一、云环境下商业秘密新特征
云环境下商业秘密表现出了新的特征。虽然商业秘密的种类没有发生变化,但是其表现形式发生了变化,如在 IaaS 模式下,商业秘密表现为存放在云端的用户虚拟机等硬件中一切涉及商业秘密的技术信息与经营信息。云环境本身的开放性、数据的分布式存储结构特性和云计算资源的共享性也增加了商业秘密泄露的风险。2014 年 Verizon公司在一份研究报告中指出,近一半的商业秘密泄露的发生都与现任或者离任的员工有关,尤其是在制造业、金融业等领域更为突出。以 2010 年的 Sasqua Group v. Courtney 案为例,猎头公司 Sasqua 起诉前员工 Lori Courtney 窃取其数据库中客户信息,并在跳槽后利用这些信息接触客户,这些保密信息包括客户的简历、客户关系等内容。
云计算应用的普及和频发的商业秘密侵权事件都说明了保证云端商业秘密的安全十分重要。
二、云环境下商业秘密的保护
云环境下商业秘密的保护需要云服务提供商与用户通力合作。谷歌在“Cloud Next”大会上展示了其云安全战略,重申了云环境下企业应在商业秘密保护方面承担责任,认为原有的由云服务提供商负责数据中心的物理安全、由企业客户负责应用和数据的安全防护格局应该改变。云服务提供商应努力建立用户的信任,以完备的安全措施说服用户将商业秘密放在云端。以国外主流云服务商的实践为例,建立起云环境下商业秘密的安全保障可以从以下两个方面努力:
1规范化服务打造“可信云”
为了确保云服务的安全性和可靠性,微软投入大量人力物力来构建自身“可信云(Trusted Cloud)”的框架,该框架包括安全、透明、隐私保护与合规四个方面。在雇佣数以千计的律师、分析师在 100 多个国家跟踪分析当地法规政策外以确保提供的云服务合规之外,微软还在全球多地开设数据中心来保护客户的商业秘密。技术的安全性和规范性、服务条款的透明性使微软成为了目前获得全球许多国家认证最多的云服务商。
亚马逊在 2017 年推出了“AWS 秘密区 域 (AWS Secret Region)” 服 务, 该 服务符合多种合规要求,包括美国国家标准与技术局特别出版物 800-53 第 4 版——对联邦信息系统和组织的安全与隐私控制规定。“AWS 秘密区域”服务主要面向美国的情、报机构和第三方承包商,其规范化程度已经足够打消政府在数据存取和取用过程中的种种安全顾虑。
2、主动参与标准化建设,构建事实标准
商业秘密的安全隐患是云服务在企业应用中的一大阻碍,客户只有在确认将商业秘密存放在云端足够安全时才会启用云方案。为进一步推广云服务的应用,美国政府通过《联邦云计算计划》、《联邦风险和授权管理计划》等确保云计算服务满足信息安全要求,建立统一、可靠的云计算服务。近年来众多从事标准化建设的国际组织也纷纷启动了云计算相关的标准化建设,如国际标准化组织、分布式管理任务组等。
除了积极参与各国际组织的标准制定之外,许多处于技术领先地位的云服务提供商也开始利用自己的先发优势制定并推广事实标准。如 IBM 联合 VMWare、Sun和 AMD 等公司共同签署了“开放云计算宣言”,提出了开放云计算方面的若干原则,对业界公认的、市场实际接纳的技术标准进行正式的声明,在维持自身的市场领先地位的同时也为云计算的安全性和互操作提供了保证。
标准化已经成为业界的共识,更完善的标准体系和云计算安全评估认证体系才能使云服务商的责任更加明确,帮助客户应对新技术环境对商业秘密保护的冲击。
对于商业秘密领域,云计算的推广是一把双刃剑。云计算独特的技术特征和便利性决定了企业在采用云服务方案的同时必须承担一定的商业秘密泄露风险。在企业用户自身的网络信息安全防范措施之外,云服务提供商在商业秘密保护上应积极推进云安全的标准化进程,协助标准化组织制定行业标准并构建事实标准,确保云服务的合规性和安全性,构建云安全新生态。