序言
保密信息保护一直是雇主面临的棘手问题。员工在工作过程中必须获得公司文档的访问权限,这些文档通常包含宝贵的专有信息,例如客户数据、商业秘密、销售、营销、运营、财务或个人数据。在当今信息普遍以数字方式存储的环境下,员工错误下载、泄露和/或滥用此类信息的风险很高——尤其是因为此类未经授权的行为可能涉及在几秒钟内访问和传输大量数据。
那么,雇主应该如何保护其保密信息呢?这必然是一项多管齐下的努力。从雇佣法的角度来看,雇佣协议中应该对保密信息的定义、访问、保留和使用提供充分的合同保护。从数据保护的角度来看,应该制定强有力的数据管理政策和做法,以限制对敏感数据的访问并监控其使用。
上述问题和实际问题在新加坡高庭审理的 Hayate Partners Pte Ltd v Rajan Sunil Kumar [2025] SGHC 41案中得以凸显。该案原告是一家金融机构,被告是其员工,该员工访问并下载了该机构的大量文件,并在雇佣关系终止后仍保留这些文件。原告成功控告被告违反了合同和衡平法下的保密义务。
法庭的判决明确了合同与衡平法之间的相互作用,包括法庭是否可以在雇佣协议规定的保密义务之外,施加额外或更广泛的衡平法保密义务。该案的事实也揭示了与云存储和信息技术(“IT”)安全政策相关的实际问题。
本动态提供了法庭判决的摘要,并重点指出了希望保护公司文件和保密信息的企业所应关注的核心要点。
简要事实
原告根据一份雇佣协议聘用被告担任投资者关系主管。该协议要求被告联系并接触潜在投资者。雇佣协议第6条要求被告在终止雇佣关系时将所有文件和信息交还原告,并禁止使用和披露原告的保密信息。
原告实施了一套IT安全指南,禁止员工将原告的信息转发和下载到其个人账户和设备。该指南还将访问原告信息的权限限制在公司配发的个人电脑和预先注册的个人移动设备上。尽管存在这些限制,被告仍使用其个人设备访问并下载原告谷歌云端硬盘上的文件,并否认曾被告知IT安全指南。他声称原告知悉其使用个人设备访问公司文件,并且不反对其访问。
被告提出辞职后,原告对其活动进行了审计,发现被告访问并下载了谷歌云端硬盘中的大量文件(据称是下载到其个人电脑中),并在其离职后仍保留了这些文件。这些文件包括投资策略、业务发展和客户相关材料(包括客户个人数据)、与业务运营相关的资料以及法律咨询。因此,原告对被告提起诉讼,指控其违反了合同保密义务和衡平法保密义务。
高庭的认定
法庭基本支持原告的立场,认为:(i) 被告在雇佣关系终止后违反合同第6条的规定保留保密文件,违反了合同保密义务;(ii) 被告访问、下载文件并在雇佣关系终止后仍保留这些文件,也违反了衡平法保密义务。
在判决理由中,法庭就合同保密义务与衡平法保密义务之间的相互作用,阐述了以下原则:
- 即使双方合同中已有明确的保密义务,衡平法也可以介入,强制施加保密义务。
- 为确定是否应当施加额外或更广泛的衡平法保密义务,法院将采用两步调查法。
- 如果合同规定了哪些信息应被视为保密信息,及/或相关保密义务的范围和/或期限,则衡平法通常不会施加额外的义务。
- 然而,如果不施加额外或更广泛的义务,有违理性人的良知,则可能需要偏离上述通常原则。
根据这些原则,法院认为,雇佣协议第6条并未明确禁止为非工作相关目的访问和下载信息。尽管如此,法庭认定,这些义务由衡平法施加,因为如果被告没有被衡平法施加这些义务,有违理性人的良知。
基于事实,法庭认定被告违反了衡平法保密义务。
- 被告访问和下载的信息具备必要的保密性质,并且是在负有保密义务的情况下传输的。
- 被告未能证明其访问和下载保密信息不违背其良知。特别是,对被告所称其下载原告谷歌云端硬盘中全部信息只是为了查找自己的工资单这一说法,法庭不予理会。
有关法庭判决的法律依据的更多详细信息,请参阅我们 2025 年 5 月的法律动态,题为“雇佣背景下的保密文件——法庭阐明了合同保密义务与衡平法保密义务之间的关系”。
对数据保护的意义
该案展现了许多雇主在向员工提供保密数据时面临的风险。具体而言,被告能够访问和下载大量敏感数据,原因包括但不限于以下情况:
- 被告被授予访问原告谷歌云端硬盘的权限,且该权限不限于访问仅与被告本人有关的文件;
- 被告能够自由地将原告谷歌云端硬盘中的数据下载到其个人设备上,且似乎没有任何要求下载到公司配发设备上的限制;以及
- 原告的IT安全指南是否已充分告知被告,以及是否已纳入雇佣协议,存在疑问。
当今雇主面临的严峻现实是,保密信息一旦被窃取,就如同脱缰的野马。减轻损失、试图阻止保密信息被未经授权地继续传输或使用,以及/或者通过提起法律诉讼寻求赔偿、要求归还/销毁文件或获得禁止其使用的禁令等补救措施,可能既繁琐又昂贵。因此,雇主首先应确保其制定了足够完善的IT政策和流程,以防止未经授权访问或下载保密信息。这可能包括以下措施:
- 根据每名员工工作范围的需要,限制对保密信息的访问;
- 实施防止将文档传输到个人设备的规程;
- 监控数据的访问和下载,并对未经授权的传输发出实时警报;
- 制定全面的IT安全政策,并确保将该政策纳入雇佣协议;以及
- 定期对员工进行IT安全和数据保护重要性的培训。这不仅是为了提高员工的意识和教育水平,也是一种防御措施,以防止员工事后声称他们未被告知此类政策且在不知情的情况下有所行动。
从监管角度来看,上述措施也很重要。该案中被告获取的信息包括客户的个人数据。各机构应意识到,根据2012年个人数据保护法,他们有严格的义务采取合理的安全措施来保护其持有的个人数据,防止未经授权的访问、使用和披露。此类措施的执行疏漏可能会使机构面临监管后果。
对雇佣协议的意义
在该案中,法庭运用衡平法原则,对员工施加不得为非工作目的访问和下载保密信息的义务,以追究被告员工的责任。然而,雇主不应让法庭介入填补雇佣协议的空白。清晰、全面地定义保密义务,将大大有助于提高确定性和对相关数据的保护。
因此,雇主应始终努力全面阐明并列明员工的合同保密义务,以防止任何未来纠纷。这应包括以下内容:
- 哪些信息被视为保密信息或商业秘密;
- 员工可以或不可以对此类信息进行哪些操作的规定;
- 员工处理此类信息时所受的限制,例如与访问、使用、披露、下载、传输和保留此类信息相关的限制;
- 此类限制的范围,包括其程度和期限;以及
- 违反合同保密义务的后果——包括在合同中规定员工须赔偿雇主因其不当行为而需要进行的任何后续调查所产生的所有法证和人力成本。
雇主还应确保制定全面的政策,列明保密信息的访问权限、访问和使用流程以及对此类信息的限制。这些政策应通过员工培训定期告知所有员工,并应尽可能纳入雇佣协议。
结语
信息往往是企业的命脉,公司必须确保其保密信息得到妥善保护。在确保此类保密信息免受外部入侵的同时,其内部使用也必须得到充分管理。
保密信息的保护,尤其是在数字时代,需要采取多方面的措施。立杰律师事务所的雇佣和数据保护业务团队由顶级律师组成,他们不仅精通各自领域,而且能够与雇主无缝合作(通常跨司法管辖区),评估并降低您的业务运营风险,避免未经授权的数据泄露或保密信息滥用。
如有任何疑问,请联系本页列出的团队成员。
Disclaimer
Rajah & Tann Asia is a network of member firms with local legal practices in Cambodia, Indonesia, Lao PDR, Malaysia, Myanmar, the Philippines, Singapore, Thailand and Vietnam. Our Asian network also includes our regional office in China as well as regional desks focused on Brunei, Japan and South Asia. Member firms are independently constituted and regulated in accordance with relevant local requirements.
The contents of this publication are owned by Rajah & Tann Asia together with each of its member firms and are subject to all relevant protection (including but not limited to copyright protection) under the laws of each of the countries where the member firm operates and, through international treaties, other countries. No part of this publication may be reproduced, licensed, sold, published, transmitted, modified, adapted, publicly displayed, broadcast (including storage in any medium by electronic means whether or not transiently for any purpose save as permitted herein) without the prior written permission of Rajah & Tann Asia or its respective member firms.
Please note also that whilst the information in this publication is correct to the best of our knowledge and belief at the time of writing, it is only intended to provide a general guide to the subject matter and should not be treated as legal advice or a substitute for specific professional advice for any particular course of action as such information may not suit your specific business and operational requirements. You should seek legal advice for your specific situation. In addition, the information in this publication does not create any relationship, whether legally binding or otherwise. Rajah & Tann Asia and its member firms do not accept, and fully disclaim, responsibility for any loss or damage which may result from accessing or relying on the information in this publication.
