商业秘密管理涉及层面非常广泛,不仅涉及到企业多个部门互动与协调时的沟通成本与行政效率,而且还需根据企业规模、产业类别、运营能力、行业竞争现况、技术或市场导向、产品生命周期、资本运作等角度全面考量。本文将综合上述诸多因素,提供给企业能快速实施的商业秘密管理基础指引。
重难点问题:
一般说来,企业商业秘密管理应重视及考虑以下几个重点及难点问题:
一是企业经营效率影响。商业秘密管理势必会对企业的经营效率产生影响,因此实施中应从多方面权衡考虑,将效率降低问题控制在一定的幅度。
二是法律层面上考量。到底企业商业秘密的管理与保护,在法律上是否有效?被侵权时,是否可以维权?
三是企业保密文化建立。企业透过商业秘密管理体系构建,才能在人员管理的议题上,全面地建立风险意识观念与保密习惯。
实务操作指引:
结合企业制定的商业秘密管理目标,在快速、简单、有效的管理原则下,建议分为几个层级,从基础到进阶实施如下操作指引:
一、透过管理手段符合商业秘密法律对保护措施的要求
这是企业商业秘密管理的首个基础目标,也是所有重视商业秘密保护的企业应遵循的。企业应该透过必要的保护措施手段,让企业的机密信息,成为法律定义上的“商业秘密”。当企业商业秘密遭受侵害时,可以透过司法途径寻求法律保护。如果企业商业秘密保护,没有以法律保护措施要求为目标进行管理,当遭受侵害时,大多只能以企业内部调查、内部惩处为手段,管理效果会大打折扣。在实务中,针对法律要求的保护措施要求,建议可有以下几个核心管理工作:
(一)确保员工知悉商业秘密范围
针对商业秘密的范围,进行业务盘点,并将盘点结果公告给员工知悉,让员工可以明确知悉商业秘密与机密保护的范围。
(二)确保大部分文件的储存或使用过程,进行必要的机密标示
文件经过盘点与识别后,可以透过标示方式,让员工或外部供应商、合作伙伴取用时,可以清楚知悉哪些为机密文件。保密义务针对的是能够被识别为机密的文件,而机密标示是最明确的方式。
(三)签署必要的保密协议
员工到职时,需要签署《保密协议》,以建立员工对保密工作的认知。企业与供应商、合作伙伴等外部相关方,必须透过《保密协议》来建立法律上的保密义务关系。
(四)物理环境的基础管理
物理环境必须有能够被充分识别的访问权限管理,譬如上锁文件柜或门禁系统等,员工在工作时能够明确识别到非授权人员是无法取用的。
(五)机密文件管理办法为必要制度
在各国的司法实务上,机密文件的储存、备份、传输应有基本的管理规定,才能符合保护措施的最低要求。例如应要求使用公务的系统来储存、传输与备份,和禁止员工使用免费的云空间或私人装置备份文件等。
(六) 文件取用的权限管理
文件的核心储存位置,必须有权限的管理。取用人员应该分级,这也是商业秘密保护措施的基本核心概念。实务上包括文件服务器、专用文件柜等,要区别哪些员工可以存取,需要有权限管理,以保证仅有必要人员可以取用机密文件。
透过上述管理工作的实施,企业可以在商业秘密法律构成要件中,针对保护措施的部分提供有力证明,避免因未采取必要保护措施,而无法维权。这些保密工作,应当是重视保护商业秘密的企业最基础的安全管理要求。同时需要提醒的是,有很多企业花了大笔费用购买信息安全工具,但相关保密工作,如机密识别、盘点、标示等通通没有做,在维权时,往往会大增诉讼风险,此点也要提醒法务与知识产权部门必须妥善告知企业管理者相关法律观念。
二、借助信息化工具建立企业商业秘密保护文化
当企业已经具备以上基础管理手段,部分企业会希望借助信息化工具或手段,以实际的强制管理方案,向员工传达和灌输保密意识,同时也限制员工的部分文件使用行为,以下就以常见的信息化工具进行说明:
(一)建立中央集中的文件管理中心,用于数据交换、备份与归档
企业机密文件管理,第一个工具通常会导入文件服务器,以提供员工数据集中备份、权限管理、文件规范的系统,让所有的机密文件可以被妥善保存与交换。
(二)在个人电脑设备安装安全软件,用于限制员工使用电脑的行为
当企业希望逐步提高保密的强度,一般会在个人电脑上,安装信息安全管理软件,用于限制员工以下行为:USB传输管理、网络传输管理、文件打印管理等,除了能够有效防范员工通过文件传输、打印进行泄密的行为,更可以建立员工强烈的保密观念。
(三)以文件加密工具来严格保护文件的使用
从文件保护的角度,一般来说最严格的方案便是“文件加密保护”,如微软的RMS加密技术。文件加密后,仅能使用特定工具且拥有权限才能够使用文件,对文件产生绝佳的保护强度。但是需要注意的是,文件加密也大幅地降低了文件流通的价值与效率,所以一般仅会在“封闭式”的工作环境(如研发中心、客服中心、个资处理中心)来实施文件加密系统。在大部分“开放式”作业环境,如公司总经办、业务团队、营销中心等,均不建议采用此方案。
具有一定规模的企业(强烈建议电脑数量在百台以上时应该考虑导入),其在完成上述所提的基础管理前提下,导入信息化工具的效益将更大。实务上有很多企业会花费大量金钱建立信息安全系统,但是其管理的核心目标并不清晰,仅是希望透过约束员工使用电脑来提醒员工保密观念,这样的做法也具有一定效果,但是如果能够把信息化工具结合商业秘密法律法规所要求的保密管理工作,效益将大幅提升。
三、通过系统化方式分析企业风险结合业务特性规划管理方案
大部分企业的商业秘密,依照上述两类管理方案,一般均可以快速地建立起有效的保护措施。不过在实务上,上述两种方案虽然快速,但是其对调整企业管理体质与机密外泄风险防范的效果仍然有限,主要有两个因素,一是企业的风险各异,必须要有风险分析流程,才能够把风险确实分析出来;二是保密工作必须结合业务流程,管理效果才会强大,譬如研发流程、销售流程、供应商委外流程等,而结合业务流程的保密工作,无法快速实施,需要经过多次的会议讨论、流程设计、试行方案与检讨才会有实质效果。当企业具有以下几种特性时,建议以系统化的方案来建立商业秘密管理体系。
(一)企业规模过大
企业规模如果部门超过20个以上,或总部核心运营人员(包括总经办、人力资源、财务、研发、销售、法务、信息、营销等)超过200人以上,其企业的行政运作成本非常高,所有的商业秘密管理方案应该设计得非常精密,一旦启动相关保密工作,应该保证一定的效率与可行性。
(二)企业业务复杂度过高
企业的人数虽然不多,但是其核心业务运营复杂程度很高,如大量使用外部的研发团队、大量外包给供应商、大量制造与研发均委托第三方等。
(三)企业机密外泄将造成业务中断或停止营业
部分企业其核心机密的保密要求极高,一旦外泄,可能直接造成公司营收或利润大幅下滑,甚至可能遭遇技术伙伴或品牌客户的诉讼求偿。
通过系统化方式建立企业商业秘密管理体系,包括先透过培训活动,建立员工与管理层的保密观念,再经过各部门商业秘密盘点工作,识别机密范围与核心风险,并结合业务风险与特性,逐渐构建企业商业秘密管理制度。虽然以系统化方式实施项目,行政成本可能较高,甚至需要委托外部顾问协助,但是其设计出来的管理制度与方案,才能够高效地实施,且具有真正降低管理风险的效果。