危機公關保密義務:處理過程中內部資訊外洩的法律責任 引言:當危機遇上洩密,企業面臨的是雙重風暴 危機公關的本質,是在組織遭遇突發負面事件時,透過精準的資訊管理與溝通策略,將損害控制在最小範圍。然而,許多企業在焦頭爛額處理危機的當下,往往忽略了一個同樣致命的風險——處理過程中的內部資訊外洩 。這種外洩不僅可能讓原本的危機雪上加霜,更可能觸發獨立的法律責任,使企業同時面對「原始危機」與「洩密危機」的雙重夾擊。
想像這樣的情境:某科技公司發生產品安全事故,公關團隊連夜擬定應對策略、內部調查報告與賠償方案。這些文件理應僅限於核心決策圈知悉,卻在會議結束後的隔天出現在網路論壇與媒體群組中。原始的产品事故或許可以透過召回與道歉止血,但內部應對策略的曝光,卻讓外界看見了企業的「算計」——包括如何最小化賠償、如何轉移焦點、甚至哪些資訊被刻意隱瞞。這時候,企業面對的不再是單一危機,而是信任的全面崩解 。
從法律角度來看,危機處理過程中的資訊外洩涉及多層面的法律責任。洩密者個人可能面臨民事賠償、刑事追訴與行政處罰;企業作為資訊持有者與雇主,也可能因為未盡善良管理人之注意義務而承擔連帶責任;若涉及上市櫃公司,更可能觸及證券交易法下的內線交易或重大訊息延遲揭露問題。對於聘請外部公關顧問、律師或危機管理公司的企業而言,外部協力單位的保密義務同樣是風險破口。
本文將從法律實務的視角,深入剖析危機公關過程中的保密義務體系、資訊外洩的各類情境、相關法律責任的構成要件與實務認定,並提供企業可操作的風險控管建議。無論你是企業法務、公關主管、人資管理者,或是外部顧問,理解這些法律界線,都是在危機中保護組織與個人不可或缺的防線。
第一章:危機公關保密義務的法律基礎與多元法源 危機公關過程中的保密義務並非來自單一法律條文,而是散見於勞動契約、營業秘密法、個人資料保護法、證券交易法、刑法以及各類民事契約之中。理解這些法源的交互作用,是建立完整保密防線的第一步。
1.1 勞動契約與工作規則中的默示保密義務 在台灣的勞動法體系下,勞工對雇主的忠實義務是勞動契約的核心內涵之一。雖然《勞動基準法》並未明文規定「保密義務」,但學說與實務普遍承認,勞工在勞動契約存續期間負有忠誠義務與附隨的保密義務 。這是一種基於契約誠信原則產生的默示義務,即使勞動契約中未載明保密條款,勞工亦不得無故洩漏因職務關係知悉的業務機密。
許多企業會在勞動契約或工作規則中明訂保密條款,將這項默示義務具體化。例如約定:「勞工在職期間及離職後,對於因職務關係知悉之機密資訊,非經雇主書面同意,不得洩漏予第三人。」這類條款的效力,在司法實務上通常獲得肯認,但法院在審查時會特別注意幾個要點:
機密資訊的界定是否明確 :若保密條款籠統規定「所有公司資訊均屬機密」,可能因過度模糊而被認定無效。實務上建議採取「定義加列舉」的方式,例如:「機密資訊包括但不限於:未公開之財務數據、客戶名單、產品研發計畫、行銷策略、危機應對方案、內部調查報告、高階主管之薪酬資訊等。」保密期間是否合理 :在職期間的保密義務幾乎無可爭議,但離職後的保密義務期間若過長(例如超過三年),法院可能會認定違反比例原則而酌減其效力。是否給予合理對價 :對於離職後仍持續負擔保密義務的勞工,若契約中同時約定競業禁止,則必須符合《勞基法》第9條之1的規定,給予合理之競業禁止補償。單純的保密義務雖無需額外補償,但若保密義務的範圍過廣、期間過長,法院仍可能從誠信原則與權利濫用的角度進行調整。 在危機公關的情境中,參與危機處理的員工——包括公關部門、法務部門、高階主管、甚至行政支援人員——因職務關係知悉的危機應對策略、內部調查進度、與利害關係人的協商內容,均屬於應受保護的機密資訊。員工在個人社交媒體上「暗示」公司即將有重大宣布、在朋友聚會中「分享」公司內部的混亂狀況、或將內部會議紀錄截圖外流,都可能構成對默示或明示保密義務的違反。
1.2 《營業秘密法》的保護範圍與適用 當內部資訊外洩涉及具有經濟價值的技術或經營資訊時,《營業秘密法》往往是最直接適用的法律依據。該法第2條定義營業秘密須符合三項要件:秘密性 (非一般涉及該類資訊之人所知者)、經濟價值性 (因其秘密性而具有實際或潛在之經濟價值)、以及合理保密措施 (所有人已採取合理之保密措施)。
在危機公關的脈絡下,哪些資訊可能構成營業秘密?實務上常見的包括:
表格
資訊類型 營業秘密屬性分析 實務案例參考 危機應對策略與劇本 屬於經營資訊,若提前曝光可能使競爭對手掌握企業弱點,或讓媒體/消費者產生預設立場,具有經濟價值 某食品廠污染事件中,內部「否認→淡化→道歉」的三階段策略外流,導致輿論提前反彈 內部調查報告 包含未公開的產品缺陷原因、責任歸屬分析、財務影響評估,屬於經營資訊 某建商工安事故中,內部工程師的結構分析報告外流,顯示公司早知風險 與監管機關的協商內容 涉及合規策略與罰款預估,提前曝光可能影響談判籌碼 某金融機構洗錢調查中,與金管會的和解條件被媒體揭露 利害關係人賠償方案 涉及財務規劃與法律責任評估,屬於經營資訊 某航空公司空難後,內部賠償金額計算表外流引發家屬不滿 高階主管的危機決策過程 可能涉及公司治理與經營判斷,影響投資人信心 某上市公司CEO的內部備忘錄外流,顯示其輕視產品安全
值得注意的是,「合理保密措施」是營業秘密保護的關鍵門檻。法院在審理營業秘密案件時,通常會審查企業是否確實建立了資訊分級、權限管控、保密協議、教育訓練等機制。如果企業在危機處理過程中,將機密文件隨意存放於共用雲端資料夾、未對參與會議的外部人員簽署保密協議、或允許員工以個人電子郵件傳送機密文件,法院可能認定企業未採取「合理保密措施」,進而否定該資訊的營業秘密屬性。
《營業秘密法》對於洩密行為設有嚴厲的刑事與民事責任。第13條之1規定,意圖營利而洩漏營業秘密者,可處五年以下有期徒刑或拘役,得併科新臺幣一百萬元以上一千萬元以下罰金;若因過失而洩漏,則可處一年以下有期徒刑或拘役,得併科新臺幣五十萬元以上五百萬元以下罰金。民事責任方面,第12條規定營業秘密所有人得請求損害賠償,並可請求排除或防止侵害。在實務上,營業秘密的損害計算往往相當困難,法院通常會參酌研發成本、市場價值、或侵權人所得利益來推定損害額。
1.3 《個人資料保護法》的交叉適用 危機公關過程中處理的資訊,往往不僅涉及企業的經營機密,也涉及大量個人資料。例如:產品安全事故中的受害者名單與傷勢紀錄、內部調查訪談的員工證詞、消費者投訴的個人聯絡資訊、甚至高階主管的健康狀況(若危機涉及高管失能)。這些資訊的外洩,同時觸動《個人資料保護法》(下稱個資法)的規範。
個資法第2條第1款定義「個人資料」為自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。在危機處理中,即使是「間接識別」的資料——例如將受害者姓名以代號呈現,但內容包含其居住縣市、職業與事故細節——若綜合這些資訊足以識別特定個人,仍屬個人資料。
個資法第27條要求公務與非公務機關對於個人資料之蒐集、處理及利用,應採取適當之安全措施。若因違反此項義務導致個人資料外洩,機關應負損害賠償責任。第29條進一步規定,非公務機關違反本法規定致個人資料遭損害、遺失或外洩者,應對當事人負損害賠償責任,且若不能證明其無過失,應負損害賠償責任——這是一種推定過失責任 ,對企業相當不利。
在危機公關的情境中,個資外洩的法律風險有幾個特殊面向:
第一,「告知義務」的時間壓力。 個資法第12條規定,當個人資料被竊取、洩漏、竄改或其他侵害者,應於查明後以「適當方式」通知當事人。在危機處理過程中,企業往往已經焦頭爛額,若此時又發生個資外洩,必須在「查明後」盡速通知當事人。這裡的「查明」並不要求完整調查,而是指企業已知悉外洩事實與大致範圍。拖延通知不僅可能違反個資法,更可能在輿論場上被解讀為「隱瞞」,對危機公關造成二次傷害。
第二,「目的外利用」的風險。 危機處理過程中蒐集的個人資料,其蒐集目的通常是為了調查事故原因與聯繫當事人。若企業將這些資料用於媒體應對(例如提供受害者背景給記者以「平衡報導」)、或將員工訪談內容用於內部懲戒,可能構成「目的外利用」,違反個資法第6條與第20條的規定。
第三,「敏感個資」的加重責任。 若危機涉及醫療事故、職業災害或性騷擾事件,相關的病歷、健康檢查報告、或性生活資訊屬於個資法第6條的「特種個人資料」,其蒐集、處理與利用受到更嚴格的限制。原則上,特種個資不得蒐集,除非符合法定例外事由(例如法律明文規定、當事人自行公開、或公務機關執行法定職務)。企業在危機處理中若未經當事人同意而蒐集或利用特種個資,法律風險顯著提高。
1.4 《證券交易法》下的重大訊息與內線交易規範 對於上市櫃公司而言,危機公關過程中的資訊外洩還可能觸及《證券交易法》的紅線。證交法第36條要求上市公司應於發生對股東權益或證券價格有重大影響之事件時,於事實發生之日起二日內公告並向金管會申報。這類事件包括重大災害、重大訴訟、重大契約之締結或解除、以及足以影響公司繼續營運之重大情事。
在危機處理過程中,公司往往需要在「掌握完整資訊」與「法定申報期限」之間做出艱難的平衡。若內部人員在資訊公開前,將危機相關的重大訊息洩漏給親友或特定投資人,可能構成《證券交易法》第157條之1的內線交易 。即使洩密者本身沒有利用該資訊進行交易,只要其「洩漏」行為使他人得以利用未公開資訊買賣股票,即可能構成犯罪。
實務上,內線交易的認定有幾個關鍵要素:
消息確定性 :消息必須達到「明確」的程度,而非僅是傳聞或臆測。在危機初期,若資訊尚不完整,是否構成「明確消息」常有爭議。但法院通常認為,即使細節尚未完全確認,若核心事實(例如「產品有嚴重缺陷需召回」或「公司面臨巨額賠償」)已經確定,即符合消息確定性要件。消息重大性 :消息必須足以影響股票價格或投資人決定。危機事件的重大性通常較易認定,但對於「處理過程中的資訊」——例如「公司正在與監管機關協商罰款金額」——是否構成重大消息,則需要個案判斷。洩漏行為與交易因果關係 :檢調機關在追查內線交易時,會比對洩密時間、受密者的交易時間與資訊公開時間。若時間軸過於接近,即使受密者主張「本來就要買賣」,也很難推翻因果關係的推定。 此外,證交法對於資訊揭露的「一致性」也有要求。上市公司不得有選擇性揭露(selective disclosure)——即對特定人士(如分析師、大股東、媒體)提供未公開的重大資訊,而對一般投資人隱瞞。這種行為在美國法下受到Regulation FD的嚴格規範,在台灣雖無直接對應條文,但金管會近年來透過行政規則與裁罰實踐,已逐步建立類似的要求。危機處理過程中,若公關團隊為了「經營媒體關係」而向特定記者提供獨家消息,卻未同步公開揭露,可能觸及選擇性揭露的紅線。
1.5 刑法上的洩密罪與其他相關罪名 除了上述特別法,一般刑法也對資訊外洩設有處罰規定。雖然刑法並未設有一般性的「洩密罪」,但針對特定身分與特定資訊,仍有相關規範:
刑法第132條(洩漏國防以外之秘密罪) :公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者,處三年以下有期徒刑。若危機處理涉及與政府機關的協調(例如衛福部、勞動部、金管會),而公務員將協商內容外洩,可能觸犯本條。刑法第316條(洩漏業務上知悉之秘密罪) :醫師、藥師、助產師、心理師、律師、辯護人、公證人、會計師或其業務上之佐理人,或曾充任此項職務之人,無故洩漏因業務知悉或持有之他人秘密者,處一年以下有期徒刑、拘役或五萬元以下罰金。在危機處理中,若企業聘請律師、會計師或醫師進行專業諮詢,這些專業人員對於因業務知悉的企業機密負有保密義務,違反者除民事責任外,亦可能構成刑事犯罪。刑法第317條(洩漏業務上知悉工商秘密罪) :依法令或契約有守因業務知悉或持有工商秘密之義務,而無故洩漏之者,處一年以下有期徒刑、拘役或一千元以下罰金。本條是營業秘密法的「刑法後盾」,適用於所有依法令或契約負有保密義務之人,包括員工、顧問、供應商等。刑法第318條之1(洩漏電腦資料罪) :無故洩漏因利用電腦或其他相關設備知悉或持有他人之秘密者,處二年以下有期徒刑、拘役或五千元以下罰金。在數位時代,多數機密資訊以電子形式儲存與傳輸,本條的適用機會日益增加。 1.6 民事契約上的保密義務 最後,危機公關過程中的保密義務,最直接且可客製化的法源來自於各類民事契約。這包括:
勞動契約中的保密條款 :如前所述,將默示義務具體化。保密協議(NDA, Non-Disclosure Agreement) :企業與員工、顧問、供應商、媒體、甚至潛在投資人簽署的專門保密契約。委任契約 :企業委任公關公司、律師、會計師處理危機時,委任契約中通常含有保密條款。股東協議或投資協議 :涉及危機處理的重大決策時,大股東或投資人可能因協議而負有保密義務。和解協議 :危機處理過程中與受害者或監管機關達成的和解,通常附有保密條款。 契約上的保密義務與法定保密義務的關係,值得特別說明。契約義務的優點在於可客製化 ——企業可以根據危機的性質,與不同對象約定不同的保密範圍、期間、與違約效果。例如,對於核心決策圈的員工,可以約定「終身保密」與「違約金新台幣五百萬元」;對於一次性參與會議的外部專家,則約定「會議結束後一年內保密」與「損害賠償」。但契約義務的缺點在於相對性 ——原則上僅能對契約當事人主張,若資訊被當事人洩漏給第三人,第三人本身並不受該契約拘束(除非構成共同侵權或第三人侵害債權)。
因此,完整的保密體系應該是「法定義務為底、契約義務為牆、技術管控為鎖」的三層結構。法定義務(如營業秘密法、個資法)提供無論有無契約都存在的基礎保護;契約義務則針對特定關係與特定資訊強化保護;技術管控(如資訊分級、權限管理、加密傳輸)則確保即使法律與契約都被違反,資訊外洩的難度與範圍也能被最小化。
第二章:危機處理過程中的資訊分級與知情圈管理 法律責任的成立與否,往往取決於企業是否「已採取合理保密措施」。這意味著,企業不能僅在事後主張「這是機密」,而必須在事前建立一套可驗證的資訊管理制度。在危機公關的脈絡下,這套制度需要特別強調「動態管理」——因為危機的資訊流動速度快、參與人員雜、時間壓力大,傳統的靜態保密規範往往不敷使用。
2.1 機密資訊的分級標準 資訊分級是保密管理的起點。企業應根據資訊的性質、外洩後的影響程度、以及法律保護的需求,建立至少三級的分類系統:
表格
機密等級 定義 危機公關中的典型內容 存取與傳輸規範 最高機密(Top Secret) 外洩將對企業造成無法彌補的重大損害,或觸犯法律紅線 危機根本原因的最終調查結論、與監管機關的和解條件、高階主管的個人法律責任評估、涉及內線交易風險的財務影響數字 紙本文件鎖於保險櫃,電子檔加密儲存於隔離伺服器,僅限三人以下知悉,禁止以電子郵件或即時通訊傳輸 機密(Confidential) 外洩將對企業造成實質損害,或影響危機處理成效 危機應對策略與劇本、媒體發言人培訓內容、與律師的訴訟策略討論、受害者賠償方案的初步框架、內部問責建議 存放於權限控管之共用資料夾,僅限危機處理小組成員存取,傳輸需使用加密通道,禁止下載至個人裝置 內部限閱(Internal Use) 外洩可能造成不便或輿論困擾,但損害可控 危機處理的進度更新、各部門的應對分工、對內員工公告的草稿、客戶通知信的範本 存放於公司內部網路,全體員工可閱讀但不可外傳,禁止截圖或轉發至私人帳號
這個分級系統的關鍵在於可操作性 。許多企業的資訊分級流於形式,原因在於分級標準過於抽象,員工在實務上難以判斷。建議在危機管理手冊中,針對常見的危機類型(產品安全事故、資料外洩、高階主管醜聞、財務危機、勞資爭議等),直接列出各類資訊的建議分級,並隨危機發展動態調整。例如,在產品安全事故的初期,「事故原因」可能僅屬於「推測」而列為機密;但當調查完成後,同樣的資訊若將對外公開,則分級可降為「內部限閱」。
2.2 知情圈的劃定與管理 「知情圈」(Need-to-Know Circle)的管理是危機保密的核心原則。並非所有參與危機處理的人都需要知道所有資訊,過度擴大知情圈是外洩的最大溫床。實務上,知情圈的劃定應遵循以下原則:
原則一:依職能而非職級劃分
傳統上,企業傾向於「職級越高、知道越多」的模式。但在危機處理中,這往往導致資訊過度集中於高階主管,而忽略了實際執行者的資訊需求。更合理的做法是依據「職能需求」劃分:
決策圈 (3-5人):執行長、法務長、公關長、財務長。知悉最高機密,負責重大決策。執行圈 (10-15人):危機處理小組成員,包括律師、公關顧問、產品/營運專家。知悉機密資訊,負責策略執行。支援圈 (20-30人):行政、客服、IT、人資等部門的指定聯絡人。僅知悉與其職能相關的內部限閱資訊。全員告知 :僅限於對全體員工公開的資訊(例如「公司已成立專案小組處理此事,請同仁勿對外發言」)。 原則二:分段揭露(Rolling Disclosure)
在危機處理的初期,許多資訊尚未確認,此時不宜一次性揭露所有已知資訊給執行圈。建議採取「分段揭露」模式:決策圈先掌握完整資訊,並決定「現階段需要執行圈知道什麼」。隨著危機發展與資訊確認,再逐步擴大揭露範圍。這種做法雖然增加了決策圈的溝通負擔,但能有效降低因資訊過早外流而導致的策略失效。
原則三:外部人員的「隔離知情」
外部顧問(律師、公關公司、會計師、鑑識專家)是危機處理不可或缺的協力者,但也是資訊外洩的高風險群體。對於外部人員,應採取「隔離知情」原則:
每位外部顧問僅知悉與其專業職能相關的資訊。例如,公關顧問不需要知道律師的訴訟策略細節;會計師不需要知道產品缺陷的技術原因。 外部顧問之間的資訊交流,應由企業的單一窗口(通常是法務長或專案經理)統籌,避免顧問之間直接交換機密資訊。 所有外部顧問必須在參與任何會議或接收任何文件前,簽署專門的保密協議。 2.3 文件與通訊的管控機制 危機處理過程中的文件與通訊管控,是「合理保密措施」中最容易被法院檢視的環節。以下是實務上的具體建議:
文件管控
文件編號與浮水印 :所有機密與最高機密文件應有唯一編號,並加上「機密」浮水印與閱讀人姓名。這不僅具有嚇阻作用,更能在文件外流時追溯來源。版本控制 :危機處理中的文件(如媒體聲明稿、內部調查報告)往往經歷多次修改。應建立版本控制系統,確保所有使用者閱讀的是最新版本,並保留修改紀錄。閱讀紀錄 :對於電子文件,系統應記錄存取時間、IP位址、與操作行為(下載、列印、轉寄)。對於紙本文件,應建立借閱登記制度。銷毀機制 :危機結束後,應依據資訊分級決定文件的保存或銷毀期限。最高機密文件在危機結束後應立即銷毀或封存;機密文件保存期限通常不超過五年。 通訊管控
專屬通訊頻道 :危機處理小組應使用專屬的加密通訊工具(如企業版加密即時通訊、具備端對端加密的協作平台),禁止使用個人LINE、WhatsApp、WeChat或Facebook Messenger討論機密事項。會議管理 :機密會議應在實體隔離空間進行,禁止攜帶個人電子裝置(手機、平板、智慧手錶)。若採視訊會議,應使用企業內部視訊系統,並禁止錄影錄音(除非經決策圈核准)。電子郵件規範 :機密資訊不得以一般電子郵件傳送。若必須使用電子郵件,應使用具備加密與閱讀期限功能的企業郵件系統,並禁止轉寄。口頭溝通紀錄 :危機處理中的口頭決策(如電話會議中的口頭指示)應於會後由指定人員整理成紀錄,經與會者確認後存入系統。這不僅是為了保密,也是為了釐清責任。 2.4 外部顧問的保密義務強化 外部顧問的保密管理有其特殊難度。相較於員工,外部顧問不受企業內部規章的直接拘束,其忠誠義務也較為薄弱。因此,必須透過契約與技術手段強化管控:
契約層面
專屬保密協議(NDA) :在委任契約之外,單獨簽署一份專門的NDA,明確定義機密資訊的範圍、保密期間(通常為委任關係終止後三至五年,最高機密可約定更長)、違約效果(包括損害賠償、懲罰性違約金、與律師費負擔)。下包商條款 :要求外部顧問對其下包商(如公關公司的媒體聯繫人、律師事務所的律師助理)的保密行為負連帶責任,並要求顧問確保其下包商也簽署NDA。利益衝突揭露 :要求外部顧問揭露其是否同時為競爭對手或潛在利害關係人提供服務。若存在利益衝突,應建立資訊防火牆(Chinese Wall)或解除委任。返還與銷毀義務 :約定委任結束後,顧問應返還或銷毀所有機密資訊及其複製品,並出具書面證明。 技術層面
專屬工作空間 :為外部顧問提供專屬的電腦與網路環境,禁止其使用個人裝置存取機密資訊。遠端存取控管 :若顧問需要遠端存取,應透過VPN與多因素認證,並限制存取時間與IP位址。監控與稽核 :在顧問使用企業系統的範圍內,保留存取紀錄,並定期稽核是否有異常行為(例如大量下載、非工作時間存取)。 第三章:內部資訊外洩的常見情境與行為模式分析 理解資訊外洩的實際發生情境,是預防與應對的前提。根據實務經驗與司法案例,危機處理過程中的資訊外洩可以分為以下幾種典型模式:
3.1 員工的有意洩漏:動機、對象與管道 員工有意洩漏機密資訊,通常不是「為了洩漏而洩漏」,而是背後有特定的動機與利益驅動。在危機情境中,這類動機往往被放大:
動機類型一:利益交換
這是最常見的商業洩密模式。員工將機密資訊出售或提供給競爭對手、媒體、做空機構、或訴訟對手,以換取金錢、職位、或其他利益。在危機情境中,這類資訊的「市場價值」往往更高——媒體願意為獨家的危機內幕支付高額報酬;做空機構願意為提前知悉的負面消息提供利益;競爭對手則可能利用這些資訊進行商業攻擊。
動機類型二:情緒報復
危機處理過程中,企業往往伴隨著組織內部的壓力、問責、甚至裁員。被懲處、被邊緣化、或自認為「代罪羔羊」的員工,可能出於報復心理而洩漏資訊。這類洩密者通常不追求金錢利益,而是追求「讓公司好看」或「讓某人難堪」。其洩漏的對象往往是能夠造成最大輿論傷害的媒體或社交網路。
動機類型三:理念衝突
部分員工可能基於個人價值觀(例如消費者保護、環保、社會正義)而認為「公眾有權知道真相」,進而將機密資訊提供給公益組織、吹哨者平台、或政府機關。這類洩密者往往自認為「正義的一方」,甚至願意承擔法律風險。在危機處理中,若內部調查顯示企業確有過失,這類「理念型洩密」的風險會顯著提高。
動機類型四:無心之過的「炫耀」
有些洩密行為並非出於惡意,而是源於人類的社交本能——在聚會中「透露一點內幕」以顯示自己的重要性、在社群媒體上「暗示」自己參與了大事、或向朋友「抱怨」公司的混亂。這類行為雖然主觀上未必有洩密意圖,但客觀上已構成資訊外洩,且在法律上仍可能構成過失責任。
常見洩漏管道
表格
管道 特徵 偵測難度 損害程度 個人社交媒體(Facebook、Instagram、Threads) 公開或半公開,傳播快速,難以刪除 低 高 即時通訊群組(LINE群組、WhatsApp群組) 封閉但可轉發,截圖容易外傳 中 高 網路論壇與匿名社群(Dcard、PTT、Reddit) 匿名性高,難以追溯來源 高 中至高 媒體線民(直接聯繫記者) 專業處理,可能經過查證,但一旦報導影響巨大 高 極高 競爭對手或供應商 商業利用,可能用於搶客或議價 高 高 離職時帶走資料 批次複製,資訊量大 中 極高 雲端硬碟與個人郵件 規避公司監控,便於日後利用 中 高
3.2 員工的無意洩漏:疏忽、誤操作與系統漏洞 相較於有意洩漏,無意洩漏的發生頻率更高,但單次損害通常較小。然而,在危機情境中,即使是小規模的無意洩漏,也可能被輿論放大,成為「企業連基本保密都做不好」的證據。
情境一:誤寄電子郵件
將機密文件寄給錯誤的收件人、在回覆全體郵件時夾帶機密附件、或將機密資訊貼在錯誤的郵件內文中。這類錯誤在壓力大的危機處理過程中特別容易發生。
情境二:設備遺失或遭竊
員工將存有機密資訊的筆電、手機、或隨身碟遺失在公共場所,或遭竊。若設備未加密,機密資訊即形同裸奔。
情境三:雲端設定錯誤
將機密文件上傳至雲端硬碟(如Google Drive、Dropbox)後,誤設為公開分享;或在企業內部協作平台(如Notion、Confluence)中,誤將機密頁面的權限開放給全體員工。
情境四:螢幕被窺或文件被拍
在咖啡廳、捷運、或機場處理機密文件時,螢幕被旁人窺視;或在會議中,與會者以手機拍攝簡報畫面或紙本文件。
情境五:語音助理與AI工具的誤錄
在討論機密事項時,附近的智慧音箱(如Alexa、Google Home)或手機語音助理被誤觸發錄音,並將內容上傳至雲端;或員工為了「提高效率」而將機密文件餵給公開的AI工具(如ChatGPT)進行摘要或翻譯,導致資訊流入第三方伺服器。
3.3 外部顧問與協力廠商的洩漏風險 外部單位的洩密風險有其獨特性。相較於內部員工,外部顧問的流動性更高、利益關聯更複雜、且企業的管控力更弱。
公關公司的雙面風險
公關公司是危機處理的核心協力者,但也是最難完全控管的資訊節點。公關公司為了「經營媒體關係」,往往需要與記者保持密切聯繫,而這種聯繫本身就是洩密的溫床。實務上常見的風險包括:
「試水溫」式洩漏 :公關人員為了測試媒體對特定說法的反應,在正式聲明發布前,向「關係良好的記者」透露部分資訊。這種做法在公關業界並不罕見,但一旦失控,即構成正式洩密。「爭取版面」式洩漏 :公關人員為了讓客戶的危機回應獲得更多報導,提前向媒體提供「獨家內幕」,作為交換條件。內部管理不善 :公關公司的年輕員工或實習生,在社群媒體上「分享」參與大客戶危機處理的經驗,無意中揭露了機密細節。 律師與會計師的專業倫理
律師與會計師受有專業倫理規範的拘束,其洩密風險理論上較低。但在實務上,仍有以下風險情境:
律師助理與事務所行政人員 :律師本人的保密意識通常較高,但其團隊成員(尤其是資歷較淺的律師助理或實習律師)可能缺乏同等警覺。專家證人與鑑定人 :在需要技術鑑定或專家意見的危機中,專家證人雖然受有保密義務,但其專業圈子較小,資訊容易在學術或業界交流中「不經意」流出。跨國事務所的資訊流動 :大型國際律師事務所或會計師事務所,其全球辦公室之間的資訊共享機制,可能導致機密資訊流入與本案無關的辦公室或人員手中。 IT與資安廠商的特權風險
在涉及資料外洩或駭客攻擊的危機中,企業會聘請資安鑑識公司進行調查。這類公司通常需要最高程度的系統存取權限(包括伺服器、資料庫、備份系統),其接觸的機密資訊範圍甚至比企業內部人員更廣。若資安廠商本身的資安管理有漏洞,或其員工被駭客收買,後果不堪設想。
3.4 駭客攻擊與資安事件 在數位時代,資訊外洩不一定來自「人」的故意或過失,也可能來自「系統」的被攻破。危機處理過程中的資訊特別容易成為駭客的目標,原因在於:
價值高 :危機中的內部文件(如調查報告、賠償方案)在暗網或勒索市場上具有極高價值。防禦弱 :危機發生時,企業的IT資源往往集中於應對原始危機(例如網站流量激增、客服系統癱瘓),資安防禦可能出現漏洞。人員警覺低 :參與危機處理的員工處於高壓狀態,更容易點擊釣魚郵件或誤裝惡意軟體。 常見的攻擊手法
釣魚攻擊(Phishing) :駭客偽裝成高階主管或外部顧問,發送緊急郵件要求員工提供機密文件或點擊惡意連結。在危機情境中,「緊急」與「越權」的氛圍使得這類攻擊更容易成功。勒索軟體(Ransomware) :駭客加密企業的危機處理文件,要求支付贖金。若企業拒付,駭客可能將文件公開於暗網。供應鏈攻擊 :透過入侵企業的協力廠商(如公關公司的系統、律師事務所的郵件伺服器)來取得機密資訊。社交工程 :駭客透過LinkedIn、Facebook等社群平台研究目標員工的人際關係,然後偽裝成其朋友或同事,騙取帳號密碼或機密資訊。 3.5 社交工程與人為弱點的利用 社交工程(Social Engineering)是資安領域的重要概念,指的是利用人性的弱點(如信任、恐懼、貪婪、助人本能)來騙取資訊或存取權限。在危機處理過程中,參與人員的心理狀態特別容易受到社交工程的影響:
恐懼與急迫感 :「這是執行長直接交辦的,請立刻將調查報告寄到這個信箱。」權威服從 :「我是董事長的特別助理,請將會議紀錄傳給我。」同理心與助人本能 :「我是記者,正在趕稿,請問你們的危機處理進度如何?這對公眾很重要。」好奇心 :「點擊這個連結,查看公司危機的最新內部消息。」 社交工程的防禦,不能完全依賴技術手段,而必須結合「人員訓練」與「流程設計」。例如,建立「異常請求確認機制」——任何超出常規的資訊請求(如高階主管突然要求將機密文件寄到私人信箱),必須透過第二管道(如電話)確認。
第四章:資訊外洩的法律責任體系與實務認定 當資訊外洩發生後,法律責任的追究涉及多個層面:洩密者個人的責任、企業的責任、以及外部顧問的責任。這些責任可能同時並存,且彼此之間有複雜的連帶關係。
4.1 洩密者的民事責任 洩密者的民事責任主要來自於契約責任與侵權責任的競合。
契約責任
若洩密者與企業之間存在勞動契約、保密協議、或委任契約,其洩密行為首先構成契約違反。企業可以依據契約條款請求:
損害賠償 :包括實際損害(如營業額下降、客戶流失、股價下跌、訴訟費用增加)與所失利益(如原本可以達成的交易因洩密而破局)。懲罰性違約金 :若契約中約定了懲罰性違約金,企業可以直接請求該金額,無需舉證實際損害。但法院有權依據《民法》第252條酌減過高的違約金。返還或銷毀 :請求洩密者返還或銷毀所有機密資訊及其複製品。 在實務上,契約責任的舉證相對容易——企業只需證明契約存在、洩密行為、以及違約事實。但損害額的計算往往困難,法院通常會允許企業以「相當於授權金額」或「侵權人所得利益」來推定損害。
侵權責任
即使不存在契約關係,洩密行為也可能構成《民法》第184條的侵權行為,包括:
故意不法侵害 :洩密者故意洩漏營業秘密或個人資料,造成企業或第三人的損害。權利濫用 :洩密者雖然基於某種權利(例如勞工的言論自由)而揭露資訊,但其方式或程度顯然逾越正當界限。 侵權責任的優點在於,企業可以同時對洩密者與因洩密而獲利的第三人(如媒體、競爭對手)主張連帶賠償。但侵權責任的舉證較為困難,企業必須證明洩密者的過錯、違法性、因果關係、與實際損害。
實務上的損害計算難題
資訊外洩的損害計算是民事責任中最棘手的問題。與實體財產的損害不同,資訊的價值往往難以量化。法院在實務上通常採取以下幾種計算方式:
表格
計算方式 適用情境 優點 缺點 實際損害法 有直接可證明的財務損失 精確反映損害 舉證困難,許多損害難以量化 侵權人所得利益 洩密者因洩密而獲利 舉證責任較輕,避免企業舉證困難 若洩密者未直接獲利(如理念型洩密),則無法適用 相當於授權金額 營業秘密被利用 參考市場上類似資訊的授權價格 需要類似資訊的市場交易數據 合理報酬法 勞工違反保密義務 參考勞工因知悉機密而獲得的額外利益 金額通常較低 法定賠償 個資法、營業秘密法有特別規定 明確的法律依據 金額可能不足以彌補實際損害
在危機公關的情境中,損害計算更為複雜。例如,危機應對策略的外流導致輿論反彈,這種「聲譽損害」如何量化?法院通常會參考企業為危機公關額外支出的費用、股價下跌的市值損失、或客戶流失的營業額減少來推定。但股價下跌可能受多種因素影響,因果關係的舉證仍然困難。
4.2 洩密者的刑事責任 刑事責任的追訴,對於洩密者具有最強的嚇阻效果。在危機公關資訊外洩的情境中,可能觸及的刑事罪名包括:
營業秘密法的刑事責任
《營業秘密法》第13條之1是處罰最重的條文:
意圖營利 :處五年以下有期徒刑或拘役,得併科新臺幣一百萬元以上一千萬元以下罰金。意圖損害 :處三年以下有期徒刑或拘役,得併科新臺幣一百萬元以下罰金。過失洩漏 :處一年以下有期徒刑或拘役,得併科新臺幣五十萬元以上五百萬元以下罰金。 實務上,檢調機關在追訴營業秘密罪時,最困難的環節是證明「營業秘密」的三項要件(秘密性、經濟價值性、合理保密措施)。如前所述,若企業的保密措施有明顯漏洞,檢方可能認定該資訊不構成營業秘密,進而無法起訴。這再次凸顯了企業建立完善保密制度的重要性——不僅是為了民事求償,更是為了刑事追訴的門檻。
個資法的刑事責任
《個人資料保護法》第41條規定,意圖為自己或第三人不法之利益或損害他人之利益,而違反個資法關於個人資料蒐集、處理、利用之規定,致生損害於他人者,處五年以下有期徒刑或拘役,得併科新臺幣一百萬元以下罰金。第42條則處罰過失行為,處二年以下有期徒刑或拘役,得併科新臺幣二十萬元以下罰金。
在危機處理中,若洩密的資訊包含受害者的個人資料(如姓名、病歷、聯絡方式),洩密者可能同時觸犯營業秘密法與個資法,構成想像競合 ,從一重處斷。
證券交易法的刑事責任
若洩密涉及上市櫃公司的重大未公開資訊,可能觸及《證券交易法》第171條的內線交易罪,處三年以上十年以下有期徒刑,得併科新臺幣一千萬元以上二億元以下罰金。這是上述所有罪名中刑度最重的,也反映了立法者對於資本市場資訊公平性的高度重視。
內線交易罪的成立,需要證明洩密者為「內部人」(包括董事、監察人、經理人、持股超過10%的股東、以及基於職業或控制關係知悉消息之人),且其洩漏行為使他人得以利用未公開消息買賣股票。即使洩密者本身沒有交易,只要其「洩漏」行為與他人的「交易」行為之間有因果關係,即可能構成犯罪。
刑法的一般規定
如前所述,《刑法》第316條至第318條之1也對特定身分的洩密行為設有處罰。雖然這些條文的刑度較輕(通常為一年以下有期徒刑),但其適用門檻較低,且可以與特別法的罪名併合處罰(若行為不同)或競合(若行為相同)。
4.3 企業的連帶責任與雇主責任 資訊外洩的法律責任並非僅由洩密者承擔。企業作為資訊的持有者與雇主,也可能面臨以下責任:
民事上的雇主連帶責任
《民法》第188條規定,受雇人因執行職務,不法侵害他人之權利者,由雇用人與行為人連帶負損害賠償責任。但雇用人選任受雇人及監督其職務之執行已盡相當之注意,或縱加以相當之注意而仍不免發生損害者,雇用人不負賠償責任。
在資訊外洩的情境中,「他人」可能包括:
資訊中的個人資料當事人(受害者、員工、客戶) 因資訊外洩而受損的股東(例如股價下跌) 競爭對手(若營業秘密被洩漏給競爭對手) 企業若要主張免責,必須證明其「已盡相當之注意」。這包括:
是否建立了合理的資訊安全制度? 是否對員工進行了保密教育訓練? 是否對機密資訊採取了技術防護措施? 在危機處理過程中,是否對參與人員進行了適當的保密提醒? 若企業無法舉證上述事項,法院很可能認定企業未盡監督之責,而判令其與洩密員工負連帶賠償責任。
個資法上的推定過失責任
《個人資料保護法》第29條對企業更為不利。該條規定,非公務機關違反本法規定,致個人資料遭損害、遺失或外洩者,應對當事人負損害賠償責任;若不能證明其無過失,應負損害賠償責任 。這是一種推定過失責任,舉證責任在企業一方。企業必須證明自己「無過失」,否則即應賠償。
在實務上,企業要證明「無過失」極為困難。除非企業能夠提出完整的資訊安全政策、定期稽核紀錄、員工訓練證明、以及事件發生時的即時應對紀錄,否則法院通常會認定企業至少有「管理上的過失」。
證券交易法上的資訊揭露責任
對於上市櫃公司,若因資訊外洩導致重大未公開資訊提前流入市場,公司可能面臨金管會的行政處分,包括:
未依規定即時公開重大訊息(證交法第36條) 資訊揭露不一致或選擇性揭露(證交法相關行政規則) 內部控制制度缺失(證交法第14條之1) 這些行政處分雖然不直接涉及民事賠償,但可能導致罰鍰、糾正措施、甚至影響公司的資本市場聲譽。
營業秘密法上的舉證困境
企業在依據《營業秘密法》向洩密者求償時,自己也必須面對「合理保密措施」的舉證要求。若企業的保密制度有明顯漏洞,不僅可能導致刑事追訴失敗,也可能使民事求償遭到法院打折。例如,某公司在起訴離職員工洩漏客戶名單時,因無法證明該名單存放於權限控管系統(而是放在全員可編輯的共用試算表),法院最終認定該名單不構成營業秘密,駁回原告之訴。
4.4 外部顧問的責任與企業的求償途徑 外部顧問的洩密責任,原則上依據其與企業簽署的委任契約與保密協議來追究。但實務上存在幾個難題:
難題一:責任主體的認定
若洩密者是公關公司的「專案經理」,企業可以直接對公關公司主張契約責任。但若洩密者是該專案經理私下轉包給的「自由工作者」,而企業並未與該自由工作者簽署任何契約,則企業可能只能對公關公司主張「下包商管理不善」的契約責任,而無法直接對自由工作者主張契約責任(只能主張侵權責任)。
難題二:損害額的舉證
外部顧問洩密造成的損害,往往難以與原始危機的損害分離。例如,公關公司提前向媒體透露了企業的道歉聲明草稿,導致正式聲明發布時失去了新鮮感與衝擊力。這種「策略失效」的損害如何量化?法院可能會參考企業額外支出的公關費用、或聲譽損害的評估報告,但金額通常難以精確。
難題三:專業責任保險的覆蓋範圍
許多律師事務所、會計師事務所、與公關公司投保了「專業責任保險」(Errors & Omissions Insurance)。但這類保險通常對「故意行為」設有除外條款,且對於「營業秘密洩漏」的理賠上限可能不足以覆蓋大型危機的損害。企業在聘請外部顧問時,應要求對方提供保險證明,並確認保險範圍是否涵蓋保密義務違反。
4.5 媒體與第三人的責任邊界 當機密資訊洩漏至媒體或第三人手中時,這些接收者的法律責任為何?這是一個複雜的憲法與法律問題。
媒體的報導自由與資訊來源保護
在民主社會中,媒體的報導自由受憲法保障。即使媒體報導的內容來自於洩密的機密資訊,媒體本身通常不因此對企業負有法律責任——除非媒體的報導方式構成誹謗、或媒體本身參與了非法取得資訊的行為(例如教唆駭客入侵)。
然而,媒體雖然可以「報導」洩密的資訊,但未必可以「公開」原始的機密文件。例如,某記者取得了一份企業的內部調查報告,其報導中引用該報告的內容可能受言論自由保護,但若將整份報告上傳至網路供公眾下載,則可能構成對營業秘密的侵害。
第三人的「明知」與「利用」
若第三人明知資訊為機密,仍予以利用或進一步洩漏,可能構成《營業秘密法》第13條之2的「侵害營業秘密之輔助行為」,或《民法》上的共同侵權。例如,競爭對手明知某離職員工提供的資訊為前雇主的營業秘密,仍予以使用或要求該員工繼續提供,即可能與該員工負連帶賠償責任。
在實務上,「明知」的舉證較為困難。企業通常需要證明第三人曾經接觸過保密協議、或曾被告知資訊的機密性質、或從資訊的內容與取得方式即可判斷其為機密。若第三人主張「善意取得」(例如從公開的網路論壇取得,不知其為機密),法院可能免除其責任。
第五章:保密協議與內部規範的實務設計 預防勝於治療。建立完善的保密協議與內部規範,是降低資訊外洩風險的最有效手段。本章將從實務角度,說明各類契約與規範的設計要點。
5.1 員工保密條款的設計要點 勞動契約中的保密條款,是企業保密防線的第一道關卡。一個有效的保密條款應該包含以下要素:
要素一:機密資訊的明確定義
避免使用「所有公司資訊均屬機密」這種過度籠統的表述。建議採取「定義加列舉加概括」的三層結構:
「機密資訊」指本公司採取保密措施、未對外公開、且因其秘密性而具有實際或潛在經濟價值之資訊,包括但不限於: (a) 技術資訊:產品設計、製程配方、研發數據、原始碼、技術圖紙; (b) 經營資訊:客戶名單、供應商資料、定價策略、行銷計畫、財務預測、投資計畫; (c) 危機資訊:內部調查報告、危機應對策略、與監管機關或利害關係人之協商內容、法律責任評估; (d) 人事資訊:員工薪資、績效評估、人事異動計畫; (e) 其他經本公司標示為「機密」或「限閱」之資訊。
要素二:保密義務的具體內容
明確約定員工在職期間與離職後的具體行為規範:
勞工承諾: (a) 於在職期間及離職後三年內,非經本公司書面同意,不得以任何方式(包括口頭、書面、電子、影像)向任何第三人揭露機密資訊; (b) 僅於職務必要範圍內使用機密資訊,不得為個人目的複製、儲存、或傳輸機密資訊; (c) 於離職時,返還或銷毀所有持有之機密資訊及其複製品,並簽署書面確認; (d) 發現或懷疑機密資訊外洩時,立即通知本公司。
要素三:違約效果
違約效果的設計需要兼顧嚇阻性與可執行性:
勞工違反本條約定者,應給付本公司懲罰性違約金新臺幣伍拾萬元(或依職級調整為壹佰萬元、貳佰萬元)。本公司並得請求勞工返還或銷毀機密資訊、停止侵害、及賠償一切損害(包括但不限於訴訟費用、律師費、調查費用、與商譽損失)。
需要注意的是,懲罰性違約金的金額若過高,法院可能依《民法》第252條酌減。實務上,法院通常會考量勞工的職級、薪資水準、機密資訊的價值、以及違約情節來決定是否酌減。建議企業在設計違約金時,參考勞工的年薪倍數(例如年薪的0.5至2倍),以提高法院認可的機會。
要素四:與競業禁止條款的區隔
保密條款與競業禁止條款是兩種不同的法律工具,不應混為一談。競業禁止限制的是勞工「從事競爭行為」的自由,而保密條款限制的是「揭露機密資訊」的行為。兩者的適用條件與法律效果不同:
競業禁止需符合《勞基法》第9條之1的嚴格要件(限於特定人員、合理期間、合理地域、合理補償)。 保密條款的適用範圍更廣,不限於離職後,且原則上無需額外補償(但過度廣泛的保密條款仍可能被法院調整)。 在危機公關的情境中,企業通常需要的是「保密條款」而非「競業禁止」——因為危機資訊的洩密風險來自於「資訊的揭露」,而非勞工「加入競爭對手」。
5.2 外部顧問保密協議(NDA)的設計 外部顧問的NDA應該比員工保密條款更為嚴格,原因在於外部顧問的管控難度更高、利益衝突更複雜。
特殊條款一:資訊的歸屬與使用限制
顧問確認,所有機密資訊均為本公司之專有財產。顧問僅得於履行本委任事項之必要範圍內使用機密資訊,不得將機密資訊用於任何其他目的,包括顧問自身或第三人之商業目的。
特殊條款二:人員管控
顧問僅得將機密資訊揭露予其「需要知悉」之直接下屬,且應確保該等人員事先簽署不低於本協議保護程度之保密承諾。顧問應於本公司要求時,提供該等人員之名單與簽署證明。
特殊條款三:媒體接觸的禁止
未經本公司事前書面同意,顧問不得就本委任事項或相關機密資訊,與任何媒體、分析師、或產業觀察家進行任何性質之接觸或溝通。顧問確認,任何違反本條之行為均構成重大違約。
這條「媒體接觸禁止條款」對於公關公司尤其重要。如前所述,公關公司與媒體的密切關係是洩密的高風險來源,明確的契約禁止可以作為事後追責的依據。
特殊條款四:保險與賠償能力
顧問應維持專業責任保險,保險金額不得低於新臺幣伍佰萬元(或依專案規模調整),並應於本公司要求時提供保險證明。顧問確認其具有足夠之財務能力履行本協議下之損害賠償義務。
特殊條款五:爭議解決與管轄
因本協議所生之爭議,雙方同意以中華民國法律為準據法,並以台灣台北地方法院為第一審管轄法院。顧問同意,本公司就機密資訊外洩所為之保全處分聲請(包括假扣押、假處分、與定暫時狀態處分),不以提供擔保為必要條件。
5.3 工作規則與資訊安全政策的整合 保密條款與NDA是「個人層面」的規範,而工作規則與資訊安全政策則是「組織層面」的規範。兩者必須整合,才能形成完整的防線。
資訊分級政策
企業應制定書面的「資訊分級與標示政策」,明確規定各級資訊的標示方式、存取權限、傳輸規範、與保存期限。例如:
表格
等級 標示方式 電子郵件傳輸 雲端儲存 紙本文件 會議討論 最高機密 紅色「TOP SECRET」浮水印 禁止 禁止,僅限隔離伺服器 編號管理,鎖於保險櫃 實體隔離會議室,禁止攜帶電子裝置 機密 橘色「CONFIDENTIAL」浮水印 僅限加密企業郵件 權限控管之企業雲端 標示機密,限制影印 指定會議室,登記與會者 內部限閱 黃色「INTERNAL USE」浮水印 允許,但禁止轉寄外部 企業內部網路 標示內部限閱 一般會議室,提醒保密
資訊存取政策
明確規定各類資訊的存取權限申請、審核、與撤銷流程。特別是在危機處理過程中,臨時擴大存取權限的決策與紀錄必須完整保留,以備事後稽核。
設備與網路使用政策
禁止以個人電子郵件傳送公司機密資訊。 禁止以個人雲端硬碟(如Google Drive個人版、Dropbox個人版)儲存公司機密資訊。 禁止在公共場所(咖啡廳、機場)處理最高機密與機密資訊。 禁止以個人手機拍攝或截圖公司機密文件。 禁止將公司機密資訊輸入公開的AI工具(如ChatGPT、Google Bard)進行處理。 離職管理政策
離職員工的最後工作日,應立即撤銷其所有系統存取權限。 離職員工應簽署「機密資訊返還與銷毀確認書」。 對於接觸過最高機密資訊的離職員工,應進行離職面談,提醒其持續的保密義務與法律責任。 在合理懷疑下,可對離職員工近期的系統存取紀錄進行稽核,確認是否有異常的大量下載或複製行為。 5.4 離職後競業禁止與保密的平衡 《勞動基準法》第9條之1對競業禁止設有嚴格限制,但並未限制保密義務。企業在設計離職後的規範時,應注意以下區分:
競業禁止 :限制勞工離職後從事競爭業務,需符合法定要件(特定人員、合理期間、合理地域、合理補償、未違反公共利益)。保密義務 :限制勞工離職後揭露機密資訊,原則上無需額外補償,但範圍與期間需合理。 實務上常見的錯誤,是將「保密義務」與「競業禁止」混為一談,或在競業禁止條款中夾帶過度廣泛的保密義務,導致整體條款被法院認定無效。建議的做法是:
在勞動契約中,分別設立「保密條款」與「競業禁止條款」兩個獨立條款。 保密條款的期間可以較長(例如三年至五年,甚至對於最高機密可約定「終身保密」),但需明確界定機密資訊的範圍。 競業禁止條款的期間應嚴格遵守《勞基法》的上限(最長二年),並給予不低於離職前平均工資50%的補償。 在危機情境中,若擔心離職員工洩密,應優先考慮「強化保密條款的執行」(例如發送律師函提醒義務、監控其社群媒體發言),而非擴大競業禁止的範圍。 第六章:資訊外洩發生後的應對、調查與法律救濟 即使建立了完善的保密制度,資訊外洩仍可能發生。此時,企業的應對速度與策略,將決定損害的程度與法律責任的範圍。
6.1 第一時間的應對步驟 資訊外洩發現後的「黃金24小時」是控制損害的關鍵。建議企業建立標準化的應對流程(Playbook),並在危機處理手冊中明確規定:
步驟一:確認外洩事實與範圍
誰發現了外洩?何時發現?透過什麼管道? 外洩的資訊是什麼?屬於哪個機密等級? 資訊外洩的管道為何?(電子郵件、社群媒體、媒體報導、駭客攻擊?) 目前已知的接收者有哪些?是否已進一步擴散? 這個階段需要「危機處理小組」中的指定成員(通常是法務長與資安長)進行快速評估。切記:在事實尚未確認前,不要倉促對外發言,因為錯誤的初步聲明可能成為日後訴訟中的不利證據。
步驟二:啟動內部調查
封存相關的系統紀錄(電子郵件伺服器紀錄、雲端存取紀錄、門禁紀錄、通訊紀錄)。 識別可能的洩密者範圍(誰有權限接觸該資訊?誰在近期存取過該資訊?)。 決定是否聘請外部鑑識專家或律師進行獨立調查。 此時必須注意「調查過程的保密」——調查本身也可能產生新的機密資訊(例如「我們懷疑某員工洩密」),若調查過程外洩,將造成第三次傷害。
步驟三:法律評估與保全證據
評估外洩資訊是否構成營業秘密、個人資料、或重大未公開資訊。 評估是否觸及個資法的「告知義務」——若涉及個資外洩,應於查明後盡速通知當事人。 評估是否需要向法院聲請保全處分(如假處分要求媒體下架報導、或假扣押洩密者的財產)。 保存所有證據,包括截圖、網頁備份、系統紀錄、與證人陳述。 步驟四:對外溝通決策
若外洩資訊已出現在公開媒體,企業需要決定是否回應、如何回應。 回應策略應與原始危機的公關策略整合,避免「為了否認洩密而揭露更多機密」。 若外洩資訊涉及個資,應準備當事人通知稿,並評估是否需向主管機關(如金管會、衛福部、或個資保護主管機關)通報。 步驟五:損害控制
聯繫接收者(若已知),要求其刪除或返還資訊。 聯繫平台業者(如Facebook、Google、PTT),要求移除違法內容(依據《數位中介服務法》或平台的使用條款)。 評估是否需要發布澄清聲明或更正資訊。 6.2 數位鑑識與證據保全 在資訊外洩的調查中,數位鑑識(Digital Forensics)是確認洩密者、洩密管道、與洩密時間的關鍵手段。企業應在發現外洩後立即採取以下鑑識措施:
系統紀錄的保全
電子郵件伺服器的寄件/收件/轉寄紀錄。 檔案伺服器的存取紀錄(誰、何時、從哪個IP位址、下載/開啟/列印了哪些檔案)。 雲端服務(如Google Workspace、Microsoft 365、Dropbox Business)的管理員紀錄。 即時通訊平台(如Slack、Teams、LINE WORKS)的訊息紀錄(若企業版允許備份)。 網路設備(防火牆、VPN、Proxy)的連線紀錄。 裝置的鑑識
若懷疑特定員工為洩密者,在符合法律規範的前提下(需注意《通訊保障及監察法》與《個人資料保護法》的限制),可以對其配發的公司裝置進行鑑識:
電腦的硬碟映像備份與分析。 手機的通訊紀錄與應用程式使用紀錄(若為公司配發之手機)。 USB裝置的插拔紀錄與檔案傳輸紀錄。 印表機的列印紀錄。 網路足跡的追蹤
若外洩發生在公開網路(如論壇、社群媒體),可以透過以下方式追蹤來源:
網站伺服器的存取紀錄(IP位址、時間戳、使用者代理字串)。 社群媒體帳號的公開資訊(註冊時間、發文歷史、互動對象)。 透過法院或平台業者取得帳號的註冊資訊(如電子郵件、手機號碼)。 委託網路鑑識公司進行深度追蹤(如分析圖片的EXIF資訊、追蹤檔案散播路徑)。 法律注意事項
數位鑑識必須在法律允許的範圍內進行。特別需要注意:
員工隱私權 :員工對公司配發的裝置並非毫無隱私期待。若企業未在勞動契約或工作規則中明確告知「公司對工作相關通訊有監控權」,法院可能認定企業的鑑識行為侵犯隱私,導致證據無法使用。通訊監察 :未經法定程序(如檢察官或法官核發的通訊監察書),不得監察員工的私人通訊(如個人手機的通話、個人LINE帳號的訊息)。個資保護 :鑑識過程中蒐集的員工個人資料(如IP位址、裝置識別碼、通訊內容),其處理與利用必須符合個資法的規定,且不得逾越「調查資訊外洩」的必要範圍。 6.3 法律救濟途徑的選擇 確認洩密者與洩密事實後,企業可以選擇以下一種或多種法律救濟途徑:
途徑一:民事訴訟
損害賠償之訴 :依據契約或侵權行為,請求洩密者賠償損害。排除侵害之訴 :依據《營業秘密法》第12條,請求法院判令洩密者停止使用或洩漏機密資訊。防止侵害之訴 :若洩密者仍有繼續洩密的風險(例如尚未離職、或仍持有機密資訊),請求法院判令其不得為特定行為。返還或銷毀之訴 :請求洩密者返還或銷毀所有機密資訊及其複製品。 民事訴訟的優點在於可以獲得完整的法律救濟(賠償、排除、防止),缺點在於時間較長(通常一年以上)、舉證責任較重、且訴訟過程本身可能導致更多資訊公開(除非聲請密封審理)。
途徑二:刑事告訴
向檢調機關提出告訴,追究洩密者的刑事責任(營業秘密法、個資法、證交法、刑法)。 刑事告訴的優點在於檢調機關可以行使強制處分權(搜索、扣押、調閱通訊紀錄、約談),取得企業自身難以取得的證據。 缺點在於企業對於訴訟進度的控制力較低,且一旦進入刑事程序,企業的內部文件可能成為檢方的證據,進而公開於審判程序中。 途徑三:行政救濟
向勞動主管機關檢舉洩密員工違反勞動契約(雖然勞動主管機關通常不直接處理洩密問題,但可以作為勞資爭議調解的依據)。 向個資保護主管機關(目前為國家發展委員會,未來可能為個資保護委員會)檢舉個資外洩。 向金管會檢舉上市櫃公司的資訊揭露違規。 向律師公會或會計師公會檢舉違反保密義務的專業人員。 途徑四:保全處分
在提起正式訴訟前,企業可以向法院聲請以下保全處分:
假扣押 :查封洩密者的財產,確保日後判決有財產可供執行。假處分 :要求洩密者停止洩密行為、或要求媒體/平台暫時移除內容。定暫時狀態處分 :在爭執的法律關係中,暫時定其狀態(例如暫時禁止洩密者為特定行為)。 保全處分的優點在於快速(法院通常於數日內裁定),缺點在於需要提供擔保(雖然NDA中可以約定免擔保,但法院不一定完全採納),且若聲請不當導致對方受損,聲請人需負賠償責任。
途徑五:勞動懲戒
對於仍在職的洩密員工,企業可以依據工作規則進行懲戒:
口頭警告、書面警告、記過、降職、降薪、或解僱。 若洩密行為構成「嚴重違反勞動契約或工作規則」,企業可以依《勞基法》第12條第1項第4款「不經預告終止契約」。 懲戒與解僱必須符合「比例原則」與「正當程序」,包括給予員工陳述意見的機會、作成書面紀錄、並通知工會(若有工會)。 6.4 危機中的二次危機管理 資訊外洩最棘手的面向,在於它往往發生在企業已經面對另一個危機的時候。這種「危機中的危機」需要特殊的公關策略:
策略一:區隔原始危機與洩密危機
企業應明確區分「我們對原始危機的立場」與「我們對洩密行為的立場」。例如:
「我們正全力調查產品安全問題,並將於調查完成後向社會大眾完整說明。在此期間,我們注意到有部分未經確認的內部文件在網路上流傳。我們嚴正聲明,這些文件的流傳未經公司授權,公司已啟動內部調查與法律程序。我們呼籲各界勿轉傳未經證實的資訊,以免造成不必要的恐慌與誤解。」
這種聲明的目的,是將「洩密」框定為「未經授權的非法行為」,而非「公司試圖隱瞞的證據」。同時,它也為企業保留了「調查完成後再完整說明」的空間。
策略二:避免「否認過度」
若外洩的資訊確實為真,企業不宜直接否認其內容,而應強調「未經授權的揭露」與「不完整的情境」。例如:
「網路上流傳的文件確實出自公司內部,但該文件為初步討論稿,並非最終結論。將初步討論斷章取義地公開,不僅誤導公眾,也傷害了公司與利害關係人進行理性對話的空間。」
策略三:主動揭露以奪回主導權
在某些情況下,若外洩的資訊即將被媒體大規模報導,企業可以考慮「搶先公開」部分資訊,以奪回敘事主導權。這種策略風險較高,需要精準的判斷,但若執行得當,可以將「被動洩密」轉化為「主動透明」。例如:
「我們注意到有部分內部文件外流。為避免資訊被斷章取義,我們決定主動公開完整的調查報告摘要,並說明我們的後續改善措施。」
策略四:對內溝通的重要性
資訊外洩發生後,內部員工往往比外部公眾更早知道消息,也更容易產生恐慌與猜疑。此時,高階主管應迅速對內發布溝通信件,說明:
公司已知情並正在處理。 員工不應轉傳或評論外洩資訊。 員工若有相關線索,應向指定窗口(如法務部或內部稽核)回報。 公司將保護提供線索的員工,不會對其進行報復。 這種對內溝通不僅是為了穩定軍心,也是為了建立「吹哨者」的友善環境——讓願意協助調查的員工感到安全,而非恐懼。
第七章:跨國企業的特殊考量與國際法律比較 對於跨國企業或在台灣營運的外商而言,危機公關的保密義務還涉及國際法律的交叉適用。不同司法管轄區對於機密資訊、個人資料、與媒體自由的規範差異甚大,企業必須建立「多法域合規」的保密架構。
7.1 歐盟GDPR與營業秘密指令 歐盟的《一般資料保護規則》(GDPR)是全球最嚴格的個人資料保護法規之一,對於危機處理中的個資外洩設有嚴格的規範:
外洩通報義務
GDPR第33條規定,資料控制者應於知悉個資外洩後「毫不遲延」(without undue delay),且若可行應於72小時內 向監管機關通報。若未於72小時內通報,必須附具遲延理由。此外,若外洩可能對當事人的權利與自由造成「高度風險」,資料控制者還必須直接通知當事人。
這個72小時的時限,對於危機處理中的企業是極大的壓力。相較於台灣個資法的「查明後以適當方式通知」,GDPR的時限更為明確且嚴格。跨國企業在台灣發生危機時,若涉及歐盟居民的個人資料,必須同步啟動GDPR的通報程序。
高額罰款
GDPR第83條規定,違反個資保護核心原則(包括外洩通報義務)的行政罰款,最高可達全球年營業額的4%或2,000萬歐元(以較高者為準) 。這種「營業額百分比」的計算方式,使得大型跨國企業的違規成本極高。
歐盟營業秘密指令
歐盟於2016年通過《營業秘密指令》(Trade Secrets Directive),要求各會員國在2018年前完成國內立法。該指令的保護範圍與台灣《營業秘密法》類似,但特別強調「吹哨者保護」——若員工為了揭露公共利益上的不法行為而洩漏營業秘密,在一定條件下可以免責。這意味著,在歐盟營運的企業,其危機處理資訊若涉及「公共利益上的不法行為」(例如產品安全隱瞞、環境污染、財務舞弊),員工可能主張吹哨者保護而免於法律責任。
7.2 美國的法律架構 美國並無聯邦層級的統一個資保護法,但各州法律與聯邦特別法構成了複雜的規範網絡。
加州消費者隱私法(CCPA/CPRA)
加州的《消費者隱私法》(CCPA)及其修正案(CPRA)賦予消費者對其個人資訊的廣泛權利,包括知情權、刪除權、與選擇退出權。對於企業而言,CCPA要求在外洩涉及未加密或未遮罩的個人資訊時,可能面臨消費者的集體訴訟(statutory damages)。這種集體訴訟的風險,使得資訊外洩的民事責任在美國遠高於台灣。
證券交易法的選擇性揭露規範(Regulation FD)
美國證券交易委員會(SEC)的Regulation FD(Fair Disclosure)嚴格禁止上市公司的「選擇性揭露」。若企業向特定分析師、機構投資人、或媒體提供未公開的重大資訊,必須同時向公眾公開。違反Regulation FD可能導致SEC的行政處分與民事罰款。
在危機處理中,美國上市公司特別需要注意「與分析師的溝通」。許多企業習慣在危機發生後,向「友好的分析師」私下說明情況以穩定市場信心,這在美國法下是高度風險的行為。
律師—客戶特權(Attorney-Client Privilege)與工作成果保護(Work Product Doctrine)
美國法下的律師—客戶特權是極為強大的保密保護。企業在危機處理中與律師的溝通,原則上受有特權保護,法院不得強制揭露。但這個特權有幾個重要的例外與風險:
特權放棄(Waiver) :若企業將律師提供的法律意見透露給第三人(例如向公關公司分享律師的訴訟風險評估),可能構成特權放棄。公關顧問的特權延伸 :在美國部分聯邦法院,若公關顧問是「為了協助律師提供法律意見」而參與溝通,其通訊可能受到「特權延伸」的保護。但這個保護的範圍並不確定,且各州法院的認定不一。犯罪—欺詐例外(Crime-Fraud Exception) :若企業尋求律師意見是為了進行或掩蓋犯罪,特權不適用。 對於在台灣營運的美商或具有美國母公司之台灣企業,建議在危機處理中明確區分「法律策略溝通」(受特權保護)與「公關策略溝通」(不受特權保護),並避免將兩者混雜於同一通訊中。
7.3 中國大陸的法律架構 對於在台灣與中國大陸同時營運的企業,兩岸法律差異帶來了特殊的保密挑戰。
《反不正當競爭法》下的營業秘密保護
中國大陸的《反不正當競爭法》於2019年修正後,強化了對營業秘密的保護。該法第9條禁止以盜竊、賄賂、欺詐、電子侵入或其他不正當手段獲取權利人的營業秘密。與台灣法不同的是,中國大陸的營業秘密保護更強調「競爭關係」——若洩密者與企業之間不存在競爭關係,法律保護的強度可能較弱。
《個人信息保護法》(PIPL)
中國大陸於2021年施行《個人信息保護法》,其架構與GDPR類似,但有其特殊之處:
跨境傳輸限制 :企業將中國大陸境內收集的個人資訊傳輸至境外(包括傳輸至台灣總部),必須符合法定條件(如通過安全評估、簽署標準契約、或取得專業機構認證)。敏感個人資訊 :生物識別、宗教信仰、特定身分、醫療健康、金融帳戶、行蹤軌跡等資訊屬於「敏感個人資訊」,其處理受到更嚴格的限制。國家安全審查 :在涉及國家安全或重大公共利益的情境中,企業可能被要求向政府機關提供其持有的資訊,這與企業對其他利害關係人的保密義務可能產生衝突。 《數據安全法》與《國家安全法》
中國大陸的《數據安全法》將數據分為「一般數據」、「重要數據」、與「核心數據」,並要求企業建立數據分類分級保護制度。若企業在危機處理中掌握的資訊被認定為「重要數據」或「核心數據」,其處理與傳輸將受到國家安全機關的嚴格監管。
對於跨國企業而言,這意味著「危機處理資訊」可能同時受到台灣的《營業秘密法》、歐盟的GDPR、美國的CCPA、與中國大陸的《個人信息保護法》與《數據安全法》的規範。建立一個能夠同時滿足多法域要求的保密架構,是跨國企業法務與資安團隊的重大挑戰。
7.4 跨國企業的資訊隔離與資料落地策略 面對多法域的合規要求,跨國企業可以採取以下策略:
策略一:資料落地(Data Localization)
對於涉及特定法域敏感法規的資訊(例如中國大陸的個人資訊、歐盟的GDPR管轄資料),將資料儲存於該法域境內的伺服器,並限制跨境傳輸。這雖然增加了管理成本,但可以有效降低法律衝突的風險。
策略二:區域化危機處理團隊
建立「區域化」的危機處理團隊,讓各區域團隊僅知悉與其法域相關的資訊。例如,台灣的危機處理團隊不需要知道中國大陸團隊的調查細節;歐洲團隊的個資調查獨立於亞洲團隊。這種「資訊防火牆」可以降低單一洩密事件的影響範圍。
策略三:統一的全球NDA範本
雖然法律環境不同,但企業可以建立「全球統一NDA範本」作為最低標準,並在各區域附加「當地法律補充條款」。例如,全球NDA約定「保密期間為五年」,但歐洲版本附加「吹哨者例外條款」,中國大陸版本附加「政府要求揭露條款」。
策略四:跨境訴訟的協調
當資訊外洩涉及多個法域時,企業可能需要在多個國家同時提起訴訟或聲請保全。此時,需要考慮:
各國法院對於「營業秘密」的定義是否一致? 在一國法院取得的證據,是否可以在另一國使用? 各國的保全處分(如禁制令)是否具有域外效力? 判決的相互承認與執行問題。 建議跨國企業在危機發生前,就與各主要營運地的律師建立「跨境法律應變小組」,並預先演練多法域的資訊外洩應對流程。
第八章:實務案例深度解析 理論的價值在於指導實務。以下透過幾個經過改編的實務案例,說明危機公關保密義務的具體適用與法律爭議。
8.1 案例一:食品廠污染事件的內部策略外流 背景
某知名食品廠發生產品污染事件,導致數十名消費者食物中毒。公司成立危機處理小組,擬定三階段應對策略:第一階段「否認與觀望」、第二階段「淡化與轉移焦點」、第三階段「道歉與召回」。這份策略文件被標示為「機密」,存放於公司內部伺服器的權限控管資料夾中。
外洩經過
事件發生後的第三天,某財經媒體記者在個人部落格上發布了一篇「獨家」報導,詳細描述了該食品廠的「三階段策略」,並附上了策略文件的截圖。報導指出,該公司「根本不在乎消費者健康,只想著如何公關操作」。輿論譁然,原本已經趨緩的負面聲量再度爆發,且強度遠超過原始事件。
調查結果
公司聘請資安鑑識公司進行調查,發現策略文件曾於事件發生後第二天晚上,被某位公關部門的資深專員從權限資料夾下載至其個人筆電,並透過個人Gmail帳號寄送至某媒體記者的信箱。該專員在事後承認,其因不滿公司「輕視消費者安全」的態度,而決定將文件提供給記者。
法律分析
該專員的責任 :該專員的行為明顯構成《營業秘密法》第13條之1的「意圖損害」洩漏營業秘密罪(三階段策略具有經濟價值,且公司已採取合理保密措施)。同時,由於策略文件中含有受害消費者的個人資料(如就醫紀錄摘要),該專員亦觸犯《個資法》第41條。此外,該專員違反了勞動契約中的保密條款,公司可以請求懲罰性違約金與損害賠償。企業的責任 :雖然公司已採取權限控管,但未能阻止員工下載至個人裝置並以個人電郵外傳。法院可能認定公司在「設備管控」與「傳輸監控」方面存在漏洞,未完全盡到合理保密措施。若受害消費者主張因策略外流導致其精神受損,企業可能依《民法》第188條負連帶賠償責任。記者的責任 :記者雖然受有言論自由保護,但其「公開」原始策略文件的行為(而非僅引用內容報導),可能構成對營業秘密的侵害。公司可以對記者與其媒體雇主主張侵權責任,但實際上因為言論自由的保護,勝訴機會不高。較可行的策略是要求媒體下架原始文件(而非報導本身)。 啟示
此案例凸顯了「理念型洩密」的風險。企業在危機處理中,不僅要防範「利益交換型」洩密,更要關注員工的價值觀衝突。此外,技術管控的「最後一哩路」——防止員工將資料下載至個人裝置——是許多企業的共通弱點。
8.2 案例二:上市公司併購談判中的內線交易 背景
某上市科技公司正在進行一項重大併購談判,若成功將顯著提升公司市場地位。由於併購談判具有不確定性,公司尚未公開揭露此消息。公司董事長指示公關部門與法務部門擬定「併購成功後的媒體應對策略」與「併購失敗後的危機處理劇本」,並將這些文件列為「最高機密」。
外洩經過
併購談判進行到關鍵階段時,公司股價突然異常上漲,成交量放大。金管會啟動內線交易調查,發現某副總經理在股價上漲前三天,向其配偶及三位親友透露了併購談判的進展,並建議他們「可以考慮買進」。這些親友在消息公開前大量買進股票,獲利超過新台幣五千萬元。
調查結果
檢調單位進一步調查發現,該副總經理是併購談判小組的成員,知悉談判進度。其辯稱「只是閒聊時提到公司可能有好事發生,並未具體說明併購細節」。但檢方透過通訊監察與親友的證詞,確認其確實透露了具體的併購對象與預估交易金額。
法律分析
副總經理的責任 :該副總經理作為併購談判小組成員,屬於《證券交易法》第157條之1的「內部人」。其洩漏重大未公開消息予親友,並導致親友利用該消息交易,構成內線交易罪。即使其本人未進行交易,僅「洩漏」行為本身即構成犯罪。此外,其行為亦違反了勞動契約與保密協議,公司可以請求民事賠償。親友的責任 :接受消息並進行交易的親友,同樣構成內線交易罪。檢方對所有交易人提起公訴,並追繳其不法所得。企業的責任 :雖然公司已將文件列為「最高機密」,但未能防止副總經理以口頭方式洩漏。金管會認定公司的內部控制制度存在漏洞,特別是對於「口頭資訊」的管控不足,對公司處以行政罰鍰,並要求改善內控。併購對手的責任 :調查中並未發現併購對手參與洩密,但若併購對手透過非法管道取得機密資訊,亦可能觸犯營業秘密法。 啟示
此案例說明了「口頭洩密」的難以防範性。在最高機密的管控中,企業往往過度依賴「文件管控」,而忽略了「人員管控」與「行為監控」。對於參與最高機密事項的少數人員,應建立更嚴格的「利益衝突申報」與「親友交易監控」機制。
8.3 案例三:資料外洩危機中的「二次外洩」 背景
某電商平台發生大規模客戶資料外洩事件,影響數百萬名用戶。公司立即聘請資安鑑識公司與律師事務所進行調查,並擬定對外聲明與用戶通知方案。
外洩經過
在調查過程中,資安鑑識公司將初步調查報告(包含駭客入侵路徑、受影響的資料庫範圍、與部分用戶的個人資料樣本)存放於其雲端協作平台。由於該平台的安全設定錯誤,報告被設定為「公開分享」,並被某資安部落格的作者發現。該作者將報告內容公開於部落格上,引發了比原始資料外洩更嚴重的輿論風暴——因為這份報告顯示,公司的資安防護存在極為低級的漏洞(例如未修補已知漏洞、未啟用雙因素認證)。
調查結果
公司調查發現,資安鑑識公司的專案經理在將報告上傳至雲端平台時,誤設了分享權限。該專案經理辯稱「平台介面不直觀,誤以為已設定為僅團隊成員可見」。公司進一步發現,該資安鑑識公司並未對其員工進行「雲端平台安全設定」的內部訓練。
法律分析
資安鑑識公司的責任 :該公司作為專業的資安服務提供者,卻因自身的資安管理疏失導致客戶機密外洩,構成委任契約的重大違約與侵權行為。公司可以請求其賠償所有損害,包括原始資料外洩的損害擴大部分、額外的公關費用、用戶求償的增加、與商譽損失。專案經理的個人責任 :專案經理雖然主張「誤操作」,但作為資安專業人員,其對於雲端平台的安全設定應有更高的注意義務。法院可能認定其至少構成「過失」,依《營業秘密法》第13條之1的過失條款與《民法》侵權行為負責。部落格作者的責任 :該作者發現公開分享的報告後予以公開,是否構成侵權?若該作者「明知」該報告為機密資訊(從報告內容即可判斷),其公開行為可能構成對營業秘密的侵害。但若其主張「善意取得」(誤以為該報告已經公開授權),則責任可能較輕。公司可以要求其移除內容,但追究損害賠償的勝算取決於其主觀意圖的舉證。電商平台自身的責任 :雖然二次外洩的直接原因是資安鑑識公司的疏失,但電商平台作為資料控制者,依《個資法》第29條仍可能因「選任監督過失」而負責。特別是,若電商平台未在委任契約中要求資安鑑識公司採取特定安全措施,或未稽核其資安管理,法院可能認定平台未盡到選任監督之責。 啟示
此案例是「危機中的危機」的典型——原本用來解決危機的專業服務,反而成為新的危機來源。企業在聘請外部顧問時,不應假設「專業公司一定不會出錯」,而應建立「不信任但驗證」的機制,包括要求顧問說明其資安措施、定期稽核其操作、以及在契約中明確約定「資安疏失的加重責任」。
8.4 案例四:高階主管醜聞中的「內部備忘錄」風暴 背景
某金融機構的執行長被指控涉及性騷擾醜聞。公司董事會成立特別調查委員會,由外部律師主導調查,並擬定了一份詳細的「內部調查報告與應對建議」。報告中包含受害者的證詞摘要、執行長的辯解、董事會的處置選項分析(包括解任、留任觀察、或和解)、以及公關應對策略。
外洩經過
董事會召開閉門會議討論該報告。會議中,某位董事認為公司「應該開除執行長以平息眾怒」,但另一位董事主張「應該保護執行長,因為其對公司業務至關重要」。會後,主張「開除」的董事將報告內容(特別是主張「保護執行長」的董事發言)洩漏給某媒體,並暗示「公司高層在包庇性騷擾犯」。
調查結果
媒體報導後,輿論強烈譴責公司「高層包庇」。公司試圖追查洩密來源,但由於董事會會議未錄音(僅有書面紀錄),且與會者僅五人,每位董事都否認洩密。最終,公司無法確認具體洩密者,但懷疑是某位獨立董事所為。
法律分析
董事的責任 :董事對於董事會會議內容負有法定保密義務(《公司法》第23條的忠實義務)。若董事洩漏會議內容,不僅違反其對公司的忠實義務,亦可能構成《營業秘密法》與《刑法》第317條的洩密罪。公司可以對該董事提起民事訴訟,請求損害賠償,並可依《公司法》第200條訴請法院裁定解任該董事。無法確認洩密者的困境 :由於無法確認具體洩密者,公司難以對特定人提起訴訟。此時,公司可以考慮對所有可能知悉者發送律師函,提醒其法律責任,並保留日後若發現新證據時的追訴權。媒體報導的影響 :此案例中,媒體報導的內容涉及「性騷擾」與「公司治理」兩大公共議題,受言論自由保護的程度較高。即使公司能夠確認洩密者,對媒體主張侵權的勝算也較低。公司的較佳策略是「主動透明」——在適當時機公開調查報告的完整結論,以奪回敘事主導權。董事會程序的檢討 :此案例凸顯了「小型知情圈」的風險。當知情者僅有五人時,每一位都是高風險的洩密節點。對於這類高度敏感的議題,建議採取「分段揭露」——讓每位董事僅知悉與其表決權相關的最少資訊,而非完整的調查報告。 啟示
董事會層級的洩密具有極高的破壞力,因為董事的發言往往被外界解讀為「公司治理的縮影」。對於這類議題,企業應建立「董事會保密強化機制」,包括:
董事就任時簽署專門的保密承諾。 董事會敏感議題的討論採取「無紀錄口頭報告」或「律師特權保護文件」。 對於立場對立的董事,建立資訊防火牆,避免其接觸到可能激化其對立情緒的資訊。 常見問答(FAQ) Q1:危機處理過程中的「內部會議紀錄」是否受營業秘密法保護? A :內部會議紀錄若符合營業秘密的三項要件(秘密性、經濟價值性、合理保密措施),即受營業秘密法保護。但實務上,會議紀錄的保護強度取決於企業的管控措施。若會議紀錄存放於全員可編輯的共用平台、未標示機密等級、或未限制與會者攜帶電子裝置,法院可能認定未採取合理保密措施。建議對於危機處理的會議紀錄,採取「編號管理、閱讀人標示、存放於權限控管系統、並限制下載與列印」的措施。
Q2:員工在個人社交媒體上「暗示」公司危機,但未透露具體細節,是否構成洩密? A :這需要個案判斷。若「暗示」的內容綜合起來足以讓接收者推知具體的機密資訊(例如「明天公司會有大事發生,建議大家關注新聞」加上特定時間點與產業背景),仍可能構成對保密義務的違反。此外,即使未構成法律上的「洩密」,這類行為也可能違反工作規則中的「對外發言限制」,企業可以進行懲戒。建議企業在員工手冊中明確規定:「未經授權,不得以任何方式(包括暗示、影射、或表情符號)在公開場合討論公司機密事項。」
Q3:公關公司為了「試水溫」而向記者透露部分資訊,是否違法? A :若透露的資訊屬於機密資訊(無論是否為「部分」),且未經企業授權,即構成對保密協議的違反,亦可能觸犯《營業秘密法》。「試水溫」不是法律上的免責事由。企業在聘請公關公司時,應在NDA中明確禁止「任何未經書面授權的資訊揭露,包括為了測試媒體反應的目的」。若發現公關公司有此類行為,企業應立即終止委任,並保留法律追訴權。
Q4:危機處理中與律師的溝通是否絕對保密? A :與律師的溝通原則上受有「律師保密義務」的保護,但並非「絕對」保密。例外情況包括:
律師與客戶之間的溝通是為了進行或掩蓋犯罪(犯罪—欺詐例外)。 客戶放棄保密(例如將律師意見透露給第三人)。 法律明文規定律師必須揭露(例如律師發現客戶計畫進行恐怖攻擊)。 在台灣,律師保密義務的強度雖高,但並不像美國的Attorney-Client Privilege那樣具有「法院不得強制揭露」的絕對效力。在特定刑事訴訟中,法院仍可能要求律師作證。 因此,企業在危機處理中,應明確區分「法律策略溝通」(盡量僅限於律師與核心決策者之間)與「公關策略溝通」(可以擴大參與),避免兩者混雜導致保密範圍的稀釋。
Q5:若機密資訊被駭客竊取並公開,企業是否還能對駭客主張營業秘密? A :可以。駭客以非法手段竊取並公開機密資訊,構成《營業秘密法》第13條之1的「以不正當方法取得或洩漏」營業秘密。但實務上的困難在於:
駭客通常位於境外,且使用匿名手段,難以確認身分。 即使確認駭客身分,跨國追訴與執行的成本極高。 若資訊已經公開,「排除侵害」的救濟(要求停止公開)在技術上可能已經無法執行。 因此,對於駭客攻擊的預防重於追訴。企業應投資於資安防護,並建立「假設會被攻破」的應變計畫(例如加密儲存機密資訊,即使被竊取也無法解讀)。
Q6:離職員工在LinkedIn上「分享」參與某危機處理的經驗,是否違法? A :若分享內容包含具體的機密資訊(例如「我主導了某產品召回的公關策略,處理了超過一千件的客訴」),即可能違反離職後的保密義務。即使內容看似「籠統」,但若結合其職稱、任職時間、與公開新聞,足以讓外界推知具體的機密細節,仍可能構成違反。建議企業在員工離職時,明確提醒其「不得在履歷、面試、或專業社群中透露機密資訊」,並提供「可公開分享的事實清單」作為參考。
Q7:企業是否可以監控員工的個人社交媒體以預防洩密? A :企業可以「查看」員工公開的社交媒體內容(因為這些內容已經公開),但不得「監控」員工的私人通訊(如私訊、封閉群組)。若企業希望對員工的公開發言進行管理,應在勞動契約或工作規則中明確告知「員工的公開發言若涉及公司機密,將受到公司關注與可能的懲戒」。此外,企業應避免要求員工提供個人社交媒體的帳號密碼,這可能構成對隱私權的侵犯。
Q8:危機處理中的「錄音」或「錄影」是否合法? A :這取決於錄音的主體、對象、與目的。
公司對會議的錄音 :若公司作為會議主辦方,在會議開始前告知與會者「本次會議將進行錄音以作成紀錄」,且與會者未反對,通常合法。但若未告知而秘密錄音,可能構成對隱私權的侵犯。員工對會議的錄音 :員工私自對公司會議進行錄音,即使錄音內容涉及自身權益(例如勞資爭議),在台灣法下的合法性仍有爭議。部分法院認為,若錄音是為了保存證據且未逾越必要範圍,可以作為證據使用;但也有法院認為,秘密錄音侵犯其他與會者的隱私,不應作為證據。對外部顧問的錄音 :若未經外部顧問同意而錄音,可能違反誠信原則,並影響律師特權或專業信任的保護。 建議企業在危機處理的會議規則中,明確規定「未經主持人同意,與會者不得錄音錄影」,並在會議開始前口頭提醒。
Q9:若機密資訊外洩後,企業選擇「不追究」洩密者,是否會影響未來的保密制度? A :選擇不追究可能是基於商業考量(例如洩密者是關鍵技術人員、或追究可能引發更多負面報導),但確實可能對未來的保密制度產生負面影響。其他員工可能認為「洩密不會有後果」,進而降低對保密規範的遵守意願。若企業決定不追究,建議至少採取以下措施:
對內部發布聲明,說明不追究的特定原因(例如「基於商業考量」),並強調這是「例外」而非「通則」。 強化未來的保密措施,以實際行動表明「制度仍然有效」。 對洩密者進行非公開的警告或調職,使其知道行為已被注意。 Q10:危機處理中的「吹哨者」是否受法律保護? A :在台灣,「吹哨者」的保護主要來自於《勞基法》第74條之1(雇主不得因勞工向主管機關申訴而為不利處分)與《揭弊者保護法》(草案階段,尚未正式施行)。若員工是為了「公共利益」而向政府機關或媒體揭露企業的違法行為,且其揭露內容屬實,可能受有法律保護。
但「吹哨者保護」並非絕對。若員工揭露的內容不實、或揭露方式明顯逾越必要範圍(例如將與違法行為無關的機密資訊一併公開)、或揭露目的是為了個人利益而非公共利益,則可能不受保護。此外,吹哨者保護通常不適用於「向媒體匿名爆料」的情境——因為無法確認爆料者的身分,也無法確認其主觀意圖。
對於企業而言,建立「內部吹哨者機制」(如設立獨立的倫理熱線或信箱),是將「外部爆料」轉化為「內部處理」的有效策略。若員工知道可以透過內部管道安全地揭露問題,其選擇對外爆料的動機將會降低。
Q11:外部顧問的「下包商」洩密,企業是否可以向主顧問求償? A :可以,但取決於契約約定。若委任契約中有「下包商條款」,明確約定「顧問應確保其下包商遵守本協議之保密義務,並對下包商之行為負連帶責任」,則企業可以直接向主顧問求償。若契約中無此約定,企業仍可能依《民法》第224條(債務人之代理人或使用人關於債之履行有故意或過失時,債務人應與自己之故意或過失負同一責任)向主顧問主張責任,但舉證上較為困難。
因此,建議企業在與外部顧問簽約時,務必加入下包商條款,並要求主顧問提供下包商的NDA簽署證明。
Q12:危機處理中的「口頭承諾」或「電話會議」是否受保密義務拘束? A :是的。保密義務的範圍不限於書面文件,也包括口頭溝通、電話會議、視訊會議、與即時通訊訊息。在實務上,口頭洩密的舉證確實較為困難,但並非不可能。例如,透過通訊監察、證人證詞、或雙方的後續通訊紀錄(如「感謝你昨天電話中提供的內幕」),仍可以證明口頭洩密的存在。
對於企業而言,建議對於重要的口頭溝通(尤其是電話會議),於會後由指定人員整理成書面紀錄,並存入系統。這不僅是為了舉證,也是為了確保所有與會者對於討論內容有一致的認知。
Q13:若企業本身「主動」向媒體提供部分內部資訊以「引導輿論」,是否構成對其他機密資訊的「放棄保密」? A :不一定。企業選擇性公開部分資訊,並不當然導致其他未公開資訊喪失機密性。但實務上存在風險:若公開的資訊與未公開的資訊密切相關(例如公開了「產品召回」的消息,但未公開「召回的具體原因」),法院或輿論可能認為企業「應該」公開完整資訊,進而對未公開部分產生質疑。
此外,若企業的公開行為導致外界可以「合理推知」其他機密資訊的內容(例如公開了財務影響的「上限」,讓外界可以推算出「下限」),則可能削弱該等資訊的「秘密性」。建議企業在決定公開任何內部資訊前,先進行「保密衝擊評估」,確認公開內容不會連帶暴露其他機密資訊。
Q14:危機處理中的「個人筆記」是否屬於機密資訊? A :員工在參與危機處理會議時所做的個人筆記,若內容包含機密資訊,該筆記本身雖然是員工「創作」的,但其內容的機密性質並未改變。員工不得將這些筆記帶離公司、或用於個人目的。企業可以在工作規則中規定:「員工因職務所為之筆記、錄音、或紀錄,其內容涉及機密資訊者,視同公司財產,離職時應一併返還或銷毀。」
Q15:若資訊外洩是由「AI工具」導致(例如員工將機密文件輸入ChatGPT),法律責任如何認定? A :這是新興的法律議題。目前台灣法律並未針對AI工具的洩密設有特別規定,但現行法律仍可以適用:
員工責任 :員工將機密資訊輸入公開的AI工具,構成對保密義務的違反。即使員工主張「只是為了摘要或翻譯」,其行為已導致機密資訊流入第三方伺服器,客觀上構成洩密。企業責任 :若企業未禁止員工使用公開AI工具處理機密資訊,或未提供安全的替代方案(如企業版AI工具,確保資料不會外流),法院可能認定企業未盡合理保密措施。AI服務提供者的責任 :目前多數公開AI工具的使用條款均聲明「不對用戶輸入內容的保密性負責」,且通常會將輸入內容用於模型訓練。企業若主張AI服務提供者侵害營業秘密,勝算極低,因為用戶在輸入時已經「同意」了該等使用條款。 建議企業立即將「禁止將機密資訊輸入公開AI工具」納入資訊安全政策,並提供符合企業安全標準的AI工具作為替代。
結論:從法律合規到文化建構,打造真正的保密防線 危機公關過程中的保密義務,是一個橫跨法律、管理、技術、與人性的複雜議題。從法律層面來看,企業需要理解《營業秘密法》、《個人資料保護法》、《證券交易法》、與《刑法》的交互作用,並建立可驗證的「合理保密措施」。從管理層面來看,企業需要設計清晰的資訊分級、知情圈管理、與文件通訊管控機制。從技術層面來看,企業需要投資於權限控管、加密傳輸、與數位鑑識能力。從人性層面來看,企業需要理解洩密者的動機、建立信任文化、並提供安全的內部溝通管道。
然而,法律與制度只是防線的「硬體」。真正決定保密成效的,是組織的「軟體」——也就是保密文化。一個有保密文化的組織,員工會自發性地思考「這個資訊可以跟誰分享?」「這個場合適合討論機密嗎?」「我的這則貼文是否透露了太多?」這種自發性的警覺,無法透過罰則或監控來強制建立,而必須透過領導者的示範、持續的教育訓練、與對保密行為的正面激勵來培養。
在危機情境中,保密文化的價值更為凸顯。當時間壓力與情緒張力達到頂點,人們更容易做出平時不會做的決定——在LINE群組中抱怨、在咖啡廳大聲討論、或為了「幫助朋友」而透露一點內幕。此時,唯有深植於日常的保密習慣,才能讓員工在壓力下仍然做出正確的選擇。
對於企業領導者與法務主管,本文的建議可以歸納為以下十項行動清單:
檢視現行契約 :確認勞動契約、NDA、與委任契約中的保密條款是否涵蓋「危機處理資訊」,且定義明確、違約效果可執行。建立資訊分級制度 :針對危機處理資訊,建立專門的分級標準與標示規範。強化技術管控 :部署DLP(Data Loss Prevention)系統,防止機密資訊透過電子郵件、雲端、或USB外洩。建立外部顧問管理機制 :所有外部顧問在參與危機處理前,必須簽署專屬NDA,並接受資安與保密訓練。制定危機保密Playbook :在危機管理手冊中,加入專門的保密章節,明確規定危機處理過程中的資訊管控流程。進行定期演練 :每年至少進行一次「資訊外洩應變演練」,測試從發現、調查、到法律追訴的完整流程。建立吹哨者機制 :設立獨立的內部倫理管道,讓員工可以安全地揭露問題,降低其對外爆料的動機。關注新興風險 :將AI工具、智慧音箱、與個人雲端服務納入資訊安全政策的管控範圍。建立跨法域合規架構 :對於跨國企業,建立能夠同時滿足台灣、歐盟、美國、與中國大陸法律要求的保密制度。培養保密文化 :從高階主管做起,將保密意識融入日常管理與溝通,讓保密成為組織DNA的一部分。 資訊外洩的法律責任,最終是一個關於「信任」的問題。當企業向員工、顧問、與合作夥伴託付機密資訊時,它託付的不只是資料,更是組織的生存命脈。而當這份信任被背叛時,法律可以提供事後的救濟,但無法修復已經破碎的聲譽。因此,最好的法律策略,永遠是預防——在洩密發生之前,就建立起讓洩密者「不想洩、不能洩、不敢洩」的多重防線。
在這個資訊流動速度遠超過法律追訴速度的時代,保密不再只是法務部門的責任,而是每一位參與危機處理者的專業素養。理解法律紅線、遵守保密規範、並在壓力下保持警覺,是現代企業人不可或缺的職業能力。唯有當保密成為組織的集體本能,企業才能在危機的風暴中,守住最後的防線。
作者簡介 本文 陳志遠 作者為專精於企業法務、危機管理與 智慧財產權保護的法律實務工作者,長期協助跨國企業、上市櫃公司與新創事業建立法遵架構、處理重大爭議事件、與設計風險控管機制。作者深信,法律不應只是事後的救濟工具,更應是事前的預防策略。在數位轉型與資訊爆炸的時代,如何將法律規範轉化為可執行的企業政策,並在危機中守護組織與個人的權益,是作者持續關注與研究的核心議題。作者亦定期參與產業論壇與學術研討,致力於推動企業法務實務的知識分享與專業交流。
