保密條款知多少?如何制定保密條款,追訴洩露公司產品技術秘密員工負法律責任?
問題摘要:
企業若要真正做到「從源頭防止洩密」,需做到三件事:第一,所有員工必須簽署保密協定、資訊安全承諾書、利益衝突揭露書。第二,制度必須落實:資料標示、權限控管、分層存取、審計紀錄、調職制度、競業禁止、離職管理。第三,企業必須敢於執行:違規者立即停權、調查、視情節重大開除與提告。營業秘密一旦外流不可逆,因此企業所有的制度、合約、資安、程序、教育、稽核、追訴,都是為了同一個目的——在損害發生前阻止外洩,在違規發生後迅速切斷風險,並在洩密後追究行為人完整民刑事責任。只有如此,企業才能在競爭激烈的環境中保護自己的研發成果、企業利益與生存空間。
律師回答:
關於這個問題,在企業與員工、企業與合作廠商、企業與承攬人之間所簽署的契約中,保密條款幾乎是標準配備,而保密條款的重要性往往被低估,直到某天公司產品技術、客戶名單、報價策略、程式碼、製程文件外流,公司才驚覺「原來保密條款訂得過於空泛」、「原來沒有要求員工簽保密契約」、「原來公司從未採取保密措施」而導致日後無法追究員工或外部廠商的責任。要了解如何制定有效保密條款,必須先理解一個根本事實:企業若欲追究員工洩露產品技術秘密的法律責任,必須建立三層保護網,即民事責任(契約)、刑事責任(營業秘密法與刑法)、行政責任(資訊安全與勞動法流程)。保密條款,正是這三層網中最核心的一環。
首先必須理解保密條款的法律性質。締約雙方因履行契約有需要揭露自身資訊時,接收方須於契約明示授權範圍內使用,並不得擅自洩露給未經授權者。若觸犯契約,接收者需依民法負損害賠償;若洩漏的是營業秘密,則不僅須負損害賠償,更需負營業秘密法與刑法妨害工商秘密罪之刑事責任。法院實務指出,單純口頭保密約定、多義不明的保密範圍,都不足以構成保密義務。
例如臺灣高等法院104年度上易字第1343號刑事判決明確指出:「若當事人無具體書面保密協定,即使口頭約定保密,也因過於籠統無法證明該特定資訊受保密義務保護。」因此,企業若沒有明確的書面保密條款,將無法主張對方違反保密義務,也無法追究刑責。這也引出下一個核心:要追究員工洩密,企業必須證明洩漏的是「營業秘密」。
營業秘密法第2條,資訊必須同時具備三要件:一、秘密性;二、經濟價值性;三、合理保密措施。許多公司資訊即便有價值,但因未採取合理保密措施,如未標示機密、未限制存取、未簽保密條款、未上鎖、可隨意下載,法院都會認為「企業自身未保密,資訊不能算營業秘密」。因此,要追究員工洩密,公司必須先把保密制度做足。保密條款如何訂定?
如何避免成為無效條款?一份有效的保密條款通常包含五大核心內容:
第一,明確定義「機密資料」,不得使用抽象字眼。例如:明確列出技術資料、配方、程式碼、設計文件、客戶資料、行銷策略、製程文件、圖面等。越具體越能在訴訟中被法院認定為受保護資訊。
第二,限定使用範圍。保密條款必須寫明:接收方只能在「特定目的」及「必要範圍」內使用資料,否則即屬違約。
第三,禁止行為類型必須明確。必須清楚列出不得複製、不得影印、不得私存、不得外流、不得上傳雲端、不得以USB帶出、不得轉傳第三人等。
第四,違約責任與違約金條款。依民法第250條,違約金可預先約定金額。例如可寫明:「違反保密條款者,應支付發案標的三倍之懲罰性違約金,若損害超過仍得另請求。」此類條款兼具預防與訴訟效力。
第五,保密期限必須延伸至離職後。法律明文允許保密義務延長,因此可寫明:「保密義務於契約終止後仍存續。」以上五項即為有效保密條款的核心架構。保密條款本體之外,企業應同時搭配保密作業流程,例如:資料標示機密、採取門禁管制、限制下載權限、設定系統密碼、限制影印、教育訓練、出入管理、列為特定機密區域等。
實務案例中,法院一再強調「沒有採取保密措施=不構成營業秘密」。因此,再好的保密條款如果沒有搭配制度,仍無法勝訴。接著進入重點:如何追訴洩露公司產品技術秘密的員工?法律依據分兩種:民事與刑事。民事部分包含:民法第184條侵權行為損害賠償、民法第216條實際損害計算、違約金條款、營業秘密法第11條民事賠償。
實務上,企業通常主張:員工未經授權拷貝、刪除、外傳、使用或交付公司技術資料,導致公司蒙受重大損害,如研發成本損失、市場競爭力喪失、商機流失、訂單損失等,企業可依營業秘密法向法院聲請禁制令、中止使用、返還資料、銷毀資料等。
刑事部分包含:營業秘密法第13條至18條刑事責任(最高可處10年以上重罪)、刑法第317條妨害工商秘密罪。若洩密行為涉及外國政府、外國機構或外國公司,則依營業秘密法第13條之一可加重處罰至最重12年有期徒刑。刑事追訴的效果往往最強,例如員工以USB帶走製程資料、研發總監將專案資料寄給競爭對手,其行為都會觸犯刑法317以及營業秘密法。以下引用案例說明員工洩密的法律後果。某生醫公司研發部總經理,長期密送研發資料給競爭對手,遭發現後在離職當天趁機刪除公司近萬筆醫療研發檔案。地檢署依刑法與營業秘密法起訴。違反勞基法第12條第5款重大違反工作規則之規定,公司得不經預告直接解僱,不屬資遣。
除此之外,還可能被追究:營業秘密法刑事責任、民事損害賠償、違約金、行政責任。此案顯示:保密條款只是基礎,不採取保密措施、未建立資訊流程、未限制權限,都會增加風險。同時也提醒:企業對關鍵職務應要求簽訂離職後競業禁止,以建立技術防火牆。
另一常見情況是同業挖角帶走技術。例如美光vs聯電案,員工帶走DRM製程、跳槽後使用原公司技術,最終面臨美國與台灣雙重調查。此類案件實務上法律適用屬於營業秘密法第10條其中之一:一、以不正當方法取得;二、知悉或應知為他人營業秘密仍使用;三、取得後知悉其為不正當取得仍使用。通常跳槽後使用前公司技術就屬於後兩者。公司不僅要控管現職員工,還要防止新進員工帶入他公司資料,否則公司也可能成為侵權侵害者。接著探討員工離職後洩密的常見風險。
員工跳槽同業並帶走資料,是最常見的侵害手法。企業應採取「離職四道防線」:第一,離職面談確認保密義務;第二,歸還所有資料、載體、電腦、USB;第三,帳號停止、資料刪除紀錄;第四,競業禁止約定(若職務高度敏感)。若企業未採取上述措施,法院往往會認定「企業未採取合理保密措施」,讓資訊失去營業秘密地位。再者,企業應注意將營業秘密分類為商業性與技術性兩大類。商業性秘密包含:客戶名單、報價策略、成本資料、經銷結構、行銷計畫、採購底價、人事制度等。技術性秘密包含:配方、製程、程式碼、工藝流程、研發圖面、化學成分、方法、技術參數等。兩者在保密條款中皆須明確列入,否則訴訟時常因「定義不清」而被認為未能證明哪些資訊屬機密。企業常見錯誤包括:認為「大家都知道的資訊」也是機密;客戶名單未標示機密;研發文件未加密;伺服器權限開放;未教育員工保密義務。若上述錯誤存在,資訊即便有價值仍不算營業秘密。
企業需要從制度面強化保密條款的效力:
第一,明確定義營業秘密。資訊越具體越能獲得法院保護。
第二,文件標示機密。法院常以此判斷企業是否具保密意圖。
第三,權限管理。誰能下載、誰能複製、誰能讀取都應明確設定。
第四,制度落實。不能只寫在制度中而未執行。
第五,違約金設定。具體金額可提升威嚇與預防效率。
第六,教育訓練。員工若不知哪些是秘密即難以遵守。
第七,離職管理。最容易洩密的時間點需要完整流程。
第八,競業禁止約定。必要時可避免關鍵員工立即跳槽同業。綜上,企業若欲追訴洩露產品技術秘密之員工,必須做到三件事:第一,要有寫得清楚的保密條款。第二,要有實際落實的保密制度。第三,要能證明資訊具秘密性、價值性與保密措施。若缺任一項,企業恐會在民事與刑事訴訟中敗訴。保密條款並非「簽了就有效」,而是企業整體保密體系的一部分。只有在制度、契約、流程、教育、技術全部到位時,企業才能有效追究洩密員工民刑事責任,守護公司產品、技術與競爭力。
「告訴人並無與被告間有何書面之保密協定,縱有口頭上關於保密之約定,亦僅係概括、籠統約定,而無從證明係針對特定事項約定保密義務。從而,本案自無從認定被告有何依法令或契約之守密義務。」(臺灣高等法院104年度上易字第1343號刑事判決參照)
前述機密資料若是符合營業秘密法第2條規定:「本法所稱營業秘密,係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合左列要件者:一、非一般涉及該類資訊之人所知者。二、因其秘密性而具有實際或潛在之經濟價值者。三、所有人已採取合理之保密措施者。」,即會受到營業秘密法的保護,違反者,將負有民刑事法律責任。此外,締約當事人因是以契約約定保密義務,違反者,也會該當於刑法第317條妨害工商秘密罪。
在企業治理與勞動實務中,開除、競業禁止、營業秘密、利益衝突揭露與資訊安全管理,已成為企業在高度競爭環境下維持競爭優勢與避免重大損害的最核心制度,而所有制度的關鍵,都始於「保密」二字。若企業無明確書面保密協議、無清楚權限控管、無利益衝突揭露制度、無資訊安全措施,即使員工洩密導致重大損害,也很可能因證據不足、措施不足而敗訴,正如臺灣高等法院104年度上易字第1343號刑事判決所言:「告訴人並無與被告間有何書面之保密協定,縱有口頭上關於保密之約定,亦僅係概括、籠統約定,而無從證明係針對特定事項約定保密義務。從而,本案自無從認定被告有何依法令或契約之守密義務。」這也證明,企業若只靠口頭交代「這是機密,不准洩漏」,而沒有具體保密措施,將完全失去法律保護。
營業秘密法第2條更清楚要求:資訊必須同時符合秘密性、經濟價值性與「所有人已採取合理保密措施」三要件,才能受到營業秘密法保護。企業若未採取合理措施,即使資訊極端重要,例如研發配方、程式碼、製程方法、專案資料,也無法構成營業秘密。
員工洩漏時,企業無法主張營業秘密法、無法提告刑法317條妨害工商秘密罪、無法請求三倍損害賠償,只能任由技術外流。因此,企業要真正保護自身技術與商業利益,必須同時建立:開除制度(情節重大即終止)、競業禁止制度(必要職務)、營業秘密保護制度(合理保密措施)、利益衝突揭露程序(例如親人在競業任職)、資訊安全制度(資安違規即違法、重大違規即開除)及損害賠償制度(內部契約與外部民刑事追訴)。以上六大制度互相補強,缺一不可。
首先談開除制度。勞動基準法第12條第5款明文規定,受僱者有違反勞動契約或工作規則情節重大者,雇主得不經預告終止契約。所謂「情節重大」,包含洩密、違反資安政策、未經授權下載資料、未遵守內部資訊管控、未揭露利益衝突、未申報外部兼職、與競業有不當聯繫、使用公司資訊協助競業等。此類行為皆可能使公司遭受無法挽回之技術外流、商業損失、客戶流失或營業地位受損,因此完全符合第12條第5款要件。
實務上,許多公司誤以為員工洩密只能「資遣」,甚至不知道第12條第5款賦予雇主「無預告開除權」。例如某公司研發主管長期暗中將公司研發資料寄給競爭對手,公司發現後直接依第12條第5款終止契約,但媒體卻誤稱「公司資遣」。
事實上,這不是資遣,而是「懲戒性開除」,不需預告、不需資遣費。並且雇主得另循刑事途徑以營業秘密法及刑法317條提告,也得依民法請求損害賠償。企業若缺乏資訊安全制度,很難舉證「情節重大」,因此資訊安全制度必須明列於工作規則,並要求員工簽署資訊安全承諾書,明訂「任何未經授權之瀏覽、存取、下載、複製、攜出、傳送、儲存、備份、截圖、拍照均屬違規,情節重大者即構成第12條第5款解僱事由」。
第二,競業禁止制度。當員工具有高度專業技術、能接觸營業秘密、客戶資料、研發製程、報價策略、製程參數或其他核心資料時,公司應依勞動基準法第9條之一與員工簽訂競業禁止約定。競業禁止須具備四要件:雇主具正當利益、合理期間(最長2年)、合理地域、合理職務範圍,且雇主需給予補償(至少月薪60%)。許多公司誤以為不給補償也能限制員工跳槽,結果被法院認為無效。企業若擔心核心人員跳槽競業,必須事先合法訂立競業禁止,而非等洩密後才後悔。
第三,營業秘密制度,包括四層防護:定義、防護、稽核、追訴。
企業必須明確標註哪些資訊屬機密,包含商業性營業秘密(客戶名單、銷售策略、成本、價格、經銷資訊)與技術性營業秘密(製程、配方、工法、圖面、程式、研發資料、研究成果)。並採取合理保密措施,例如資料標示機密、上鎖、密碼保護、權限管理、禁止下載、追蹤存取紀錄。若企業無此制度,資訊即便有價值,也不能構成營業秘密。例如智慧財產法院103年度民營上字第5號判決指出,企業必須透過標示、分層管理、密碼、限制訪客、門禁系統、專人管理等方式建立保密制度,法院才能認定其資訊符合營業秘密法要求。
第四,利益衝突揭露制度。
員工若有親人在競業任職,尤其是主管、採購、行銷、研發、產品、人資主管等職務,其利益衝突風險極高。若公司無相關規範,常會於事後爆發洩密、暗助競業、提供行銷策略、協助對方招募、提供價格情報等風險。企業應規定員工於任職期間必須申報以下情形:本人兼職、配偶或二等親內親屬於競業任職、與競業公司有投資或利益往來、與競業高層有密切往來、涉及與競業合作之個人利益。若未申報即發生洩密疑慮,企業可依工作規則以重大違規開除。
第五,資訊安全制度。
資安的核心在於「預防」而非「事後補救」。資料一旦外流,無法逆轉,因此內控制度必須建立:任何未經授權的使用就是違規,情節重大就是第12條第5款開除,且需要建立完整控管:禁止拍照、禁止截圖、禁止私人裝置、禁止使用雲端硬碟、禁止未經核准下載、系統自動紀錄存取紀錄、權限分層、VPN控管、資料加密等。
企業應強調:員工若違規,不必等真正發生損害,只要存在高度風險,即屬重大違規,可開除。這是企業保護自身營業秘密與避免重大資訊外洩的最基本武器。第六,損害賠償制度。若員工洩密造成企業損害,公司可循民事主張損害賠償,包含研發成本、商譽損害、訂單損失、技術外流造成競爭力下降。營業秘密法亦允許民事求償、禁制令、資料銷毀,並可同時提起刑事責任,透過警調調查取得證據。實務上許多大型企業在第一時間即以刑事告訴處理,使警方立即搜索競業公司與洩密員工,確保證據不被湮滅。企業常見案例之一為員工跳槽競業並帶走公司技術資料。
例如美光vs聯電案,美光指控聯電及前員工竊取DRAM製程,形成國際性經濟間諜案件。此案之法律本質即屬營業秘密法第10條第一項第三款,亦可能涉及第二款與第四款。又如台安玻璃與泰光玻璃案,員工閉F行於任職期間擅自影印窯爐設計圖,離職後洩漏給競業泰光,泰光明知來源不正當仍使用,因此共同構成侵害營業秘密責任。
企業必須注意另一層風險:新進員工帶入舊公司的機密資料,若企業明知卻仍使用,將構成共同侵權,需負連帶責任。另一案例則與利益衝突揭露制度相關。例如食品流通業員工跳槽同業,其子又在原公司加盟店工作,公司擔心情報外流。此時必須檢視:員工是否簽署競業禁止?其職務是否會接觸核心機密?其子是否會接觸促銷策略?若有洩密疑慮,公司可依調職五原則將其調任,避免風險。
若員工拒絕調職,公司可依勞基法第11條第1項第5款「不可抗力業務性必要」資遣,但建議企業應給予更多補償,以避免過度對立導致勞資爭議。此案例提醒企業:利益衝突揭露制度非常重要,否則等洩密發生才處理就太遲了。企業要從根本防止竊錄、截圖、外流,必須建立「零容忍」資安文化。凡違規、未經授權、存取不當、資料攜出,只要可能造成營業秘密外洩,就屬重大違規,可依第12條第5款開除。
企業必須讓員工理解:資安不是資訊部門的事,而是所有員工的義務。違反資安者不必等造成損害,只要行為有高度風險,即屬重大違規。此制度才能真正防堵經濟間諜風險。從整體觀點出發,開除制度是企業保護自身權益的最後防線;競業禁止是預防跳槽後洩密的防火牆;營業秘密制度是法律保護的基礎;利益衝突揭露制度是防止內部滲透的工具;資訊安全制度是防止外流的技術手段;損害賠償制度則確保企業能追回損失。
這六大制度共同運作,才能形成真正的企業法律保護網。企業若忽略任何一項,都可能面臨無法彌補的損害。例如沒有保密制度=資訊不具營業秘密地位;沒有競業禁止=核心員工跳槽後技術外洩;沒有利益衝突揭露=員工與親屬暗助競業;沒有資安制度=不當使用無法追蹤;沒有開除規範=重大違規無法立即終止;沒有損害賠償制度=損害難以計算與請求。
-勞資-人事規章-保密規章-員工保密義務-營業秘密-解僱-開除
瀏覽次數:3
