如何建立員工持有及保管營業秘密機制?員工竊取機密如何追究責任?
問題摘要:
面對員工洩密、竊取資料、違反忠誠義務、外流資訊、接觸敏感資料後跳槽等情形,企業不僅要關注解僱是否合法,還必須掌握刑事背信責任與營業秘密責任,更要建立資料安全管理與保密制度,使企業在法律上可站穩腳步、在事證上能提出證據、在風險上能有效防堵。若企業沒有建立制度、不留存教育訓練紀錄、不設定權限、不管理資料、不執行離職稽核,即使員工洩密造成重大損害,企業也可能因未盡防止義務而受罰,甚至在民刑事訴訟上站不住腳。因此,建立完整的保密制度並強調忠誠義務,不只是避免員工違法,更是保護公司自身,避免企業遭受再次傷害的必要工程。
律師回答:
關於這個問題,在高度競爭的商業環境中,企業最擔心的事情莫過於「員工趁亂竊取機密」、「離職前大量下載」、「跳槽競業後違法帶槍投靠」以及「因監督不力反受處罰」。如何建立企業全面性的「員工持有及保管營業秘密制度」,並在員工入職、在職、離職三個階段皆具備法律效力與可執行性,是營業秘密法第13條之4所要求的企業義務重點;否則一旦員工洩密,公司除面臨商業損害、技術外流,更可能被認定未盡防止義務而受罰。
在企業日常管理中,如何判斷員工是否構成解僱事由、是否涉及背信罪或營業秘密侵害,向來是最常引發爭議的法律問題,尤其在現代資訊流通快速、企業高度依賴技術與機密資料的環境中,任何員工行為稍有不慎,都可能導致重大損害,因此勞動法、刑法與營業秘密法三者如何交錯運作,成為企業人資與管理階層必須精準掌握的核心議題。
如何在制度上、程序上、契約上、技術上全面建立防護,使企業在面對挖角、內部人風險、離職潮、業務接觸敏感資料等情況時,真正做到「人員持密可控、使用可追、外洩可責、公司免罰」。首先要理解營業秘密法第13條之4是企業最關鍵的義務來源,該條規定:法人之代表人、法人或自然人之代理人、受僱人,因執行業務犯營業秘密罪者,除行為人負刑責外,公司也要被科以罰金,除非公司能證明「已盡力為防止」。
換言之,企業若未建立制度防止員工洩密,員工犯罪時,公司也要一起受罰。
這正是法院在臺中地院106年智訴字第11號判決中所強調的:「僅憑表面形式(如簽聲明書、簽保密條款)不足以證明公司已盡防止義務,若企業未對員工進行實質詢問、確認、教育、管理,僅形式簽約,仍屬監督不力。」此判決大幅提高企業的注意義務,並指出即便企業只是挖角,也必須更高程度審查員工是否持有前公司營業秘密,否則公司將承擔刑事罰責。那麼企業究竟要如何做到「善盡防止義務」?
答案是建立一套從「聘用前 → 任用後 → 離職管理」的完整機制,使員工持有與保管營業秘密全程可控。第一階段為「聘用前審查」。當企業挖角競業員工時,最大的風險不是員工是否優秀,而是是否「帶槍投靠」。
企業必須在招聘、提供offer、簽約三階段,全面審查其前公司保密義務、競業禁止義務與是否持有機密。企業首先必須要求員工於面試階段填寫「曾否接觸、經手前公司機密資料」調查表,並具體詢問:前公司職務內容、是否接觸敏感資訊、是否持續持有任何電子檔案、筆記、報告、硬碟、雲端資料、是否受競業禁止約束、是否於離職前下載大量檔案、是否有未歸還之資料。若企業僅讓員工「自行填寫」而未進行追問、確認,即屬「徒具形式」。法院已明確指出,雇主「必須進行實質詢問與確認」否則將被認定未盡防止義務。
其次,企業必須於簽署雇傭契約時加入「不得攜入前公司機密資料」條款,明訂:員工不得於工作中使用、提供、攜帶、顯示或存取前公司任何資料,並保證未持有、未備份、未下載、未保留任何形式的前公司機密。並要求員工簽署「前公司機密不得使用聲明書」,明確化其法律責任。上述契約與聲明必須逐條向員工說明,以證明企業已善盡防止義務。第二階段為「任用後管理」。企業最容易被認定「監督不力」的就是任用後完全無管理,包括未教育訓練、未進行資訊安全管理、未建立營業秘密控管制度。
為避免因員工在新職務中暴露風險,企業必須採取六大措施:
第一,資訊安全教育訓練。
企業應於新進人員報到當日即實施資訊安全訓練,明確告知營業秘密法、刑事責任、背信罪、民事賠償與資料使用規範,並要求簽署具體承諾書。
第二,避免安排與前公司相同業務。
若企業明知員工於前公司從事某業務,卻讓該員工直接承接相同任務,事後若發生洩密,公司更易被認為未盡防止義務。因此企業應避免在員工試用期間讓其接觸過度敏感資訊,並保持工作內容與前公司有一定距離。
第三,建立內部資料分級制度。
所有技術、圖面、配方、程式碼、客戶資料、報價資料、策略資料,應明確分類為高度機密、一般機密、限制性資料等,並以門禁、權限管理、密碼、上鎖、加密、紀錄追蹤等作為保密措施。沒有「合理保密措施」的資訊,即便再重要,也不是營業秘密。第四,建立「禁止個人裝置」制度。禁止員工拍照、錄影、錄音、攜入USB、外接硬碟、個人雲端同步,並建立系統自動偵測。第五,建立「可追溯性」制度。包括電腦登入紀錄、伺服器存取紀錄、下載、複製、列印、寄送外部郵件等,皆應可追蹤;若無紀錄,法院將認為管理不充分。
第六,持續教育訓練。
不是一次就算數,企業需建立年度教育制度,使法院認定企業有持續監督。第三階段為「離職管理」。離職是資料外洩的最高風險期。企業必須建立:離職前停權制度(終止權限、收回設備)、離職面談制度(再次確認未持有資料)、離職誓約制度(承諾未保留或使用)、離職稽核制度(檢查電腦、信箱、USB、雲端紀錄)。
若企業未執行以上制度,公司將被認定於「離職關鍵時刻未盡防止義務」。員工若趁亂竊取機密,多發生於:部門重整、系統異動、主管離職、公司搬遷、疫情遠端辦公、資訊部門混亂、人事變革等,這些時刻企業更必須強化管理,包括暫時提高資料存取審查、限制權限變更、加強監控,避免「趁亂下載」。若企業疏於防範,法院將認為已違反善盡防止義務。
再看責任部分,員工若擅自下載、攜出、寄送、外流資訊,企業可依勞基法第12條第1項第4款、第5款解僱,無需預告亦無需資遣費,因洩密、違反保密義務、違反工作規則即屬「情節重大」,如高雄高分院105年度勞上更字第2號判決所示:員工將工程缺失、進度、單價等資料洩漏給離職同仁,法院認定其行為可能造成工程招標價格被投機利用,構成重大違反工作規則,公司解僱合法。若員工藉職務機會竊取資料再轉交第三人,則涉及刑法背信罪(刑法342),如智慧財產法院107年度刑智上訴字第43號判決指出:保密義務是勞動契約中「為他人處理事務」的一部分,違反保密條款即可能構成背信罪,而非僅為契約問題。若資料符合營業秘密法三要件(秘密性、經濟價值、合理保密措施),則員工將負營業秘密法第13條之1、13條之2之刑責,最重可判5年、7年徒刑。若企業未盡防止義務,則公司也會被依第13條之4科以罰金。唯一免責的方法是:證明企業已盡力防止。
那什麼叫「已盡力」?
企業必須能提出以下證據:聘用前詢問與確認紀錄、新進訓練資料、保密契約與聲明書、資訊安全制度、權限控管、監控紀錄、教育訓練紀錄、離職稽核證據。只要有一環缺失,法院多半認為企業未盡防止義務。因此企業建立制度不能流於形式,也不能只做紙本,必須「可證明」。
從完整法律風險控管角度來看,企業若要真正避免員工趁亂竊取機密,必須具備十二大機制:一、聘用前調查制度;二、競業禁止及保密審查制度;三、聘用契約中的不得攜入前公司機密條款;四、任用後資訊安全教育訓練;五、營業秘密分級管理制度;六、資訊存取權限控管制度;七、電子追蹤與稽核制度;八、禁止個人裝置政策;九、內部舉報制度;十、離職停權制度;十一、離職承諾與誓約制度;十二、離職資料稽核制度。這十二大制度將使企業於「聘用前 → 任用後 → 離職」三階段均具備法律防護,使法院認定企業已盡防止義務,避免因員工違法行為而連帶受罰,也能在員工趁亂竊取機密之前、之中、之後,都有足夠的追蹤、證據、反制與法律武器。最後再次強調:營業秘密法的本質是「保護有保護自己的人」。沒有合理保密措施=沒有營業秘密;沒有實際管理=沒有善盡防止義務;沒有追蹤紀錄=沒有監督;沒有離職管理=無法證明資料未被攜走。因此企業若希望真正防止員工趁亂竊密,不能寄望道德,也不能寄望運氣,更不能寄望「相信員工」。企業能依靠的只有制度、技術、證據、程序與法律。只要制度完整、執行嚴謹、證據齊備,企業不但能避免員工竊密,也能避免被認定監督不力,更能在必要時立即解僱違規員工並提起民刑事責任,全面保護企業之技術、情報、商業利益與競爭力。
如何判斷員工是否構成解僱事由、是否涉及背信罪或營業秘密侵害
首先,解僱是否合法必須回到勞動基準法之規範。原則上,企業若因業務性質變更、工作縮減、營運調整或員工不能勝任工作,均屬於勞基法第11條與第16條之「非懲戒性終止」,依法必須進行10至30日不等的預告程序,甚至需要給付資遣費。然而,勞基法第12條第1項則屬於「懲戒性解僱條款」,明文列舉多項可以不經預告、立即終止勞動契約的情形,例如員工無故曠職達一定天數、提供不實個資、對同仁施暴、有重大違反勞動契約或工作規則之行為、意圖為自己或第三人圖利之不誠實行為、或是洩漏營業上之秘密而造成企業損害等,其中又以洩漏機密與違反忠誠義務最常構成企業直接解僱的核心理由。
員工將工程缺失、進度資料、工程單價及主管個人資料外洩予離職人員,法院認定該資訊一旦外流,將嚴重損害公司信譽,甚至可能造成承包商於未來投標時投機報價,影響公司議價能力,屬於「重大情節」,因此雇主直接解僱合法。
實務方面,參臺灣高等法院高雄分院105年度勞上更(一)字第2號民事判決可知,因員工將應保密之工程缺失、進度資料、工程單價以及公司主管之個人資料透露給已離職員工,法院認為其所洩漏之資訊極可能造成散布於眾致嚴重影響公司信譽,有潛在之危險,且尚有涉及公司內部工程項目及金額,將可能因洩漏採購品項之單價及承包商資訊,造成日後承包商投標時投機報價,致公司日後營運產生潛在危險,任何立於公司之立場者,皆難以期待其採用解僱以外之懲處手段,因此認定其情節已達重大程度。在員工的工作規則中亦有不可洩漏機密之相關規定,故公司予以解雇,難謂違法。
此判決清楚呈現兩個法律重點:其一,資訊性質若涉及公司工程細節、價格資訊、內部管理或機密資料,一旦外洩具有高風險,即可構成重大情節;其二,員工工作規則若明確記載保密義務與禁止洩密規範,將成為雇主採取懲戒解僱的正當依據。因此企業應確保勞動契約與工作規則均載明保密、資安、資料使用、機密存取規範,否則在發生洩密事件時,很容易變成企業「說不清、罰更大」的爭議。
其次,若員工行為不僅違反工作義務,更涉及利用職務機會取得資料、攜出資料、使用資料而損害公司利益,就會引發刑事責任,特別是「背信罪」的適用。依刑法第342條:「為他人處理事務,意圖為自己或第三人不法利益或損害本人之利益,而為違背其任務之行為,致生損害於本人財產或利益者」,處五年以下有期徒刑。過去部分學者認為勞動契約係「對向性關係」,員工只是提供勞務,無屬刑法所稱「為他人處理事務」之性質,因此違反保密條款不必然成立背信罪。
值得注意的是,實務常見案例是離職員工違反保密條款,但抗辯這是與公司間的契約關係,不屬於背信罪所稱的為他人處理事務之性質。然而,依據智慧財產法院107年度刑智上訴字第43號判決可知,由於企業與勞動者間所約定之保密約款,是否具有為他人處理事務之性質(即「他屬性」),並不能一概而論,某些事務處理之本身,依其事物本質,必須要保守其處理事務之秘密性,才能達到為本人處理事務之目的,此時保密約款,其實亦是處理事務之一部,不能認為僅是對向性之約定,而仍應認為具有「他屬性」。
故企業與勞動者在勞動契約中約定勞工於任職該企業期間或於離職後一定時間內之不作為義務,應從契約整體而為解釋,認該不作為義務為企業與勞動者約定處理事務時應盡之忠誠義務一環,不能任意將勞動契約中之不作為義務約款單獨取出,即謂該約款為對向性約定,進而認該約款內容僅係勞動者自己之不作為義務,並非為他人處理事務之內涵。若勞動者利用為企業處理事務之機會,為自己或他人之不法利益而著手進行違反該不作為義務之違背任務行為,即屬以不正方法違背對企業所負誠實信用及忠誠義務,除構成民事不履行給付(不作為)義務之責任外,亦應成立背信罪刑責。
但保密義務、禁止洩密義務、禁止攜離資料義務,均屬於員工在勞動契約中必須履行的「忠誠義務」之一部分,是員工處理公司事務時不可或缺的一環,因此屬於刑法背信罪的「他屬性」。也就是說,當員工利用職務機會取得資料,再用於自己或他人利益,例如攜出客戶名單、拷貝技術檔案、寄給競業、交給離職同事,甚至只是「備份留存」,本質上即屬「利用處理公司事務機會」違背忠誠義務,符合背信罪要件。
法院因此明確宣示:凡勞工利用工作之便取得資訊、而以違法方式處理該資訊者,即可能成立背信罪,無須再爭論是否為「對向性契約」。因此企業在面對員工竊取資料情形時,不僅可以解僱,更可同步提起刑事告訴,以遏止違法。再若涉案資料符合營業秘密法第2條所稱之「秘密性」「經濟價值性」「合理保密措施」三要件,則進一步構成營業秘密侵害,甚至涉及營業秘密刑事責任,如第13條之1、第13條之2可處三年以上、最重七年徒刑。
實務上更值得注意的是,營業秘密法第13條之4規定:若員工因執行業務而犯營業秘密罪,除員工本身要負刑事責任,公司也將被處以刑事罰金,除非企業能證明「已盡力為防止」。換言之,企業若未建立防止洩密制度,員工違法時,企業同樣受罰。
此即最高層級的企業責任風險。因此企業必須建立完整的保密制度,使法院認定企業已盡防止義務,包括:保密條款、資料分級、權限控管、資訊安全制度、禁止外接裝置、員工教育訓練、離職稽核等,否則即便企業是受害者,也可能因為制度不足而被處罰。
回到第一部分的問題:員工是否構成解僱事由?答案必須依照員工具體行為、違規程度、資料性質、有無造成風險等要素綜合判斷。若員工涉及洩密、未經授權傳送資料、下載大量檔案、拍照技術流程、擅自攜出資料、洩漏個資、告知外人內部資訊等,通常可構成勞基法第12條第1項第4款或第5款之重大違反義務行為,可不經預告立即解僱。
尤其當企業已明定保密規範、機密定義、違規後果,且員工確實經教育訓練與告知,則員工更難主張不知法令或誤解規範。然而企業要合法解僱仍須注意:違規事實須明確可證、違規須達「重大」程度、需與工作規則連動、須注意程序不得突襲、須於知悉違規後30日內處理,否則恐遭認定程序違法。
最後,員工是否涉及背信罪,須視其是否「利用職務機會」取得資訊並違反職務義務使用該資訊;而是否涉及營業秘密侵害,則須符合秘密性、價值性、合理保密措施三要件。換言之,在任何涉及資料洩露情形下,企業除可採取解僱,通常也應同步評估背信罪、營業秘密罪、民事損害賠償之可能性,以確保能有效遏止違法、降低損害並對其他員工形成警惕效果。
-勞資-人事規章-保密規章-員工保密義務-營業秘密
瀏覽次數:5
