保密契約(NDA)X注意事項

↗️保密契約(NDA)X注意事項

……【前言】

企業進行各類交易、授權或技術移轉，資料或數據彼此交流，倘不小心流出，有時對公司競爭或經營有重大影響。

此時，有必要簽訂保密合約

（Non-disclosure Agreement），

讓他方負保密義務，以確保資料機密性。

保密事務與態樣不盡相同，如何簽定妥適之保密合約，仍須審慎考慮。

……【人、事、時、錢四面向剖析】

一、人：

保密合約為有分為

(1)雙方皆互負保密義務及

(2)單方性負保密義務。

比較常見，保密合約中僅要求接受保密資訊之企業或個人方負保密義務，因為在雙方洽談過程中，其實有些資訊亦會給對方知悉，故有必要改為雙方保密，以避免重要資訊外洩。

另外需注意，公司間簽訂保密合約以保障自身權益，真正有可能洩漏機密者為公司員工。

故一份完善的保密合約，資訊揭露方應要求資訊接受方，限定特定人始得接觸使用機密資訊，若有需要亦可要求第三方(如資訊接受承包商)簽訂相同的保密合約。

相對更佳者，企業應建立檔案管理制度並與在職員工簽訂保密合約，會有更完整的營業秘密保護效力。   

二、事:

保密合約主要保護標的事或物，常是雙方爭執焦點，為免困擾一定要明確定義或敘明機密之保護標的事或物，如特定的技術資料、

營業秘密（Trade secret）、KNOW-HOW、電腦程式、客戶資料、採購量、金額等資訊，亦應列為機密予以保護。

機密資訊得以口頭、書面等方式傳播。通常機密揭露方希望一切機密資訊，無論以口頭、書面或其他方式揭露，均應屬機密。

此種約定因為所涵蓋的機密範圍過廣，且日後對於以口頭揭露之資訊，不易證明實際揭露或收受之資訊，導致機密揭露方難以請求損害賠償。

為避免爭議，機密資訊原則上應限於以書面揭露之資訊，且需印有機密字樣者。

即便以口頭或其他方式揭露之資訊，揭露者如認為該資訊屬於機密資訊者，應於揭露後一定期間內，以印有機密字樣之書面提供予機密接受方，要求接受方負保密義務。

整體而言，較佳作法為可將揭露之完整資訊以附件方式呈現，口頭或其他方式揭露之資訊，以補充附件方式呈現，雙方在彼等附件或補充附件加簽署。

需注意機密之例外情形是不受保密合約規範。

因此，保密合約通常會約定何種資訊不屬於機密資訊。

例如：

該資訊已屬公開資訊，如在簽訂保密協議書前雙方當事人已知之資訊；或非屬當事人任一方之過失而已為大眾所周知之資訊或當事人任一方以正當方式自第三人處取得之資訊；

該資訊於揭露方揭露時，接受方業已獨力完成之相同資訊；接受方基於法律或法院命令而為揭露之資訊等等。

三、時:

保密期間為對於機密資訊保密之期間。若企業為資訊揭露方，則保密期間愈長愈好；

若為資訊接受方，則保密期間愈短愈好。

通常合約期間乃為保密合約有效期間，於期間內雙方得揭露資訊與他方，企業應依交易類型決定多久期間為適當。一般而言，企業之業務資訊或產品資訊，保密期間為三至五年，但仍須視資訊類型而決定。

在技術移轉性質的機密，保密期間多為保密合約期滿或期前終止或契約解除後一年至三年。

就代工企業立場，期間可以不必太長，如一年或二年即可，如將來仍須與對方接觸，僅需另行訂保密合約即可。

若為重要軟體原始碼，則可約定保密期間為永久。

四、錢：

有時於保密合約中會約定違約的懲罰性損害賠償。

原則上，違反保密合約時，機密揭露方本得依保密合約請求賠償以填補其損害，但是揭露方負有證明其損害數額之義務。為此，揭露方多欲以懲罰性違約賠償約定，減少日後的舉證責任。

相對的，機密接受方對於上開懲罰性損害賠償之約定多不願意接受，在這種情形之下，接受方得向他方表示，倘日後保密合約違約時，揭露方的實際損害均得請求賠償，故該懲罰性損害賠償之約定並無訂定之必要。  

……【保密X金融業違反個資法態樣】

⛔

金管會自2012年迄今2017年2月裁罰違法個資法的案件，金融機構違反個資法的態樣，歸納大約有以下數種。

一、個資外洩

*南山人壽保險股份有限公司辦理保戶通知信函寄發作業時，因電腦系統執行錯誤程式，使部分保戶保單資料不當郵寄予第三人；

*2016年4月11日國泰世華商業銀行大安分行，受理客戶申請調閱薪資轉帳資料時，洩漏不屬該名客戶之其他客戶個人資料；

*2013年8月22日中國信託商業銀行辦理網路銀行業務發生疏失，使一般網路使用者得以進入瀏覽，並取得該銀行內部目錄網頁所留存之客戶資料，導致客戶個人資料外洩。

二、未經客戶同意

金融機構未經客戶同意，將客戶個人資料提供給第三人使用，也是常見的違法裁罰態樣。

案例包括：

2016年6月29日兆豐國際商業銀行未經客戶同意，將其基本資料提供予兆豐產物保險股份有限公司進行電話行銷；2013年10月4日南山人壽業務員未經保戶書面同意，逕將客戶個人資料提供予第三人，代向保戶說明保單問題；

2013年7月10日彰化商業銀行股份有限公司行員未徵提客戶書面同意，逕予查詢客戶聯徵中心信用資料。

三、個人資料檔案安全維護作業不周全

此態樣案例包括：

2016年11月16日保誠人壽保險股份有限公司辦理104年度個人資料盤點作業有未落實，致未依保存期限刪除個人資料；2016年11月11日三商美邦人壽保險股份有限公司辦理資訊作業，因為整體個人資料保護措施未臻周延，且欠缺有效內控機制，而被裁罰；

2016年9月8日，富邦人壽保險股份有限公司客訴人員未採行適當之安全措施，未以加密處理方式，將保戶Call-in卡申請書影本郵寄至個人電子信箱。

四、未盡告知義務

個人資料法規定非公務機關向當事人蒐集個人資料時，應明確告知當事人一定的事項，2017年2月14日三商美邦人壽保險股份有限公司之官網，提供客戶以電子郵件洽詢業務相關事宜之頁面，但於蒐集客戶個人資料時，並未向當事人明確告知法定應告知事項，因而受到裁罰。

五、未即時通報個資外洩事件

前述2017年南山人壽保險股份有限公司辦理保戶通知信函寄發作業時，因電腦系統執行錯誤程式，使部分保戶保單資料不當郵寄予第三人，南山人壽除了個資外洩外，亦因其通報時程延遲，致被認定內部重大偶發事件之通報作業未臻周延，核有礙公司健全經營之虞而被裁罰。

……【函釋】

⛔

金管保綜字第10200916600號 函

主旨：

有關保險業及保險輔助人對個人資料保護法之適用說明乙案，詳如說明，請 查照並轉知所屬會員公司。

一、依據法務部 102 年 07 月 03 日法律字第 10203507170 號書函辦理。

二、本會為因應保險業及保險輔助人對於個人資料保護法（下稱個資法）

之適用，前以 102 年 1 月 29 日金管何綜字第 10202561230 號

書函（如附件 1）請法務部就旨揭事項予以釐清，法務部函復（如附件 2）要點如次，檢附上函影本乙份供參：

（一）蒐集、處理個人資料部分：

法務部函復保險業及保險代理人蒐集處

理個人資料對個資法之適用，同本會原函詢之說明內容。

至保險經紀人依據保險法第 9 條之規定係受保戶委託代為洽訂保險契約，

因雙方間存有契約關係，應已符合個資法第 19 條第 1 項第 2款規定。

（二）利用個人資料部分：

若為特定目的範圍內利用，應符合個資法第 20 條規定；

若為特定目的外利用，除須符合個資法第 20 條第 1項但書第 1 款至第 6 款規定外，若係以第 6 款經當事人書面同意者，同時須符合個資法第 7 條第 2 項（第 20 條第 1 項第 6 款所稱書面同意，

指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之書面意思表示。）

三、另針對法務部函文請本會本於權責審認部分，本會意見如次：

（一）關於保險法第 105 條規定，

被保險人於第三人訂定死亡保險契約所為之書面同意，是否足使被保險人明瞭個資法第 8 條、第 9條應告知事項，及得否以被保險人已簽署人身保險之要保書，認定被保險人明瞭個資法第 8 條、第 9 條所列應告知事項乙節，尚無涉個資法第 8 條、第 9 條所列應告知事項乙節，

經查保險法第 105 條規定所為之被保險人書面同意，尚無涉個資法第 8 條、第 9 條所列應告知事項，且各公司履行上開告知義務，不限取得當事人簽名，縱無簽署亦不影響告知效力。

若保險公司辦理保單招攬及辦理契約變更等事項時，採行將告知書與要保書或保險契約等相關申請文件合併列印等方式，以保全履行上開告知義務之證明，尚符前開個資法之規範。

（二）有關金融消費者保護法

（簡稱金保法）第 9 條及其明確授權訂定之法規命令是否符合個資法第 8 條第 2 項第 2 款所稱法定義務，法務部請本會本於權責審認乙節，

經查個資法施行細則第 9條及第 11 條已明訂「法律」係指法律或法律具體明確授權之法規命令，而「法定義務」係指非公務機關依法律或法律具體明確授權

之法規命令所定之義務；

另依金保法第 9 條係為履行確認金融商品或服務對金融消費者之適合度，爰應充分瞭解金融消費者相關資料、適合度應考量之事項及其他應遵循事項等，且相關事項依金保法第 12 條規定須納入金融服務業內部控制及稽核制度，並確實執行，故本項應可認為個資法第 8 條第 2 項第 2 款所稱之法定義務，得免為告知。

……【結論】

●

個資法的精神在避免人格權受侵害，並促進個人資料的合理利用。

保險公司需遵守設定特定目的、經過當事人同意締結契約而蒐集個人資料，以及履行告知義務三個要項。

保險公司不論從避免個資外洩的角度，或達到未來合理利用的目的，一旦遭到質疑，都要提出合法蒐集、處理、利用的證明，

即使過去也會銷毀個資，現在則要做到隨時可以拿來被外界檢視的程度，

即「使用紀錄、軌跡資料及證據保存」，也就是把「內規檯面化」。

●

曾經有保戶擔心個資被濫用而向保險公司要回簽約時提供的身分證影本，而保險公司因為擔心個資外洩早已將文件銷毀，但卻提不出銷毀證明而使後續處理橫生枝節。

在條文中載明與保戶合意銷毀，不但讓提供個資的保戶更安心，也可減少保險公司的法律風險。

個資法實施後，保險業勢必要更加強內稽內控機制，各公司可以利用這個機會重新檢視行政流程，讓內控機制更嚴謹。