企業對營業秘密之保護方式為何？保密措施如何做才叫「合理」？

問題摘要：

企業保護營業秘密必須結合契約、資訊、教育、管理、技術、實體、流程等多層次措施，並以可證明、可辨識、可執行為原則。簽署保密契約不是唯一方式，但幾乎是必要方式；設定密碼與權限不是選擇，而是最低標準；資訊分級、文件標示、門禁控管、離職流程、教育訓練是常被法院用來判斷企業是否真正落實保密制度的重要指標。企業若未採取保密措施，資訊即無法構成營業秘密；採取措施但未落實，也會被法院認定措施不足；採取過度寬鬆措施，則資訊幾乎等同公開。故營業秘密法對企業的要求不是完美，而是「合理」。企業只要能做到「讓人知道該資訊是秘密、企業確實有限制、資訊非人人皆能輕易取得」，即可滿足法律要件。最後，必須強調：營業秘密一旦外流，將無法挽回，因此真正有效的營業秘密保護，永遠是事前而非事後；企業若能在平時採取制度化、流程化、可證明的保密措施，不僅能強化競爭力，更能在發生爭議時站在法律最強的位置。

律師回答：

關於這個問題，企業對營業秘密之保護方式為何？保密措施如何做才叫合理？

 

關於這個問題，企業在高度競爭的市場環境中，營業秘密往往即是企業存亡的核心資產，從技術、製程、配方、客戶名單、報價策略、行銷模式到內部系統，凡能帶來競爭優勢者，均可能構成營業秘密，而企業對此如何採取保護措施、如何確保符合法律對「合理保密措施」的要求，就是實務爭議的中心所在。

 

根據營業秘密法第2條，營業秘密必須同時具備三要件：一、非一般涉及該類資訊之人所知者，即具有秘密性；二、因其秘密性而具有實際或潛在經濟價值；三、所有人已採取合理之保密措施。實務上，多數營業秘密案件並非因欠缺秘密性或經濟價值而無法成立，而是因企業未採取足夠的「合理保密措施」而敗訴。換言之，資訊是不是營業秘密，最重要的不是它「多重要」，而是企業「怎麼做」。企業若未建立制度、未實施控管、未留下紀錄，縱使資訊極為關鍵，也可能因「未採取合理措施」而失去法律保護。那麼，何謂合理？

 

如何才算做到位？企業又應採取哪些可被法院認定為合理的保密作為？這是本篇討論的核心。首先，

 

「營業秘密之保密措施，應係所有人按其人力、財力，依社會通常可能之方法或技術，將資訊依業務需要分類、分級而由不同授權者知悉；尤其於電腦資訊，應透過帳號、密碼等管制措施。」此判決提供兩個關鍵標準：第一，合理性與企業規模相對應。也就是說，保密措施不要求大型企業等級，但企業不能完全無作為。第二，資訊應分層、分級管理，並透過存取權限管制來限制知悉範圍。

 

最高法院102年度台上字第235號民事判決：

「營業秘密法第2條第3款規定所有人已採取合理之保密措施，應係指所有人按其人力、財力，依社會通常所可能之方法或技術，將不被公眾知悉之情報資訊，依業務需要分類、分級而由不同之授權職務等級者知悉而言；此於電腦資訊之保護，就使用者每設有授權帳號、密碼等管制措施，尤屬常見。」

 

另一「合理保密措施須具主觀保密意願與客觀保密作為，包含限制接觸、簽署保密合約、文件標示機密、資料上鎖、設定密碼、限制訪客接近機密處所等。不以有書面協議為必要，但須有足以令人知悉資訊受保護之行為。」

 

智慧財產法院103年度民營上字第5號民事判決：

「所謂合理保密措施，係指營業秘密之所有人主觀上有保護之意願，且客觀上有保密的積極作為，使人了解其有將該資訊當成秘密加以保守之意思，例如：與可能接觸該營業秘密之員工簽署保密合約、對接觸該營業秘密者加以管制、於文件上標明「機密」或「限閱」等註記、對營業秘密之資料予以上鎖、設定密碼、作好保全措施（如限制訪客接近存放機密處所）等，又是否採取合理之保密措施，不以有簽署保密協議為必要，若營業秘密之所有人客觀上已為一定之行為，使人了解其有將該資訊作為營業秘密保護之意，並將該資訊以不易被任意接觸之方式予以控管，即足當之。」

 

只要企業客觀上已採取能使一般人理解其確有保密意圖的措施，即可符合合理保密措施要件；但若完全沒有措施，就無法主張法律保護。於是，我們可以整理出「合理保密措施」的判斷核心：一、企業主觀上有保密意願；二、客觀上採取得以被「他人明確認知」的保密措施；三、措施強度與企業規模、資訊特性、風險等因素相當；四、保密制度需落實，而非僅停留於紙上。

 

換句話說，企業必須讓外部人士、員工、合作夥伴「一看就知道」某些資訊屬於機密，且企業確實有管控。基於上述基準，本篇將從七大構面解析企業可採取的具體保密方式：

 

一、契約管理：

保密契約（NDA）、競業禁止、研發成果歸屬條款、離職後義務。一般而言，企業最常採取的保密措施即為與員工簽訂保密契約，包含員工入職時簽署 NDA、研發人員與接觸核心資訊者簽署更高標準的保密條款、管理者或高階主管另簽競業禁止條款、承攬商或供應商另簽外部保密協議等。

 

契約條款中可包含：保密義務範圍、保密期間、營業秘密定義、不得任意拷貝或外流資訊、違反後的損害賠償與違約金條款、資訊歸還義務等。依實務見解，契約是最強而有效的保密措施之一，但需要注意：契約簽訂後須配合實際措施，否則仍可能被法院認為「未落實」。

 

例如：雇主雖要求保密，但資訊完全無設定存取權限，任何員工都能看到，則會被認為「形式而非實質保密措施」。

 

二、資訊管理制度：

機密資訊分級、存取權限控管、密碼管理、帳號管理、稽核。企業需建立正式的資訊分級制度，如「一般、內部、機密、最高機密」，並依據職務需求給予不同權限。資訊安全必須涵蓋：限制下載、禁外接裝置、加密文件、VPN登入限制、系統存取紀錄、定期密碼更換、禁止個人信箱傳輸公司文件等。若資訊系統記錄所有存取紀錄，企業被侵害時即可追查資料外流來源，對法院提告時極具舉證力。故企業需注意：資訊保密是技術與制度的結合，而非購買系統即可，而是要配套管理。

 

三、文件管理措施：

標示機密、限制影印、文件加密、紙本上鎖。實務上有許多案件敗訴，是因為企業未對文件標示「機密」或未採取任何限制，使法院認為資訊並無外觀可辨識之保密性。企業可採取：所有機密資料文件頁面加註「機密」「限閱」「內部文件請勿外流」、使用浮水印、禁止影印、限制帶出公司、紙本資料存放於上鎖櫃、會議資料於會後回收等措施。

 

此類措施雖看似基本，但在法院判斷營業秘密時極具說服力。四、實體安全措施：門禁管理、監視系統、訪客管控、機密區域分離。企業必須在實體場所實施保密措施，包括：門禁卡、指紋或臉部辨識、訪客須登記、訪客不得接近機密區域、研發部門設為「限制區」、機密伺服器置於上鎖機房、監視系統針對機密資料存放處等。實體安全是常被忽略的環節，但法院認定營業秘密時，實體控管是否存在，常是認定合理保密措施的重要因素。

 

五、教育與管理措施：

員工教育訓練、簽到紀錄、權限告知、違規處分、政策公告。企業必須讓員工「知道」哪些資訊屬營業秘密，因此需建立教育制度，例如：入職教育講授營業秘密、年度資訊安全訓練、簽署「保密政策知悉書」、員工手冊記載保密義務、違反後的處分制度等。法院實務認為，若企業未告知員工資訊有保密性，則難期待員工遵守。企業應透過明確告知與教育，使員工非但不能辯稱「我不知道那算機密」，更能讓法院確信企業之保密政策已落實。

 

六、離職管理：

離職訪談、資訊歸還、帳號停用、資料刪除、競業風險控管。離職時是營業秘密流出最多的時刻，因此企業必須建立「離職管理流程」。需包含：收回電腦、門禁卡、USB等設備、確認資料刪除或歸還、由離職員工簽署「未保留公司資料聲明書」、停用帳號與權限、審查大量下載疑慮、提醒離職後保密義務仍存在、必要時啟動競業禁止處理流程等。若企業未於離職流程提醒保密義務或收回資料，將被認為保密措施不足。

 

七、風險與法律管理：外包、供應鏈、客戶合作保密、合約審查、稽核制度。現代企業常將業務外包、委託研發、合作開發或授權製造，此時資訊往往跨公司流動。企業應確保所有第三方合作都有 NDA，並包含：資訊使用範圍限制、不得轉供其他單位、違約損害賠償、專利歸屬、研發成果權利歸屬、技術不得另行商業利用等。避免資訊被合作廠商「吸收後另行創業或生產」。在許多高科技產業案件中，司法實務經常指出：企業若未要求供應鏈簽保密協議，或未限制資訊使用範圍，將被認為保密措施不完整。以上七大構面即構成企業建立保密制度的基礎，但何謂「合理」仍須視個案判斷。

 

簡言之，要符合法律認定之合理保密措施，企業至少須做到以下五大條件：第一，可辨識性：他人可一眼辨識資訊受保護；第二，一致性：制度不是紙上談兵，而是確實落實；第三，比例性：措施與資訊價值及企業規模相當；第四，可證明性：日後能提出紀錄證明曾採取措施；第五，主動性：企業不能坐等資訊外流後才補救。換言之，合理保密措施不是「做到最高規格」才算，而是做到「足以保護資訊，而且能讓法院相信企業確實有保密意圖並執行」。

-勞資-人事規章-保密規章-員工保密義務-營業秘密

瀏覽次數：3