淺談美國與日本遠距工作型態之營業秘密資訊管理
淺談美國與日本遠距工作型態之營業秘密資訊管理
資訊工業策進會科技法律研究所
2022年05月18日
根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版,近年來隨著科技的進步,遠距工作在全球越來越普及,過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊,使辦公的地點、時間更具有彈性,遠距工作模式成為後疫情時代的新生活常態。
因應資訊化時代,企業在推動遠距工作時,除業務效率考量外,更需注意資安風險的因應對策是否完備,例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 本文將聚焦在遠距工作型態中,因應網路資安管控、員工管理不足,所產生的營業秘密資訊外洩風險為核心議題,研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1],以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容,藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。
壹、遠距工作之型態
遠距工作是指藉由資訊技術(ICT Information and Communication Technology),達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例,依據業務執行的地點,可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種:
1.居家辦公:在居住地執行業務的工作方式。此方式因節省通勤時間,是一種有效兼顧工作與家庭生活的工作模式,適合如剛結束育嬰假而有照顧幼兒需求的員工。
2.衛星辦公室(Satellite Office)辦公:在居住地附近,或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時,可選擇優於居住地之環境執行業務,亦可在移動過程中完成工作,提高工作效率。
3.行動辦公:運用筆記型電腦辦公,自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。
貳、遠距工作之風險及其對策
遠距工作時,企業內外部資訊的交換或存取都是透過網際網路執行,對於資安管理不足的企業來說,營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊,或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺(Business Email Compromise,簡稱BEC)之案例,以真實CEO之名義傳送假收購訊息,藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。
由於員工在遠距工作時,常使用私人電腦或智慧型手機等終端機進行業務資料流通,若員工所持有的終端機資安風險有管控不佳的情況,即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼,再以此做為跳板,進入企業伺服器非法存取企業之營業秘密資訊,造成超過180家客戶受到影響[4]。
關於遠距工作網路資安的風險對策,在技術層面上,企業可使用防毒軟體或電子郵件系統的過濾功能,設定遠距工作之員工無法開啟含有惡意程式的檔案,或是透過雲端服務供應商代為控管存取資料之驗證機制,使遠距工作的過程中不用進入企業内網,可直接透過雲端讀取資訊。另外,建議企業將資訊依照重要程度作機密分級,並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5],屬營業秘密、顧客個資等機密資訊者,應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上,企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況;甚至要求員工在連結企業内網或雲端資料庫時,須使用資安管理者指定的方法連結,未經許可不得變更設定。
除上述網路資安的風險外,員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此,企業雇主與員工在簽訂保密協議時,雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例,營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施,而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事,則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中,原告Peoplestrategy公司除了要求員工須簽屬保密協議外,同時有採取保護措施,禁止員工將公司資訊存入筆記型電腦,並且要求員工離職時返還公司所屬之機密資訊,並讀取資訊的過程中,系統會跳出顯示提醒員工有保密義務之通知,故法院認定原告有採取合理的保護措施,保護機密資訊的秘密性[9]。與之相反,Maxpower Corp. v. Abraham案例中,原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼),且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序,故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。
藉由前述兩件判決案例,企業在與員工簽屬保密協議時,應向員工揭露企業的營業秘密保密政策,並說明希望員工如何適當處理企業所屬的資訊,透過定期的教育訓練宣導機制,以及員工離職時再次提醒應盡之保密義務。理想上,企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整,例如員工因為遠距工作使工作時間、地點的自由度增加,是否會發生員工接觸或進一步與競爭對手合作的情形。對此,企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。
參、結論
以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展,企業在推動遠距工作普及化的過程中,同時也面臨到營業秘密管控的問題,以下以四個面向給予企業建議的管控對策供參。
(一)教育宣導:企業可定期安排遠距工作資安教育訓練,教導員工如何識別釣魚網站、BEC等網路攻擊類型,並以企業電子報、公告提醒資安新聞。另外,規劃宣導企業營業秘密保密政策,使員工清楚應盡的保密義務,以及如何適當處理企業的資訊。
(二)營業秘密資訊管理:企業應依照資訊重要程度作機密分級,例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級,對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施,以及對應其相關資料應審慎管理對應之權限、存取審核。
(三)員工管理:企業在最理想的狀況下,應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施),並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時,使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時,在未經許可之情況下持有企業的營業秘密資訊。
(四)環境設備管理:遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊,避免直接進入到企業內部網站為原則。同時,需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
[1]〈遠距工作資安指引〉第5版,總務省,https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日:2022/04/27)。
[2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022).
[3]同前揭註1,頁99。
[4]同前揭註1,頁103。
[5]同前揭註1,頁73。
[6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022).
[7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3.
[8]18 U.S.C. §1839(5). Karol Corbin Walker et al., supra note 2 at 3.
[9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020).
Karol Corbin Walker et al., supra note 2 at 3.
[10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008)
Karol Corbin Walker et al., supra note 2 at 3.
[11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).
李佳軒
副法律研究員 編譯整理
為強化推動歐盟行動健康醫療之發展,歐盟執委會於2014年4月10日以綠皮書之形式,向大眾(包括產業、國家與地方機關、專業醫療機構、研究機構、非政府組織、病患協會等)提出mHealth行動健康醫療徵詢意見,在2015年1月12日時公布「行動健康醫療(mHealth)綠皮書徵詢意見書」(摘要版)(Summary report on the public consultation on the green paper on mobile health)。 此份徵詢意見書有十個主題,包含:資料保護、法制架構、病人安全與資訊透明、行動健康在醫療體系中之定位及平等接取、互操作性(interoperability)、給付模式(reimbursement models)責任、研發與創新 、國際合作和網路業者參與市場。從報告顯示,大多數的人認為資料保護是最重要的,特別是建立用戶信任的保護隱私與安全之工具(例如資料加密(data encryption)與認證機制(authentication mechanisms)),並且認為強化資料保護法制。 再者,有將近一半的被徵詢人要求透過認證方案或資格標籤等方法做更進一步的病人保護與資料透明。第三,行動醫療主要是透過網路進行,然而有網路業者表示,因為目前仍缺少明確的管制架構、互操作性以及共通品質標準,所以對業者而言是難以進入市場的。第四,也有許多被徵詢人認為行動醫療的性能和安全要求,應透過立法、指導原則或自我管制(self-regulation)管理。另外也有提出應確保行動醫療與電子健康病歷(Electronic Health Records , EHRs)之互操作性,以便於照護延續性與用於研究目的上。 經過此次徵詢,歐盟執委會對於推動行動健康醫療發展,規劃將在2015年間將會與相關業者討論政策措施,包括立法、自我或共同管制(self- or co-regulation)、政策指導原則等。
新加坡國家研究基金會推出AI.SG計畫,促進人工智慧技術發展新加坡國家研究基金會(National Research Foundation,以下簡稱NRF)於2017年5月3日宣布AI.SG倡議,並將啟動國家級AI計畫。NRF將於五年內投資新加坡幣1.5億元,整合NRF,智慧國家與數位政府辦公室(Smart Nation and Digital Government),經濟發展委會(Economic Development Board),資通訊媒體發展局(Infocomm Media Development Authority),新加坡創新機構(SGInnovate)及整合健康資訊系統(Integrated Health Information Systems)等數個政府部門,以及位於新加坡的研究機構、AI新創公司與發展AI產品的企業等共同投入。計畫三大目標如下: 利用人工智慧來解決影響社會和產業的重大挑戰 這些應用包括利用人工智慧解決交通尖峰時段壅塞問題,或應付人口老齡化帶來的醫療保健挑戰。IHiS執行長兼衛生部資訊長Mr.Bruce Liang表示:「醫療照護是需要高度知識及人性化的行業。多年來從新加坡在醫療照護數位化的發展中,可預見AI未來對於提升新加坡人民健康有很大幫助。例如在疾病預防、診斷、治療計畫、藥物治療、精準醫療、藥品開發等方面皆可發揮作用。醫護人員再加上AI工具,可以更完善解決未來對於醫療照護需求的增加。」 投入並深化技術能力,以掌握下一波科技創新 其中包括可展現更多人類學習能力的下一代「可解釋的人工智慧」 (Explainable Artificial Intelligence,XAI),以及相關技術,例如電腦系統架構(軟體、韌體、硬體整合)和認知科學(Cognitive Science)。NRF獎助金和研究計畫將會支持相關科學活動。當地人才也將透過參與AI深度功能的開發進行培訓。 擴大產業對於AI和機器學習的使用 AI.SG將與公司合作,利用AI來提高生產力,創造新產品,並輔導相關解決方案從實驗室進入市場。目標將支持100個AI研發項目和概念驗證,以利用戶能快速解決實際問題。並預計針對金融,醫療照護和城市管理解決方案領域具有特殊的潛力者先著手進行。 AI.SG計畫此項推動工作,未來不僅將可激發新加坡的研究人員和用戶利用AI解決社會重大問題,也將影響全世界渴望利用人工智慧技術帶來更便利的生活,值得我國相關機關推動政策之參考依據。
日本擬讓司法機關偵查時利用GPS定位取得位置資訊無須事先告知,僅須取得法院令狀日本電信事業個人資料保護指針(電気通信事業における個人情報保護に関するガイドライン)自2011年修訂後至今即未有任何改變。然而,隨著現代行動通信軟硬設備技術的進步,智慧型手機中已有許多應用程式可透過GPS衛星定位功能準確獲取使用者之位置資訊,倘若司法機關也能於搜查辦案過程即時取得此定位資訊,將可提高偵查效率並縮短破案時程。 為此,日本總務省擬將原先須事先通知行動設備使用人與獲得法院令狀後,方得利用GPS衛星定位獲取位置資訊之電信事業個人資料保護指針第26條修訂為司法機關取得法院令狀後,即可利用GPS衛星定位獲取行動設備使用人位置訊息。 然此項修訂除將可能造成行動通訊業者營運上的額外負擔之外,亦有侵害設備使用者之個人隱私與個人資料疑慮。因此,為了抑止濫為偵查,法院令狀之發出須有其必要性,搜查機關亦必須向行動通訊業者為必要性之說明。 再者,此項利用GPS衛星定位獲取位置訊息之方式也僅限於使用Android系統設備且將定位功能開啟之使用者,對於使用Apple iOS系統設備之使用者則不但須使用者開啟定位功能,還須經過美商蘋果公司同意方能取得亦是一項難題。 日本總務省已於2015年4月17日發布此項法令修訂訊息並徵詢公眾意見,預計於6月完成修法並公布之。
美國發表網路安全框架2014年2月12日,美國發表「網路安全框架(Cybersecurity Framework)」,該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成,其蒐集了全球現有的標準、指引與最佳實務作法,最後由國家標準技術局(National Institute of Standard and Technology, NIST)彙整後所提出。 本框架主要可分成三大部份: 1.框架核心(Framework Core) 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期,藉由這五項功能的要求項目與參考資訊的搭配運用,可使組織順利進行網路安全管理。 2. 框架實作等級(Framework Implementation Tiers) 共分成局部(Partial)、風險知悉(Risk Informed)、可重複實施(Repeatable)、合適(Adaptive)四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察,瞭解組織目前的安全防護等級。 3. 框架側寫(Framework Profile) 框架側寫係組織依照本框架實際操作後所產出的結果,可以協助組織依據其企業需求、風險容忍度,決定資源配置的優先順序,進一步調整其網路安全活動。 此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考,而針對已有建立網路安全架構者,該框架並未意圖取代組織原先的風險管理程序和網路安全計畫,而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。