新冠肺炎肆虐全球,為配合政府防疫政策,許多企業開始執行居家辦公(Work from home, WFH),以確保疫情期間公司營運不停擺;但遠端工作同時,卻也帶來營業祕密外洩的資安隱憂。因此,如何在員工居家辦公時強化營業秘密保護,成為企業必須正視的趨勢問題。
營業秘密與「合理保密措施」
根據《營業秘密法》第2條之規定,只要該資訊、技術或知識滿足以下三個要件,就可以稱為營業祕密:
- 秘密性:須為他人難以得知的資訊,非商業交易上之公開知識。
- 經濟價值:能為企業創造產值或收益的技術、資訊,企業對其有投入人力、資源成本以生產或蒐集,或對企業競爭力能造成影響的資訊等。
- 合理保密措施:所有人必須採取相當程度的措施,使人了解該些資訊是作為營業秘密而加以保護者。
一般而言,「電腦資料傳輸加密」、「限制內網連線」是企業經常採用,也受到實務認可的合理保密措施[1]。但執行居家辦公期間,員工必須將資料帶出,或使用遠端程式連線進入公司電腦,企業原有的資安控管規劃、保密措施可能力有未逮,強化技術控管與管理措施成為企業不得不思考並加速施行的重要問題。
強化保密措施 避免WFH成為資安缺口
根據司法實務見解,合理保密措施只需達到「任何人以正當方法無法輕易探知之程度」即可[2],並不需要做到滴水不漏,企業可依其人力、財力及資訊性質,以「有效」、「得維護其資訊之秘密性」的方式控管,達到保密的目的[3]。
為協助企業完善營業秘密保護制度,智慧財產局網站也提供〈營業秘密保護實務教戰手冊2.0〉,針對居家辦公最不易控管的電子文件資料,建議採取以下方式強化保護:
- 對不同機密等級的檔案設定存取及授權資格限制,並應限制得接觸該電腦之員工身分,降低重要機密外洩風險。
- 營業秘密應存放於隔離的電腦及伺服器。
- 有遠端存取必要時,對有權限人員及可存取機密資訊等級,應特別規範。
- 禁止員工使用未經許可的電腦程式或外部裝置。
- 資訊系統應設置防火牆及防毒軟體。
- 設定系統,記錄進出機密資訊電子檔的人員清單及存取資料。
除上述六項外,如企業本身具備足夠的技術及設備,也可增加其它措施,以更簡便有效率地管理資料存取及使用:
- 統一配發筆記型電腦,並設定僅接受配發之硬體設備進行遠端連線。
- 使用安全性較高、可鎖定、格式化的遠端連線軟體。
- 使用加密雲端空間儲存或分享資料。
- 確認員工遠端作業時是否使用安全、私人的wifi連線,並使用驗證軟體核實員工身分。
- 定期更新密碼,並盡可能提高密碼強度。
防疫戴口罩 也別忘了資安防護罩
2021年初至今,新冠疫情不僅嚴重影響民眾的日常生活,也衝擊了許多產業的營運情況。為了兼顧防疫及公司運作,遠端或居家辦公勢在必行,重新建構適當的保密措施、為營業秘密多上一層保險,才不會顧此失彼。防疫靠全民,維護資安則仰賴企業及員工的共同努力,希望所有人都能順利度過此波疫情,早日回歸平穩。