背景
Hackread在2025年9月16日一篇「為什麼安全文件編輯比以往任何時候都更重要」探討文件安全編輯議題,提到資料外洩威脅日益嚴重,組織內同仁、往來廠商和外部合作夥伴之間交換的每份文件都存在潛在漏洞。廣泛應用的雲端儲存和電子郵件,雖然加快了共享速度,但也增加了資訊安全管理上的風險,從營運資料、財務預測到醫學檢測結果等敏感訊息,都是攻擊者的主要目標。
Hackread專文提出一個概念:安全編輯工具在無縫整合到現有工作流程時最為有效,可以確保員工不會因為沮喪而繞過它們。即時協作、數位簽章和基於角色的存取控制等功能可在不犧牲安全性的情況下確保專案順利進行。
本文從這篇報導觸發對營業秘密法及ISO 27001控制措施要求的深入探討,從產業趨勢、法規要求及ISO 27001國際標準的演化,提供資料分級標示可能路徑。
營業秘密法營業秘密保護措施
營業秘密法第2條所稱之營業秘密,係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合左列(以下)要件者:
1) 非一般涉及該類資訊之人所知者。
2) 因其秘密性而具有實際或潛在之經濟價值者。
3) 所有人已採取合理之保密措施者。
營業秘密法第 2 條的第三個要件:「所有人已採取合理之保密措施者」,是資訊安全標籤 (Information Labelling) 在法律上發揮關鍵作用的核心所在。如果公司未能證明其已採取「合理保密措施」,即使該資訊具有高度技術價值,法律上也不會認定其為營業秘密,從而喪失保護。而資訊標籤正是證明這項「合理保密措施」最直接、最不可或缺的客觀證據。
法院判決案例
在司法院的裁判書系統(https://judgment.judicial.gov.tw/FJUD/default.aspx)以「營業秘密法」為關鍵字檢索判決書資料,可以找到許多判決案例,本文節錄其中二則判決書資料,法院判決案例均揭示了一個關鍵的重點:
如果沒有在需要保護的書面文件及電子檔案明顯處標示其機密等級,這些資訊本體在訴訟過程將難被認定為營業秘密。此外,如果一份文件包含了公開資訊和需要保護的秘密資訊,清楚標示文件「機密等級」是藉由法律訴訟保障組織權益的重要措施。
| 裁判字號 | 裁判案由 | 判決主文摘要 |
| 智慧財產及商業法院 112 年度刑智上訴字第 13 號刑事判決 (114/7/29) | 違反營業秘密法 | 本案法院最終駁回檢察官的上訴,判決被告無罪,其核心理由在於告訴人(嘉喜生技有限公司)未能證明其客戶名單屬於《營業秘密法》保護的「營業秘密」,而失敗的關鍵點就在於「合理保密措施」的不足,其中多項不足與資訊標籤直接相關。 |
本案駁回檢察官的上訴的關鍵性論訴:
三、經查:(二)合理保密措施:
⒈按營業秘密法第2條第3款所稱「所有人已採取合理之保密措施」,係指所有人按其人力、財力,依社會通常所可能之方法或技術,將不被公眾知悉之情報資訊,依業務需要分類、分級而由不同之授權職務等級者知悉而言;此於電腦資訊之保護,就使用者每設有授權帳號、密碼等管制措施。而就營業秘密之秘密管理性要件,包含主觀及客觀要件,所有人主觀上應有管理秘密之意思,亦即主觀將某項資料、資訊認屬秘密而為管理,且客觀上有管理秘密之狀態,即客觀上亦係作為秘密而為一定之行為,使員工或外部人員瞭解其將該資料、資訊當成秘密加以保守之意思。 |
| 裁判字號 | 裁判案由 | 判決主文摘要 |
| 智慧財產及商業法院 113 年度民營訴字第 23 號民事判決 (14/7/2) | 營業秘密損害賠償等(勞動) | 這份民事判決,與前一個刑事判決(112 刑智上訴字第 13 號)一樣,最終都駁回了原告的請求。儘管本判決未如前案般直接提及「未標註機密或限閱」的字樣,但其理由深刻地揭示了資訊標籤和分類(Information Labelling and Classification)在更高層次的法律意義: |
本案駁回原告上訴的關鍵性論訴:
四、本院得心證理由:㈣原告於附表2、附表3主張被告取得並使用原告所指營業秘密即系爭資訊,…。;⒈甲證10之Goo鑑定書為個別車輛鑑定報告,並非附表1所示系爭系統之系爭資訊本體,Goo鑑定書所呈現之鑑定樣式內容可由甲證1-3相關報導、乙證2之網路資料及原告為其客戶出具之個別Goo鑑定書知悉,顯非營業秘密,….。 |
資訊安全管理資訊標籤要求
1995年2月英國標準協會 (BSI)首次發佈 BS 7799 資訊安全管理實務準則開始,就有資訊標籤 (information labeling)的要求,資訊安全管理國際標準要求,經過30年改版調整及技術環境演變,資訊標籤的控制措施要求,也產生變化,實作面的難度也是與日遽增。
從比對ISO 27002:2005、ISO 27002:2013和ISO 27002:2022有關Information Labeling的指引說明,
1) ISO 27002:2005 A.7.2.2
實施指南:資訊標籤程序需涵蓋實體和電子格式的資訊資產。
- 包含敏感或關鍵資訊的系統輸出應在輸出中標註適當的分類標籤,標籤應根據 7.2.1 中規定的規則反映資訊分類。
- 需要考慮的內容包括列印報告、螢幕顯示、記錄媒體(例如磁帶、磁碟、CD)、電子資訊和文件傳輸。
- 對機密資訊進行標記和安全處理是資訊共享安排的關鍵要求,實體標籤是一種常見的標記形式。然而,某些資訊資產(例如電子文檔)無法進行實體標記,需要使用電子標記方式。例如,通知標記可能會出現在螢幕或顯示幕上。如果無法進行標記,可以採用其他方式指定資訊的分類,例如透過程式或元資料。
2) ISO 27002:2013 A.8.2.2
實施指南:資訊標籤程序需涵蓋實體和電子格式的資訊及其相關資產。
- 標籤應反映 8.2.1 所建立的分類方案,標籤應易於識別。程序應根據資訊存取方式或資產處理方式(取決於媒體類型),指導標籤的貼上位置和方式。
- 應讓員工和承包商了解標籤程式,包含敏感或關鍵資訊的系統輸出應有適當的分類標籤。
- 對機密資訊進行標籤是資訊共享安排的關鍵要求,實體標籤和詮釋資料 (metadata)是常見的標籤形式。對資訊及其相關資產進行標籤有時會產生負面影響,機密資產更容易被內部人員或外部攻擊者識別並竊取。
3) ISO 27002:2022
實施指南:資訊標示之程序宜涵蓋所有格式的資訊及其他相關聯資產,標示宜反映 5.12 中建立之分類分級方案。程序宜依儲存媒體之型式,考量資訊如何存取或資產如何處置,提供於何處及如何附加標籤的指引。標示技術之示例包括:
- 實體標籤。
- 頁首及頁尾。
- 詮釋資料 (metadata)。
- 浮水印。
- 橡皮圖章。
數位資訊,尤其是有關機密性,宜利用詮釋資料,以識別、管理及控制資訊。當系統依資訊之安全性質處理資訊時,宜新增相關的額外詮釋資料。各系統之輸出,若包含分類分級為敏感性或關鍵的資訊,則宜附加適切之分類分級標籤。
資訊文件浮水印自動處理
早在BS 7799的資訊安全管理實務準則,即已提出資訊標籤處理要求,經過30年的演變,這個議題仍舊存在顯著的改善空間。在資訊爆炸的時代,企業核心競爭力繫於營業秘密的保護。為協助組織處理這個議題,台灣應用軟件公司根據營業秘密法中對資訊「合理保密措施」的要求,以及ISO 27001中資訊標記 (Information Labeling)控制措施的精神設計,開發一套
資訊文件浮水印自動處理系統,旨在提供一個自動化、標準化、高效率的文件安全標記解決方案。
產品概述
台灣應用軟件(TASC) 依據《營業秘密法》對「合理保密措施」的要求,並結合 ISO/IEC 27001:2022 控制項 A.5.13「資訊標記(Information Labelling)」的最新精神,開發出 資訊文件浮水印自動處理系統。本系統以自動化、標準化與合規性為核心,協助企業落實文件安全標記流程,建立可稽核、可追溯的防護證據鏈。
資訊文件浮水印自動處理系統提供以下關鍵功能,確保文件標記過程的合規性與效率:
| 核心功能 | 功能說明 |
| 彈性化批次處理 | 支援手動選擇單一或多個檔案進行即時處理。 |
| 開始批次處理功能,能高效應對大量文件標記需求。 |
| 標準化與客製化浮水印 | 可預設機密等級(如:一般文件、限內部使用、極機密)。 |
| 提供文字內容、字型大小、顏色(如:警示紅色的 #FF0000)、**位置(中央/角落/對角線)**的全面自定義。 |
| 合規性註記選項 | 內建多個加註選項,允許文件同時標示多重限制,如:「涉及個人資料」、「無經主管直接核准」、「含洩密之虞的資訊內容」等,直接滿足法務與資安政策要求。 |
| 輸出監管與追溯 | 可設定輸出資料夾,集中管理標記後的文件。 |
| 保留檔名及標示處理過的選項,便於後續的文件追溯與稽核。 |
產品特性
直覺式預覽介面:即時顯示浮水印效果,所見即所得。
多重處理模式:支援手動與監控模式,彈性因應不同業務場景。
模組化設定儲存:可保存多組浮水印設定,快速切換應用標準格式。
A4 比例模擬預覽:確保列印及螢幕顯示效果一致,兼顧實用與美觀。
潛在效益
- 合規保障與風險降低:以系統化浮水印作為「合理保密措施」的證據,強化法務與稽核防線。
- 強化資訊安全意識與防禦機制:紅色警示浮水印(如 #FF0000)提供視覺警告,提醒文件接收者遵守保密義務。
- 營運效率全面提升:將文件標記流程自動化,釋放人力、降低錯誤、縮短交付時間。
- 全程可稽核追蹤:每一份文件的標記紀錄均可回溯,確保稽核與法律舉證的完整性。
若貴組織正尋求自動化的文件標籤與浮水印管理方案,歡迎聯絡 台灣應用軟件,我們將提供完整產品說明、導入建議與實作支援。