【營業秘密系列：內控篇】如何為公司建立營業秘密的管理系統？

在上一篇文章中，我們理解了並非所有公司內部的資訊都能被認定為營業秘密，它必須通過秘密性、經濟價值與「合理保密措施」這三道嚴格的法律檢驗。其中，最關鍵的成敗因素，往往在於企業是否已採取「合理保密措施」。

營業秘密的保護，可以說是「七分靠管理，三分靠法律」。如果平時的管理制度漏洞百出，等到機密外洩時才想尋求法律救濟，往往為時已晚，且在訴訟中也難以說服法官。反之，若能將保密措施內化為企業的日常營運流程，不僅能從根本上降低外洩風險，更能在不幸發生爭議時，成為主張權利的堅實後盾。

本文將從實務操作的角度，解析如何為公司建立一套層層防護的營業秘密保全系統，將法律概念落實為具體的管理行動。企業也可以同時參照本系列的【提告篇】，了解提出刑事告訴時，檢察官通常會重視重點，並將其提前落實於日常管理中。

一、第一道防線：建立資安文化並提供必要資源

在建立任何實質的保密措施之前，最根本且關鍵的一步是從組織內部建立起強健的「資訊安全文化」，並確保有足夠的「資源支持」。主管階層應明確展現對資訊安全的承諾與支持，讓全體員工理解資訊安全的重要性，認知到資安是每個人的責任，並將保密意識內化為日常工作習慣。

資訊安全文化的建立與強化是一個持續的過程，可套用 PDCA (Plan-Do-Check-Act) 管理循環來系統性地推動：

1. Plan (規劃)：明確定義資安文化的目標（如提升員工資安意識）、評估現況、制定具體策略與行動計畫（如規劃資安教育訓練、宣導活動），並規劃所需的人力、財務和時間資源。同時，在建立任何保密措施之前，最重要的一步是將公司的政策「文件化」。無論是員工手冊、資訊安全管理規範，還是機密文件分級辦法，都應以書面形式明確訂定。這份文件化的規範，是後續所有管理措施的依據，也是企業向法院證明合理保密措施的基礎。
2. Do (執行)：按照計畫實施資安文化建設活動，包括舉辦教育訓練、發布宣導資訊、落實資安政策，並鼓勵員工積極參與，主管應以身作則。
3. Check (查核)：建立衡量資安文化成效的指標（如參與率、知識測驗成績、資安事件發生率），收集員工回饋，評估計畫是否達到預期目標。
4. Act (行動)：根據查核結果，對資安文化建設計畫進行改進與調整，並將改進後的計畫重新納入下一個 PDCA 循環，持續推動資安文化的深化。

在建立任何保密措施之前，最重要的一步是將公司的政策「文件化」。無論是員工手冊、資訊安全管理規範，還是機密文件分級辦法，都應以書面形式明確訂定。這份文件化的規範，是後續所有管理措施的依據，也是企業向法院證明合理保密措施的基礎。

此外，更須確保有充足的人力（包含資安專業人員的配置與培訓）、財務預算（用於採購資安軟硬體、服務及培訓）以及時間資源，以支持資訊安全管理系統的建立、維護和持續改進。

這份對資安的重視與資源投入，不僅是後續所有管理措施得以落實的基礎，更是企業向法院證明已採取「合理保密措施」不可或缺的一環。

實務上企業多將營業秘密與個資保護的措施進行整合，更完整也更有效率，例如同時取得 ISO 27001 資訊安全管理系統認證與 ISO 27701 隱私資訊管理系統認證。對此，本所亦曾針對各產業如何落實個資保護撰文說明，可以另行參考本所專欄【個資保護系列】之【零售業篇】、【製造業篇】、【數位產業篇】。

二、第二道防線：合約管制

合約是劃定法律權利義務最直接的工具，也是建構保密系統的基石。

（一）對內：員工合約

1. 保密條款：
   這是最基本的要求。在員工的勞動契約中，應明確約定其在職期間及離職後，對於因職務所知悉或持有的公司營業秘密負有保密義務（營業秘密範圍可參照營業秘密法第 2 條之定義），不得將營業秘密洩漏、告知、交付或移轉予第三人。
2. 智慧財產權歸屬條款：
   明確約定員工於職務上完成的著作、專利、技術等智慧財產權，其權利歸屬於公司，避免日後產生所有權的爭議。
3. 競業禁止條款：
   對於能接觸到核心營業秘密的關鍵員工，可考慮約定競業禁止條款。但需特別注意，依據勞動基準法第 9 條之 1 的規定，競業禁止條款的有效性有其嚴格要件（例如：須提供合理補償、限制的期間與範圍需合理等），若約定不當將歸於無效。

（二）對外：合作廠商合約

企業的營業秘密，不僅可能由內部員工洩漏，也常在與外部廠商合作的過程中流出。因此，與供應商、代工廠、開發夥伴或任何可能接觸到公司機密的外部單位合作時，務必簽訂書面合約，並包含以下條款：

1. 保密協議（NDA）：
   在進入實質合作討論前，就應簽署保密協議，明確定義雙方交換的資訊中，哪些屬於應保密的範圍、保密義務的內容與期限、以及違約的法律責任。
2. 智慧財產權歸屬：
   在委外開發或合作研發的合約中，應事先明確約定最終產出的智慧財產權歸屬。若無約定，依法律規定可能會歸屬於受聘人（即開發廠商），對委託方相當不利。

關於 NDA 的具體細節，可以進一步參考【契約篇】中所彙整的建議內容。

三、第三道防線：實體與數位存取管制

僅有合約的約束是不夠的。法院在判斷企業是否已盡「合理保密措施」時，更看重的是客觀上是否已採取有效的管理作為，阻止他人輕易接觸到機密資訊。實務見解普遍認為，保密措施至少應做到最小權限原則：「無須接觸之人不使其接觸；應當接觸之人，使其於該知悉之限度內接觸」。

（一）實體環境管制

1. 區域管制：對於存放重要文件、樣品或進行核心研發的區域（如：研發中心、實驗室、伺服器機房），應設立門禁管制、訪客管理系統，並留存人員進出紀錄。
2. 文件管理：紙本的機密文件應存放於上鎖的檔案櫃中，並在文件上加蓋「機密」或「限閱」等戳章。非必要時，應避免員工將文件攜出公司，並使用碎紙機銷毀過期文件。

（二）數位環境管制

在數位時代，絕大多數的營業秘密是以電子檔案的形式存在，因此數位環境的管制更是重中之重。例如企業若只考慮到數位工具的便利而忽略安全性，將機密資料存放在未設權限管制的共享磁碟區，任由非必要人員接觸，很可能將被認定未採取合理保密措施。

1. 權限設定：務必遵守「依知悉之必要性（need to know）」原則，為不同職級、不同部門的員工設定不同的資料存取權限。例如，業務人員應只能看到自己客戶的報價單，而不能任意查詢所有客戶的資料。
2. 加密保護：對於存放極機密資訊的伺服器、資料庫或個別檔案，應進行加密處理。在透過網路傳輸時，也應使用加密通道。法院曾肯認，將文件設定為唯讀、不得列印及下載，並以 IP 限制員工閱讀權限，且設定螢幕顯示員工工號的機制以防截圖重製等，這些都屬於有效的保密措施。
3. 監控與紀錄：導入資訊安全系統，紀錄員工存取、下載、複製或列印機密檔案的電磁紀錄（Log），這些電磁紀錄在發生爭議時，是極為關鍵的證據。但須注意，若監控軟體僅有記錄功能，而無積極管理或防止侵害的功能，仍可能被法院認為保密措施不足。
4. 外部裝置管制：這是最關鍵的漏洞之一，建議在員工手冊或作業規範中嚴格管制或禁止員工在公務電腦上使用私人的 USB 隨身碟、外接硬碟或雲端儲存服務，以防資料輕易被複製攜出。

四、第四道防線：人事管理流程

人事是營業秘密保護中最重要也最不穩定的環節。一套完善的保密制度，必須貫穿員工的整個任職週期。

（一）到職時：建立保密意識

1. 背景調查：對於即將擔任重要職位的員工，可進行必要的背景調查。
2. 簽署文件：確保新進員工在到職時，已充分理解並簽署勞動契約中的保密條款與相關資訊安全規範。
3. 教育訓練：舉辦新人訓練，使其清楚了解公司的保密政策、哪些資訊屬於營業秘密，以及違反規定的後果，並留下書面或影音的訓練紀錄。

（二）在職管理：持續強化觀念

1. 定期宣導：定期透過內部郵件、會議或公告，向員工宣導營業秘密保護的重要性。
2. 持續訓練：對於會接觸到核心機密的員工，應定期舉辦在職的保密教育訓練。

（三）離職時：封堵外洩管道

員工離職是營業秘密外洩風險最高的時刻，必須建立一套標準化的離職程序（SOP）。

1. 進行離職面談：由直屬主管偕同人資或法務部門，與離職員工進行面談，再次提醒其離職後仍應遵守的保密義務與競業禁止約定。
2. 簽署保密切結書：要求員工簽署離職保密切結書，承諾已交還所有公司資產與文件（包含任何形式的影本或電子檔），且不會在未來使用或洩漏公司的營業秘密。
3. 確實執行交接：資訊部門應確實收回電腦、手機等公司設備，並取消其所有系統的存取權限。
4. 異常行為調查：若離職員工屬於核心人員或即將轉往競爭對手處任職，可在其離職前，合法調閱其近期的電腦使用紀錄（如：檔案存取、列印紀錄、電子郵件），確認有無異常的資料下載或傳輸行為。

五、結論

營業秘密的保護是一項系統工程，無法單靠一份合約或一套軟體就一勞永逸。企業必須透過「建立資安文化」、「合約管制」、「存取管制」與「人事管理」這四道防線，層層堆疊，建立起全面性的保全系統。

這些看似繁瑣的管理措施，不僅是為了在訴訟中取得優勢，其更重要的價值在於「預防」。一個擁有健全保密制度的企業，能有效嚇阻潛在的竊密行為，從根本上降低核心資產外流的風險，確保企業在激烈的市場競爭中，能保有得來不易的優勢。