歐盟及中國大陸聯合發布網路犯罪及營業秘密保護指南

數位革命迅速而實質地改變了我們的工作方式,創造了新的機會並促進生產力,特別是網路已被視為公司發展、溝通和創新的重要工具,然而,網路犯罪也隨之猖獗。網路入侵竊取營業秘密對於中小企業來說影響甚鉅,當重要資訊被盜取時,中小企業很有可能就因此失去他們的創新或是經營點子。本指南關注歐盟和中國大陸的網路安全和營業秘密保護,提供歐盟中小企業營業秘密保障相關的資安風險概況,亦提供中小企業有效的策略,以防堵潛在的網路犯罪以及網路竊盜智慧財產權發生時的應對措施及法律追索(legal recourse)。

 

  • 一、關於網路犯罪及營業秘密

(一)為什麼要保護智慧財產權資產?

智慧財產權對所有中小企業而言是重要的法律及經濟資產,例如製造過程、演算法或是發明,皆是透過漫長努力的過程,使得企業得以享有競爭優勢。智慧財產權資產的損失,通常也意味著對於業務付出的努力前功盡棄,許多在國外市場失敗的企業都是因對智慧財產保護不足。

 

(二)什麼是網路犯罪?

網路犯罪是指任何涉及連接到網路設施的犯罪活動,例如著作權、音樂、視聽著作及軟體程式,皆是網路犯罪的目標。網路犯罪者也在不同的市場中,散布盜版音樂、視聽著作、電腦軟體及程式給數以百萬計的使用者。儘管如此,「營業秘密」對於網路犯罪者來說是最有價值的,例如藥物試驗的數據、設計圖、製造說明書、客戶名單或專利資訊,通常是透過駭客入侵並透過網路在全球販售,獲得巨額利潤。

 

(三)網路竊取智慧財產權對中小企業的影響是什麼?

包括喪失率先上市的機會、喪失優勢、減損盈利和喪失有價值的訊息,在極端情況下,也有可能將整個企業拱手讓給競爭對手。營業秘密和機敏訊息的網路盜竊也會損害公司的聲譽,例如洩露涉及客戶隱私的訊息,會影響公司的信用評價和產生投資者不信任,而損失投資機會,或是投資新技術研發的中小企業,將來如要申請專利就應謹慎確保資訊的保密而保有其新穎性,否則駭客入侵並且洩露專利資訊向公眾公開,將可能失去取得專利的機會。

 

(四)什麼是營業秘密?

營業秘密是機密的商業資訊或是為企業提供具競爭力的專有技術,並且須採取措施來保持其秘密性。營業秘密是具有價值的訊息,這些訊息可能具技術性(新產品的設計、發明、技術的升級),它也可能具有商業性(投標價格、供應商清單、價格、客戶、市場研究等)。法規上,營業秘密是指任何符合這3個條件的訊息:

1.秘密性:不為公眾所知,也不被你的主要競爭對手知道。

2.具有保密價值:該訊息具有提供擁有者競爭優勢。

3.有保護措施:透過多層保護措施,將這些訊息作為秘密來保護。

 

二、建立網路安全戰略-一個全面性的網路安全戰略包含識別、保護、檢測、回應

一個有效的網路安全戰略必須是廣泛的,並且在涉及有價值的訊息或智慧財產權的每一環節皆要施行。舉例來說,設計的保護也許有人認為註冊 IP 就足夠了,但是如果該設計資料在申請專利前洩露,可能就無法獲得該專利(喪失新穎性)。同樣,如果駭客獲取您對於新的軟體解決的方案,您的競爭對手可能就會擊敗您。有效的網路安全戰略,應該涉及公司的每個成員、每個部門,並且應該與不同人員(IT、法律部門和產品開發人員)合作。

 

  • 三、如何保護你的營業秘密不受網路攻擊?
  • 識別風險

1.識別營業秘密

第一步是進行商業秘密審計,以識別任何給公司帶來優勢且未公開的訊息,都可以被認為是營業秘密而受到保護。尚未註冊的智慧財產權可以被視為營業秘密或新的技術(最終可能產生發明專利的技術),皆可以成為營業秘密保護的對象,因為如果它們被公開,將會失去新穎性而無法獲得專利,同樣的設計過程中的設計或尚未註冊的商標,同樣可能遭惡意搶先註冊,凡此,皆可能需要以營業秘密保護,其他可能構成營業秘密的包括:客戶名單、供應商的文件、未來營運計劃、市場營銷策略等。


2.
識別弱點

發掘可能導致你的營業秘密被公開的因素。法律專家可以識別有關合約的問題,而技術專家(特別是 IT專家)可以提供網路安全風險分析。

 

(二)制定保護營業秘密措施

「採取保護措施」是享有營業秘密受保護的法律要件。大多與營業秘密相關的法規,皆要求進行相當的保護措施以保護營業秘密,否則當有侵權發生時,將會沒有法律追索權。營業秘密可以各種形式被流出,因此網路安全措施外,應結合實體以及契約措施。

1.實體措施

(1)保密戳記

列印的文件上可以有戳記,清楚表明它們是保密的,同樣,數位形式的文件則可使用特殊浮水印標記此為機密文件,這項保密措施應與其他措施結合運用,使其更有效,例如保密協議(NDAs)。

(2)限制和控制對IP相關的訊息/文件的訪問/進入途徑

中小企業應限制有關機敏訊息的訪問/進入途徑,有些訊息只能允許拿它來履行工作的員工知道,能接觸到這些保密訊息的人越少,洩漏的可能性越小。

(3)限制對伺服器/電腦的進入

只允許員工訪問含有他們所需訊息的伺服器,如果開放整個伺服器都可以進入,這會面臨營業秘密洩露的風險。也應該使用強化密碼(包括字母數字和特殊字符),也可以考慮多重的身份驗證。

(4)不允許使用未經授權的 (USB)設備

這可避免文件被複製和避免有人在電腦或是伺服器裡安裝間諜軟體,也不該允許連接手機或任何其他外部設備。若是員工需要遠端使用公司辦公設備,強調僅能使用具有密碼保護的 Wi-Fi網路來進入公司服務器。

 

2.提高網路安全的技術措施

(1)加密訊息和通訊

使用最新的加密技術,包括使用更新的防病毒軟體、設置防火牆和保護網路的軟體。加密對於保護通訊特別有用,包含在員工之間或與第三方的通訊。

(2)區塊鏈技術

區塊鏈是一種非常有效的技術措施,用來控制和監控進入和修改相關文件。區塊鏈節點是不可修改,並且留下了一個時間戳,使它很容易追蹤誰有權、誰訪問了哪些文件。

(3)防毒軟體和入侵檢測軟體

指南中建議購買值得信賴和最新的防毒軟體,防火牆也可以考慮增設,而有些防毒軟體實際上是惡意軟體,係用來提取機密訊息。網路攻擊很難被發現,很常在受害者不知情的情況進行了數週、數個月甚至數年。因此,也可考慮採用入侵檢測系統和識別網路攻擊入侵來源的預防設備。

(4)限制使用雲端服務

若無法在自己的系統中儲存訊息,那麼謹慎選擇雲端服務提供者就很重要,通常這些供應商對於資訊的洩露或被駭客攻擊,是拒絕承擔責任的,所以應簽署協議,指定在智慧財產權竊盜的情況下廠商須負責任。有些政府對於資訊儲存,也有法律規範。例如,中國大陸網路安全法規定,「如果洩露的訊息,可能直接影響國家安全、經濟安全、社會穩定或公共衛生,必須儲存於位於中國大陸境內的伺服器中」。

(5)定期更新軟體

尤其是防毒軟體以及入侵檢測軟件,定期更新能提高安全性。

 

3.契約和人員管理

(1)保密協議 (NDA)

現任員工、離職的員工和業務合作夥伴往往是機密訊息洩露的源頭,因此應該要訂有保密協議。這些協議應明確說明哪些訊息是專有和機密,並且此類訊息應一直保持著保密狀態。此外,競業禁止協議,也是必要的,避免競爭對手挖走你的員工。

(2)教育訓練你的員工

統計數據顯示大部分機密訊息洩露,係源於員工疏忽,因此員工應該了解保護措施的重要性,以及了解這些網路安全程序,例如定期更改密碼,用完電腦必定登出,絕不使用未經授權的個人 USB或透過公開的Wi-Fi 訪問公司伺服器。

(3)內部政策

有時洩漏是由於員工的惡意行為,針對這些行為應該處以紀律處分,包括向公司賠償造成的損害。另外,大多因為員工的不滿,而故意洩露機密訊息,他們知道如何利用公司的弱點,因此,應該意識到員工的不滿並進行管控,也該制定政策,以減輕員工不滿的威脅,例如實施投訴和申訴機制。

 

(三)檢測

如何知道是否已成為網路犯罪受害者,中小企業應不斷監測其營業秘密的狀態,儘早發現問題、儘可能的恢復原況。

1.市場監控

定期檢查市場上目前有的產品、使用的設計、產品包含的新技術等,儘可能地收集訊息,並對自己公司正在開發的產品進行比較,定期檢查公司的各專利狀況,這樣可以發現有哪些訊息有提前洩漏的情形。你可以在各專利資料庫像是中國大陸的http://pss-system.cnipa.gov.cn/sipopublicsearch/inportal/i18n.shtml,歐盟的專利資料則可以在PATENTSCOPE、ESPACENET查詢。

 

2.監控競爭對手的活動

時刻關注競爭對手目前正在進行的事業,例如參加展銷會,檢視他們的市場銷售及新產品的方向,以檢測是否有營業秘密洩漏的狀況。而購買產品並分析,也是常見檢測競爭對手產品技術的做法,也可能從產品中發現專利侵權。

 

四、如何應對網路攻擊?

(一) 回應

1.確定洩漏的來源

如果發生網路攻擊,最關鍵的是確定策劃攻擊的人或公司,因為必須知道是誰造成損害,才知道該向誰請求損害賠償。

 

2.緊急應變計畫

緊急應變計畫至少應包含以下:應實施哪些新措施、要告知哪些人有洩漏情形、誰開始收集證據、下一步驟是什麼,也應該知道誰要通知當局例如警察。建議與您的法律部門或外部法律專家合作,以提高計畫的效率。

 

3.採取法律行動

(1)中國大陸的營業秘密保護制度

關於中國大陸的營業秘密的保護係由2019年4月生效的《反不正當競爭法》來保護,該法將「駭客攻擊」視為營業秘密可能被盜取的方式之一。實務上,中國大陸的營業秘密,涵蓋任何對公司業務有價值,並且一直是保密的訊息,營業秘密也涵蓋任何尚非專利的發明、技術圖紙、製造流程和訣竅。在中國大陸要享有營業秘密保護需有三要件:

a.相關訊息必須是技術訊息、營運訊息或業務訊息。

b.此類訊息必須對您的業務有價值。

c.受到保密措施保護。

 

法院判決顯示需有「合理或最低程度」的保護措施,此類措施可包括與員工和合作夥伴簽署保密協議、將營業秘密儲存於具訪問限制的伺服器、數據加密、明確將數據標記為「機密」等,契約或與購買網路安全解決方案有關的發票也可以。與註冊 IP的網路竊盜相較,營業秘密案件在提供證據上更具挑戰性,因為沒有註冊作為證據使用的證書。有利的是,根據最新修正《反不正當競爭法》以及實務上運作,營業秘密持有人如可提供初步證據以證明已採取措施保護其營業秘密,以及可以合理證明此機密係被盜用(例如透過證明持有人和竊盜者的連結),舉證責任就有可能被倒置。

 

在這種情況下,被告的舉證責任需主張這些秘密不屬於營業秘密範圍,這表示著他們必須證明這些秘密是合法獲得的,例如這些機密是依雙方簽署協議所知悉、機密是由擁有者自行公開揭露或這是自行獨立發現。

 

關於損害賠償,《反不正當競爭法》規定損害賠償數額是由受害人因侵權所遭受的實際損失來決定。如果實際損失難以計算,則根據侵權人從侵權行為中所獲利益來審酌損害賠償金額;重複侵權的懲罰性賠償金額為權利人遭受損失或是侵權人獲得利潤的一至五倍,而法定上限賠償金額為 500 萬元人民幣(約 64 萬歐元)。

 

(2)歐洲的營業秘密保護制度

2016 年以前,在歐盟沒有關於調和各國營業秘密保護一致性的法律,為了解決歐盟內營業秘密保護不公的問題,歐盟議會和歐盟理事會2016/943號指令《關於保護未公開專有技術和營業秘密及遏阻非法取得、使用及揭露》,使得各國的營業秘密保護得到一致性的關鍵:

a.確保整個歐盟國家對於營業秘密的保護有相當的程度。

b.發布關於「營業秘密」的統一定義。

c.提供針對非法取得、非法使用及非法揭露營業訊息(營業秘密)行為的共同措施,引入一套共同法律準則、程序和保護措施,旨在創建泛歐盟制度,成為公司投資於歐洲的研究和創新的動力。

 

該指令也涵蓋侵權商品的問題,建構「非法產品」的態樣,包含非法獲取、非法揭露及非法使用營業秘密,以生產的產品、投放市場的產品及進出口產品中,其設計、品質、製造過程等。該指令也規範了營業秘密保護的例外,例如有利於揭露不當行為、不法行為或非法活動或是該披露符合公益。該指令有助於歐盟制定更公平且可實行的營業秘密保護規定,減少跨境創新活動的不必要成本和障礙。

 

此外,指令第 10 條確保權利人可以要求對被指控的侵權行為人採取預防措施:

a.視情況而定,停止或禁止使用、揭露營業秘密。

b.禁止生產、提供、在市場上陳列或使用侵權商品,或進口、出口或儲存侵權貨物。

c.扣押或交付有侵權嫌疑的貨物,包括進口貨物,以防止它們進入市場或在市場上流通。

 

一些成員國對於預防濫用營業秘密違法行為的處罰,最高可達到 8 年有期徒刑。

在民事訴訟案件中,在蒐集侵權證據的舉證責任,並不在歐盟指令的規範範圍內,而是規定在各國法律中,因此當一家違反營業秘密交易的公司,就需要尋求與案件相關成員國的法律諮詢。

 

第 12 條規定主管司法機關可應聲請人的要求,對侵權人採取以下措施:

a.視情況而定,停止或禁止使用、揭露營業秘密。

b.禁止生產、提供、在市場上展售或使用侵權商品,禁止進出口或儲存侵權貨物。

c.對於侵權商品採取適當的糾正措施(包括從市場上召回侵權商品、銷毀侵權商品,或在適當情況下將其撤出市場)。

d.銷燬任何或部分有關於營業秘密的文件、實體物件、材料、電子文件,或在適當情況向申請人交付全部或部分前述物品。

(二)恢復

1.損害控制

攻擊發生後,應儘量降低遭受攻擊後的負面影響,在此區分兩種不同的狀況:

(1)營業秘密已由第三方獲得但尚未公開-如果這項營業秘密是可以註冊的智慧財產,建議儘快開始註冊以保有新穎性。在某些特定情況下,可能可以向法院申請以獲得初步的禁令。

(2)營業秘密被公開—在此情形,收集證據是第一步,而在中國大陸證據必須經過公證,所以聯繫公證人將是第一步驟。另外,立即改善網路安全措施,可以幫助避免更大的訊息洩露,也可以立即斷開伺服器的連結,以減少負面影響。

 

2.未來可以記取的經驗

因屬地原則的緣故,擁有任何國家所註冊的智慧財產權在中國大陸並不具法律效力,例如在自己國家/地區註冊的商標,將不是理所當然地可以在中國大陸註冊或受保護,也可以說是幾乎沒有保護,另外在您的國家所取得的專利,在中國大陸也沒有效力,因此,中國大陸的製造商能在開展業務時使用你的技術。而且在中國大陸發生盜版的情形時,需要您有在中國大陸登記著作權的情況下,才能啟動執法程序,因此,在進入像中國大陸等高風險市場前,請註冊您的IP。

 

3.修正網路安全措施

當遭受網路攻擊或機敏訊息的洩露,把它也當作一個學習的時刻,回顧和改進您的網路安全措施。注意與相關人員的協議,並進行必要的修改。

 

4.檢視緊急應變計劃

網路攻擊還將使您的緊急應變計畫進行測試。攻擊發生後,建議進行緊急應變計畫的審查,並且作出調整,以及預測未來的可能會發生的問題。

 

相關連結:

歐盟及中國大陸聯合發布網路犯罪及營業秘密保護指南

https://op.europa.eu/en/publication-detail/-/publication/1670d88e-33d8-11ed-8b77-01aa75ed71a1/language-en/format-PDF/source-267179437