新加坡國會於2020年11月通過個人資料保護法之修正案

從日本山崎案[1]談營業秘密不法取得之管理 資策會科技法律研究所 法律研究員　駱玉蓉 105年05月25日 壹、前言 　　為強化營業秘密的保護，日本從2003年開始，於不正競爭防止法（以下稱本法）中導入刑事保護的相關條文，爾後經過多次修法，在2011年調整刑事訴訟程序的同時，於本法導入了即使行為者不使用或揭露所示的營業秘密，但只要以獲取不當利益為目的，且「以複製」等方式「取得營業秘密」，亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件（ヤマザキマザック事件，以下稱本案）則是在此修法背景中，於少數公開判決中最先單獨引用該法條的案件。 　　面對層出不窮的營業秘密侵害案件，為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為，我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任，將「知悉或持有營業秘密，未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇，以期可有效遏阻營業秘密侵害案件。 　　有鑒於營業秘密外洩情形與不法取得手法的多變，本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發，接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護，最後從落實營業秘密管理的面向，彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套，期給予我國企業營業秘密管理的省思。 貳、事件概要 　　中國大陸籍的被告Y，於2006年4月進入工具機大廠山崎Mazak（以下簡稱原告公司）任職，於2011年8月轉調連結業務部門與研發部門的業務技術部，於2012年3月因獲得其他公司聘書而提出離職申請，預定離職日為同年4月20日。 　　檢察官於一審的起訴內容提到，被告Y在無業務需求的狀況下，將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中，更於提出離職的當月，下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求，但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。 　　原告公司在本案當時，對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內，僅業務上有需要的員工才能進行存取、下載，此外，原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證，並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配，為一個部門配發255個IP位址對應255台電腦，當一部門未達255台電腦時，將會有未被電腦對應的IP位址存在，被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址，再進行檔案的存取與複製。經由上述一連串的證據與事實證明，一審法院認定被告Y以不當得利為目的而複製（取得）原告公司的營業秘密，處以拘役兩年、併科罰金50萬日幣的判決。 參、判決評析 　　從本案可知，原告為保護其營業秘密，針對存取/接觸營業秘密者設有相關限制管理。亦即，藉由IP位址辨識存取網路資料的員工所屬部門及存取權限，再透過存取權限的帳號、密碼進行認證管理，該種管理方式立意良好，但在實施時，卻因為有未被電腦對應的IP位址存在，而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外，雖然原告公司有留存電腦log紀錄，因而最後能證明被告Y曾進行六千次以上的資料存取，但若能在事前做好防備，強化管理措施，例如禁止濫用IP位址越權存取或限定存取次數等方式，增加意圖竊取營業秘密者的取得困難，相信能更遏阻潛在或食髓知味的不法行為。 　　以下從本案原告公司對於員工接觸權限的控管為啟發，例示限制員工存取/接觸營業秘密，可採取的強化對策。 一、適當賦予一定範圍之存取/接觸權。 　　例如在企業的研發單位，可依專案或產品線而拆分成多個範圍，依據範圍設定可存取/接觸的權限，藉此可避免出現如本案中，僅限定存取/接觸權、卻未區分範圍，導致一人手持帳號密碼便可通行無阻存取/接觸全部資料，造成外洩時損害程度的提高。 二、在上述對策一的基礎上，於資訊系統中註冊存取/接觸權者的帳號。 　　除了落實一帳號一密碼的原則，針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外，若是員工有離職、轉調等情況時，亦要配合以刪除ID、更改存取/接觸權限的方式來應對，避免如本案因作業方便而導致有空的IP位址等開後門的情況，而造成營業秘密管理功虧一簣。 三、以區分保管來限制對營業秘密的存取/接觸權限。 　　區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例，可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域，實施指紋等生物認證的門禁管制。而以資料區分保管為例，常見的做法有高機密性文件與一般文件區分保管。 　　例如在本案中，隸屬於業務技術部的人員，便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限，建議企業可透過前述的空間分離保管、資料區分保管，兩種方式雙管齊下，實施跨部門資料存取權限的控管。 四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。 　　嚴禁使用外接式的私人紀錄媒體，企業除了須備足員工所需的紀錄媒體之外，更需制訂與落實紀錄媒體的使用及保管措施。在本案中，即因原告公司當時的業務技術部部長（下稱部長Q）發現到部門內的紀錄媒體使用不受控管，導致私人紀錄媒體濫用的現象，便於其轄下部門制定如：建立可攜式紀錄媒體管理清單及使用規定，落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等，法院因而認定原告公司已採取合理保密措施。 　　然而，除了明定紀錄媒體的禁止使用或限制使用等規定外，還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則，同時透過定期稽核確保該使用規則的確實執行，避免徒有管理規範卻未落實控管。 肆、結論 　　本案原告公司雖明定營業秘密相關的管理規定，例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施，而在本案獲得勝訴判決。但除了管理措施有可強化之處外，主要的原因仍發生於管理機制於實際運作上未嚴格落實，而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還，甚或違反禁止使用私人可攜式紀錄媒體的規定，使用私人硬碟等的狀況，造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。 　　從此可知，即便企業已建立各種營業秘密相關的管理措施，仍須定期追蹤掌握管理機制的落實，例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等，確保營業秘密的有效管理。同時間，企業亦應隨時預警任何不符規定的異常警報，透過log異常行為的警示設定，提早發現問題並採取證據保全措施，將營業秘密外洩風險或損害降至最低。 　　企業歷經營業秘密的盤點、分級、達成管理措施共識，到形成各部門遵循的管理制度等繁複流程，始確認營業秘密保護標的及合法合理的管理措施，若是未落實執行管理，除了增加營業秘密外洩的風險，於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡，無論是何種對策，確實落實而不流於形式，更是保護營業秘密的不二法則。 本文同步刊登於TIPS網站（http://www.tips.org.tw） [1] 名古屋地裁平成26年8月20日判決。 [2] 2011年日本《不正競爭防止法》第21條第1項第3款。 [3] 2013年我國《營業秘密法》第13條之1第1項第3款。

歐盟航空安全局（European Union Aviation Safety Agency, EASA）於2022年10月13日發布全球首件「最大起飛重量不逾六百公斤之無人機系統噪音量測指南」（Guidelines on Noise Measurement of Unmanned Aircraft Systems Lighter than 600 kg Operating in the Specific Category），適用於各式各樣的無人機設計，包括多旋翼機（multicopters）、固定翼航空器（fixed-wing aircraft）、直升機與動力起降航空器（powered-lift aircraft）等。 該指南旨在提供低度與中度風險（Low and Medium Risk）特定類別無人機運行時，具一致性的噪音量測程序與方法。該方法係考量實際層面與心理聲學（psychoacoustics），即有關人類對於無人機聲音的感知，設計為提供可重複且準確量測噪音，可量測最大起飛重量（Maximum Take-Off Weight, MTOM）小於600公斤的無人機，以落實歐盟環境保護的高度水準，並防止噪音對人體健康的重大影響。而所謂特定類別（specific category）包括包裹遞送、電力巡檢、鳥類管制（bird control）、測繪服務（mapping services）、空中監視（aerial surveillance）等活動。 此份指南雖不具強制性，亦非無人機認證規範，然而噪音是許多歐洲民眾所關注的問題，各國航空主管機關仍可以該指南為基準要求營運商，使之在自然公園或人口稠密區域等敏感環境運行無人機時可降低噪音。同時，無人機製造商、營運商或噪音量測組織，亦可依據該指南確立與特定設計及操作相關的噪音水準。此外，可將由此而生的噪音水準報告提供給EASA，以建立可供營運商與主管機關使用的線上公眾資料庫（online public repository）。

　　歐盟執委員會於2018年5月17日公布第三套安全，清潔和聯網式行動議程，該套行動也是最後一套實現歐洲運輸系統現代化的措施。 　　在2017年9月的國情咨文中，歐盟主席容克提出歐盟產業成為創新，數位化和低碳化均能領先於全球地位的目標。基於此原因，在交通領域執委會2017年5月和11月的提出兩套歐洲行動措施，其目標係讓所有歐洲人都能從享受更安全的交通，更少污染的車輛和更先進的技術解決方案，並同時加強歐盟產業業的競爭力。為此，本次議程聚焦包括未來車輛和基礎設施安全措施綜合政策;重型車輛的二氧化碳標準; 歐洲發展和製造電池的戰略行動計畫以及關於車聯網和自駕車的前瞻性戰略。 　　而歐洲能源聯盟表示：交通正到跨越一個新的技術前沿，透過能源聯盟的最終提案，將可幫助我們相關產業保持領先地位，並透過大規模研發關鍵技術解決方案，包括潔淨能源之電池技術和建置相關充電基礎設施，以解決碳排放，行車擁堵和降低事故發生。 　　歐盟氣候行動與能源專員亦表示：所有部門都必須為實現巴黎協議之氣候承諾做出貢獻，這就是為什麼歐盟在有史以來第一次訂定提提高燃油效率標轉和減少碳排放的標準，也為歐洲工業鞏固當前在創新技術領域的領導地位。 　　歐盟交通運輸專員亦表示：過去一年，執委會在通領域提出許多重大舉措，以提升未來交通安全、乾淨及聯網性。所有措施皆以乾淨且智慧的交通工具目標前進，並尋求各成員國和歐洲議會能支持該雄心壯志。 　　歐盟內部市場，產業，創業和中小企業專員表示：90％的道路交通事故係出於人為錯誤，目前提出新的強制性安全功能將減少事故的數量，並有利車聯網及自駕車技術發展。 　　本次議程內容簡介如下 交通安全 從2001年至今道路死亡人數減少已了一半以上，然2017年歐盟境內仍有25,300人交通事故身亡，及13.5 萬人受重傷。因此，歐盟執委會建議新型車輛應配備先進的安全功能，例如用於汽車的先進緊急煞車和車距保持輔助系統或卡車對於周遭行人和用路人之檢測系統。此外，委員會將幫助成員國能在危險路段進行系統性改善建設投資。預計將可挽救多達10,500人的生命，並在2020-2030年期間避免接近6萬人的嚴重受傷，從而為歐盟實現2050年接近零死亡和重傷的長期目標做出貢獻。 交通能源清潔性 歐盟執委會將提出有史以來第一個重型車輛的二氧化碳排放標準來完成低排放交通系統的計畫。此外，2025年，新卡車的二氧化碳平均排放量必須比2019年低15％。2030年，新卡車與2019年相比，必須達到至少30％的減排目標。該目標符合可協助歐盟於巴黎協議所作的承諾，並將使運輸公司（主要是中小企業）透過降低油耗（5年25,000歐元）節省大量成本。為了進一步減少二氧化碳排放，委員將會促進更多的先進低汙染的車輛（例如：改善汽車動力學、輪胎等零件）。此外，委員會將提出一個全面的行動計畫，將有助於在歐洲建立一個具有競爭力和永續性發展的電池生態系統。 車聯網及自駕車 目前越來越多地車輛已配備駕駛員輔助系統，並朝完全自動駕駛車輛目標邁進。因此，該戰略將著眼於道路使用者之間的新協同操作，此將為整個交通系統帶來巨大的利益。運輸將變得更安全，更清潔，更便宜，並使老年人和行動不便的人更方便。此外，執委會建議建立一個全數位化的貨運資訊交換環境，以促進物流運作的數位資訊流。

　　美國聯邦通訊委員會（Federal Communications Commission）於2011年7月15日公布第二份報告與命令（Second Report and Order），針對低功率電視（low power television, 簡稱LPTV）數位轉換時程進行規範，並預訂於2015年9月1日強制關閉低功率類比電視訊號的放送。 　　美國國會已於2009年6月12日強制關閉類比電視訊號的放送，但此規定僅適用於全功率電視台，並未及於低功率電視。所謂的低功率電視，為FCC於1984年針對在地性質的、小型的社區電視服務所創設的類型；這些社區有可能地處鄉野，但也有可能為大都會區內的個別社區。 　　FCC在這份命令中同時要求現行使用700Mhz頻段(channels 52-69)的類比與數位低功率電視台應在2011年9月1日前提交轉換規劃（displacement applications），並於2011年12月31日停止使用700Mhz頻段。