【摘要】虽然将商业秘密上传或者储存于“云”中,通常并不会导致商业秘密失去秘密性和保密性,但是,由于云计算软硬件和网络技术的缺陷以及商业道德风险,用户的商业秘密仍存在被窃取、篡改或者破坏等安全问题。因此,用户需要从加强保密意识、增强保密技术、签订保密合同、谨慎选择云服务商等入手,加强商业秘密保护。
【关键词】云计算;商业秘密;安全;保密
【全文】
随着云计算技术的发展和云计算商业模式的普及,涉及云计算的知识产权问题正日益引起人们的重视。就商业秘密保护而言,云计算有利亦有弊。例如,在“软件即服务”(Software as a Service)模式中,由于云服务商对用户只是提供服务接口,并不将软件出售给用户,故能有效防止用户或者竞争对手通过对软件实施反向工程来获取软件中包含的商业秘密⑴;在“云存储”(Cloud Storage Service)中,由于用户将商业秘密存储于“云”中而不是存储在本地存储设备上,故能有效避免因本地存储设备意外损坏、被盗而导致的商业秘密毁损、灭失风险[2]。不过,由于无论哪种模式,用户都需要或多或少地将其数据上传或者储存到“云”中,而在上传或者储存过程中,数据中的商业秘密都有可能被网络黑客或者云服务商窃取或者恶意散布,故用户数据的安全问题是云计算服务能否获得用户信赖的关键问题。本文的目的,即在于对云计算模式下用户商业秘密的保护问题作一探讨,以期拋砖引玉。
一、云计算与云服务
对于云计算(Cloud Computing),目前尚无统一的定义[2]。美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)认为,云计算是一种无处不在的、便捷的且按需使用的对共享的可配置的计算资源(如网络、服务器、存储、应用和服务)进行网络访问的模式,它能够通过最少量的管理或者与云服务商的互动实现计算资源的迅速供给和释放[3]。在国外,有人把云计算定义为通过互联网使用计算服务,有人把云计算定义为云存储及其他计算服务[4];在国内,有人认为云计算与 web2.0或3.0,与“软件即服务”和“产品即服务”等术语的含义相近[5]15-18;还有人认为,云计算作为一种软件或服务提供行为,是以网页浏览器的方式通过远程服务器中的软件来执行某些应用功能,其应用成果既可以存储于远程服务器上,也可以下载到用户本地计算机上[6]84-95。从技术上来讲,云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机技术和网络技术融合发展的产物从用户体验来讲,用户不需要购买进行计算所需的全部计算机硬件和软件,仅需拥有必要的终端设备,即可按时按需获取云服务商提供的各种服务,就像只要打开开关就能按需使用水、电和煤气那样;而且,在部署和运行时,用户无需为服务器、操作系统、网络和存储等资源的管理及维护操心,这些繁琐的工作都由云服务商负责,从而使用户免去高昂的软硬件购买及维护成本,能快速展开运用[8]。
目前,云计算服务主要有三种模式:软件即服务(Software as a Service),平台即服务(Platform as a Service)和基础设施即服务(Infrastructure as a Service)。在“软件即服务”中,用户只需将其终端设备连接上“云”,即可通过浏览器使用在云端上运行的各种软件,而不需在自己的计算机上安装这些软件。“软件即服务”的用户主要是普通用户,常见如在线查毒杀毒、在线文档制作,等等。在“平台即服务”中,云服务商将软件开发平台作为服务提供给用户,用户可以在一个包括软件开发工具包(Software Development Kit,简称SDK)、相关文档和测试环境等在内的软件开发平台上编写应用程序,如 Windows Azure Platform等,其用户主要是软件开发人员。在“基础设施即服务”中,云服务商向用户提供的是电脑基础设施和虚拟设备等,用户无须购买服务器、软件、网络等设备,即可任意部署和运行处理、存储、网络和其它基本计算资源,以及部署与执行操作系统或应用程序等各种软件。“基础设施即服务”的主要用户是系统管理员,主要产品如IBM公司的Blue Cloud等。
二、云服务中用户商业秘密的秘密性和保密性问题
所谓商业秘密,是指不为公众所知悉,具有价值性和实用性,并经权利人采取保密措施的技术信息和经营信息,如产品配方、生产工艺、操作技巧、市场营销计划、客户名单、高级员工薪酬等。虽然商业秘密的法律保护没有期限限制,但是,其一旦被公开,将永远失去秘密性,故秘密性是商业秘密最核心的特征。无论是在本地计算还是云计算中,在法律没有就云计算的商业秘密保护有特别规定的情况下,法律对商业秘密的保护力度是一致的,或者说,商业秘密的本质是一致的,法律对商业秘密的保护,都需要有关信息具备秘密性、价值性、实用性和保密性四个特征,只不过对商业秘密特征的认定,对权利人保密措施的要求,以及侵权人侵犯商业秘密的方式,可能与传统环境有所不同而已。
就商业秘密保护而言,目前学界有夸大云计算的危险的倾向。从目前国内外的期刊文献来看,云计算的安全问题俨然成为云计算的主要问题。有人甚至提出“是否只要将商业秘密储存到云中,就将失去秘密性”、“如果云服务商按照政府的要求向政府有关部门提交商业秘密,是否丧失秘密性”[9]7-11之类的问题。其实,提出这样的问题是因为对商业秘密之秘密性特征存在误解。
所谓秘密性,是指有关信息不为同一行业内的大多数人所知悉,这些人如果想要获取并知悉这些信息,必须经过较大的努力,花费较多的时间和精力才行,有且只有这样的信息才值得作为商业秘密来保护。如果某一信息是同一行业内大多数人都知道的,或者虽然不知道,但是通过正当途径可以很容易地获取并知悉,则无秘密性可言,法律也没必要保护这种“公知的”信息或者很容易变成“公知”的信息。因此,即使某一商业秘密已经被权利人之外的其他人所知悉,只要其仍为同一行业内的少数人所知,而大多数人通过正当途径仍不容易获取并知悉,则仍具有秘密性。例如,美国法院在认定秘密性时着重考虑以下六个因素:(1)在权利人之外,有多少人知悉;(2)在权利人的员工中,有多少人知悉;(3)权利人采取的保密措施的严密程度;(4)信息对权利人及其竞争对手的价值;(5)权利人创造信息所花费的时间、精力和金钱;(6)其他人合法获取或者复制信息的难易程度{1}。可见,秘密性所强调的是同一行业内大多数人不容易获知之标准。
因此,如果权利人根据合同约定将商业秘密透露给对方并要求对方承担保密义务,或者披露给自己的有限员工,都不会破坏商业秘密的秘密性。
换言之,即使商业秘密在上传或者储存过程中被网络黑客、云服务商或者竞争对手所窃取,即使商业秘密被政府部门合法或者非法地取得,只要还没有被他们披露、泄露致使商业秘密处于同一行业内的大数人都能很容易获取并知悉的状态,则仍可保留秘密性。至于网络黑客、云服务商或者竞争对手窃取、使用或者披露权利人商业秘密的侵权行为,自可追究其法律责任。
此外,还有学者提出“云端的安全措施是否可以视为用户的安全措施?”“什么样的安全措施可以被法院认定为采取了保密措施?”[9]之类的问题。其实,这些问题也不是新问题,而仍然属于商业秘密保护中的传统问题。因为无论是储存于权利人自己的存储设备上,保存于权利人自己的办公场所内,还是储存于云端,由云服务商全面管理和控制,只要权利人或者云服务商对商业秘密采取了合理的保密措施,就可认为具备保密性。
之所以对保密措施只要求是“合理的”,而不要求是万无一失的,是因为从财产权的角度来讲,商业秘密是权利人经过艰辛努力才创造出来的财产,对于这种财产,任何人都有义务不去侵犯,好比物主放在家里的财产,即使物主忘记锁上房门,任何人也不得擅自进入物主家里把它拿走一样。但是,由于商业秘密只是一种信息,与有形有体的财产在物理上可以由一个人独占不同,对于信息这种纯属意识范畴的东西,任何人都可以同时拥有而不损害其他人对信息的掌握,故信息的创造者如果想取得独占权,必须通过采取保密措施来表明其具有独占意识,并且客观上能够防止守法者通过正当途径轻易获取该信息;法律为了促进发明创造、保护创造者的劳动成果,也有必要承认信息创造者的独占权。
因此,只要权利人客观上采取了一定的保密措施,足以表明其具有保密意愿,足以防止守法者通过正当途径轻易获取其信息,则法律就应予以保护。同理,在云计算中,无论是权利人自己采取保密措施,还是云服务商根据合同约定对权利人的商业秘密采取保密措施,只要其他人能够意识到这些保密措施(比如,需要输入用户名和密码才能访问),只要这些信息不是使用搜索引擎就能轻易搜索到,都可认定商业秘密具备保密性。合理的保密措施不可能要求达到防范黑客入侵的程度,通常的输入访问密码、动态口令或者短信验证码即可。
相反,如果有关信息从公开渠道很容易获取,则难以认定采取了合理的保密措施,难以认定具有保密性。例如,在Sasqua Group inc. v. Courtney一案中,一猎头公司指控前员工从其客户数据库中窃取了客户信息,包括客户的联系方式、个人资料、与客户的联系、简历及招聘偏好等,并在跳槽后非法使用这些信息接触客户。美国纽约地区法院在审判时,着重就他人能否容易地获得这些信息进行判断。在被告证明了如何通过Google、Linkedln、Bloomberg. com、FX Week等公众云或社交服务网站进行搜索就能容易地获得这些信息之后,法院认定原告所谓客户数据库并不构成商业秘密{2}。
三、云服务中用户商业秘密面临的安全问题
如前所述,云服务中商业秘密的秘密性和保密性问题,其实并非真正存在的新问题。不过,由于云计算与本地计算毕竟有所不同,在云计算中确实存在一些安全问题。美国Gartner 咨询公司于2008年发布了一份“云计算”安全风险分析报告,认为云计算主要面临以下七类安全问题:(1)特权用户访问风险。管理数据的特权用户可能绕过监管对内部程序进行控制,从而对来自企业外部的敏感数据造成安全风险;(2)法规遵从风险。由于数据交由云服务商监管,如果其拒绝监督和审计,最终只能由用户自己对他们的数据的安全性和完整性负责;(3)数据保存位置不确定。由于云计算采用虚拟化技术以及分布式存储,无法得知数据托管于何处,云服务商可能存在的某些权限会对数据的安全造成隐患;(4)数据分离风险。由于多用户数据一起保存在一个共享的云环境中,因此需要保证数据间的隔离,加密虽然是一种有效的方法,但可能对数据的可用性造成影响;(5)数据恢复风险。在发生灾难的情况下,云服务商能否对数据和服务进行完整的恢复,也会影响到数据的安全性;(6)调查支持风险。因为多用户的日志文件和数据可能存放在一起,也可能散落于不断变化的主机和数据中心内,所以不太可能对云计算环境中的不适当行为或者违法行为进行调查;(7)长期可用性风险。当云服务商破产或者被收购时,如何确保数据仍然可用也是一个突出的安全问题[10]。国内外也有多篇论文对云计算的安全问题进行了探讨[11]12-14;[12]68-69。就商业秘密保护而言,用户的商业秘密可能面临如下风险。
首先,无论是哪种服务模式,用户都需要使用云服务商提供的软、硬件及网络,而从云计算的技术特性来看,这些软件、硬件及网络有可能导致数据泄露、丢失或者破坏,从而使用户的商业秘密面临泄露或者毁损风险。其一,云计算的硬件系统容易造成信息失密。由于计算机硬件是由各种电子线路、电子器件设备构成的,因此,计算机内的信息可以通过电磁波形式泄漏出去,而电话线、微波、光缆等外部网络通信线路也容易遭受物理破坏或者被人截获、监听,网络规模越大,通信线路越长,这种技术盲点也就越多,导致黑客可以借助并不复杂的设备在一定区域范围内拦截网络信息,从而造成信息失密。其二,云计算软件系统存在技术缺陷,因为计算机操作系统的设计一般着重于提高信息处理能力和效率,对于安全仅仅只是作为一项附带条件加以考虑,因而必然存在一些容易被黑客发现的系统漏洞,尤其是像Google Chrome这样的,非常小巧并且开放原始码、其资料和应用程序都储存在“云”中的操作系统,更容易出现系统漏洞[13]39-47。
其次,无论是哪种服务模式,用户都需要或多或少地向“云”中传输或者储存数据,而在传输或者储存过程中,这些数据都可能被网络黑客、竞争对手等人恶意窃取甚至篡改、删除、破坏,而用户的商业秘密落入网络黑客或者竞争对手手中之后,将面临被传播、公开或者毁坏的风险。所谓黑客,是指未经计算机系统所有人明示或默示许可,利用系统安全漏洞侵入计算机系统的人,其擅自侵入行为则被称为黑客行为,侵入工具如通过网络散布的各种病毒程序等。由于现有网络技术无法彻底根除技术漏洞,故给黑客以可乘之机。他们利用网络嗅探技术寻找云计算系统的软、硬件缺陷,取得云计算系统的控制权,利用计算机网络的漏洞窃取权利人的商业秘密,牟取不当经济利益,具有侵权形式多样化、侵权客体扩大化数据化、侵权对象性质双重化、侵权行为手段智能化隐蔽化、侵权后果严重化复杂化等特点。一旦云服务商无法确保数据不会遭到非法存取,黑客就会利用阻断服务、边界闸道协定、DNS以及安全连接口层等方式侵入云计算数据库,造成存储在“云”中的数据信息外泄,包括信用卡卡号、登入账号密码、网银资料、财务资料和交易记录等[13]39-47。
再次,由于技术力量的差异以及用户数据大多储存于云服务商的服务器里的事实,云服务商的工作人员一般比用户更能控制用户的商业秘密,而云服务商的工作人员可能出于私利,违背合同约定和职业道德,擅自窃取、使用或者披露权利人的商业秘密,致使商业秘密面临着比用户自己保管和控制时更多的风险。加之“铁打的营盘流水的兵”,云服务商工作人员的频繁跳槽无疑将加剧这种风险。
此外,在云服务合同终止之后,云服务商是否及时删除储存于其服务器上的用户的商业秘密信息,是否允许用户将其商业秘密数据迁移于其他云服务商的“云”中[14]60-64,对于用户而言无疑也是一个风险;在云服务商破产倒闭或者被收购等情况下,用户商业秘密的保护也会存在问题;而如何避免储存于“云”中的商业秘密被云服务商用作分析、评价甚至打包销售,一旦发生侵权如何规制?如果商业秘密存储在云服务商位于国外的网络设备中,那么侵权和泄密又应当依据哪个国家的商业秘密法案来进行判断,等等,都是亟待解决的问题[15]38-42。
四、云服务中用户对商业秘密的保护措施
针对云计算服务的特点,用户有必要采取相应措施来加强对商业秘密的保护。
第一,加强商业秘密保护意识,对公司员工特别是关键员工实行专项培训,让他们掌握商业秘密的构成要件,知道公司商业秘密的种类和范围,了解云计算环境下商业秘密被窃取、破坏、传播的常见技术手段,了解黑客窃取用户数据的技术原理和方式方法,了解常用的有效的保密措施。相应地,对商业秘密采取相应保护措施。例如,制作公司商业秘密的清单,区分秘密等级,针对不同密级采取不同的保密措施。对于非常重要、极其核心的商业秘密,不能上传至“云”(或网盘、空间)中,不能通过QQ或电子邮件传送,甚至不能在联网的计算机上使用、编辑或存储;对于担心被人窃取或利用的商业秘密,也尽可能不要上传至网上或者“云”中,尽量不要在联网的计算机上编辑和存储;对于上传或储存于“云”中的商业秘密,及时做好备份和数据加密等措施,以及与云服务商及其员工签订保密协议;禁止员工在QQ、微博及其他各类社会网站上谈论或提及公司的商业秘密;等等[16]60-64。此外,为了了解商业秘密是否已被窃取,可经常通过技术手段在网上搜索,做好“反侦查”工作。
第二,尽可能采取高端、严密的加密保密技术手段。尽管法律对保密措施的要求非常低,只要求“合理”即可,但是,低端的保密措施无疑难以防止别有用心的人通过技术手段窃取商业秘密,而一旦商业秘密被人窃取,就意味着商业秘密被非法利用、披露或公开的风险加大,因而,权利人有必要尽可能采取高端严密的保密措施[17]83-88。对此,除了尽可能采用安全可靠的计算机硬件及操作系统之外,可借鉴网上银行或者电子商城等的做法,既有用户名和密码,又有U盾和动态口令卡,还有短信验证等保密措施。例如,如果想通过建设银行网上银行汇款转帐,用户首先需要到银行柜台实名开户,购买U盾,设置密码,并开通短信验证;而其他人要想非法盗划持卡人帐户内资金,则必须知道持卡人的身份证号、网银和U盾的登录密码,取得持卡人的U盾和手机卡才行。当然,采取这么严格的保密措施需要取得云服务商的配合,由于越严密的保密措施其实施成本越大,故云服务商一般不愿意主动配合,特别是那些“免费”向用户提供云服务者。
第三,加强合同保护。由于在云计算服务过程中,云服务商对用户商业秘密的控制能力加大,甚至完全掌握着用户商业秘密的安全,例如,云服务商可能故意删除储存于其服务器上的数据,可能更改、破坏这些数据,可能在发现数据正在被黑客或者第三人收集或者有被收集的风险而不及时通知用户,故用户有必要与云服务商签订内容详尽严密的云服务合同。约定用户商业秘密的种类和范围,约定保密措施的种类及严密程度,约定云服务商的通知义务,约定合同履行的监督保证,约定违反合同的法律责任。比如,约定惩罚性损害赔偿等[18]33-39明确云服务商接触用户商业秘密的权限和人员,明确云服务商可否将有关服务工作转包给第三方,明确云服务商在合同终止后对用户商业秘密数据的返还或者删除义务,明确云服务商应及时有力地追究侵权员工的法律责任;等等。由于侵犯商业秘密大多由能够接触这些商业秘密的公司员工实施,故除了与云服务商公司签订合同之外,还有必要与这类员工签订保密合同,明确这类员工违反合同窃取、披露、使用或者允许他人使用权利人商业秘密的违约责任及侵权责任[19]。
第四,谨慎选择云服务商。“徒法不足以自行”,一纸再好的合同,如果对方不守信用,致使自己惹上官司,也不是好事,故在签订合同之前,有必要进行必要的调查工作,尽可能选择商业信誉良好、经济实力雄厚、技术水平较高和保密措施较严的云服务商。例如,当有能够提供加密传输HTTPS (安全超文本传输协议,Hypertext Transfer Protocol over Secure Socket Layer)的云服务商时,就不要选择仅提供普通传输HTTP (超文本传输协议,Hypertext Transfer Protocol)的云服务商,HTTPS 是由 SSL (Secure Socket Layer)+ HTTP协议构建的可进行加密传输、身份认证的文本传输协议,HTTP则是普通的超文本传输协议,在HTTP中,信息是明文传输的,没有被加密,故HTTPS远比HTTP安全。由于使用HTTPS需要向第三方付费,故出于成本的考虑,许多云服务商都不愿意向用户提供 https,尤其是在向用户提供“免费”云服务的情况下。
【注释】
[1] Christopher Soghoian. Caught in the Cloud-Privacy, Encryption and Government Back Doors in the Web 2.0 Era [J]. Telecomm.& High Tech,2010,(8).
[2]Jared A. Harshbarger. Cloud Computing Providers and Data Security Law: Building Trust With United States Companies [J]. Tech. Law.& Policy,2011,(16).
[3]Evelyn Brown. Final Version of NIST Cloud Computing Definition Published, NIST (Oct.25,2011)[EB/OL].//www>. nist. gov/itl/csd/cloud -102511.cfm.
[4]Naqeeb Ahmed Kazia. An Overview of Cloud Computing and its Legal Implications in India [J]. Computer & Telecomm. Law Review,2012,(18).
[5]张建勋.云计算进展综述[J].计算机应用,2010,(2).
[6]梁志文.云计算,技术中立与版权责任[J].法学,2011,(3).
[7]陆建伟.云计算网络资源调度难点分析及解决方案
[J].科技信息,2011,(15).
[8] Konstantinos K. Stylianou. An Evolutionary Study of Cloud Computing Services Privacy Terms [J]. Marshall J. Computer & Info,2010,(27).
[9]高富平.“云计算”的法律问题及其对策[J].法学杂志,2012,(6).
[10]Jon Brodkin. Gartner: Seven Cloud-Computing Security Risks,InfoWorld (July 2,2008)[EB/OL].//www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853>.
[11]李振汕.云计算安全法律风险分析[J].网络安全技术与运用,2012,(6).
[12]孙松儿.云计算环境下安全风险分析[J].网络与信息,1,2012,(6).
[13]周昕.云计算时代的法律意义及网络信息安全法律对策研究[J].重庆邮电大学学报(社会科学版),2011,(4).
[14]罗先觉,尹锋林.云计算对知识产权保护的若干影响[J].知识产权,2012,(4).
[15]唐春.基于云计算模式特点的知识产权保护新问题探讨[J].电子知识产权,2011,(12).
[16] Joshua Gold. Protection in the Cloud: Risk Management and Insurance for Cloud Computing[J]. Internet Law, 2012,(12).
[17]李静.印度信息技术立法的发展与特色[J].暨南学报(哲学社会科学版),2012,(11).
[18]胡充寒.论惩罚性损害赔偿在合同责任中的适用[J].暨南学报(哲学社会科学版),2012,(4).
[19]Cass W. Christenson. Top Lawyers on Trends and Key Strategies for the Upcoming Year Insurance Coverage Regarding Data Privacy, Cloud Computing and Other [J]. Insurance Law,2011,(2).
【参考文献】
[基金项目]教育部人文社会科学研究规划基金项目《云计算知识产权问题研究》(批准号:12YJAZH116);
上海市软件和集成电路产业发展专项资金项目《云计算产业法律政策保障研究》[批准号:沪经信信(2012)698号];上海交通大学文理交叉专项基金重点项目《云计算知识产权问题研究》(批准号:1UCZ04)。
{1}Ashland Management Inc. v. Janien, 82 N. Y.2d 395,407,604,N. Y. S.2d 912,624 N. E.2d 1007,(1993).
{2} Sasqua Group Inc. v. Courtney, No. CV 10-528(ADS)(AKT),2010 WL 3613855, E. D. N. Y. Aug.2,(2010).