雲端資安外洩是否構成侵害營業秘密罪？會議參與者責任分析

一、問題／事實整理（LawChain 原文）

某公司於設有監視器之空間召開會議，該監視器會定期將錄影內容備份至雲端儲存空間。嗣後，雲端影片因資安問題（如遭駭客入侵或系統漏洞）而外洩，致會議內容為外部第三人知悉。此一外洩並非會議參與者故意所為，參與者亦未主動將會議內容洩漏予他人。問題在於：在此情形下，會議參與者是否會觸犯營業秘密法所規定之侵害營業秘密罪？

資料來源：法律圈 LawChain

二、爭點

• 會議內容是否符合營業秘密法第2條所定之營業秘密要件（秘密性、經濟價值、合理保密措施）
• 雲端資安漏洞導致之外洩，是否構成營業秘密法第10條所定之「侵害行為」
• 會議參與者在未故意洩漏之情形下，是否具備營業秘密法第13條之1所要求之犯罪故意
• 公司對雲端錄影資料之資安防護是否符合「合理保密措施」之要求，及其對營業秘密認定之影響

三、相關法條

營業秘密法第2條：營業秘密之定義——須具備秘密性（非一般涉及該類資訊之人所知）、經濟價值（因秘密性而具有實際或潛在之經濟價值）、及合理保密措施（所有人已採取合理之保密措施）

營業秘密法第10條：侵害營業秘密之行為態樣，包括以不正當方法取得、使用或洩漏營業秘密，或知悉或因重大過失而不知係不正當取得之營業秘密而加以使用或洩漏

營業秘密法第13條之1：侵害營業秘密之刑事責任——意圖為自己或第三人不法之利益，或損害營業秘密所有人之利益，以竊取、侵占、詐術、脅迫、擅自重製或其他不正當方法而取得、使用或洩漏營業秘密者，處五年以下有期徒刑或拘役，得併科新臺幣一百萬元以上一千萬元以下罰金

刑法第317條：洩漏業務上知悉之工商秘密罪——依法令或契約有守因業務知悉或持有工商秘密之義務而無故洩漏之者，處一年以下有期徒刑、拘役或一千元以下罰金

個人資料保護法第27條：非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏

四、涵攝分析

營業秘密要件之檢視。依營業秘密法第2條，資訊須同時具備「秘密性」、「經濟價值」及「合理保密措施」三項要件，始受營業秘密之保護。本案中，會議內容是否屬於營業秘密，首須檢視公司是否已就該等資訊採取合理保密措施。公司雖設有監視器錄影，但其雲端備份系統存在資安漏洞而遭外洩，顯示公司在雲端資料之保護上可能未盡合理保密之義務。若法院認定公司未採取合理保密措施，則該會議內容恐不符合營業秘密之法定要件，自無侵害營業秘密可言。

侵害行為與主觀故意之分析。營業秘密法第10條列舉之侵害行為態樣，均以行為人積極之不正當取得、使用或洩漏為要件。營業秘密法第13條之1之刑事處罰，更要求行為人須具備「意圖為自己或第三人不法之利益，或損害營業秘密所有人之利益」之特別主觀要件，且須以竊取、詐術等不正當方法為之。本案之外洩係因雲端系統之資安漏洞所致，並非會議參與者以任何不正當方法取得或洩漏。參與者既無洩密之故意，亦無不法利益之意圖，自不該當第13條之1之犯罪構成要件。

刑法洩密罪之適用。刑法第317條之洩漏工商秘密罪，以「無故洩漏」為要件，亦即行為人須有積極洩漏之行為。本案中會議參與者並未主動洩漏任何資訊，外洩原因係公司自身之雲端資安防護缺失，故參與者亦不構成本罪。值得注意的是，公司本身反而可能因未善盡資安防護義務，而須依個人資料保護法第27條對受影響之當事人負損害賠償責任。

五、結論與建議

結論：會議參與者若未故意洩漏會議內容，且外洩原因係公司雲端系統之資安漏洞所致，則參與者原則上不構成營業秘密法第13條之1之侵害營業秘密罪，亦不構成刑法第317條之洩密罪。公司本身因未採取足夠之資安保護措施，其會議內容是否仍符合營業秘密之要件，反而存有疑慮。

1. 會議參與者應蒐集並保存相關證據，證明外洩係因雲端資安漏洞所致，而非自己故意或過失之行為，例如公司內部資安事件報告、雲端服務商之事故通知等。
2. 檢視與公司間是否簽有保密協議（NDA），確認自身義務範圍，釐清保密義務是否涵蓋因公司自身系統漏洞導致之資訊外洩。
3. 公司應全面檢討雲端儲存之資安防護措施，包括加密傳輸、存取權限控管、定期資安稽核等，以確保會議內容符合營業秘密法所要求之「合理保密措施」。
4. 公司應評估是否須依個人資料保護法向主管機關通報資安事件，並對受影響之當事人進行必要之通知與補救。
5. 建議公司制定明確之會議錄影與雲端備份管理規範，包括影片保存期限、存取權限、加密標準等，以降低日後類似事件之法律風險。