歐盟智慧財產局(EUIPO)於2023年6月底發布了《歐盟營業秘密訴訟趨勢報告》(Trade Secrets Litigation Trends in the EU),本報告包含三大部分,分別為判決之量化分析、法律要件之質化分析、各會員國之重要判決摘要,內容涵蓋了2017年1月1日至2022年10月31日間,27個會員國的695個訴訟案件。其重點摘要如下:
一、案件涉及之類型分析
1、約41%的案件與離職員工有關。
2、約17%的案件與商業合作對象有關。
3、約30%的案件雙方無明確的契約關係(但報告中指出此項統計包含員工離職後自行創業,原告以該離職員工及該公司為被告的情況)。
二、案件涉及之營業秘密標的分析(同一訴訟案件可能包含多個標的)
1、約62%的標的為「商業性營業秘密」。其中配銷通路(distribution methods)、廣告策略、行銷資料、客戶名單等供應鏈「下游資訊」(downstream information)占31%最多;定價模式及會計資料等「財務資訊」占13%次之。
2、約33%的標的為「技術性營業秘密」,其中有19%與「製程」(manufacturing process)有關。
3、僅3%的標的為原型(prototypes)或尚未公開的產品設計。
三、案件涉及之產業別分析(根據「歐盟標準行業分類第二修正版NACE Rev. 2」分類)
整體來說,歐盟營業秘密訴訟案件所涉及的產業別相當多元,簡要說明如下:
1、排名第一的產業別為「製造業」(manufacturing),占32%。其中最常涉訟的子產業別為「機械設備製造業」(manufacture of machinery and equipment)及「化學製品製造業」(manufacture of chemicals and chemical products)。
2、排名第二的產業別為「批發及零售業;汽機車維修業」(wholesale and retail trade;repair of motor vehicles and motorcycles)占11%。
3、排名第三的產業別為「金融及保險業」(financial and insurance activities)及「專業、科學及技術服務業」(professional, scientific and technical activities),分別占7%。
四、被告提出之抗辯分析
報告中指出,原告提出之營業秘密主張被法院採認的比例僅27%,有約73%的案件法院最終是做出有利於被告的認定。而被告最常提出的抗辯,第一為抗辯原告所主張之系爭資訊是普遍共知(generally known),不具備秘密性;第二為抗辯原告未採取合理保密措施。
最後,報告結論分析歐盟營業秘密判決的三大趨勢,其中一項趨勢指出,營業秘密所有人若要強化契約措施(如保密協議)於訴訟中的證明力,應明確識別與界定系爭營業秘密的範圍。因此,企業應建立營業秘密管理的整體政策(譬如與員工簽訂之勞動契約中,應明確界定其保密義務範圍;員工離職時應落實離職面談,再次提醒員工應遵守的保密義務範圍等),以便於發生爭議時有效主張權利。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
案件緣於Judith Vidal-Hall等三人對Google提告,主張Google規避蘋果公司Safari瀏覽器預設之隱私設定,在未取得用戶同意前,逕行使用cookies追蹤其網路活動,蒐集瀏覽器產生的資訊(the Browser-Generated Information, or ‘BGI’),並利用其對用戶發送目標廣告。原告認為這些作法可能使用戶的隱私資訊被第三人所探知,而且與Google保護隱私之公開聲明立場相違。此案於2015年3月27日由英國上訴審法官做成判決,並進入審理程序(裁判字號:[2015] EWCA Civ 311)。 本案主要爭點包含,究竟用戶因使用瀏覽器所產生的資訊是否屬於個人資料?濫用隱私資訊是否構成侵權行為?以及在沒有金錢損失(pecuniary loss)的情形下,是否仍符合英國資料保護法(Data Protection Act 1998)第13條所指損害(damage)的定義,進而得請求損害賠償? 法院於判決認定,英國資料保護法旨在實現「歐盟個人資料保護指令」(Data Protection Directive,95/46/EC)保護隱私權的規定,而非經濟上之權利,用以確保資料處理系統(data-processing systems)尊重並保護個人的基本權利及自由。並進一步說明,因隱私權的侵害往往造成精神損害,而非財產損害,從歐洲人權公約(European Convention of Human Rights)第八條之規定觀之,為求對於隱私權的保障,允許非財產權利的回復;倘若限縮對於損害(damage)的解釋,將會有礙於「歐盟個人資料保護指令」立法目的的貫徹。 法院強調,該判決並未創造新的訴因(cause of action),而是對於已經存在的訴因給予正確的法律定位。從而,因資料控制者(data controller)的不法侵害行為的任何損害,都可以依據英國資料保護法第13條第2項請求損害賠償。 本案原告律師表示:「這是一則具有里程碑意義的判決。」、「這開啟了一扇門,讓數以百萬計的英國蘋果用戶有機會對Google提起集體訴訟」。原告之一的Judith Vidal-Hall對此也表示肯定:「這是一場以弱勝強(David and Goliath)的勝利。」 註:Google 在2012年,曾因對蘋果公司在美國蒐集使用Safari瀏覽器用戶的個資,與美國聯邦貿易委員會(United States Federal Trade Commission)以2,250萬美元進行和解。
何謂「合作專利分類」?美國專利商標局(USPTO)與歐洲專利局(EPO)簽署協議,合作開發「以歐洲專利分類系統為基礎,並納入兩局分類實務特點」的共同分類系統:「合作專利分類」(Cooperative Patent Classification, CPC)系統,該系統為全球性的專利文件分類系統。USPTO與EPO為促進專利調合化,積極努力並共同合作建立CPC系統,該系統結合了兩局最好的分類作法,為專利技術文件建立一個共同且為國際間相容的分類系統,供專利審查使用。CPC於2013年1月1日宣布正式啟用,EPO開始使用CPC,不再使用歐洲專利分類(ECLA);2015年1月1日,USPTO正式宣告成功由美國專利分類(USPC)轉換至CPC。目前已有超過45個專利局與超過 25,000名審查人員使用CPC作為檢索工具,使CPC成為國際性的分類標準。
英國、新加坡領導全球發布供應鏈勒索軟體防護指引在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下,英國於10月24日發布「全球性供應鏈勒索軟體防護指引」(Guidance for Organisations to Build Supply Chain Resilience Against Ransomware),該指引係由英國與新加坡共同領導的「反勒索軟體倡議」(Counter Ransomware Initiative, CRI)框架下推動,旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持,標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部(UK Home Office)指出,勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告(Cost of a Data Breach Report 2025)估計,單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進,勒索攻擊已由單點入侵擴大為透過供應鏈滲透,攻擊者常以第三方服務供應商為跳板,一旦供應商遭入侵,即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件,即造成數千次門診與手術延誤,凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向,英國政府與CRI強調,企業應在營運治理、採購流程與供應商管理中系統性導入相關措施,包括: 一、理解供應鏈風險的重要性 在高度互聯的數位環境中,供應鏈已成為勒索軟體攻擊的主要目標,企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊,評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排,以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施,包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時,合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制,並鼓勵供應商採用國際資安標準,例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形(Near Miss,即近乎事故),不論是否構成正式資安事件,均應納入檢討範圍;並定期進行資安演練、共享威脅情資,依攻擊趨勢滾動修正合約與內部規範。 指引同時指出,供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性,以及資安稽核與驗證機制不足。英國政府與CRI亦強調,雖然網路保險可作為風險管理工具之一,但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業,顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構,以強化全球數位經濟的整體韌性,降低勒索軟體攻擊帶來的系統性風險。
爭議多時的日本P2P軟體Winny開發者,獲無罪判決確定日本著名的P2P(Peer to Peer)檔案共享軟體Winny因有侵害著作權法之公開傳輸權之爭議,兩名利用該軟體的使用者於2003年11月被日本群馬地檢起訴。隔年5月Winny軟體開發者「金子勇」因涉嫌構成幫助犯,被京都地檢起訴。全案歷經2006年京都地裁一審之有罪判決、2009年大阪高裁二審判決逆轉無罪、而檢方再上訴日本最高裁判所等程序。檢方於日前撤回上訴,並於2011年12月20日經最高裁判所裁定維持大阪高裁無罪判決,全案定讞。 大阪高裁認為,軟體的開發者未必能認識使用者會將軟體使用在非法目的上,難謂構成幫助之行為,因此,開發者本身對軟體的非法使用並不需要負責。不法行的情形應該是軟體開發者去鼓勵使用者利用軟體進行非法行為。 金子勇在20日召開記者會表示,網路上下載未經授權著作的問題還很多,將竭力解決相關問題,對自己之前開發的軟體而引起之相關侵權訴訟感到遺憾,並呼籲使用者誤濫用Winny,以實現更好的資訊社會。 而日本「電腦軟體著作權協會」(the Association of Copyright for Computer Software)向來致力於著作權之保護工作,協會對此結果表示並不否定P2P技術本身的價值中立性,但是將來會與相關著作權保護團體攜手合作,對於類似Winny的共享軟體之非法侵害,持續推動應對之策,並運用各種手段實現著作權受保護之健全環境。