。

因應國際法規變動趨勢的營業秘密管理建議 資訊工業策進會科技法律研究所 2024年06月24日 因應技術進步導致資訊的存取與分享更加容易，營業秘密侵權爭議也隨之增長，綜觀國際政策推動或許多跨國智財專家均逐漸重視營業秘密爭議相關議題，並論及營業秘密相關法規趨勢、訴訟經驗、建議企業可執行的營業秘密管理做法等，以下將綜整相關趨勢與專家觀點並提出我國企業建議。 壹、法規變動趨勢 從國際趨勢以觀，各國針對「競業禁止」規定，有逐漸對其嚴格審查與進行法規監管的趨勢，而這也使得透過限制性條款避免機密資訊外洩的難度提高，企業多轉而透過營業秘密管理來加強防護。 一、競業禁止 本文列舉了近期美國與英國對於競業禁止法規監管的趨勢。 （一）美國將從聯邦層級禁止「競業禁止」條款 美國聯邦貿易委員會（Federal Trade Commission，下稱FTC）於今年，2024年4月23日推出一項最終規定「Non-Compete Clause Rule[1]」，該規則將針對除了高級管理人員以外之員工，使僱主與員工之間已簽訂競業禁止協議無效，並禁止未來僱主與員工簽訂競業禁止合約。 （二）英國擬立法限制「競業禁止」之最高法定期限 英國目前的競業禁止相關限制係基於英美法，以法院的個案判決及既判例來執行。英國政府於2020年12月4日至2021年2月26日期間向公眾進行諮詢，並就諮詢意見之政府回覆於2023年發布報告[2]，英國政府在該報告中提出，就目前國際實務上競業禁止條款之執行期間除了美國部分州已直接被禁止外，多半未進行太多限制，如德國最高為24個月、義大利最長可達三至五年，而英國政府提出其擬將在議會時間允許的情況下提出立法領先引入「最多三個月[3]」之上限，對於競業禁止條款進行限制。 二、合理保密措施 承上所述，基於「競業禁止」條款的效力可能因為政策、法規變動或在不同國家的規定不同而導致已簽署之競業禁止條款失去效力、尚未簽署之契約禁止再簽署競業禁止條款或只允許在受有限制之情況下簽署等，企業透過此類限制性條款來避免機密資訊外洩的難度提高，使的企業多轉而透過其他日常營業秘密管理措施來加強防護，及證明企業有落實營業秘密的「合理保密措施」之法律要件。 以美國加州為例，該州多年前就禁止「競業禁止」約定，故當地企業早已轉往透過建置營業秘密政策和保護措施來加強防護。 貳、具體營業秘密管理措施之建議 一、合理保密措施之目的 合理保密措施除了作為補足無法使用限制性條款（競業禁止條款）之替代管制措施具有「預防營業秘密洩漏之效果」以外；更具有在營業秘密侵權發生後，訴訟上舉證之用。許多智財實務專家表示，無論是在哪一國法規的管轄下，權利人共通性的困難多在於訴訟的舉證上，因此專家建議企業應留存營業秘密管制措施之執行紀錄以作為將來涉訟時舉證之用。 二、營業秘密管理之具體作法 參照實務上專家的建議，本文彙整將實務上被推薦之具體營業秘密管理做法[4]羅列如下： （一）確立並可以識別營業秘密範圍 對於企業而言，首先應識別並記錄出營業秘密（機密）範圍，才能明確管制措施的範圍，並透過機密的標示（例如浮水印）來使員工能夠認知到接觸的資訊為公司重要的營業秘密。 （二）監控 針對下載、複印、數據傳輸行為或者其他可能包含機密資訊之公司設備等行為公司應進行監控。 （三）使用行為管制 公司應限縮傳播範圍（包含禁止員工通過電子郵件將資訊發送到個人電子郵件或將機密文件攜出公司等）；並於不使用時妥善存放保管並上鎖或設置密碼管控。 （四）人員管制 員工作為營業秘密管控機制重要的一環，專家建議應對員工進行教育訓練（告知營業秘密重要性或提供有關如何識別和保護機密資訊的培訓）；與相關人員（員工、承包商、合作單位）簽署保密契約（confidentiality agreements）明確定義機密資訊之範圍以及禁止未經授權的使用與揭露；設立離職員工管控機制（包含離職面談、保存相關設備、甚至如果員工可能進入競爭對手工作，企業可評估是否進一步請合格第三方進行鑑識或取證員工身上是否攜帶機密資訊等，以作為未來若涉訟之舉證）等。 參、評析 綜上所述，企業或許已經理解建立合理保密措施並留存作為訴訟時舉證之證據的重要性，並了解些許零散的管理做法，但可能產生管理措施如何才算是完善的疑問，為了提供企業更全面的管理建議，資策會科法所創意智財中心以其在智財領域之研究與實務經驗的積累發布「營業秘密保護管理規範」[5]（下稱管理規範）將管理措施透過十個單元建立PDCA管理循環。 經查，上述國際法規變動下實務專家討論之營業秘密管理措施均包含在管理規範內，如「（一）確立並可以識別營業秘密範圍」會對應到管理規範第4單元「營業秘密的確定」章節；「（二）監控」會對應到管理規範之第5單元「營業秘密的使用管理」及第7單元「網路與環境設備管理」；「（三）使用行為管制」會對應到管理規範之第5單元「營業秘密的使用管理」；「（四）人員管制」會對應到管理規範之第6單元「員工管理」與第8單元「外部活動管理」。 管理規範除了提供更加多元完善的管理做法（如定義出的營業秘密應進行機密分級、設定保密期限建立管理清單；除了管制流通、複製行為，後端的銷毀或使用紀錄留存、預警措施之建立也很重要；對於員工的管控不僅是離職時，更是從入職時就有風險需要管控；或者更後端的爭議處理機制、監督與改善機制之建立等）以外，更重要的是，管理規範納入了企業應考量的相關法律風險，以「（二）監控」之建議為例，管理規範第6.3.2條進一步要求應對員工進行「宣導」，告知員工「會監控其使用營業秘密行為並保存相關電磁紀錄」，此規定對於企業而言十分重要，因為若未進行告知，可能會因為侵害員工的隱私權，違反刑法妨害秘密罪以及通訊保障及監察法之違法監察通訊罪，而使雇主被判刑。 由此可知，企業在建立營業秘密合理保密措施之相關機制時，亦需要注意措施的完善與合法性，企業除了可參考管理規範系統性建立營業秘密管理機制外，亦可以此管理規範做為檢視自身管理措施符合性之依據，進而促進企業有效落實營業秘密管理。 [1]Federal Trade Commission, FTC Announces Rule Banning Noncompetes (2024), https://www.ftc.gov/news-events/news/press-releases/2024/04/ftc-announces-rule-banning-noncompetes (last visited May 15, 2024). [2]Consultation outcome Measures to reform post-termination non-compete clauses in contracts of employment, GOV.UK, https://www.gov.uk/government/consultations/measures-to-reform-post-termination-non-compete-clauses-in-contracts-of-employment#full-publication-update-history (last visited Jun. 19, 2024). [3]同前註，引述原文：「The government will introduce a statutory limit on the length of non-compete clauses of 3 months and will bring forward legislation to introduce the statutory limit when parliamentary time allows.」。 [4]Q&A: Trade secret disputes, Financier Worldwide Magazine, Financier Worldwide Magazine, https://www.financierworldwide.com/qa-trade-secret-disputes (last visited Jun. 05, 2024). [5]<營業秘密保護管理規範>，財團法人資訊工業策進會科技法律研究所網站，https://stli.iii.org.tw/publish-detail.aspx?no=72&d=7212（最後瀏覽日：2024/06/14）。

　　美國聯邦貿易委員會（Federal Trade Commission, FTC）於2014年間以路由器(Router)與雲端服務的安全漏洞，導生消費者面臨資安與隱私風險之虞，而依據《聯邦貿易委員會法》第5條（Federal Trade Commission Act, 15 U.S.C. § 45(a)）委員會防止不公平競爭違法手段（unfair methods of competition unlawful ; prevention by Commission）之規定，即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由，對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。 　　本案歷經FTC近二年的調查程序後，華碩公司於2016年2月23日同意FTC的和解條件，即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善，並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出，華碩於銷售其所生產的路由器產品時，曾對消費者強調該產品具許多資安保障措施，具有得以防止使用者不受駭客攻擊等效果；然而，該產品實際上卻具有嚴重的軟體設計漏洞，使駭客得以在使用者未知的情況下，利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞，任意改變路由器的安全設定；更有專家發現駭客於入侵華碩製造之路由器產品後，得以強佔使用者的網路頻寬。 　　此外，華碩允許使用者沿用路由器產品的預設帳號密碼，再加上華碩所提供的AiCloud與AiDisk雲端服務功能，讓使用者得以隨身硬碟建立其私有的雲端儲存空間，使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出，駭客利用華碩路由器產品與相關服務的漏洞，於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外，使華碩更加備受譴責的是，當該漏洞被發現之後，其並未主動向產品的使用者強調產品存在該資安問題，更未告知使用者應下載更正該設計漏洞的軟體更新，因此FTC始決定對華碩進行起訴。