毫无疑问,现在社交媒体隐私问题也存在于工作场合。为了给该领域提供更多的指导和立法规范,从2012年4月起,美国越来越多的州立法机构通过了各种形式的社交媒体隐私立法。事实上,到目前为止几乎所有的州立法机构,还有美国国会,都考虑过或者正在考虑某种形式的社交媒体隐私立法。
这些新的社交媒体法律对现存的商业秘密法律有什么确切的影响现在还不清楚。让此事更复杂的是,关于社交媒体内容所有权的“公司诉雇员”的相关司法判决已经与几个最近生效的隐私法律发生了直接冲突,因为这些社交媒体内容可能会构成可保护的商业秘密,包括联系人名单和商业关系。而且,还很少有法院就任何新的社交媒体隐私法作出解释。
基于这样的不确定性,以下本文就最近几个涉及社交媒体问题的商业秘密案例作出总结,同时根据目前可获得的有限信息为雇主提供几个建议。
商业秘密的定义——简单总结
简单来说,根据在48个州生效的《统一商业秘密法》,信息和数据在属于秘密且所有人将其作为秘密保护的情况下就可以获得法律保护。尽管对于信息是否属于可保护的商业秘密没有明确界限,在下列情况下该信息可能会被认为是可保护的:投入了大量的时间、努力、成本,为所有人创造了经济效益;在相关产业中并非广为人知;不能通过合法手段容易获得;不能在没有显著的开发努力和成本的情况下被独立进行反向工程操作。经验显示,在很多案件中,被告在偷窃所谓的商业秘密时所采用的手段越异乎寻常,法院就越可能会认为被窃的数据是商业秘密。不仅仅是为了惩罚,而是因为雇员的偷窃和之后对窃来数据或信息的应用本身就表明:(1)被窃信息的独立的经济价值;以及(2)该信息不能被公开获得。
如果所有人采取积极措施来避免信息未经许可而泄露,包括但不限于,不得泄露、限制性使用、强制返还协议、保密印章、内部有限分发、接触许可以及电脑的密码保护,那么该信息就属于被作为秘密保护。这些措施仅需要是“根据具体情形合理的”,并不要求“绝对”的秘密性。
新法律对账户内容所有权的潜在影响
这些新的隐私法律似乎对于公司及其前雇员之间涉及后者的社交媒体关系(比如LinkIn联系人)的商业秘密所有权诉讼产生了影响。比如在PhoneDog诉NoahKravitz和Eagle诉Morgan两个案件中,法院认为公司的推特订阅(PhoneDog)和雇员的LinkedIn账号(Eagle)可能属于雇主,因为雇主在开发和维持这些账户时先投入了时间和成本。后在ArdisHealth有限责任公司诉Nankivell一案中,法院进一步判决雇主拥有雇员的账号内容,因为劳动协议中有明确规定。
但是随着社交媒体法律的逐步制定,雇员有没有一些依据,特别是在个人和非个人账户并无清晰界限的州中,可以用来主张社交媒体关系属于他们呢?商业秘密案件中的雇员可以辩称新的法律也意味着他们在某种程度上对自己的社交媒体账户拥有所有权,即使他们有时候利用这些账户去宣传他们雇主的业务。
新法律是否会影响商业秘密案件中的保护性措施分析
有些人称,即使雇主审查了雇员的社交媒体活动和任何相关的数据盗窃,雇主仍然会因为所谓的未能采取“合理”措施保护其秘密而丧失商业秘密保护。想一想《统一商业秘密法》第1(4)(ii)条,商业秘密所有人必须“根据具体情形采取合理的措施来维持信息的保密性”。“具体情形下的合理措施”这个要求经常是商业秘密诉讼中的关键争议问题——所有人称其采用了合理措施,而偷窃嫌疑者则称原告在处理其所谓的秘密时过于随意。根据新的法律,问题是,能够审查雇员涉嫌偷窃涉及社交网络账户的数据而没有审查的雇主,是否属于未能采取“合理措施”保护数据的秘密性。
一方面,公共领域的信息,或者成为相关行业所广为人知的信息,通常会失去其商业秘密地位,比如NewarkMorningLedger公司诉新泽西州Sports&ExpositionAuthority一案。类似的,信息所有人故意披露给接受者但没有附加保密义务的话,这样的信息就很有可能会失去秘密保护,比如Seng-TiongHo诉Taflove一案。雇员将其雇主的保密信息上传至其社交网络账户也很可能会使该数据失去商业秘密保护,尤其是在雇主根据所适用的州隐私法律有权审查雇员账户但却不知什么原因没有规定禁止这种社交媒体活动的情况下。
另外一方面,保持商业秘密并不要求“绝对的”秘密,只需为维持保密性而采取合理措施,比如AvidairHelicopterSupply公司诉劳斯莱斯公司。确实,很多隐私法律的两个相关特征是:(1)雇主免予审查涉嫌不当行为的义务(密歇根州和犹他州);(2)雇主没有监控雇员账户活动的职责(同上)。有这些豁免权的雇主可以列举这些法条来反驳那些认为雇主必须审查雇员账户数据相关偷窃的说法,以免失去此等数据的法定保护。
建议
工作场合社交媒体隐私问题还继续存在,我们希望看到更多的诉讼和立法来为这个领域的实践提供更多规范。就像上述内容显示的,想要区分个人还是商业拥有信息所有权是很难的。考虑到这样的不确定性,雇主至少应该采取以下措施:
判定你的公司是否有雇员处于已经采纳或者计划采纳社交媒体隐私法律的州。
审查现存的公司规定和协议中有关雇员以商业目的使用社交媒体和电脑资源的内容,确保这些规定和协议的内容明确了这些账户的所有权和接触权。
公司的社交媒体规定应该严密细致,同时还要举例说明受保护的保密信息。
考虑是否要禁止非商业目的使用公司社交媒体网站,还有其他可能存在问题但也可能获得州法律保护的互联网网站,比如文件共享和网络邮件网站。
对公司的社交媒体保密规定和协议进行反复的培训,同时还要评估公司的电脑网络,以减少雇员不当行为、侵犯网络安全的事件的发生几率。提醒雇员注意:工作场合中适用的保密规定和协议也适用于其社交媒体活动中。
带上自己的设备的规定与数据安全和雇员隐私两者之间,评估前者的好处是否大于后者的风险。评估一下让雇员利用自己设备的好处是否会大于公司数据安全和雇员隐私面临的风险。(编译自ipwatchdog.com)