淺談美國與日本遠距工作型態之營業秘密資訊管理
淺談美國與日本遠距工作型態之營業秘密資訊管理
資訊工業策進會科技法律研究所
2022年05月18日
根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版,近年來隨著科技的進步,遠距工作在全球越來越普及,過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊,使辦公的地點、時間更具有彈性,遠距工作模式成為後疫情時代的新生活常態。
因應資訊化時代,企業在推動遠距工作時,除業務效率考量外,更需注意資安風險的因應對策是否完備,例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 本文將聚焦在遠距工作型態中,因應網路資安管控、員工管理不足,所產生的營業秘密資訊外洩風險為核心議題,研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1],以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容,藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。
壹、遠距工作之型態
遠距工作是指藉由資訊技術(ICT Information and Communication Technology),達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例,依據業務執行的地點,可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種:
1.居家辦公:在居住地執行業務的工作方式。此方式因節省通勤時間,是一種有效兼顧工作與家庭生活的工作模式,適合如剛結束育嬰假而有照顧幼兒需求的員工。
2.衛星辦公室(Satellite Office)辦公:在居住地附近,或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時,可選擇優於居住地之環境執行業務,亦可在移動過程中完成工作,提高工作效率。
3.行動辦公:運用筆記型電腦辦公,自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。
貳、遠距工作之風險及其對策
遠距工作時,企業內外部資訊的交換或存取都是透過網際網路執行,對於資安管理不足的企業來說,營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊,或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺(Business Email Compromise,簡稱BEC)之案例,以真實CEO之名義傳送假收購訊息,藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。
由於員工在遠距工作時,常使用私人電腦或智慧型手機等終端機進行業務資料流通,若員工所持有的終端機資安風險有管控不佳的情況,即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼,再以此做為跳板,進入企業伺服器非法存取企業之營業秘密資訊,造成超過180家客戶受到影響[4]。
關於遠距工作網路資安的風險對策,在技術層面上,企業可使用防毒軟體或電子郵件系統的過濾功能,設定遠距工作之員工無法開啟含有惡意程式的檔案,或是透過雲端服務供應商代為控管存取資料之驗證機制,使遠距工作的過程中不用進入企業内網,可直接透過雲端讀取資訊。另外,建議企業將資訊依照重要程度作機密分級,並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5],屬營業秘密、顧客個資等機密資訊者,應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上,企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況;甚至要求員工在連結企業内網或雲端資料庫時,須使用資安管理者指定的方法連結,未經許可不得變更設定。
除上述網路資安的風險外,員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此,企業雇主與員工在簽訂保密協議時,雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例,營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施,而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事,則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中,原告Peoplestrategy公司除了要求員工須簽屬保密協議外,同時有採取保護措施,禁止員工將公司資訊存入筆記型電腦,並且要求員工離職時返還公司所屬之機密資訊,並讀取資訊的過程中,系統會跳出顯示提醒員工有保密義務之通知,故法院認定原告有採取合理的保護措施,保護機密資訊的秘密性[9]。與之相反,Maxpower Corp. v. Abraham案例中,原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼),且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序,故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。
藉由前述兩件判決案例,企業在與員工簽屬保密協議時,應向員工揭露企業的營業秘密保密政策,並說明希望員工如何適當處理企業所屬的資訊,透過定期的教育訓練宣導機制,以及員工離職時再次提醒應盡之保密義務。理想上,企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整,例如員工因為遠距工作使工作時間、地點的自由度增加,是否會發生員工接觸或進一步與競爭對手合作的情形。對此,企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。
參、結論
以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展,企業在推動遠距工作普及化的過程中,同時也面臨到營業秘密管控的問題,以下以四個面向給予企業建議的管控對策供參。
(一)教育宣導:企業可定期安排遠距工作資安教育訓練,教導員工如何識別釣魚網站、BEC等網路攻擊類型,並以企業電子報、公告提醒資安新聞。另外,規劃宣導企業營業秘密保密政策,使員工清楚應盡的保密義務,以及如何適當處理企業的資訊。
(二)營業秘密資訊管理:企業應依照資訊重要程度作機密分級,例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級,對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施,以及對應其相關資料應審慎管理對應之權限、存取審核。
(三)員工管理:企業在最理想的狀況下,應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施),並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時,使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時,在未經許可之情況下持有企業的營業秘密資訊。
(四)環境設備管理:遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊,避免直接進入到企業內部網站為原則。同時,需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
[1]〈遠距工作資安指引〉第5版,總務省,https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日:2022/04/27)。
[2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022).
[3]同前揭註1,頁99。
[4]同前揭註1,頁103。
[5]同前揭註1,頁73。
[6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022).
[7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3.
[8]18 U.S.C. §1839(5). Karol Corbin Walker et al., supra note 2 at 3.
[9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020).
Karol Corbin Walker et al., supra note 2 at 3.
[10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008)
Karol Corbin Walker et al., supra note 2 at 3.
[11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).
李佳軒
副法律研究員 編譯整理
為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性,日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。 在第4次行動計畫,關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量,盡量減少關鍵基礎設施IT故障的發生,並提升從事故中恢復的速度。因此,第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外,較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面,要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面,分享的資訊範圍應包含IT、OT與IoT的資訊,並排除資訊分享的障礙。而在風險管理部分,日本從功能保證的觀點出發,新增風險情況對應準備的要求,包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上,該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。 另外,第4次行動計畫變更電力領域關鍵基礎設施的重要系統,從原有的運轉監視系統變更為智慧電表,以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。
歐盟智慧財產局運用科技強化智財保護,正式啟動產品的區塊鏈物流認證計畫(EBSI-ELSA)歐盟智慧財產局(EUIPO)為打擊仿冒,保護歐盟消費者及智慧財產權人,於2023年5月31日宣布正式啟動產品的區塊鏈物流認證計畫(European Blockchain Services Infrastructure - European Logistics Services Authentication, 簡稱EBSI-ELSA)。 根據EUIPO與經濟合作暨發展組織(OECD)於2021年發布的研究指出,全球仿冒產品的貿易額高達4120億歐元,占全球貿易總額的2.5%;每年輸入歐盟的產品約有6%是仿冒產品,嚴重影響歐盟的經濟發展、消費者的健康及安全、智慧財產權人(歐盟品牌企業)的權益。 從2019年至今,EUIPO一直努力研擬透過區塊鏈技術保護智慧財產的具體方案。2022年底,EUIPO與4個不同產業的品牌企業(包含汽車業、電子業、醫藥業、服飾業)、物流業者、荷蘭海關進行一個合作的試驗計畫,內容為透過區塊鏈技術追蹤產品於海外製造後,運送至歐盟銷售的歷程軌跡,以達到認證產品為智慧財產權人生產的目標。該試驗計畫於2023年5月完成概念驗證(proof of concept)。 本計畫結合區塊鏈服務基礎設施(European Blockchain Services Infrastructure, EBSI)及數位分身(digital twins)的概念,於生產、運送、海關查驗、配送至消費者的各階段中,在產品上嵌入一個含有序列化代碼(serialization code)的標籤,該代碼必須經產品所屬智慧財產權人的可驗證憑證(Verifiable Credentials, VCs)認證,結合歐盟智慧財產權相關資料庫的資料,以確認產品與其數位分身的連結。 EUIPO將於2023年底前,正式建置一個開源的區塊鏈認證平台,介接執法機構的風險分析系統,以及商標資料庫(TM View)、設計資料庫(Design View)、歐盟執法入口網(IP Enforcement Portal, IPEP)、歐盟區塊鏈智慧財產註冊系統(IP Register in Blockchain),鼓勵供應鏈、物流鏈中的參與者於此平台上交換資料,以更有效率的方式達到認證產品來源真實性的目標。 EUIPO積極運用區塊鏈科技強化歐盟智慧財產的保護,本計畫除可避免消費者買到仿冒產品外,歐盟的品牌企業未來可於相關智財侵權訴訟中,提出區塊鏈紀錄作為證據,有效主張權益。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國FTC通過「禁止企業簽訂競業禁止契約」的最終規定美國聯邦貿易委員會(下稱FTC)於2024年4月23日通過「禁止企業簽訂競業禁止契約」最終版本的規定(以下稱「最終規定」) ,FTC認為「簽訂或執行競業禁止契約」違反《聯邦貿易委員會法》(Federal Trade Commission Act)第5條之防止不公平競爭之違法手段之規定。最終規定所禁止簽訂競業禁止契約的對象廣泛,包含獨立承包商、為營利企業工作的員工,並將可能取代其他規範競業禁止契約效力之州法。不過,尚有部分情形將排除最終規定的適用,如: (1)公司與高階主管的既有競業禁止契約仍屬有效,而高階主管被定義為「年收入超過 151,164 美元(約新臺幣4,927,492元)且擔任決策職位」的員工,如總裁、首席執行長或其他擁有企業重大決策權的職位。 (2)允許出於善意收購企業的雙方簽訂競業禁止契約。 (3)因FTC對於某些產業無監管權,因此該等產業不適用於禁止簽訂競業禁止契約的最終規定,如非營利組織、銀行、保險公司以及航空公司。 FTC指出最終規定於美國聯邦公報上公布120天(約4個月)後生效,並要求現已簽訂競業禁止契約之雇主負有通知義務,雇主須透過數位(電子郵件或簡訊)或紙本方式,明確地通知現任、前員工,其既有的競業禁止契約即將失效。 但美國商會(U.S. Chamber of Commerce)已聲明表示該最終規定有超出FTC管轄範圍之疑慮,故後續可否執行最終規定,仍有待密切關注。 為因應FTC大範圍禁止簽訂競業禁止契約之法制方向,建議公司可參考資策會科法所發布之「營業秘密保護管理規範」以系統性方式檢視不同面向的既有管理作法,如人員面、內容面等,以落實對於營業秘密的保護。 1.關於文件的管理建議 先盤點紙本及數位機密文件;再設定文件之接觸權限。 2.關於人員的管理建議 留意人員的智財教育訓練;人員的保密或智財權歸屬契約,確保契約約定已納入公司想保護的機密資訊,比如客戶或供應商名單及聯絡資訊、產品規格、製程等;以及離職管理。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。
英國消費者保護法明確將數位內容商品消費納入規範,加重企業經營者責任英國在今年10月1日正式實施新的消費者保護法,除了明確規定30天內可以退還瑕疵商品外(舊法並無規定明確的期間),最主要重要變革在於納入數位內容商品消費的相關條款,以促進目前蓬勃發展的數位內容產業。 依照新法的規定,所謂的數位內容係指以數位形式(in digital form)所產製或提供之資料,據此包括了任何可以下載的商品以及串流服務,例如app、音樂、電影、遊戲以及電子書。其中關於消費者之保障如下: 一、在一定要件下有權利要求企業經營者修復或替換有瑕疵之數位內容商品; 二、若數位內容商品之瑕疵無法回復時,得要求企業經營者退還百分之百所支付的款項; 三、除此之外,若是數位內容商品因故而造成消費者的載具損害時,例如因所販售的軟體帶有電腦病毒而使消費者電腦中毒,企業經營者應負損害賠償責任。 根據英國娛樂產業公會(Entertainment Retailers Association),英國在去年(2014)有關數位內容商品(音樂、影片、遊戲)的消費額達到28億英鎊(約897億新台幣),英國舊消費者保護法並未針對數位內容商品有明確的規範,尤以近年數位內容商品的糾紛不斷(尤以遊戲為大宗),此次修法無疑是對常在網路購買數位商品的消費者一大保障。