文/董穎/中國惠普有限公司

對(duì)于云計(jì)算(Cloud Computing)美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）給出的定義是1. National Institute of Standards and Technology.Cloud Computing Synopsis and Recommendations［EB/OL］. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf; 2012-12-14 .：云計(jì)算是一種無處不在的、便捷的、按需使用的、對(duì)共享的可配置的計(jì)算資源（如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用和服務(wù)）進(jìn)行網(wǎng)絡(luò)訪問的模式，它通過最少量的管理、最少量的與云服務(wù)商的互動(dòng)來實(shí)現(xiàn)計(jì)算資源的迅速供給和釋放。安全問題是云計(jì)算的最大障礙——根據(jù)不同的數(shù)據(jù)來源，大約60-80%的企業(yè)首席信息官（CIO）同意該判斷2.Christian Verstraete. Build and secure your complete cloud environment［EB/OL］. http://www.enterprisecioforum.com/en/blogs/christian/buildand-secure-your-complete-cloud-env; 2011-12-07 .。安全性問題是任何企業(yè)轉(zhuǎn)到云計(jì)算的關(guān)鍵問題。本文關(guān)注云計(jì)算安全問題，一方面涉及隱私和數(shù)據(jù)（信息）安全問題，另一方面關(guān)注商業(yè)秘密保護(hù)問題。

一、云計(jì)算障礙及安全問題

云計(jì)算安全問題既包括云平臺(tái)的安全，也包括云平臺(tái)上應(yīng)用的安全；既涉及技術(shù)層面，也涉及人員操作層面。關(guān)于云平臺(tái)上及應(yīng)用的安全問題，據(jù)NIST的統(tǒng)計(jì)約有92%的安全問題發(fā)生在應(yīng)用軟件層面，據(jù)Gartner的統(tǒng)計(jì)該比例則達(dá)到75%3. 同前注 2。；至于來自人員操作層面的問題，則被Cloud Security Alliance列入云安全七大威脅之一4.Cloud Security Alliance.Top Threats to Cloud Computing［EB/OL］. https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf; 2012-12-14.。

（一）隱私、數(shù)據(jù)（信息）、商業(yè)秘密

這三個(gè)概念在云計(jì)算環(huán)境下具有不同的含義，其重要性對(duì)于不同類型的用戶、不同類型的云而言而有所不同，從法律的角度來看其性質(zhì)也不同。

從不同類型的用戶來看：對(duì)于廣大個(gè)人用戶而言，其使用的往往是公有云服務(wù)，在公有云環(huán)境下，個(gè)人隱私問題顯得更為重要；對(duì)于企業(yè)級(jí)用戶，則更為重視數(shù)據(jù)安全問題，特別是對(duì)安全性要求更高的信息如財(cái)務(wù)信息、商業(yè)秘密等。

從不同類型的云平臺(tái)來看：對(duì)于公有云，一般而言服務(wù)商只能提供標(biāo)準(zhǔn)的安全措施，用戶不能選擇或者控制云服務(wù)的安全措施；對(duì)于私有云，企業(yè)用戶則有可能直接控制云，并根據(jù)需要部署相應(yīng)的安全措施；對(duì)于混合云，即使是企業(yè)用戶，它對(duì)公有云部分的安全性也很難加以控制。

從法律角度來看：關(guān)于“隱私”，一般涉及專門的法律，隱私權(quán)是一種法定的權(quán)利。特別是在歐洲、美國，并且有越來越多的國家正在制訂保護(hù)個(gè)人信息5. 個(gè)人信息 Personally Identifiable Information, 又稱 PII。的法律。因此對(duì)于在歐美等國有商業(yè)運(yùn)營的企業(yè)級(jí)用戶來說，在隱私及個(gè)人信息方面有合規(guī)性要求。關(guān)于“數(shù)據(jù)”或者“信息”，它們并不是法律上的概念，既不涉及立法、也不直接產(chǎn)生權(quán)利，僅涉及信息安全保障法制。關(guān)于“商業(yè)秘密”，則涉及知識(shí)產(chǎn)權(quán)法律，屬于知識(shí)產(chǎn)權(quán)范疇，只有符合法律要件要求的“數(shù)據(jù)”或“信息”才能成為商業(yè)秘密?！半[私”/“個(gè)人信息”、“數(shù)據(jù)（信息）”、“商業(yè)秘密”這幾者在概念上不同，適用法律也不相同。

（二）云計(jì)算下隱私、個(gè)人信息與數(shù)據(jù)安全問題解決方案

對(duì)于隱私和個(gè)人信息保護(hù)問題，主要來源于法律要求。由于各國隱私和個(gè)人信息保護(hù)法律差異較大，企業(yè)級(jí)用戶須確保在其商業(yè)運(yùn)營所在國家對(duì)隱私和個(gè)人信息保護(hù)法律的合規(guī)。也就是說，如這類數(shù)據(jù)處于對(duì)個(gè)人信息有立法保護(hù)的國家（如歐盟），則在其存儲(chǔ)、處理、操作過程中，必須符合所在國家相關(guān)法律的要求。這點(diǎn)與云計(jì)算的虛擬性、動(dòng)態(tài)性、隨機(jī)性、甚至于跨境的性質(zhì)有根本的沖突——用戶必須確定數(shù)據(jù)所位于的國家；而關(guān)于數(shù)據(jù)存儲(chǔ)的地點(diǎn)（國家），云服務(wù)商總是希望有最大的自由對(duì)數(shù)據(jù)進(jìn)行分配和控制。在這種矛盾之下，云服務(wù)商也只能向用戶明確數(shù)據(jù)所在地，向用戶提供數(shù)據(jù)所在地通知，以便用戶承擔(dān)合規(guī)性責(zé)任；如果用戶不同意數(shù)據(jù)存儲(chǔ)地，云服務(wù)商也只能無奈地提供方便終止6. 見 9.3 Termination for Convenience, HP Cloud Customer Agreement, http://hpcloud.com/customer_agreement .的退出機(jī)制，供用戶隨時(shí)選擇終止接受云服務(wù)。

我國關(guān)于個(gè)人信息保護(hù)的立法進(jìn)程至今尚不明朗，企業(yè)對(duì)個(gè)人信息的保護(hù)意識(shí)非常淡漠。2011年11月，以CSDN、天涯社區(qū)、支付寶、當(dāng)當(dāng)?shù)入娮由虅?wù)為代表的互聯(lián)網(wǎng)站用戶信息在網(wǎng)絡(luò)上被集中曝光，成為我國互聯(lián)網(wǎng)史上最大規(guī)模的用戶信息泄露事件。工信部于2011年12月29日發(fā)出《工業(yè)和信息化部關(guān)于近期部分互聯(lián)網(wǎng)站信息泄露事件的通告》，要求各互聯(lián)網(wǎng)站要高度重視用戶信息安全工作，責(zé)令各互聯(lián)網(wǎng)站要采用加密方式存儲(chǔ)用戶信息。隨即2012年“3.15晚會(huì)”上爆出電信運(yùn)營商參與群發(fā)垃圾短信，工信部隨即發(fā)出通知要求運(yùn)營商清理垃圾短信，并開展清理行動(dòng)。工信部雖然預(yù)計(jì)在2013年2月實(shí)施《信息安全技術(shù)個(gè)人信息保護(hù)指南》，但該指南因立法層級(jí)較低、缺少強(qiáng)制性，可以預(yù)見其對(duì)個(gè)人信息的保護(hù)作用也相當(dāng)有限。

對(duì)于更為廣義的數(shù)據(jù)（信息）安全問題，與信息安全保障法制要求、用戶要求、數(shù)據(jù)（信息）安全技術(shù)標(biāo)準(zhǔn)等都有關(guān)系。云計(jì)算為用戶提供的是一個(gè)服務(wù)平臺(tái)，是否選擇和如何使用該平臺(tái)、存儲(chǔ)什么樣的數(shù)據(jù)則是用戶的事情。因此，云計(jì)算的數(shù)據(jù)安全問題實(shí)際上有兩個(gè)主體參與，一個(gè)主體是云服務(wù)商，它提供云平臺(tái)和基礎(chǔ)設(shè)施；另一個(gè)主體是用戶，使用云平臺(tái)并提供數(shù)據(jù)。云計(jì)算數(shù)據(jù)安全主要依靠技術(shù)手段加以控制：云平臺(tái)一般通過多種安全技術(shù)措施，保障數(shù)據(jù)（信息）安全——如HP是采用Arcsight、Fortify、TippingPoint等軟件，來實(shí)現(xiàn)云計(jì)算的主動(dòng)安全管理管控；如Cloud Security Alliance聯(lián)盟，提出了云計(jì)算安全模型7.Informationweek, Cloud Security Alliance To Tackle Cloud Standards ［EB/OL］. http://www.informationweek.com/news/storage/systems/223101102; 2012-12-14.；另外還出現(xiàn)了很多數(shù)據(jù)（信息）安全方面的技術(shù)標(biāo)準(zhǔn)，如ISAE 3402/SSAE 16、HIPAA、DSS PCI、ISO 27002 等8.Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud［EB/OL］. https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf; 2012-12-14.。

在缺乏相關(guān)法律規(guī)制的情況下，云計(jì)算的隱私、個(gè)人信息與數(shù)據(jù)安全問題非常突出。在這種情況下，作為用戶，只能謹(jǐn)慎選擇云服務(wù)商；即便如此，企業(yè)級(jí)用戶還需更為謹(jǐn)慎地根據(jù)自身需要選擇適當(dāng)?shù)脑破脚_(tái)、云服務(wù)類型及安全技術(shù)措施。

二、商業(yè)秘密問題

所謂“商業(yè)秘密”，是指不為公眾所知悉（“秘密性”），具有價(jià)值性和實(shí)用性（“價(jià)值性/實(shí)用性”），并經(jīng)權(quán)利人采取保密措施（“保密性”）的技術(shù)信息和經(jīng)營信息9.見《反不正當(dāng)競(jìng)爭(zhēng)法》第10條?！础吧虡I(yè)秘密”一般具有“三性”要求。在云計(jì)算環(huán)境下衡量商業(yè)秘密的“三性”，特別是“秘密性”和“保密性”，這與云平臺(tái)的類型、云服務(wù)的類型、以及用戶在云計(jì)算中的角色密切相關(guān)。

（一）秘密性

所謂秘密性，根據(jù)最高人民法院反不正當(dāng)競(jìng)爭(zhēng)司法解釋10. 最高人民法院關(guān)于審理不正當(dāng)競(jìng)爭(zhēng)民事案件應(yīng)用法律若干問題的解釋（法釋[2007]2號(hào)）。是指“有關(guān)信息不為其所屬領(lǐng)域的相關(guān)人員普遍知悉和容易獲得”。在云計(jì)算環(huán)境下，就出現(xiàn)了一個(gè)問題——如果用戶將涉及商業(yè)秘密的信息放至云，是否即喪失秘密性？要想回答這個(gè)問題，這和云平臺(tái)的類型及其信息安全情況密切相關(guān)。

云平臺(tái)目前分為三種：公有云、私有云和混合云。關(guān)于“秘密性”，最復(fù)雜的情況是公有云。典型的公有云的例子比如：Amazon的Elastic Compute Cloud (EC2)，IBM的Blue Cloud，Sun Cloud, Google AppEngine，以及Microsoft的Windows Azure Services Platform。公有云的服務(wù)條款一般由服務(wù)提供商設(shè)定的，即使針對(duì)不同用戶也是不能協(xié)商或是改變的。

以Amazon的公有云服務(wù) Elastic Compute Cloud(EC2)為例，其服務(wù)條款11.見 Amazon EC2 Service Level Agreement, http://aws.amazon.com/ec2-sla/.完全不涉及數(shù)據(jù)安全、保密信息。而實(shí)際情況是，其EC2 cloud service曾于2011年崩潰12.Henry Blodget. Amazon's Cloud Crash Disaster Permanently Destroyed Many Customers' Data［EB/OL］. http://www.businessinsider.com/amazon-lost-data-2011-4; 2012-12-14.，不但影響其用戶業(yè)務(wù)的正常運(yùn)營，還發(fā)現(xiàn)用戶數(shù)據(jù)丟失且無法恢復(fù)。

無獨(dú)有偶，Microsoft的公有云也曾經(jīng)遭遇非法訪問。2010年Microsoft不得不公開承認(rèn)其Business Productivity Online Suite (BPOS)中的數(shù)據(jù)被未授權(quán)的用戶下載13. Keir Thomas.Microsoft Cloud Data Breach Heralds Things to Come［EB/OL］. http://www.pcworld.com/article/214775/microsoft_cloud_data_breach_sign_of_future.html; 2012-12-14 .。而在《Microsoft 》中， 不但找不到Microsoft作為服務(wù)提供商來保護(hù)數(shù)據(jù)安全、保密信息，而且還反過來要求用戶對(duì)“用戶ID 及賬戶”相關(guān)信息對(duì)Microsoft承擔(dān)保密責(zé)任14.見 Microsoft , http://www.windowsazure.com/zh-cn/support/legal/subscription-agreement/?country=hk&locale=zh-cn .。

倒是Google的公有云服務(wù)App Engine Terms of Service，其服務(wù)條款中的保密條款是雙向的，關(guān)于保密信息的規(guī)定甚至將“客戶內(nèi)容(Customer Content)”列入了保密信息的范疇15.見 Google App Engine Terms of Service, https://developers.google.com/appengine/terms.。即便如此，Google涉及用戶數(shù)據(jù)泄露的事件頻有發(fā)生16.谷歌郵箱爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄漏事件［EB/OL］. http://cloud.yesky.com/238/30966738.shtml ; 2012-12-14。。

數(shù)據(jù)安全一般在IT服務(wù)合同中都是重要的問題。一般服務(wù)商都不能對(duì)數(shù)據(jù)安全做出擔(dān)保和保證，往往還明示地對(duì)數(shù)據(jù)丟失和恢復(fù)的責(zé)任予以免責(zé)。特別是在公有云環(huán)境下，面對(duì)惡意入侵、惡意軟件等問題，要保證數(shù)據(jù)安全是非常困難的事情。即便是私有云，仍不乏出現(xiàn)數(shù)據(jù)安全和責(zé)任問題。如2011年Montclair State University vs. Oracle案17. Mark Fontecchio.Oracle lawsuit highlights cloud security and liability concerns, ［EB/OL］. http://searchoracle.techtarget.com/news/2240036863/Oracle-lawsuit-highlights-cloud-security-and-liability-concerns; 2012-12-14.，中Montclair State University花費(fèi)數(shù)百萬美金選擇Oracle為其提供ERP 實(shí)施服務(wù)。Montclair大學(xué)指控Oracle 本應(yīng)提供數(shù)據(jù)中心環(huán)境，將其財(cái)務(wù)數(shù)據(jù)轉(zhuǎn)至ERP環(huán)境，Oracle卻要求大學(xué)簽署補(bǔ)充協(xié)議免除其不能對(duì)這些財(cái)務(wù)數(shù)據(jù)進(jìn)行保密的責(zé)任。結(jié)果是該大學(xué)不得不購買更多的服務(wù)器硬件，耗費(fèi)更大的人力、物力、財(cái)力自行完成這些數(shù)據(jù)的轉(zhuǎn)換。

雖然云平臺(tái)不能保證數(shù)據(jù)的安全，但這并不意味著一旦用戶將涉及商業(yè)秘密的信息放至云，即成為公知信息為公眾所知悉；數(shù)據(jù)有可能丟失，并不意味著能為其所屬領(lǐng)域的相關(guān)人員“普遍了解”和“容易獲得”。用戶將商業(yè)秘密信息放至云進(jìn)行存儲(chǔ)或處理，并非意在將其公開，一般用戶并不允許云服務(wù)商或他人查看、使用、披露這些保密信息，甚至簽訂有保密協(xié)議。云服務(wù)商對(duì)數(shù)據(jù)的存儲(chǔ)和處理，一般是自動(dòng)的、甚至是“盲目”的、并無人為干預(yù)。即使因意外、黑客入侵等原因造成商業(yè)秘密泄密，并不因此而自始破壞云端商業(yè)秘密的秘密性。

但是，云計(jì)算對(duì)商業(yè)秘密信息“秘密性”的影響也很大。特別是搜索引擎和社交網(wǎng)站服務(wù)，使得大量信息、包括個(gè)人信息前所未有的豐富和公開。如2010年的Sasqua Group v. Courtney案18. Sasqua Group v. Courtney, 2010 WL 3613855 (E.D.N.Y. Aug. 2, 2010) .，獵頭公司指控前員工從其客戶數(shù)據(jù)庫中竊取了客戶信息，跳槽后非法使用這些信息接觸客戶，這些保密信息包括客戶的聯(lián)系方式、個(gè)人資料、簡(jiǎn)歷、與客戶的關(guān)系、招聘偏好等。美國紐約地區(qū)法院在本案中，就他人能否容易地獲得這些信息進(jìn)行判斷。被告證明了如何通過Google、LinkedIn、Bloomberg.com、FX Week等搜索引擎或社交服務(wù)網(wǎng)站進(jìn)行搜索，就能容易地獲得該客戶數(shù)據(jù)庫中的信息。法院由此認(rèn)定所謂的客戶數(shù)據(jù)庫并不構(gòu)成商業(yè)秘密。由此可見，雖然將涉及商業(yè)秘密的信息放至非信息公開的云平臺(tái)，并不一定會(huì)使其喪失“秘密性”；但卻可能因?yàn)閷⑿畔⒐_的云服務(wù)使得這些信息變得“容易獲得”，從而影響商業(yè)秘密信息的“秘密性”。

（二）保密性

所謂保密性，根據(jù)《最高人民法院關(guān)于審理不正當(dāng)競(jìng)爭(zhēng)民事案件應(yīng)用法律若干問題的解釋》第11條是指權(quán)利人為防止信息泄漏采取了“與其商業(yè)價(jià)值等具體情況相適應(yīng)的合理保護(hù)措施”。雖然云平臺(tái)并不一定直接破壞放至其上的商業(yè)秘密信息的“秘密性”，但云環(huán)境下商業(yè)秘密的“保密性”更值得探討，即在云平臺(tái)上什么是“合理的保護(hù)措施”。

關(guān)于“合理的保護(hù)措施”，該解釋第11條第二款規(guī)定“人民法院應(yīng)當(dāng)根據(jù)所涉信息載體的特性、權(quán)利人保密的意愿、保密措施的可識(shí)別程度、他人通過正當(dāng)方式獲得的難易程度等因素，認(rèn)定權(quán)利人是否采取了保密措施。”

如上所述，云計(jì)算安全問題既包括云平臺(tái)的安全，也包括云平臺(tái)上應(yīng)用的安全；既涉及技術(shù)層面，也涉及人員操作層面。因此云計(jì)算下商業(yè)秘密的“合理的保護(hù)措施”與云平臺(tái)的情況、云服務(wù)的類型、以及安全技術(shù)措施等緊密相關(guān)：這不僅涉及云平臺(tái)的安全管理措施，也涉及云應(yīng)用的安全管理措施；不僅涉及技術(shù)措施，也涉及人員管理措施；而且這些措施根據(jù)云平臺(tái)、云服務(wù)類型的不同而有所不同。特別是對(duì)于不同類型的云服務(wù)，根據(jù)用戶對(duì)數(shù)據(jù)有多大程度的控制權(quán)，所采用的“合理的保護(hù)措施”情況有所不同。

云計(jì)算服務(wù)主要有三種模式：軟件即服務(wù)(Softwareas a Service, “SaaS”)，平臺(tái)即服務(wù)(Platform as a Service,“PaaS”)和基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service,“IaaS”)。

對(duì)于軟件即服務(wù)SaaS而言，管理訪問權(quán)限是至關(guān)重要的。在這類服務(wù)下，用戶租用特定的軟件應(yīng)用程序，無論從筆記本電腦、臺(tái)式機(jī)還是手機(jī)哪種終端接入，其唯一的控制是訪問權(quán)限。因此關(guān)于訪問權(quán)限的保護(hù)措施屬于“合理的保護(hù)措施”。

對(duì)于平臺(tái)即服務(wù)PaaS而言，除訪問權(quán)限外，對(duì)安裝惡意軟件的防護(hù)措施是同樣重要的。在這類服務(wù)下，云服務(wù)商把用戶使用的開發(fā)語言和工具、或者購買的應(yīng)用程序部署到云計(jì)算基礎(chǔ)設(shè)施上，由用戶使用、并控制所部署的應(yīng)用程序。由于用戶參與安裝、使用并管理應(yīng)用程序，因此除訪問權(quán)限外，防止安裝惡意軟件的防護(hù)措施屬于“合理的保護(hù)措施”。

對(duì)于基礎(chǔ)設(shè)施即服務(wù)IaaS而言，除上述訪問權(quán)限管理、惡意軟件防護(hù)措施外，有關(guān)虛擬機(jī)的安全管理措施是必要的。在這類服務(wù)下，云服務(wù)商向用戶提供CPU、存儲(chǔ)、網(wǎng)絡(luò)和其他基本的計(jì)算資源，使用戶能夠通過虛擬機(jī)來運(yùn)行任意軟件，控制操作系統(tǒng)、存儲(chǔ)和應(yīng)用程序，甚至獲得有限制的網(wǎng)絡(luò)組件（如防火墻、負(fù)載均衡器等）的控制。因此除訪問權(quán)限管理、惡意軟件的防護(hù)措施外，虛擬機(jī)管理措施（如防止升級(jí)虛擬機(jī)規(guī)模、惡意操縱存儲(chǔ)）屬于“合理的保護(hù)措施”。

從用戶控制權(quán)的角度出發(fā)，如上所述云計(jì)算數(shù)據(jù)安全問題實(shí)際上有兩個(gè)主體——云服務(wù)商和用戶，云服務(wù)商所采取的保密措施并非用戶所采取的保密措施。除非在定制程度很高的私有云的情況下，由云服務(wù)商向用戶提供安全措施咨詢，并根據(jù)用戶的需要、風(fēng)險(xiǎn)分析、費(fèi)用等情況定制其所需的安全措施。一般而言，如果不專門進(jìn)行云安全咨詢服務(wù)，云服務(wù)商只提供一個(gè)標(biāo)準(zhǔn)的云服務(wù)平臺(tái)、以及標(biāo)準(zhǔn)的安全措施。一般的云計(jì)算服務(wù)，其標(biāo)準(zhǔn)的安全性能、安全級(jí)別較低，如只具有有限的安全功能，無入侵檢測(cè)、數(shù)據(jù)備份、災(zāi)備等功能。這種安全級(jí)別顯然不能適應(yīng)商業(yè)秘密或其他高風(fēng)險(xiǎn)數(shù)據(jù)（如財(cái)務(wù)信息）的保護(hù)要求。對(duì)于安全級(jí)別較低的云服務(wù)（如公有云），云的保密措施是由云服務(wù)商提供的，如果按照法律對(duì)商業(yè)秘密權(quán)利人的要求，由于其安全性能較低，有可能達(dá)不到“合理的保護(hù)措施”的要求。但是如果用戶與云服務(wù)商簽署保密協(xié)議、限定涉密信息的知悉范圍，向云服務(wù)商選擇安全級(jí)別較高的云服務(wù)（并對(duì)相關(guān)安全性能額外付費(fèi)），特別是在云服務(wù)商之外自行增加了保密措施（如加密），則屬于商業(yè)秘密權(quán)利人所采取的保密措施，并且根據(jù)最高院反不正當(dāng)競(jìng)爭(zhēng)司法解釋應(yīng)屬于“合理的保護(hù)措施”。

（三）責(zé)任和風(fēng)險(xiǎn)分擔(dān)

用戶如將涉及商業(yè)秘密的信息放至云，一旦出現(xiàn)涉密信息泄露，如何主張權(quán)利，如何獲得法律救濟(jì)？對(duì)該問題的分析，有可能幫助權(quán)利人做出是否將敏感信息放入云中的決定，以及事先制訂風(fēng)險(xiǎn)管理計(jì)劃。

從侵權(quán)責(zé)任出發(fā)，根據(jù)我國《反不正當(dāng)競(jìng)爭(zhēng)法》，認(rèn)定商業(yè)秘密侵權(quán)行為要求經(jīng)營者存在以不正當(dāng)手段獲取商業(yè)秘密的行為，或者存在披露、使用或者允許他人使用權(quán)利人商業(yè)秘密的行為。對(duì)于因云計(jì)算安全問題，如意外、黑客入侵等原因造成商業(yè)秘密泄密或數(shù)據(jù)丟失，云服務(wù)商并不存在披露、使用或者允許他人使用權(quán)利人商業(yè)秘密的行為，權(quán)利人難以追究云服務(wù)商的侵權(quán)責(zé)任。但如果能夠找到惡意入侵的黑客，當(dāng)然可以追究其法律責(zé)任（民事、甚至刑事責(zé)任）。如在AT&T iPad黑客案19.Shaun Nichols. AT&T iPad hacker found guilty in data leak case［EB/OL］. http://www.v3.co.uk/v3-uk/news/2226206/at-t-ipad-hackerfound-guilty-in-data-leak-case; 2012-12-14.中，黑客被美國聯(lián)邦政府追究了刑事責(zé)任。但畢竟能夠找到黑客的可能性是極小的，因此從侵權(quán)責(zé)任的角度，用戶很難主張權(quán)利。

對(duì)于用戶可能的法律救濟(jì)，通過合同約定云服務(wù)商的責(zé)任則成為更為重要的方式。數(shù)據(jù)安全一般在IT服務(wù)合同中都是重要的問題，服務(wù)商一般都不能對(duì)數(shù)據(jù)安全做出擔(dān)保保證，還往往明示地對(duì)數(shù)據(jù)丟失和恢復(fù)的責(zé)任予以免責(zé)。特別在公有云中，我們?cè)贏mazon、Microsoft的用戶服務(wù)條款中都看到，服務(wù)商并未涉及這些問題和責(zé)任。即使在私有云中，這個(gè)問題也往往成為用戶和服務(wù)商雙方寸土必爭(zhēng)的問題，在上文提到的Montclair State University vs. Oracle一案中也有所反映。從云服務(wù)商的角度，即使合同中含有保密條款，也是按照標(biāo)準(zhǔn)的安全級(jí)別或合理的謹(jǐn)慎義務(wù)對(duì)從用戶處獲得的商業(yè)秘密進(jìn)行保密；但是就數(shù)據(jù)的所有風(fēng)險(xiǎn)仍由用戶承擔(dān)。如果用戶選擇更高的安全級(jí)別或安全性能，亦須就數(shù)據(jù)安全性與云服務(wù)商達(dá)成進(jìn)一步的協(xié)議，對(duì)這些加強(qiáng)的安全措施，云服務(wù)商會(huì)根據(jù)風(fēng)險(xiǎn)以及服務(wù)協(xié)議中的雙方的責(zé)任及義務(wù)衡量服務(wù)的價(jià)格。

實(shí)際的案例比如T-Mobile Sidekick數(shù)據(jù)泄露事件20.Bierce & Kenerson, P.C., Case Study for Legal Risk Management for “Cloud Computing”: Data Loss for T-Mobile Sidekick Customers［EB/OL］. http://www.outsourcing-law.com/2009/10/case-study-for-legal-risk-management-for-cloud-computing-data-loss-for-t-mobilesidekick-customers/ ; 2012-12-14.。T-Mobile是德國電信所提供的服務(wù)，它將其Sidekick服務(wù)的云計(jì)算功能部分外包給Microsoft的子公司Danger, Inc。結(jié)果不幸在2009年10月發(fā)生了大規(guī)模的數(shù)據(jù)丟失事件，導(dǎo)致大量移動(dòng)用戶的個(gè)人數(shù)據(jù)（如聯(lián)系信息、日歷、照片、甚至游戲中獲得的分?jǐn)?shù)等）丟失不能恢復(fù)。T-Mobile對(duì)此向用戶進(jìn)行了賠償，但顯然在其與IT服務(wù)商的外包合同中，云服務(wù)商對(duì)數(shù)據(jù)丟失沒有承擔(dān)什么責(zé)任。

（四）分析與建議

根據(jù)以上討論，可以看到云計(jì)算環(huán)境下商業(yè)秘密保護(hù)問題與隱私和個(gè)人信息保護(hù)問題不同。首先是權(quán)利人的不同，商業(yè)秘密的權(quán)利人是經(jīng)營者，與個(gè)人信息的權(quán)利人是自然人不同。其次是范圍的不同，商業(yè)秘密一般分為技術(shù)信息和經(jīng)營信息，與個(gè)人信息相關(guān)的似乎只有包含個(gè)人信息的客戶名單。但即使是這類個(gè)人信息也并不能直接構(gòu)成商業(yè)秘密，除非其具有商業(yè)上的價(jià)值，如涉及客戶的交易習(xí)慣、意向等與交易相關(guān)的個(gè)人信息。從法律責(zé)任的角度，雖然商業(yè)秘密保護(hù)已具有法律基礎(chǔ)，相比個(gè)人信息保護(hù)缺乏法律依據(jù)而言似乎更為樂觀，但是從以上的分析不難發(fā)現(xiàn)，在云計(jì)算環(huán)境下主張商業(yè)秘密侵權(quán)也是極為困難的。

在云計(jì)算環(huán)境下，商業(yè)秘密保護(hù)問題與數(shù)據(jù)安全問題也不相同，但二者有緊密的聯(lián)系。商業(yè)秘密是對(duì)安全性要求很高的信息，數(shù)據(jù)安全問題直接影響商業(yè)秘密是否會(huì)發(fā)生泄密。商業(yè)秘密的保護(hù)措施也直接依賴于數(shù)據(jù)安全技術(shù)與管理措施。從法律責(zé)任的角度，即使用戶和服務(wù)商能夠協(xié)商接受保密條款，但是要想讓云服務(wù)商承擔(dān)數(shù)據(jù)安全方面的責(zé)任，要遠(yuǎn)遠(yuǎn)難于讓其承擔(dān)保密責(zé)任。

根據(jù)以上分析，我們就云計(jì)算下的商業(yè)秘密保護(hù)問題提出如下建議：

·衡量數(shù)據(jù)（信息）入云的風(fēng)險(xiǎn)：在云計(jì)算模式下，許多企業(yè)的商業(yè)秘密邊界并不很清晰。因此一方面需要界定商業(yè)秘密的范圍，對(duì)不同類別的信息和數(shù)據(jù)進(jìn)行不同的管理，適合放至云的需要衡量相應(yīng)的風(fēng)險(xiǎn)、安全級(jí)別及處理要求。

·對(duì)關(guān)鍵數(shù)據(jù)（信息）選擇與之適合的云服務(wù)：先不要將關(guān)鍵數(shù)據(jù)（如商業(yè)秘密）放至云；如必須放置于云，應(yīng)選擇私有云而非公有云，且須進(jìn)一步選擇合理適當(dāng)?shù)乃接性瓢踩阅堋?/p>

·簽訂服務(wù)協(xié)議及保密協(xié)議：商業(yè)用戶應(yīng)與云服務(wù)商簽訂服務(wù)協(xié)議及保密協(xié)議（涵蓋分包商、注意保密期限等）。在服務(wù)協(xié)議里明確服務(wù)提供商對(duì)數(shù)據(jù)應(yīng)當(dāng)采取的保護(hù)級(jí)別、措施等，并協(xié)商數(shù)據(jù)安全、丟失、恢復(fù)的風(fēng)險(xiǎn)及責(zé)任分擔(dān)。

·對(duì)商業(yè)秘密信息采取合理的技術(shù)保護(hù)措施：理解所選擇云平臺(tái)、云服務(wù)的類型及其安全特性，對(duì)涉密信息和數(shù)據(jù)采取相應(yīng)的、合理的保密措施。

以上我們探討了云計(jì)算安全問題中的兩個(gè)方面，一方面涉及隱私和數(shù)據(jù)（信息）安全問題，另一方面關(guān)注商業(yè)秘密保護(hù)問題。這是一個(gè)法律與技術(shù)高度交叉的領(lǐng)域，值得我們進(jìn)一步研究和探討。