云安全及商業秘密問題研究

文/董穎/中國惠普有限公司

對于云計算(Cloud Computing)美國國家標準與技術研究院（NIST）給出的定義是1. National Institute of Standards and Technology.Cloud Computing Synopsis and Recommendations［EB/OL］. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf; 2012-12-14 .：云計算是一種無處不在的、便捷的、按需使用的、對共享的可配置的計算資源（如網絡、服務器、存儲、應用和服務）進行網絡訪問的模式，它通過最少量的管理、最少量的與云服務商的互動來實現計算資源的迅速供給和釋放。安全問題是云計算的最大障礙——根據不同的數據來源，大約60-80%的企業首席信息官（CIO）同意該判斷2.Christian Verstraete. Build and secure your complete cloud environment［EB/OL］. http://www.enterprisecioforum.com/en/blogs/christian/buildand-secure-your-complete-cloud-env; 2011-12-07 .。安全性問題是任何企業轉到云計算的關鍵問題。本文關注云計算安全問題，一方面涉及隱私和數據（信息）安全問題，另一方面關注商業秘密保護問題。

一、云計算障礙及安全問題

云計算安全問題既包括云平臺的安全，也包括云平臺上應用的安全；既涉及技術層面，也涉及人員操作層面。關于云平臺上及應用的安全問題，據NIST的統計約有92%的安全問題發生在應用軟件層面，據Gartner的統計該比例則達到75%3. 同前注 2。；至于來自人員操作層面的問題，則被Cloud Security Alliance列入云安全七大威脅之一4.Cloud Security Alliance.Top Threats to Cloud Computing［EB/OL］. https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf; 2012-12-14.。

（一）隱私、數據（信息）、商業秘密

這三個概念在云計算環境下具有不同的含義，其重要性對于不同類型的用戶、不同類型的云而言而有所不同，從法律的角度來看其性質也不同。

從不同類型的用戶來看：對于廣大個人用戶而言，其使用的往往是公有云服務，在公有云環境下，個人隱私問題顯得更為重要；對于企業級用戶，則更為重視數據安全問題，特別是對安全性要求更高的信息如財務信息、商業秘密等。

從不同類型的云平臺來看：對于公有云，一般而言服務商只能提供標準的安全措施，用戶不能選擇或者控制云服務的安全措施；對于私有云，企業用戶則有可能直接控制云，并根據需要部署相應的安全措施；對于混合云，即使是企業用戶，它對公有云部分的安全性也很難加以控制。

從法律角度來看：關于“隱私”，一般涉及專門的法律，隱私權是一種法定的權利。特別是在歐洲、美國，并且有越來越多的國家正在制訂保護個人信息5. 個人信息 Personally Identifiable Information, 又稱 PII。的法律。因此對于在歐美等國有商業運營的企業級用戶來說，在隱私及個人信息方面有合規性要求。關于“數據”或者“信息”，它們并不是法律上的概念，既不涉及立法、也不直接產生權利，僅涉及信息安全保障法制。關于“商業秘密”，則涉及知識產權法律，屬于知識產權范疇，只有符合法律要件要求的“數據”或“信息”才能成為商業秘密。“隱私”/“個人信息”、“數據（信息）”、“商業秘密”這幾者在概念上不同，適用法律也不相同。

（二）云計算下隱私、個人信息與數據安全問題解決方案

對于隱私和個人信息保護問題，主要來源于法律要求。由于各國隱私和個人信息保護法律差異較大，企業級用戶須確保在其商業運營所在國家對隱私和個人信息保護法律的合規。也就是說，如這類數據處于對個人信息有立法保護的國家（如歐盟），則在其存儲、處理、操作過程中，必須符合所在國家相關法律的要求。這點與云計算的虛擬性、動態性、隨機性、甚至于跨境的性質有根本的沖突——用戶必須確定數據所位于的國家；而關于數據存儲的地點（國家），云服務商總是希望有最大的自由對數據進行分配和控制。在這種矛盾之下，云服務商也只能向用戶明確數據所在地，向用戶提供數據所在地通知，以便用戶承擔合規性責任；如果用戶不同意數據存儲地，云服務商也只能無奈地提供方便終止6. 見 9.3 Termination for Convenience, HP Cloud Customer Agreement, http://hpcloud.com/customer_agreement .的退出機制，供用戶隨時選擇終止接受云服務。

我國關于個人信息保護的立法進程至今尚不明朗，企業對個人信息的保護意識非常淡漠。2011年11月，以CSDN、天涯社區、支付寶、當當等電子商務為代表的互聯網站用戶信息在網絡上被集中曝光，成為我國互聯網史上最大規模的用戶信息泄露事件。工信部于2011年12月29日發出《工業和信息化部關于近期部分互聯網站信息泄露事件的通告》，要求各互聯網站要高度重視用戶信息安全工作，責令各互聯網站要采用加密方式存儲用戶信息。隨即2012年“3.15晚會”上爆出電信運營商參與群發垃圾短信，工信部隨即發出通知要求運營商清理垃圾短信，并開展清理行動。工信部雖然預計在2013年2月實施《信息安全技術個人信息保護指南》，但該指南因立法層級較低、缺少強制性，可以預見其對個人信息的保護作用也相當有限。

對于更為廣義的數據（信息）安全問題，與信息安全保障法制要求、用戶要求、數據（信息）安全技術標準等都有關系。云計算為用戶提供的是一個服務平臺，是否選擇和如何使用該平臺、存儲什么樣的數據則是用戶的事情。因此，云計算的數據安全問題實際上有兩個主體參與，一個主體是云服務商，它提供云平臺和基礎設施；另一個主體是用戶，使用云平臺并提供數據。云計算數據安全主要依靠技術手段加以控制：云平臺一般通過多種安全技術措施，保障數據（信息）安全——如HP是采用Arcsight、Fortify、TippingPoint等軟件，來實現云計算的主動安全管理管控；如Cloud Security Alliance聯盟，提出了云計算安全模型7.Informationweek, Cloud Security Alliance To Tackle Cloud Standards ［EB/OL］. http://www.informationweek.com/news/storage/systems/223101102; 2012-12-14.；另外還出現了很多數據（信息）安全方面的技術標準，如ISAE 3402/SSAE 16、HIPAA、DSS PCI、ISO 27002 等8.Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud［EB/OL］. https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf; 2012-12-14.。

在缺乏相關法律規制的情況下，云計算的隱私、個人信息與數據安全問題非常突出。在這種情況下，作為用戶，只能謹慎選擇云服務商；即便如此，企業級用戶還需更為謹慎地根據自身需要選擇適當的云平臺、云服務類型及安全技術措施。

二、商業秘密問題

所謂“商業秘密”，是指不為公眾所知悉（“秘密性”），具有價值性和實用性（“價值性/實用性”），并經權利人采取保密措施（“保密性”）的技術信息和經營信息9.見《反不正當競爭法》第10條。——即“商業秘密”一般具有“三性”要求。在云計算環境下衡量商業秘密的“三性”，特別是“秘密性”和“保密性”，這與云平臺的類型、云服務的類型、以及用戶在云計算中的角色密切相關。

（一）秘密性

所謂秘密性，根據最高人民法院反不正當競爭司法解釋10. 最高人民法院關于審理不正當競爭民事案件應用法律若干問題的解釋（法釋[2007]2號）。是指“有關信息不為其所屬領域的相關人員普遍知悉和容易獲得”。在云計算環境下，就出現了一個問題——如果用戶將涉及商業秘密的信息放至云，是否即喪失秘密性？要想回答這個問題，這和云平臺的類型及其信息安全情況密切相關。

云平臺目前分為三種：公有云、私有云和混合云。關于“秘密性”，最復雜的情況是公有云。典型的公有云的例子比如：Amazon的Elastic Compute Cloud (EC2)，IBM的Blue Cloud，Sun Cloud, Google AppEngine，以及Microsoft的Windows Azure Services Platform。公有云的服務條款一般由服務提供商設定的，即使針對不同用戶也是不能協商或是改變的。

以Amazon的公有云服務 Elastic Compute Cloud(EC2)為例，其服務條款11.見 Amazon EC2 Service Level Agreement, http://aws.amazon.com/ec2-sla/.完全不涉及數據安全、保密信息。而實際情況是，其EC2 cloud service曾于2011年崩潰12.Henry Blodget. Amazon's Cloud Crash Disaster Permanently Destroyed Many Customers' Data［EB/OL］. http://www.businessinsider.com/amazon-lost-data-2011-4; 2012-12-14.，不但影響其用戶業務的正常運營，還發現用戶數據丟失且無法恢復。

無獨有偶，Microsoft的公有云也曾經遭遇非法訪問。2010年Microsoft不得不公開承認其Business Productivity Online Suite (BPOS)中的數據被未授權的用戶下載13. Keir Thomas.Microsoft Cloud Data Breach Heralds Things to Come［EB/OL］. http://www.pcworld.com/article/214775/microsoft_cloud_data_breach_sign_of_future.html; 2012-12-14 .。而在《Microsoft 》中， 不但找不到Microsoft作為服務提供商來保護數據安全、保密信息，而且還反過來要求用戶對“用戶ID 及賬戶”相關信息對Microsoft承擔保密責任14.見 Microsoft , http://www.windowsazure.com/zh-cn/support/legal/subscription-agreement/?country=hk&locale=zh-cn .。

倒是Google的公有云服務App Engine Terms of Service，其服務條款中的保密條款是雙向的，關于保密信息的規定甚至將“客戶內容(Customer Content)”列入了保密信息的范疇15.見 Google App Engine Terms of Service, https://developers.google.com/appengine/terms.。即便如此，Google涉及用戶數據泄露的事件頻有發生16.谷歌郵箱爆發大規模的用戶數據泄漏事件［EB/OL］. http://cloud.yesky.com/238/30966738.shtml ; 2012-12-14。。

數據安全一般在IT服務合同中都是重要的問題。一般服務商都不能對數據安全做出擔保和保證，往往還明示地對數據丟失和恢復的責任予以免責。特別是在公有云環境下，面對惡意入侵、惡意軟件等問題，要保證數據安全是非常困難的事情。即便是私有云，仍不乏出現數據安全和責任問題。如2011年Montclair State University vs. Oracle案17. Mark Fontecchio.Oracle lawsuit highlights cloud security and liability concerns, ［EB/OL］. http://searchoracle.techtarget.com/news/2240036863/Oracle-lawsuit-highlights-cloud-security-and-liability-concerns; 2012-12-14.，中Montclair State University花費數百萬美金選擇Oracle為其提供ERP 實施服務。Montclair大學指控Oracle 本應提供數據中心環境，將其財務數據轉至ERP環境，Oracle卻要求大學簽署補充協議免除其不能對這些財務數據進行保密的責任。結果是該大學不得不購買更多的服務器硬件，耗費更大的人力、物力、財力自行完成這些數據的轉換。

雖然云平臺不能保證數據的安全，但這并不意味著一旦用戶將涉及商業秘密的信息放至云，即成為公知信息為公眾所知悉；數據有可能丟失，并不意味著能為其所屬領域的相關人員“普遍了解”和“容易獲得”。用戶將商業秘密信息放至云進行存儲或處理，并非意在將其公開，一般用戶并不允許云服務商或他人查看、使用、披露這些保密信息，甚至簽訂有保密協議。云服務商對數據的存儲和處理，一般是自動的、甚至是“盲目”的、并無人為干預。即使因意外、黑客入侵等原因造成商業秘密泄密，并不因此而自始破壞云端商業秘密的秘密性。

但是，云計算對商業秘密信息“秘密性”的影響也很大。特別是搜索引擎和社交網站服務，使得大量信息、包括個人信息前所未有的豐富和公開。如2010年的Sasqua Group v. Courtney案18. Sasqua Group v. Courtney, 2010 WL 3613855 (E.D.N.Y. Aug. 2, 2010) .，獵頭公司指控前員工從其客戶數據庫中竊取了客戶信息，跳槽后非法使用這些信息接觸客戶，這些保密信息包括客戶的聯系方式、個人資料、簡歷、與客戶的關系、招聘偏好等。美國紐約地區法院在本案中，就他人能否容易地獲得這些信息進行判斷。被告證明了如何通過Google、LinkedIn、Bloomberg.com、FX Week等搜索引擎或社交服務網站進行搜索，就能容易地獲得該客戶數據庫中的信息。法院由此認定所謂的客戶數據庫并不構成商業秘密。由此可見，雖然將涉及商業秘密的信息放至非信息公開的云平臺，并不一定會使其喪失“秘密性”；但卻可能因為將信息公開的云服務使得這些信息變得“容易獲得”，從而影響商業秘密信息的“秘密性”。

（二）保密性

所謂保密性，根據《最高人民法院關于審理不正當競爭民事案件應用法律若干問題的解釋》第11條是指權利人為防止信息泄漏采取了“與其商業價值等具體情況相適應的合理保護措施”。雖然云平臺并不一定直接破壞放至其上的商業秘密信息的“秘密性”，但云環境下商業秘密的“保密性”更值得探討，即在云平臺上什么是“合理的保護措施”。

關于“合理的保護措施”，該解釋第11條第二款規定“人民法院應當根據所涉信息載體的特性、權利人保密的意愿、保密措施的可識別程度、他人通過正當方式獲得的難易程度等因素，認定權利人是否采取了保密措施。”

如上所述，云計算安全問題既包括云平臺的安全，也包括云平臺上應用的安全；既涉及技術層面，也涉及人員操作層面。因此云計算下商業秘密的“合理的保護措施”與云平臺的情況、云服務的類型、以及安全技術措施等緊密相關：這不僅涉及云平臺的安全管理措施，也涉及云應用的安全管理措施；不僅涉及技術措施，也涉及人員管理措施；而且這些措施根據云平臺、云服務類型的不同而有所不同。特別是對于不同類型的云服務，根據用戶對數據有多大程度的控制權，所采用的“合理的保護措施”情況有所不同。

云計算服務主要有三種模式：軟件即服務(Softwareas a Service, “SaaS”)，平臺即服務(Platform as a Service,“PaaS”)和基礎設施即服務(Infrastructure as a Service,“IaaS”)。

對于軟件即服務SaaS而言，管理訪問權限是至關重要的。在這類服務下，用戶租用特定的軟件應用程序，無論從筆記本電腦、臺式機還是手機哪種終端接入，其唯一的控制是訪問權限。因此關于訪問權限的保護措施屬于“合理的保護措施”。

對于平臺即服務PaaS而言，除訪問權限外，對安裝惡意軟件的防護措施是同樣重要的。在這類服務下，云服務商把用戶使用的開發語言和工具、或者購買的應用程序部署到云計算基礎設施上，由用戶使用、并控制所部署的應用程序。由于用戶參與安裝、使用并管理應用程序，因此除訪問權限外，防止安裝惡意軟件的防護措施屬于“合理的保護措施”。

對于基礎設施即服務IaaS而言，除上述訪問權限管理、惡意軟件防護措施外，有關虛擬機的安全管理措施是必要的。在這類服務下，云服務商向用戶提供CPU、存儲、網絡和其他基本的計算資源，使用戶能夠通過虛擬機來運行任意軟件，控制操作系統、存儲和應用程序，甚至獲得有限制的網絡組件（如防火墻、負載均衡器等）的控制。因此除訪問權限管理、惡意軟件的防護措施外，虛擬機管理措施（如防止升級虛擬機規模、惡意操縱存儲）屬于“合理的保護措施”。

從用戶控制權的角度出發，如上所述云計算數據安全問題實際上有兩個主體——云服務商和用戶，云服務商所采取的保密措施并非用戶所采取的保密措施。除非在定制程度很高的私有云的情況下，由云服務商向用戶提供安全措施咨詢，并根據用戶的需要、風險分析、費用等情況定制其所需的安全措施。一般而言，如果不專門進行云安全咨詢服務，云服務商只提供一個標準的云服務平臺、以及標準的安全措施。一般的云計算服務，其標準的安全性能、安全級別較低，如只具有有限的安全功能，無入侵檢測、數據備份、災備等功能。這種安全級別顯然不能適應商業秘密或其他高風險數據（如財務信息）的保護要求。對于安全級別較低的云服務（如公有云），云的保密措施是由云服務商提供的，如果按照法律對商業秘密權利人的要求，由于其安全性能較低，有可能達不到“合理的保護措施”的要求。但是如果用戶與云服務商簽署保密協議、限定涉密信息的知悉范圍，向云服務商選擇安全級別較高的云服務（并對相關安全性能額外付費），特別是在云服務商之外自行增加了保密措施（如加密），則屬于商業秘密權利人所采取的保密措施，并且根據最高院反不正當競爭司法解釋應屬于“合理的保護措施”。

（三）責任和風險分擔

用戶如將涉及商業秘密的信息放至云，一旦出現涉密信息泄露，如何主張權利，如何獲得法律救濟？對該問題的分析，有可能幫助權利人做出是否將敏感信息放入云中的決定，以及事先制訂風險管理計劃。

從侵權責任出發，根據我國《反不正當競爭法》，認定商業秘密侵權行為要求經營者存在以不正當手段獲取商業秘密的行為，或者存在披露、使用或者允許他人使用權利人商業秘密的行為。對于因云計算安全問題，如意外、黑客入侵等原因造成商業秘密泄密或數據丟失，云服務商并不存在披露、使用或者允許他人使用權利人商業秘密的行為，權利人難以追究云服務商的侵權責任。但如果能夠找到惡意入侵的黑客，當然可以追究其法律責任（民事、甚至刑事責任）。如在AT&T iPad黑客案19.Shaun Nichols. AT&T iPad hacker found guilty in data leak case［EB/OL］. http://www.v3.co.uk/v3-uk/news/2226206/at-t-ipad-hackerfound-guilty-in-data-leak-case; 2012-12-14.中，黑客被美國聯邦政府追究了刑事責任。但畢竟能夠找到黑客的可能性是極小的，因此從侵權責任的角度，用戶很難主張權利。

對于用戶可能的法律救濟，通過合同約定云服務商的責任則成為更為重要的方式。數據安全一般在IT服務合同中都是重要的問題，服務商一般都不能對數據安全做出擔保保證，還往往明示地對數據丟失和恢復的責任予以免責。特別在公有云中，我們在Amazon、Microsoft的用戶服務條款中都看到，服務商并未涉及這些問題和責任。即使在私有云中，這個問題也往往成為用戶和服務商雙方寸土必爭的問題，在上文提到的Montclair State University vs. Oracle一案中也有所反映。從云服務商的角度，即使合同中含有保密條款，也是按照標準的安全級別或合理的謹慎義務對從用戶處獲得的商業秘密進行保密；但是就數據的所有風險仍由用戶承擔。如果用戶選擇更高的安全級別或安全性能，亦須就數據安全性與云服務商達成進一步的協議，對這些加強的安全措施，云服務商會根據風險以及服務協議中的雙方的責任及義務衡量服務的價格。

實際的案例比如T-Mobile Sidekick數據泄露事件20.Bierce & Kenerson, P.C., Case Study for Legal Risk Management for “Cloud Computing”: Data Loss for T-Mobile Sidekick Customers［EB/OL］. http://www.outsourcing-law.com/2009/10/case-study-for-legal-risk-management-for-cloud-computing-data-loss-for-t-mobilesidekick-customers/ ; 2012-12-14.。T-Mobile是德國電信所提供的服務，它將其Sidekick服務的云計算功能部分外包給Microsoft的子公司Danger, Inc。結果不幸在2009年10月發生了大規模的數據丟失事件，導致大量移動用戶的個人數據（如聯系信息、日歷、照片、甚至游戲中獲得的分數等）丟失不能恢復。T-Mobile對此向用戶進行了賠償，但顯然在其與IT服務商的外包合同中，云服務商對數據丟失沒有承擔什么責任。

（四）分析與建議

根據以上討論，可以看到云計算環境下商業秘密保護問題與隱私和個人信息保護問題不同。首先是權利人的不同，商業秘密的權利人是經營者，與個人信息的權利人是自然人不同。其次是范圍的不同，商業秘密一般分為技術信息和經營信息，與個人信息相關的似乎只有包含個人信息的客戶名單。但即使是這類個人信息也并不能直接構成商業秘密，除非其具有商業上的價值，如涉及客戶的交易習慣、意向等與交易相關的個人信息。從法律責任的角度，雖然商業秘密保護已具有法律基礎，相比個人信息保護缺乏法律依據而言似乎更為樂觀，但是從以上的分析不難發現，在云計算環境下主張商業秘密侵權也是極為困難的。

在云計算環境下，商業秘密保護問題與數據安全問題也不相同，但二者有緊密的聯系。商業秘密是對安全性要求很高的信息，數據安全問題直接影響商業秘密是否會發生泄密。商業秘密的保護措施也直接依賴于數據安全技術與管理措施。從法律責任的角度，即使用戶和服務商能夠協商接受保密條款，但是要想讓云服務商承擔數據安全方面的責任，要遠遠難于讓其承擔保密責任。

根據以上分析，我們就云計算下的商業秘密保護問題提出如下建議：

·衡量數據（信息）入云的風險：在云計算模式下，許多企業的商業秘密邊界并不很清晰。因此一方面需要界定商業秘密的范圍，對不同類別的信息和數據進行不同的管理，適合放至云的需要衡量相應的風險、安全級別及處理要求。

·對關鍵數據（信息）選擇與之適合的云服務：先不要將關鍵數據（如商業秘密）放至云；如必須放置于云，應選擇私有云而非公有云，且須進一步選擇合理適當的私有云安全性能。

·簽訂服務協議及保密協議：商業用戶應與云服務商簽訂服務協議及保密協議（涵蓋分包商、注意保密期限等）。在服務協議里明確服務提供商對數據應當采取的保護級別、措施等，并協商數據安全、丟失、恢復的風險及責任分擔。

·對商業秘密信息采取合理的技術保護措施：理解所選擇云平臺、云服務的類型及其安全特性，對涉密信息和數據采取相應的、合理的保密措施。

以上我們探討了云計算安全問題中的兩個方面，一方面涉及隱私和數據（信息）安全問題，另一方面關注商業秘密保護問題。這是一個法律與技術高度交叉的領域，值得我們進一步研究和探討。