英國創新局(Innovate UK)於2020年11月8日公布「創新持續貸款」(Innovation Continuity Loans)申請指南,作為COVID-19疫情應對計畫的工作項目之一,英國創新局將提供2.1億英鎊的貸款予在疫情影響下持續進行創新活動之國內中小企業。本貸款目標對象為因疫情導致出現資金缺口的中小企業,每一間公司將可申請25萬至160萬英鎊不等之創新持續貸款。
「創新持續貸款」源自2017年的創新貸款實驗計畫(Innovation loans pilot),藉由七項創新競賽篩選出約100位申請人,提供總額約7500萬英鎊的創新貸款;此次創新持續貸款則不採競賽方式,而是針對受疫情影響的中小企業創新活動,透過審查機制提供貸款予申請人。申請人資格為正在執行受創新局補助之創新活動者、過去36個月曾受創新局補助而目前正在進行其他創新活動者或是過去36個月並未獲得創新局補助之創新活動的執行、完成或延續性工作者,且確實因COVID-19疫情影響出現資金短缺之中小企業,即可向創新局申請創新持續貸款。
創新局將藉由審查申請者提交至今的工作成果與品質、受疫情影響程度與資金需求情形,評估該創新活動的後續發展潛力,向合格的申請人提供年利息僅3.7%的創新持續貸款。合格的申請人能在2022年3月31日或約定日期前,直到產品首次商業銷售為止,分階段領取貸款,以年利率3.7%計息;產品首次商業銷售後可額外有兩年的寬限期,在產品首次商業銷售或寬限期結束後五年內,申請人必須償還貸款,未償還部分則改採年利率7.4%計息。藉由低利貸款的資金挹注,協助從事新創活動之英國中小企業得以紓困以度過疫情難關。
本文為「經濟部產業技術司科技專案成果」
淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版,近年來隨著科技的進步,遠距工作在全球越來越普及,過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊,使辦公的地點、時間更具有彈性,遠距工作模式成為後疫情時代的新生活常態。 因應資訊化時代,企業在推動遠距工作時,除業務效率考量外,更需注意資安風險的因應對策是否完備,例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 本文將聚焦在遠距工作型態中,因應網路資安管控、員工管理不足,所產生的營業秘密資訊外洩風險為核心議題,研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1],以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容,藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 遠距工作是指藉由資訊技術(ICT Information and Communication Technology),達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例,依據業務執行的地點,可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種: 1.居家辦公:在居住地執行業務的工作方式。此方式因節省通勤時間,是一種有效兼顧工作與家庭生活的工作模式,適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室(Satellite Office)辦公:在居住地附近,或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時,可選擇優於居住地之環境執行業務,亦可在移動過程中完成工作,提高工作效率。 3.行動辦公:運用筆記型電腦辦公,自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 遠距工作時,企業內外部資訊的交換或存取都是透過網際網路執行,對於資安管理不足的企業來說,營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊,或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺(Business Email Compromise,簡稱BEC)之案例,以真實CEO之名義傳送假收購訊息,藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 由於員工在遠距工作時,常使用私人電腦或智慧型手機等終端機進行業務資料流通,若員工所持有的終端機資安風險有管控不佳的情況,即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼,再以此做為跳板,進入企業伺服器非法存取企業之營業秘密資訊,造成超過180家客戶受到影響[4]。 關於遠距工作網路資安的風險對策,在技術層面上,企業可使用防毒軟體或電子郵件系統的過濾功能,設定遠距工作之員工無法開啟含有惡意程式的檔案,或是透過雲端服務供應商代為控管存取資料之驗證機制,使遠距工作的過程中不用進入企業内網,可直接透過雲端讀取資訊。另外,建議企業將資訊依照重要程度作機密分級,並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5],屬營業秘密、顧客個資等機密資訊者,應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上,企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況;甚至要求員工在連結企業内網或雲端資料庫時,須使用資安管理者指定的方法連結,未經許可不得變更設定。 除上述網路資安的風險外,員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此,企業雇主與員工在簽訂保密協議時,雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例,營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施,而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事,則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中,原告Peoplestrategy公司除了要求員工須簽屬保密協議外,同時有採取保護措施,禁止員工將公司資訊存入筆記型電腦,並且要求員工離職時返還公司所屬之機密資訊,並讀取資訊的過程中,系統會跳出顯示提醒員工有保密義務之通知,故法院認定原告有採取合理的保護措施,保護機密資訊的秘密性[9]。與之相反,Maxpower Corp. v. Abraham案例中,原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼),且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序,故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 藉由前述兩件判決案例,企業在與員工簽屬保密協議時,應向員工揭露企業的營業秘密保密政策,並說明希望員工如何適當處理企業所屬的資訊,透過定期的教育訓練宣導機制,以及員工離職時再次提醒應盡之保密義務。理想上,企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整,例如員工因為遠距工作使工作時間、地點的自由度增加,是否會發生員工接觸或進一步與競爭對手合作的情形。對此,企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展,企業在推動遠距工作普及化的過程中,同時也面臨到營業秘密管控的問題,以下以四個面向給予企業建議的管控對策供參。 (一)教育宣導:企業可定期安排遠距工作資安教育訓練,教導員工如何識別釣魚網站、BEC等網路攻擊類型,並以企業電子報、公告提醒資安新聞。另外,規劃宣導企業營業秘密保密政策,使員工清楚應盡的保密義務,以及如何適當處理企業的資訊。 (二)營業秘密資訊管理:企業應依照資訊重要程度作機密分級,例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級,對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施,以及對應其相關資料應審慎管理對應之權限、存取審核。 (三)員工管理:企業在最理想的狀況下,應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施),並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時,使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時,在未經許可之情況下持有企業的營業秘密資訊。 (四)環境設備管理:遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊,避免直接進入到企業內部網站為原則。同時,需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]〈遠距工作資安指引〉第5版,總務省,https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日:2022/04/27)。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1,頁99。 [4]同前揭註1,頁103。 [5]同前揭註1,頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).
澳洲P2P業者Kazaa面臨存亡的最後通牒澳洲雪梨聯邦法院於本月 24 日對分散式 P2P 業者 Kazaa 發出命令,要求 Kazaa 營運商 Sharman Networks 必須在 10 日內( 12 月 5 日之前),在其提供下載的軟體中加入關鍵字過濾技術( keyword filter system ),否則應立即停止營運。市場人士普遍認為 Kazaa 暫時停止營運的可能性相當地高。 源起於去年底澳洲當地唱片業者控告 Kazaa 一案,今年 9 月 5 日澳洲聯邦法院認定 Kazaa 營運商 Sharman Networks 構成著作權侵害,除判決唱片業者勝訴外,法院並判定 Kazaa 必須在 2 個月內修改其軟體程式,加入相關過濾技術,以避免使用者傳輸違法音樂檔案;另一方面,判決賦予唱片業界得提交 3000 個關鍵字名單 ( 包括了曲目及歌手姓名 ) 要求 Kazaa 加以過濾的權利,該名單並得每兩週加以更新。 直至本月 24 日, Kazaa 仍表示其無法控制高達 100 萬使用者的個人行為,拒絕修改其提供下載的 P2P 軟體,導致聯邦法院不得不下達最後通牒。 Kazaa 營運商 Sharman Networks 雖已提起上訴,但在現時關鍵字過濾技術實施不易之下,澳洲 Kazaa 恐將步上已於本月 7 日關閉的 Grokster 後塵。
德國禁種MON810爭議,行政法院裁定有理由,支持主管機關禁種決定跨國農業生技公司Monsanto研發的MON810品系抗蟲基因改造玉米,於今(2009)年4月中旬遭到德國農業生技的主管機關-聯邦營養、農業與消費者保護局(Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz, BMELV)援引歐盟基因改造生物環境釋出指令(EU-Freisetzungsrichtlinie)中的防衛條款,加以禁種。 雖然Monsanto隨即對BMELV此項決定提出行政訴訟,但Braunschweig行政法院在5月初作出的暫時性裁定,支持了BMELV此項決定。法院基於兩大理由,裁定BMELV之禁種決定並非無據:(1)只要有新的或進一步的資訊出現,支持基因改造作物可能會對人體或動物健康造成損害,即可支持主管機關作出禁止種植已經取得歐盟上市許可的基因改造作物之決定之論據,不需要存在有必然會有風險的科學知識。(2)據此論據進行風險調查及風險評估,乃主管機關之執掌,主管機關對此有裁量權(Beurteilungsspielraum),從而,法院介入審查該行政決定的重點,在於主管機關是否已為充分的風險調查、有無恣意論斷風險。本案目前尚非終局之決定,Monsanto仍可對於此項裁定提出抗告。 在歐盟,基因改造生物的上市需透過歐盟程序為之,一旦歐盟執委會允許某一基因改造生物的上市,該基因改造生物原則上即可在全體歐盟會員國推廣銷售,包括種植。唯歐盟環境釋出指令例外容許會員國得於一定條件下,援引防衛條款主張已通過歐盟審查的基因改造生物,對於其境內環境或人體與動植物健康有負面影響,從而禁止特定已取得歐盟上市許可的基因改造生物於其境內流通。防衛條款的動用屬例外情形,且須定期接受歐盟層級的審查。
美國、日本、韓國舉辦「顛覆性技術保護網路高峰會」,簽署技術保護及出口管制合作意向書美國、日本、韓國於2024年4月25日舉辦首屆「顛覆性技術保護網路高峰會」(Disruptive Technology Protection Network Summit,下稱高峰會),就顛覆性技術保護展開正式合作。 此高峰會係為履行三國於2023年8月18日「大衛營」(Camp David)峰會作出之「未來每年度應至少舉行一次三方國家會談」承諾。美國積極利用此高峰會,深化美國顛覆性技術打擊小組(Disruptive Technology Strike Force)與日本、韓國相應執法單位的資訊交換機制或經驗分享,加強技術保護及打擊相關犯罪活動。有關本次高峰會進展,簡要彙整如下: 一、經驗與案例分享:三國執法單位各自說明其技術保護工具、政策之最新舉措,並進行執法案例分享。 二、相關執法單位簽署合作意向書: (一)美國司法部(The Department of Justice)、日本警察廳(警察庁)和韓國法務部(법무부)共同簽署「深化技術外洩執法資訊分享合作意向書」(Letter of intent on deepening information sharing for tech leak law enforcement)。 (二)美國商務部(The Department of Commerce)、日本經濟產業省(経済産業省)和韓國產業通商資源部(산업통상자원부)共同簽署「實施出口管制合作意向書」(Letter of intent for cooperation on export control implementation)。 三國共識非法出口貨品或移轉技術行為,已對國家安全、經濟安全構成威脅,除持續優化相關法規外,有必要強化三國「執法面」連結,進行較即時的打擊犯罪跨國合作,防範民族國家境外勢力(Nation-state adversaries)以不正當手段獲取先進技術,並建立更全面的國際「顛覆性技術保護網路」(Disruptive Technology Protection Network)。