淺談美國與日本遠距工作型態之營業秘密資訊管理
資訊工業策進會科技法律研究所
2022年05月18日
根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版,近年來隨著科技的進步,遠距工作在全球越來越普及,過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊,使辦公的地點、時間更具有彈性,遠距工作模式成為後疫情時代的新生活常態。
因應資訊化時代,企業在推動遠距工作時,除業務效率考量外,更需注意資安風險的因應對策是否完備,例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 本文將聚焦在遠距工作型態中,因應網路資安管控、員工管理不足,所產生的營業秘密資訊外洩風險為核心議題,研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1],以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容,藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。
壹、遠距工作之型態
遠距工作是指藉由資訊技術(ICT Information and Communication Technology),達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例,依據業務執行的地點,可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種:
1.居家辦公:在居住地執行業務的工作方式。此方式因節省通勤時間,是一種有效兼顧工作與家庭生活的工作模式,適合如剛結束育嬰假而有照顧幼兒需求的員工。
2.衛星辦公室(Satellite Office)辦公:在居住地附近,或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時,可選擇優於居住地之環境執行業務,亦可在移動過程中完成工作,提高工作效率。
3.行動辦公:運用筆記型電腦辦公,自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。
貳、遠距工作之風險及其對策
遠距工作時,企業內外部資訊的交換或存取都是透過網際網路執行,對於資安管理不足的企業來說,營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊,或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺(Business Email Compromise,簡稱BEC)之案例,以真實CEO之名義傳送假收購訊息,藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。
由於員工在遠距工作時,常使用私人電腦或智慧型手機等終端機進行業務資料流通,若員工所持有的終端機資安風險有管控不佳的情況,即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼,再以此做為跳板,進入企業伺服器非法存取企業之營業秘密資訊,造成超過180家客戶受到影響[4]。
關於遠距工作網路資安的風險對策,在技術層面上,企業可使用防毒軟體或電子郵件系統的過濾功能,設定遠距工作之員工無法開啟含有惡意程式的檔案,或是透過雲端服務供應商代為控管存取資料之驗證機制,使遠距工作的過程中不用進入企業内網,可直接透過雲端讀取資訊。另外,建議企業將資訊依照重要程度作機密分級,並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5],屬營業秘密、顧客個資等機密資訊者,應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上,企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況;甚至要求員工在連結企業内網或雲端資料庫時,須使用資安管理者指定的方法連結,未經許可不得變更設定。
除上述網路資安的風險外,員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此,企業雇主與員工在簽訂保密協議時,雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例,營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施,而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事,則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中,原告Peoplestrategy公司除了要求員工須簽屬保密協議外,同時有採取保護措施,禁止員工將公司資訊存入筆記型電腦,並且要求員工離職時返還公司所屬之機密資訊,並讀取資訊的過程中,系統會跳出顯示提醒員工有保密義務之通知,故法院認定原告有採取合理的保護措施,保護機密資訊的秘密性[9]。與之相反,Maxpower Corp. v. Abraham案例中,原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼),且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序,故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。
藉由前述兩件判決案例,企業在與員工簽屬保密協議時,應向員工揭露企業的營業秘密保密政策,並說明希望員工如何適當處理企業所屬的資訊,透過定期的教育訓練宣導機制,以及員工離職時再次提醒應盡之保密義務。理想上,企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整,例如員工因為遠距工作使工作時間、地點的自由度增加,是否會發生員工接觸或進一步與競爭對手合作的情形。對此,企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。
參、結論
以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展,企業在推動遠距工作普及化的過程中,同時也面臨到營業秘密管控的問題,以下以四個面向給予企業建議的管控對策供參。
(一)教育宣導:企業可定期安排遠距工作資安教育訓練,教導員工如何識別釣魚網站、BEC等網路攻擊類型,並以企業電子報、公告提醒資安新聞。另外,規劃宣導企業營業秘密保密政策,使員工清楚應盡的保密義務,以及如何適當處理企業的資訊。
(二)營業秘密資訊管理:企業應依照資訊重要程度作機密分級,例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級,對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施,以及對應其相關資料應審慎管理對應之權限、存取審核。
(三)員工管理:企業在最理想的狀況下,應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施),並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時,使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時,在未經許可之情況下持有企業的營業秘密資訊。
(四)環境設備管理:遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊,避免直接進入到企業內部網站為原則。同時,需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
[1]〈遠距工作資安指引〉第5版,總務省,https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日:2022/04/27)。
[2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022).
[3]同前揭註1,頁99。
[4]同前揭註1,頁103。
[5]同前揭註1,頁73。
[6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022).
[7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3.
[8]18 U.S.C. §1839(5). Karol Corbin Walker et al., supra note 2 at 3.
[9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020).
Karol Corbin Walker et al., supra note 2 at 3.
[10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008)
Karol Corbin Walker et al., supra note 2 at 3.
[11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).
歐盟最近宣布其新設立的歐洲研究院(European Research Council, ERC),自2月底開始運作。ERC是依據歐盟第七期研發綱要計畫(Seventh Framework Programme for Research and Technological Development, FP7)下之子計畫-”理念”計畫("Ideas" programme)所設立。2006年底通過的歐盟第七期研發綱要計畫,揭示歐盟在2007至2013年間的科技研發政策、研發投入的重點領域與經費挹注情形。與PF6相較,PF7經費大幅成長,每年平均成長至少達40%,單是2013年一年,經費成長更高達75%。 ERC是第一個泛歐的經費補助機構,設立目的是為了贊助前瞻科學領域的研究活動。在設立第一年,歐盟挹注於ERC的經費即高達3億歐元,在FP7計畫的七年期間,ERC總計取得7.5 billion的經費。隨著ERC的設立,歐盟首度有了專為前瞻性研究量身訂作的經費補助運作機制,亦即交由歐洲科學界菁英,也就是由22位聲譽卓著的科學界菁英所組成的科學諮詢會(Scientific Council)自主管理,官僚系統不得對之表示意見。 歐盟希望藉由ERC的設立,促使科學界得以對最具有原創性的科學想法深入研究,以突破當前之知識界線,進而協助解決歐盟在社會、環境、經濟面所面臨之挑戰。
美國德克薩斯州承認針對紙本文件的遠端墨水公證為法定線上公證方法美國《德克薩斯州政府法(Government Code),以下簡稱政府法》的第406節「公證人、契約證明人(Notary Public; Commissioner of Deeds)」相關修正案於2024年1月1日正式生效,旨在針對該節的第406.101分節以下的線上公證相關規範,透過擴充線上公證要件,使遠端墨水公證(Remote Ink Notarization, RIN)成為法定線上公證方法,並明定相關程序要求,確保遠端墨水公證機制的安全性。 針對遠端墨水公證,依照美國土地產權協會(American Land Title Association, ALTA)提出的定義,係指文件透過影音媒體平台進行遠距公證,且無須經過多因子驗證。針對遠端墨水公證,雖然在新冠肺炎(COVID-19)流行期間,曾透過州長行政公告方式,承認在滿足指定條件下,得使用遠端墨水公證方式,進行交易,而本次修法則透過修正現有法規,以達到允許進行遠端墨水公證,且同時維持法定電子公證制度的安全架構。 本次修法內容如: 1.定義文件可包含實體及電子文件。 2.針對經電子公證的實體文件,承認委託人及公證人分別得使用實體符號(tangible symbol)及符合法定要求的辦公室印章,進行簽署。 3.強調電子公證應留存之紀錄內容,並非電子文件,而應留存文件的類型、標題及描述等規定。 跨境或電子交易已逐漸成為主流交易方式,而透過現行電子公證制度,雖然能夠強化電子或實體文件的可信性,惟公證制度實際上僅能針對公證當下的文件內容,提供擔保效力。若企業需要確保在公證前,相關文件內容未經偽變造,則必須在文件生成後落實適當資料管理措施。與此同時,公證人基於法規要求,對於經公證的電子、書面文件或公證紀錄等,負有法定保存或保密義務。若相關文件或紀錄發生外洩、外流等問題時,公證人除須負擔契約損害賠償責任外,甚至可能被科以刑責。因此,不論企業或公證人均可參考「重要數位資料治理暨管理制度規範(Essential Data Governance and Management System,簡稱EDGS)」,建立系統性的資料管理機制或強化既有管理機制,避免發生資料偽變造或外洩等問題。 本文同步刊登於TIPS網(https://www.tips.org.tw)
電子文書存證制度-淺談日本電子時戳及時戳保存制度電子文書存證制度-淺談日本電子時戳及時戳保存制度 資策會科技法律研究所 法律研究員 陳昱宏 106年11月13日 一、前言 電子文書具有「節省保管、檢索、運送及銷毀費用」、「活用資訊系統提升業務效率」、「具有復原可能性,避免資料滅失之風險」[1]等優點,文書電子化已為不可逆之趨勢。但電子文書除前述優點外,亦有易於變更竄改,無法檢知真實製作日期之缺點,若記錄於電子文書之智慧財產權遭他人侵害,如何證明所提出之電子文書確係早於他人侵害之時點即屬重要,本文擬就日本以電子時戳制度做為證明電子文書做成時間點之發展現況,以及獨立行政法人工業所有權情報.研修館所提供之電子時戳保管服務作介紹,說明日本如何利用電子時戳來維護相關智慧財產權利。 二、日本電子時戳制度及相關規定: 日本政府有鑑於電子文書已逐漸取代紙本文書,但電子文書仍存有易於複製及製作時間不易證明等種種缺點,進而構思建立一套能在電子文書或資料上附加時間資訊,以向第三人證明之制度。總務省於2004年發佈時間商務相關指針[2],供相關制度使用者做參考,並為時間商務業者遵守之依據。而一般財團法人日本Data通信協會於2005年成立時間商務認定中心(タイムビジネス認定センター,下稱時間商務認定中心),若欲從事時間認證或發送等相關服務,須符合該中心就技術、系統及運用制度所制定之基準,符合基準之業者,即給予認定標章,此即「時刻認證業務認定事業者」(Time Stamp Authority簡稱TSA)。 三、電子時戳之功能: 電子時戳係一種證明電子資料在某一時間點之前確實存在且未經竄改之技術,透過比對電子時戳中所記載之資訊與原始電子資料所記載之資訊,可以輕易得知電子資料中之時間訊息是否有經過竄改。其可運用在各種需要時間證明之電子資料中,日本總務省在官方網站中之電子時戳技術相關檔案[3],即有說明電子時戳可賦予各領域之電子資料極高之信賴度。在智慧財產之保護上,可以證明內容做成之日期,以保護創作人之權利;在電子商務上,可用於證明交易如下單之時間點等;在電子申請上,可證明所發送資料之做成時間;而在醫療上,可運用於電子病歷上,以證明未經竄改等。另於日本工業所有權情報‧研修館(下稱INPIT)官方網站,就電子時戳保管服務之相關說明中,亦有提及可活用之情形[4],分述如下: 在專利、商標等侵權訴訟,當被指控侵權人主張其有先使用權時,可以做為其在業務或業務準備行為有實施專利,或有就商標為使用之證據。 在訴訟中,就對造所擁有之專利權提出無效抗辯時,可用以證明專利不具備可專利性之技術資訊已於申請獲准前有為公知之事實。 在商標廢止訴訟,可證明商標權人就系爭商標有使用之事實。 在營業秘密洩漏訴訟,營業秘密所有權人可證明被洩漏技術在某時點之前即為其所保有之事實。 四、INPIT就電子時戳所提供之保存服務: 參照INPIT官網之說明可知,所謂之電子時戳保管制度係INPIT對於TSA業者所發行之電子時戳憑證提供之保管服務,以利使用者於日後有備份電子時戳憑證需求時,能順利提取。此係因電子時戳憑證在一般情形下有滅失毀損之風險。一旦毀損滅失,在營業秘密之相關訴訟事件有證明先使用事實之必要時,將造成無法舉證之不利益情形。INPIT提供此項保管服務後,能確實降低電子時戳憑證滅失或毀損之風險,憑證使用者享有一定期間備份之可能。而INPIT為普及該制度,在「何謂電子時戳保管服務」選項中,詳細說明其操作步驟,並有相關畫面可供參考,使有相關保管需求者能輕易操作相關保存之功能[5]。INPIT為普及該制度,亦透過所舉辦之營業秘密及智財戰略研討會,推廣相關保管服務[6],另須注意者為,INPIT並不提供製作電子時戳之服務,故欲使用保存服務之人,須先向TSA業者取得電子時戳憑證,方可利用INPIT所提供之此項服務。 五、結論 近年來我國營業秘密案件層出不窮,小如鱘龍魚製作配方外洩之爭執[7],大至堪可動搖國本之梁孟松由台積電跳槽至南韓三星之營業秘密案件[8]。故營業秘密是什麼,該如何保護營業秘密,儼然成為現代企業間之顯學,誠然當事人就是否侵害營業秘密發生爭執時,當事人所主張之各類文書資料,是否屬於營業秘密,仍屬法院認定之範疇,但企業主若在製作相關電子資料及文件時,能作好文件分級,並附加電子時戳,至少能證明企業主主觀上就該電子資料有以營業秘密保護之意思,可做為法官認定時之參考。當然若是人人可製作電子時戳,使電子時戳之產生過於浮濫,亦無相關認定機構可加以把關,或無補強之文件可證明存證之資料確為企業主所有等,屆時電子時戳在法官形成心證之過程中,無法形成助力不說,反而成為阻力。幸而電子時戳制度已在先進國家推行多年[9],我國可以踏著前人走過的腳步,走得更廣更遠。故營業秘密文件電子時戳保存制度如能引進我國,相關制度該如何建立並將其完備,仍有待政府相關單位評估,透過公聽會,廣納各界之意見後,再制定相關之規定,期待能以此制度之探討,為我國營業秘密及智慧財產之保護上,帶來不同之思維。 [1]日本經濟產業省〈[入門編]文書の電子化によるメリット〉http://www.meti.go.jp/policy/it_policy/e-doc/guide/e-bunshoguide.pdf(最後瀏覽日:2017/10/12)。 [2]日本總務省<タイムビジネスに係る指針>http://www.soumu.go.jp/main_content/000485112.pdf(最後瀏覽日:2017/10/15)。 [3]日本總務省<タイムスタンプ技術>http://www.soumu.go.jp/main_sosiki/joho_tsusin/top/ninshou-law/pdf/law_16.pdf(最後瀏覽日:2017/10/16)。 [4]獨立行政法人工業所有權情報‧研修館<想定される本サービス活用例>,獨立行政法人工業所有權情報‧研修館網站https://faq.inpit.go.jp/tradesecret/ts/ts_service.html#page3(最後瀏覽日:2017/10/16)。 [5]獨立行政法人工業所有權情報‧研修館<想定される本サービス活用例>,獨立行政法人工業所有權情報‧研修館網站https://faq.inpit.go.jp/tradesecret/ts/ts_service.html#ts-4(最後瀏覽日:2017/10/17)。 [6]獨立行政法人工業所有權情報‧研修館<営業秘密・知財戦略セミナーin 大阪>,獨立行政法人工業所有權情報‧研修館網站http://www.inpit.go.jp/content/100802953.pdf(最後瀏覽日:2017/10/17)。 [7] 智慧財產法院104年民營訴字第1號民事判決。 [8] 智慧財產法院102年民營上字第3號民事判決。 [9] 同註4。
日本閣議公布建築節能法修正案2019年2月15日閣議公布《建築物能源使用效率提升法》(建築物のエネルギー消費性能の向上に関する法律,以下稱「建築節能法」)的修正案,將根據住宅及建築物的規模、用途等特性,採取高效性綜合對策,以達到2030年節能目標。 本次《建築節能法》主要修正內容,包含: 非住宅之建築物(如商辦大樓):原針對新建、改建、擴建大規模(樓地板面積2000m2以上)建築物應符合「建築物能源使用效率基準」(建築物エネルギー消費性能基準)之強制規定,將擴及中規模(樓地板面積300m2~2000m2)建築物。另外,新增若複數建築物共同執行的「提升建築物能源使用效率計畫」,經當地相關主管機關認定後,可獲得容積獎勵之規定。 改善大型集合住宅審查制度:針對建築物起造人及承造人須向當地相關主管機關提交「確保建築物能源使用效率的構造與設備計畫」的審查制度,將簡化審查程序,以減少行政機關負擔及提高行政效率。 建築師及住宅業者之義務: (1) 新增設計小規模(樓地板面積不到300m2)建築物的建築師有義務向建築物起造人及承造人,說明該物件的能源使用效率。 (2) 住宅Top Runner制度:原規範大型住宅業者供給之建案獨棟住宅應符合住宅Top Runner基準,現將物件範圍擴及客製化獨棟住宅及小型出租公寓。