資安管理不等於營業秘密保護？資策會科法所表示應強化營業秘密鑑別與分級

資安管理不等於營業秘密保護？資策會科法所表示應強化營業秘密鑑別與分級

(中央社訊息服務20250506 15:16:35)隨著全球數位化浪潮加劇，企業所面臨的營業秘密外洩與網路竊盜風險亦日益嚴峻，雖有許多企業已導入 ISO 27001 等資安管理標準以提升資訊安全，然營業秘密保護思維與資安管理的目標仍存在本質上的差異。實務上亦有法院認定，僅建立資訊安全管控機制，難以證明企業對營業秘密有意識地採取保密措施。判決中曾指出，若權限設置僅為確保資料正確性、管控軟體僅用於監控網路使用，或門禁系統僅作為一般出入控管，將難以構成營業秘密法所要求的合理保密措施。

鑑此，資安大會邀請財團法人資訊工業策進會科技法律研究所鄒宗萱副所長，於2025年度的資安大會上發表主題演講「營業秘密與資安的距離─分類分級思維不同」，探討營業秘密管理與資安管理的差異，現場吸引許多科技業、軟體工具開發商與管理標準機構等專業人士參與。

現場有企業詢問：「若已有資安管理架構並進行資訊資產分級的企業，是否能直接將該分級結果作為營業秘密管理基礎？」

鄒副所長表示，資訊資產分級的主要目的在於保護資訊系統的機密性（Confidentiality）、完整性（Integrity）與可用性（Availability），其範圍包含公開與機密資訊；而營業秘密的分級則著重於保障企業競爭優勢，評估重點聚焦於資訊的秘密性、經濟價值與保密措施，公開資訊將不屬於營業秘密管理範疇。此外，若沿用資訊資產分級作為營業秘密分級與控管依據，應留意兩項風險：一是不同重要性的資訊若採取相同控管措施，將無法有效展現分類管理效果；二是僅以存取人數或範圍進行分級，可能忽略高重要性資訊也需多人存取的實務需求。若未能依據資訊的重要性提供適當防護，恐在法律上難以認定為已採取合理保密措施，進而使營業秘密面臨喪失保護的風險。

因此，鄒副所長建議，企業可從現有資訊資產盤點中篩選出非公開資訊，並依據其經濟價值、外洩影響及保密義務等指標，進行營業秘密重要性評估與分級調整，以此為基礎設計具差異化的控管策略，確保營業秘密保護機制既符合法規，也能兼顧實務操作需求。

整體而言，企業在建構營業秘密管理制度前，應先進行營業秘密的鑑別作業，並依據營業秘密法律要件、商業價值與潛在風險進行分類分級，據此設計相應的控管措施，才能建立具體而有效的營業秘密管理。

本文為資策會科法所創智中心完成之著作，各界基於報導、研究或其他正當目的，在合理範圍內，得轉載、引用本文，並請註明【作者：資策會科法所創智中心，來源出處：中央社訊息平台】。