文：張遠博（工總智慧財產權處資深專員）

在數位化時代浪潮下，企業營業秘密的保護課題益發受到重視。日前，一起電池大廠的內部員工竊密案震驚業界——員工涉嫌竊取機密資料，與競爭對手接觸，導致企業蒙受近20億元損失。該案除凸顯營業秘密的重要性，也再次引發企業對「資安管理」與「營業秘密保護」兩者關係的深思。究竟企業該如何在數位轉型過程中，落實機密資料的保護，並有效區分資安與營業秘密的界線？

從內部觀點出發的資料保護

企業不同部門對資料保護的期望不盡相同。CEO重視的是「安心與成本效益」，盼營業秘密不外洩且管控成本可控；研發單位則要求保護「心血結晶」；工廠端關注效率，擔心保護機制成為瓶頸；法務部門著眼於保密措施與證據蒐集的合法性；財務與銷售團隊則擔憂資訊提前外洩影響營運；而資訊長則在維持系統運作效率與資安之間找尋平衡點。

這樣多樣化的內部需求，使得資料保護不只是資訊部門的責任，而成為橫跨組織的整合工程。

內部人風險是最難防、最致命的，儘管外部駭客的攻擊常被媒體聚焦，但事實上，資料外洩最常來自內部。台積電林為瑤副處長觀察，內部人（員工、供應商、客戶）才是最棘手的風險來源。尤其當員工懷有蓄意洩密動機時，其所造成的損害往往是無法挽回的。因此，「內部人風險管理」（Insider Risk）成為現代資安核心策略之一。

資料外洩分為兩類：一為「非蓄意」的疏忽，例如客戶或員工誤操作導致資料外傳；另一為「蓄意」的竊密行為，雖機率較低，卻具有極高的傷害性。

建立資料防護邏輯：分類、控管與加密

在實務操作上，資料保護首先必須「分類」。若企業無法界定哪些資料為「機密」，便無法有效設計保護措施。標示與標籤（Label）應嵌入日常應用中，使資料在不同系統之間傳遞時仍維持識別性與控管性。這正是所謂的「Security by Design」概念：從資料產生的第一刻起，就為其加上保護機制。

控管方面，企業可採取「內外有別」的策略，將內部文件轉換為外部文件時，必須經過授權或宣告程序。所有資料的「流向」也必須掌握清楚，包括電子（如Email、雲端、視訊）與實體通道（如USB、紙本等）。

控管強度則可區分為：

1、 道德規範：設立政策宣導標準。

2、 功能限制：移除高風險功能（如停用外接裝置）。

3、 權限設定：只讓特定人有特定權限。

4、 逐次審核：操作皆須逐案審核。

5、 AI輔助審查：運用大型語言模型（Large Language Model, LLM）協助識別異常資料操作。

此同時，企業也應落實「Need to Know」與「Don't Need to Know」原則，即僅將資料開放給有工作必要者，嚴防資訊過度擴散。

技術層面則可透過加密（Encryption）強化防線，包括硬碟加密、檔案層級加密與資料庫加密，確保資料即便流出也無法被解讀。

AI與雲端時代的挑戰與對策

當企業資料愈加依賴SaaS(Software as a Service)「軟體即服務」與AI服務，資料安全面臨新一波挑戰。AI服務商往往會利用用戶輸入的資料進行模型訓練，企業資料有可能在不知情下外洩。因此建議企業採行：

* 在本地端部署開源模型，避免資料外傳；

* 若採用雲端模型，必須在「虛擬私有雲（Virtual Private Cloud, VPC）」內執行，並簽訂「資料不共享」合約；

* 禁止員工直接接觸公有SaaS AI服務，避免資料被服務商收集利用。

此外，雲端服務如M365(Microsoft 365)等，也應強化帳號管理與加密規範，將外部存取風險降至最低。

法律實務觀察：保密措施與「秘密性」的雙重門檻

自2013年《營業秘密法》修法後，法院實務更注重「秘密性」與「合理保密措施」是否成立。根據司法統計資料，約50%的營業秘密案件被駁回原因在於「未能證明秘密性」。

法院對企業提出的營業秘密標的有更高的具體化要求，不再接受泛泛而談的「報表」、「圖紙」、「模型」等稱呼，而要求明確指出「哪一個圖紙、哪一頁報表、哪個技術細節」屬於機密。

企業若未對機密內容加以識別、標註、分類，即使採取資安控管措施，也可能不被法院認定為「合理保密措施」。

資策會施品安副主任指出，一些企業誤以為只要有資安政策、雙因子驗證（Two-Factor Authentication, 2FA）、資料權限控管就等同營業秘密保護。然而法院實務認為，這些僅是一般資安措施，必須搭配「針對營業秘密特別設計的機制」才具法律效力，例如：

* 與員工及外包商簽署保密協議；

* 對營業秘密資料進行明確標示；

* 建立傳輸記錄與存取權限審查。

企業內部協作與持續改進的必要

首先，跨部門協作機制應制度化、常態化。研發單位擁有最核心的技術資訊，卻可能因缺乏保密意識而將檔案儲存在非加密設備中，一旦法務部門無法取得完整資料流通脈絡，便難以設計有效保密政策。因此，企業應定期召開資訊治理小組會議，讓資訊長（CIO）、法務主管、研發與業務部門代表共同審視目前的保密管理現況，調整流程與權限設計，確保制度與現場實況對齊。

其次，營業秘密保護不該是「一勞永逸」的作業，而須建構持續優化機制。唯有建立「定期盤點」、「滾動式檢討」、「實機演練」等制度，企業才能應變環境變化、技術進展與業務調整所帶來的新風險。

再次，企業文化與員工意識是防洩第一道防線，因此，定期舉辦保密訓練、案例分享與懲處公告，能使員工具備風險警覺，並理解自己在機密保護體系中的角色與責任。此外，可透過「We Care, We Report（內部舉報鼓勵機制）」機制鼓勵內部舉報異常行為，彌補技術偵測難以發現的行為漏洞。

最後，組織高層的支持與承諾是制度成功的關鍵。管理階層應明確宣示對營業秘密保護的承諾，將其納入KPI或績效評量體系，甚至在重大案件發生後，公開說明改善作為與問責機制，才能內化為企業核心價值。

總而言之，營業秘密保護的推動並非單點作戰，而是整體戰略的一環。唯有如此，才能在數位轉型過程中穩健邁進，避免因機密外洩而衝擊競爭力與市場信任。

參考資料：

1、「企業營業秘密保護實務座談會」(北部場)—營業秘密因應數位環境之保護風險及管理對策，114年6月11日，北科集思。

2、鋰電池大廠遭竊近20億元商業機密 桃檢起訴內鬼，113年7月15日，中央社，https://www.cna.com.tw/news/asoc/202407150149.aspx(最後瀏覽日：114/07/01)