專利有三要件:新穎性、進步性、產業利用性;營業秘密也有三要件:秘密性、經濟性、保密措施。然而,後者可不像前者一樣,有法律條文的清楚定義解釋,反而是有很多糢糊的灰色地帶,在推行及執法上也沒有既定的SOP,而這也是企業在採取營業秘密保護公司的智慧財產權時的難點及痛處。像專利適格性中的「新穎性」於採先申請制的國家及地區而言,主要是以沒有前案為主,就算是特殊的例外,也可以優惠期來輔助解釋,只要按著程序走,以專利保護智財權基本上沒什麼難度;然而,「秘密性」卻沒有什麼準則,搞不好就企業內部已為了什麼是秘密什麼不是秘密而吵翻天,而且秘密性也會隨著時間推延而改變,三年前的秘密到了三年後可能已不是秘密了。因此,「秘密性」很多時候要靠「保密措施」來輔助判斷,而這又是企業另一個頭痛的問題。如果到了執法階段,除了專利權歸屬有明確性之外,專利侵權比對也是相對的單純的,因為侵權比對也是有一定的指引,不像營業秘密案件,有時候連「標的」是什麼都要吵半天。
圖片來源:pixabay
然而,雖然以營業秘密保護企業智財權有一定的難度及不確定性,但很多企業仍十分重視,因為專利保護的缺點是一切技術都要公開,所以針對核心技術或是無法以逆向工程簡單複製的技術,企業還是傾向以營業秘密來保護。因此,如何讓營業秘密的保護作得更完善、更趨向於標準化,該是許多企業應努力的目標。為此,資策會科技法律研究所創意智財中心受經濟部工業局委託長期執行 「強化企業智慧財產經營管理計畫」,特別於9月3日舉辦「2019年營業秘密訴訟因應與管理操作實務研討會」,由資策會科技法律研究所、經濟部智慧局、法務部調查局與企業專家代表,分別從企業營業秘密管理實務、管理機制建立、數位證據保全等不同角度,提供營業秘密保護、洩密因應的實務經驗分享。雖然說預防勝於治療,但本刊期卻是從搜證談起,有時候反推回來,才能更深刻體會在管理機制建立及數位證據保全的部分真正重點在那裡。
證據保存很重要! 證據保存很重要! 證據保存很重要!
證據保存很重要!所以重覆了三次。
法務部調查局資通安全處調查官劉秉昕在研討會上以「從數位鑑識看企業營業秘密保護」為題分享鑑識工作經驗時,即一再強調數位證據保存的重要性。營業秘密案件與一般案件一樣,要立案後才能偵查。從下圖1「營業秘密案件偵辦流程」圖中可見,鑑識和勘驗已經是後端的部分,劉秉昕指出一般營業秘密案件一開始的時候事實跡證不會太多,必須要等事實罪證堆積到一定程度後,才會申請搜索扣押及約談,待搜索扣押回來之後,才會進行數位證據鑑識和勘驗的工作。因此,在檢舉的時候,就要檢查數位保存證據是否足夠(像是鑑識電腦中的資料),才能決定能否走下去,即進一步約談及聲請搜索。
法務部調查局資通安全處調查官劉秉昕,攝影:李淑蓮
針對數位保存證據是否足夠的部分,劉秉昕舉了兩個例子。第一個例子是廠商在提出檢舉後,拿了離職員工以前使用的電腦來搜證,但後來才發現電腦已經被重新format,當然是什麼證據都沒有保存下來。至於另一個案例則是有一間公司提出檢舉後,在調查局接手前已找了一間民間公司來就事證進行鑑識,已經產生了一個鑑識報告。後來該公司在檢視鑑識報告時,發現裡面有很多是民間資安公司提出來覺得有疑問、或是覺得是「怪怪的」地方,但卻並沒有作任何查證,去追查這些「怪怪的」地方究竟是跟什麼有關係。後來公司把報告送到調查局作鑑識的時候,調查局的調查人員便把每個資安公司覺得有問題「怪怪的」地方都去查證,結果卻發現這些被資安公司挑出來的「問題」其實都不是問題。因為這些都是公司授權給該名員工作的事情:像是可以去讀取某一些檔案,這樣子該名員工自然就有讀取記錄;又像是這位員工在離職前刪除了大量檔案,而這也是公司授權給員工,要求員工在其離職前刪除所有資料的。因此劉秉昕表示,這是很失敗的告證,因為到最後在聲請搜索的時候一定會被打回票。
圖1. 營業秘密案件偵辦流程 |
圖2. 聲請搜索前尋找證據之必要性 |
圖1 & 圖2 資料來源:「2019年營業秘密訴訟因應與管理操作實務研討會」劉秉昕調查官簡報,
2019年9月3日;資策會科技法律研究所提供。 |
劉秉昕強調,在檢舉階段很重要的是保存了什麼數位證據、做了那些鑑識、及得到了什麼結果。要必須確認有那些跡證能足以支撐公司提出這樣的告訴。因為要在這個階段堆積出一些有力的證據,調查局才能有一些作為,例如申請搜索票或是約談。
另一方面,到了搜索階段所碰到的問題是每個案件的專業度都很高,不是每個調查官都一定有能力去解說被偷走的東西到底是什麼。因此在現場的時候,可能會有原告協助告知那些是該公司的資料,而現場錄音錄影是必要的程序。
最後就是勘驗的部分,也就是數位鑑識。因為搜證回來的東西數量會是蠻多的,而且很雜亂,而鑑識人員的工作就是將之收儉。劉秉昕指出,重點是把搜回來的東西找出關鍵且很重要的數位證據,即亦有證據能力的證據。
鑑識人員的痛處
當然,理論上鑑識人員在搜證的時候比一般企業來得有經驗及專業,但鑑識人員也是有不足的地方。 劉秉昕表示鑑識人員最常遇到的困難或是困境,就是要去了解廠商一個系統的程式究竟是什麼東西。他舉了個人自身經驗為例:「最近跟一個做網頁的廠商接觸,因為他們網頁中的程式碼被偷走。第一次跟當事人用電話聊的時候,他跟我講了一大堆有關系統的架構,包括前台、後台、管理、控制的哩哩扣扣一大堆……我聽完之後的感覺就是一頭霧水,很茫然,聽完還是搞不清楚他們的核心究竟是什麼東西。後來在鑑識的過程中來來回回,不斷的與當事人溝通,因為我們所看到的,跟他們所認為是的,中間會有一個落差。因此在過程中不斷慢慢收歛,收歛到最後他們認為是最核心的,他們認為是營業秘密最重要的證據為止。」像劉秉昕的case來來回回到產出報告為止,前後共經歷了2個多月,因為劉秉昕到最後才搞清楚他們系統的架構究竟是什麼一回事,也才搞清楚當事人的需求究竟是什麼。但他強調,經過這樣的收歛及由公正的司法單位來協助企業做檢查及鑑識後,所得出的檢定報告一定會是很有力的告證。
營業秘密的重點:保密措施
就前所述,營業秘密有三要件,而劉秉昕個人覺得廠商最缺乏的就是保密措施。
- 秘密性:非一般涉及該類資訊之人所知
- 經濟性:具有實際或潛在之經濟價值
- 保密措施:所有人已採取合理之保密措施
劉秉昕指出,有時候只需要問廠商2個問題,便可以了解其保密措施是否足夠:
(1) 東西是如何流出的?
(2) 流出去的是什麼東西?
他說,如果只問這兩件事情,有90%的當事人答案都會是不曉得。為什麼呢?理由很簡單,因為許多企業都沒有留什麼跡證或是記錄,當然什麼都不知道。所以他再次強調,營業秘密案件中最重要的是有沒有留下任何跡證。
劉秉昕指出,就實際情況而言,營業秘密有99%都是員工帶出去的,剩下的1%可能是以境外入侵或是駭客入侵的方式來偷取資料。還有一種就是離職員工在公司埋有後門,利用後門再連到公司去偷取資料,但這也是歸類為員工攜出。最後一點要問的就是數位證據在那裡,舉證責任歸屬如何劃分?究竟是調查單位要舉證還是企業本身要負舉證責任?劉秉昕說一般來講是公司與企業要負比較大的責任,調查單位能作的只是協助檢查原告提出來的數位證據是不是對的、是不是有效的而已。
到進入了偵查階段,以下為重點注意事項:
(1) 數位證據保全注意事項
■ 涉嫌人使用之各種資通訊設備是否已經封存?如有必要應製作副本後再進行檢視。
■ 是否有留存相關記錄檔?如檔案存取記錄、系統登入記錄、列印記錄、電子郵件收發記錄、監視錄影設備影像記錄等……可供追查。
在這個地方劉秉昕也提出了一個案例,就是調查局同仁在一件案件中把駭侵的路線每個點、每條路線都勾勒出來,而前提是當事人把每樣記錄都有保留下來。
案件詳情:一名應該是網管的離職員工,在公司系統的防火牆裡建了一個VPN的通道,而這個VPN的通道是連到該名離職員工的手機,後來追查下去利用IP查到手機所有人。因為在公司防火牆裡保有log的記錄,因此可以查到那台手機在什麼時候有登錄防火牆。後來便查扣當事人的手機,然後從手機作數位鑑識,發現找出該名離職員工的個人電腦透過手機去連到防火牆的時間點。防火牆的另一端是公司的資料,而該名離職員工透過手機去連到防火牆進來之後,再連到一台NAS,而這台有該名離職員工過去有這台NAS使用的帳號密碼權限,因此他可登入進去。而這家公司在NAS裡面裝的都是virtual machine,所以該名員工登入之後,就在NAS裡面的virtual machine再登入到另外一台virtual machine,而另一台virtual machine就是該名員工以前在工作時所使用的,這台virtual machine又可以access到其他的server、檔案這一些東西,該名員工就是以此方式竊取公司的資料。
圖3. 機密文件流出的途徑
資料來源:「2019年營業秘密訴訟因應與管理操作實務研討會」劉秉昕調查官簡報,
2019年9月3日,資策會科技法律研究所提供。
(2) 進入偵察階段
■ 瞭解涉嫌人所能使用之各種資料設備、通訊設備、資料存取權限、公務及私人電子郵件帳號、網路管理權限、NAS系統管理權限、作業系統登入權限等…。
■ 公司是否讓員工有任何可以將資料外傳的管道,例如可以用USB隨身碟、隨身硬碟、網路、電子郵件、雲端共享空間、手機隨拍等等……。
■ 瞭解公司資安管理政策、保密協議範圍、競業禁止條款內容。
■ 公司是否可提供可能遭竊取之營業秘密關鍵字、可參考文件、電子檔等……以供比對。
在進入偵察階段之後,要做的就是堆疊出高度可能的跡象,如圖4所示,把不同途徑找來的不同證據一直堆積,直到成為強而有力的告證為止。
圖4. 堆疊出高度可能的跡象
資料來源:「2019年營業秘密訴訟因應與管理操作實務研討會」劉秉昕調查官簡報,
2019年9月3日;資策會科技法律研究所提供。
最後,劉秉昕提到了公司提告的合理性的問題,他表示新竹地檢署檢察官曾提出過一份「營業秘密釋明表」可供大家參考,裡面洋洋灑灑涵蓋了許多問題,可以有助企業檢視及評估是否具提告合理性,他建議企業在決定提告前可以參考,只要能順利填完,應該就有充分合理性可以提告,即使沒辦法填完,也可充分審視公司本身有何不足之處。
參考資料:「2019年營業秘密訴訟因應與管理操作實務研討會」劉秉昕調查官簡報,2019年9月3日,資策會科技法律研究所提供。
作者: |
李淑蓮 |
現任: |
北美智權報主編 |
學歷: |
文化大學新聞研究所 |
經歷: |
半導體科技雜誌(SST-Taiwan)總編輯
CompuTrade International總編輯
日本電波新聞 (Dempa Shinbun) 駐海外記者
日經亞洲電子雜誌 (台灣版) 編輯 |
|
|
|
Facebook |
|
在北美智權報粉絲團上追踪我們 |
|
|
|
|
|
|
|