護營業秘密不能只靠技術　簽NDA亦屬重要保密措施

企業間洽談合作，最常簽署的合約就是俗稱NDA（Non-Disclosure Agreement）的保密協定。即使雙方最後沒有談成生意或成功合作，通常還是會先簽署NDA。因為在雙方彼此接觸的過程中，極有可能會取得或利用對方的營業秘密，藉由事先簽署NDA，可約束雙方就取得之營業秘密應加以保密且僅能於特定目的範圍內利用，更要防止營業秘密被對方偷偷拿去申請專利，反而回過頭來倒打一耙。此外，企業對內部員工也應要求簽署NDA，特別是對於即將離職的員工，防免發生帶槍投靠競爭對手的情事。簽署NDA應注意以下幾個觀念以妥善保護權益。

保護營業秘密而簽署

依營業秘密法第2條規定，必須具備以下三個要件才能成為營業秘密保護的客體：（1）非一般涉及該類資訊之人所知者；（2）因其秘密性而具有實際或潛在之經濟價值者；（3）所有人已採取合理之保密措施者。所謂「保密措施」，乃秘密所有人按其人力、財力，依社會所可能之方法或技術，將不被公眾知悉之資訊，依業務需要分類、分級而由不同之授權職務等級者知悉，除有使人瞭解秘密所有人有將該資訊當成秘密加以保密之意思，客觀上亦有保密之積極作為 （參見最高法院107年度台上字第2950號刑事判決）。

保密措施有許多做法，司法實務上認可者如下：與可能接觸該營業秘密之員工簽署保密合約（即NDA）、對接觸該營業秘密者加以管制、於文件上標明「機密」或「限閱」等註記、對營業秘密之資料予以上鎖、設定密碼、做好保全措施（如限制訪客接近存放機密處所）等。若營業秘密之所有人客觀上已為一定之行為，使人了解其有將該資訊作為營業秘密保護之意，並將該資訊以不易被任意接觸之方式予以控管，即足當之（參見智慧財產法院107年度刑智上訴字第13號刑事判決）。故簽署NDA可被認為具有保密之積極作為，以資證明已採取合理之保密措施。

值得一提的是，營業秘密法並不禁止以還原工程（Reverse Engineering）逆向破解而取得營業秘密的情形。為強化營業秘密的保護，有些企業會於NDA特別約定禁止或限制對方採取某種行為，如不得對收受的資訊或產品進行還原工程。

不簽署可能蒙受損害

企業之間洽談合作若未事先簽署NDA，可能會蒙受損害卻未能獲得法律救濟。例如在某件機器合作開發案中，A公司指控B公司與其洽談合作開發並因而獲取營業秘密之後，雙方並未談成合作案，但B公司卻利用A公司的營業秘密而開發產品及申請專利致A公司受有損害等情。

就上開案件，法院認為營業秘密有無採取合理之保護措施係判斷是否為營業秘密之重要標準。然查兩造合作之初並未就技術資料部分簽署任何保密合約，且A公司在提供機器與資料予B公司前及當時，兩造亦無簽署任何保密契約。故本件不符營業秘密法所保護之營業秘密之要件（參見智慧財產法院106年度民營上字第3號民事判決）。由上開慘痛的教訓可知，企業洽談合作之初即應簽署NDA，把資訊揭露與保密的遊戲規則講清楚，以免後患無窮。

NDA非保命符

有些人常誤以為簽了NDA就像買了保單有了保命符，就不會有洩密事件發生；或是簽了NDA就可以把任何資訊都當成祕密，要求對方一定要保密。其實不然，NDA固然可提供營業祕密基本的保障，但並非萬靈丹。

實務上認為：企業於經營活動為保護自身之營業秘密，對於可能接觸營業秘密之人，經由保密契約（即NDA），課以接觸者保密義務，並無不可，且其約定應保守之秘密，基於契約自由原則，固非必須與營業秘密法所定義之「營業秘密」完全一致，惟仍須具備明確性及合理性，至少仍須具備非一般周知之特性，且已採行防止第三人獲悉之保密措施者，始屬相當，應不得擴張解為任何資訊，均在保密範圍（參見最高法院104年度台上字第1654號民事判決）。

由上可知，即使簽署NDA，並不代表任何資訊均在保密範圍，至少仍須具備祕密性及保密措施。此外，NDA畢竟只是一張紙上契約，尚需要投入相關人員、物力進行資訊流的有效監控管理，以強化保密措施及預防洩密事件，更能在洩密事件發生後及早偵測發現及停損避險，甚至在司法訴訟上舉證證明，以成功逮住洩密者及追究其法律責任。

屬於保密措施的SOP之一

許多企業已強化保密措施，包括對於資訊面（如分級保密、上鎖加密）、人事面（如簽署NDA、競業禁止約款）及制度面（如教育訓練、內控內稽）的管理。關於保密措施就做到甚麼程度？依前述最高法院判決要旨，就是主觀上有保密的意思，客觀上有保密的積極行為。

實務上法院所肯認的保密措施通常並非僅有一道措施（如文件標示機密或簽署NDA），而是具備整套保密系統，特別是研發技術含金量極高的高科技公司更應積極建構資安堡壘，例如：（1）員工必須刷卡，始可進入個人被授權之工作區域；（2）廠區內不得拍照、不得使用智慧型手機照相程式；（3）出入廠區由保全抽檢實體文件；（4）配發予員工之個人電腦，不得使用隨身碟或外接硬碟，且設有避免檔案被複製流出之機制；（5）員工必須透過個人專屬帳號與密碼，始得登入聲請人電腦進行操作，且以個人工作職掌限制存取權限；（6）特定極機密資料以密碼單獨鎖定；（7）公司網路無法連接雲端硬碟、外部電子郵件信箱；外寄電子郵件以關鍵字監控，並需經主管審核；（8）違反規定者公告，並按情節處罰（參見智慧財產及商業法院110年度刑秘聲字第28號刑事裁定）可資參考。此外，另可考慮採用PDCA的目標管理，有步驟地循環式進行計畫（Plan）、實施（Do）、檢視（Check）及修正（Action）以強化保密措施。

＜本文作者：本陳佑寰目前為執業律師。國立台灣大學法學碩士，美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。＞