文/董颖/中国惠普有限公司

对于云计算(Cloud Computing)美国国家标准与技术研究院（NIST）给出的定义是1. National Institute of Standards and Technology.Cloud Computing Synopsis and Recommendations［EB/OL］. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf; 2012-12-14 .：云计算是一种无处不在的、便捷的、按需使用的、对共享的可配置的计算资源（如网络、服务器、存储、应用和服务）进行网络访问的模式，它通过最少量的管理、最少量的与云服务商的互动来实现计算资源的迅速供给和释放。安全问题是云计算的最大障碍——根据不同的数据来源，大约60-80%的企业首席信息官（CIO）同意该判断2.Christian Verstraete. Build and secure your complete cloud environment［EB/OL］. http://www.enterprisecioforum.com/en/blogs/christian/buildand-secure-your-complete-cloud-env; 2011-12-07 .。安全性问题是任何企业转到云计算的关键问题。本文关注云计算安全问题，一方面涉及隐私和数据（信息）安全问题，另一方面关注商业秘密保护问题。

一、云计算障碍及安全问题

云计算安全问题既包括云平台的安全，也包括云平台上应用的安全；既涉及技术层面，也涉及人员操作层面。关于云平台上及应用的安全问题，据NIST的统计约有92%的安全问题发生在应用软件层面，据Gartner的统计该比例则达到75%3. 同前注 2。；至于来自人员操作层面的问题，则被Cloud Security Alliance列入云安全七大威胁之一4.Cloud Security Alliance.Top Threats to Cloud Computing［EB/OL］. https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf; 2012-12-14.。

（一）隐私、数据（信息）、商业秘密

这三个概念在云计算环境下具有不同的含义，其重要性对于不同类型的用户、不同类型的云而言而有所不同，从法律的角度来看其性质也不同。

从不同类型的用户来看：对于广大个人用户而言，其使用的往往是公有云服务，在公有云环境下，个人隐私问题显得更为重要；对于企业级用户，则更为重视数据安全问题，特别是对安全性要求更高的信息如财务信息、商业秘密等。

从不同类型的云平台来看：对于公有云，一般而言服务商只能提供标准的安全措施，用户不能选择或者控制云服务的安全措施；对于私有云，企业用户则有可能直接控制云，并根据需要部署相应的安全措施；对于混合云，即使是企业用户，它对公有云部分的安全性也很难加以控制。

从法律角度来看：关于“隐私”，一般涉及专门的法律，隐私权是一种法定的权利。特别是在欧洲、美国，并且有越来越多的国家正在制订保护个人信息5. 个人信息 Personally Identifiable Information, 又称 PII。的法律。因此对于在欧美等国有商业运营的企业级用户来说，在隐私及个人信息方面有合规性要求。关于“数据”或者“信息”，它们并不是法律上的概念，既不涉及立法、也不直接产生权利，仅涉及信息安全保障法制。关于“商业秘密”，则涉及知识产权法律，属于知识产权范畴，只有符合法律要件要求的“数据”或“信息”才能成为商业秘密。“隐私”/“个人信息”、“数据（信息）”、“商业秘密”这几者在概念上不同，适用法律也不相同。

（二）云计算下隐私、个人信息与数据安全问题解决方案

对于隐私和个人信息保护问题，主要来源于法律要求。由于各国隐私和个人信息保护法律差异较大，企业级用户须确保在其商业运营所在国家对隐私和个人信息保护法律的合规。也就是说，如这类数据处于对个人信息有立法保护的国家（如欧盟），则在其存储、处理、操作过程中，必须符合所在国家相关法律的要求。这点与云计算的虚拟性、动态性、随机性、甚至于跨境的性质有根本的冲突——用户必须确定数据所位于的国家；而关于数据存储的地点（国家），云服务商总是希望有最大的自由对数据进行分配和控制。在这种矛盾之下，云服务商也只能向用户明确数据所在地，向用户提供数据所在地通知，以便用户承担合规性责任；如果用户不同意数据存储地，云服务商也只能无奈地提供方便终止6. 见 9.3 Termination for Convenience, HP Cloud Customer Agreement, http://hpcloud.com/customer_agreement .的退出机制，供用户随时选择终止接受云服务。

我国关于个人信息保护的立法进程至今尚不明朗，企业对个人信息的保护意识非常淡漠。2011年11月，以CSDN、天涯社区、支付宝、当当等电子商务为代表的互联网站用户信息在网络上被集中曝光，成为我国互联网史上最大规模的用户信息泄露事件。工信部于2011年12月29日发出《工业和信息化部关于近期部分互联网站信息泄露事件的通告》，要求各互联网站要高度重视用户信息安全工作，责令各互联网站要采用加密方式存储用户信息。随即2012年“3.15晚会”上爆出电信运营商参与群发垃圾短信，工信部随即发出通知要求运营商清理垃圾短信，并开展清理行动。工信部虽然预计在2013年2月实施《信息安全技术个人信息保护指南》，但该指南因立法层级较低、缺少强制性，可以预见其对个人信息的保护作用也相当有限。

对于更为广义的数据（信息）安全问题，与信息安全保障法制要求、用户要求、数据（信息）安全技术标准等都有关系。云计算为用户提供的是一个服务平台，是否选择和如何使用该平台、存储什么样的数据则是用户的事情。因此，云计算的数据安全问题实际上有两个主体参与，一个主体是云服务商，它提供云平台和基础设施；另一个主体是用户，使用云平台并提供数据。云计算数据安全主要依靠技术手段加以控制：云平台一般通过多种安全技术措施，保障数据（信息）安全——如HP是采用Arcsight、Fortify、TippingPoint等软件，来实现云计算的主动安全管理管控；如Cloud Security Alliance联盟，提出了云计算安全模型7.Informationweek, Cloud Security Alliance To Tackle Cloud Standards ［EB/OL］. http://www.informationweek.com/news/storage/systems/223101102; 2012-12-14.；另外还出现了很多数据（信息）安全方面的技术标准，如ISAE 3402/SSAE 16、HIPAA、DSS PCI、ISO 27002 等8.Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud［EB/OL］. https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf; 2012-12-14.。

在缺乏相关法律规制的情况下，云计算的隐私、个人信息与数据安全问题非常突出。在这种情况下，作为用户，只能谨慎选择云服务商；即便如此，企业级用户还需更为谨慎地根据自身需要选择适当的云平台、云服务类型及安全技术措施。

二、商业秘密问题

所谓“商业秘密”，是指不为公众所知悉（“秘密性”），具有价值性和实用性（“价值性/实用性”），并经权利人采取保密措施（“保密性”）的技术信息和经营信息9.见《反不正当竞争法》第10条。——即“商业秘密”一般具有“三性”要求。在云计算环境下衡量商业秘密的“三性”，特别是“秘密性”和“保密性”，这与云平台的类型、云服务的类型、以及用户在云计算中的角色密切相关。

（一）秘密性

所谓秘密性，根据最高人民法院反不正当竞争司法解释10. 最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释（法释[2007]2号）。是指“有关信息不为其所属领域的相关人员普遍知悉和容易获得”。在云计算环境下，就出现了一个问题——如果用户将涉及商业秘密的信息放至云，是否即丧失秘密性？要想回答这个问题，这和云平台的类型及其信息安全情况密切相关。

云平台目前分为三种：公有云、私有云和混合云。关于“秘密性”，最复杂的情况是公有云。典型的公有云的例子比如：Amazon的Elastic Compute Cloud (EC2)，IBM的Blue Cloud，Sun Cloud, Google AppEngine，以及Microsoft的Windows Azure Services Platform。公有云的服务条款一般由服务提供商设定的，即使针对不同用户也是不能协商或是改变的。

以Amazon的公有云服务 Elastic Compute Cloud(EC2)为例，其服务条款11.见 Amazon EC2 Service Level Agreement, http://aws.amazon.com/ec2-sla/.完全不涉及数据安全、保密信息。而实际情况是，其EC2 cloud service曾于2011年崩溃12.Henry Blodget. Amazon's Cloud Crash Disaster Permanently Destroyed Many Customers' Data［EB/OL］. http://www.businessinsider.com/amazon-lost-data-2011-4; 2012-12-14.，不但影响其用户业务的正常运营，还发现用户数据丢失且无法恢复。

无独有偶，Microsoft的公有云也曾经遭遇非法访问。2010年Microsoft不得不公开承认其Business Productivity Online Suite (BPOS)中的数据被未授权的用户下载13. Keir Thomas.Microsoft Cloud Data Breach Heralds Things to Come［EB/OL］. http://www.pcworld.com/article/214775/microsoft_cloud_data_breach_sign_of_future.html; 2012-12-14 .。而在《Microsoft 》中， 不但找不到Microsoft作为服务提供商来保护数据安全、保密信息，而且还反过来要求用户对“用户ID 及账户”相关信息对Microsoft承担保密责任14.见 Microsoft , http://www.windowsazure.com/zh-cn/support/legal/subscription-agreement/?country=hk&locale=zh-cn .。

倒是Google的公有云服务App Engine Terms of Service，其服务条款中的保密条款是双向的，关于保密信息的规定甚至将“客户内容(Customer Content)”列入了保密信息的范畴15.见 Google App Engine Terms of Service, https://developers.google.com/appengine/terms.。即便如此，Google涉及用户数据泄露的事件频有发生16.谷歌邮箱爆发大规模的用户数据泄漏事件［EB/OL］. http://cloud.yesky.com/238/30966738.shtml ; 2012-12-14。。

数据安全一般在IT服务合同中都是重要的问题。一般服务商都不能对数据安全做出担保和保证，往往还明示地对数据丢失和恢复的责任予以免责。特别是在公有云环境下，面对恶意入侵、恶意软件等问题，要保证数据安全是非常困难的事情。即便是私有云，仍不乏出现数据安全和责任问题。如2011年Montclair State University vs. Oracle案17. Mark Fontecchio.Oracle lawsuit highlights cloud security and liability concerns, ［EB/OL］. http://searchoracle.techtarget.com/news/2240036863/Oracle-lawsuit-highlights-cloud-security-and-liability-concerns; 2012-12-14.，中Montclair State University花费数百万美金选择Oracle为其提供ERP 实施服务。Montclair大学指控Oracle 本应提供数据中心环境，将其财务数据转至ERP环境，Oracle却要求大学签署补充协议免除其不能对这些财务数据进行保密的责任。结果是该大学不得不购买更多的服务器硬件，耗费更大的人力、物力、财力自行完成这些数据的转换。

虽然云平台不能保证数据的安全，但这并不意味着一旦用户将涉及商业秘密的信息放至云，即成为公知信息为公众所知悉；数据有可能丢失，并不意味着能为其所属领域的相关人员“普遍了解”和“容易获得”。用户将商业秘密信息放至云进行存储或处理，并非意在将其公开，一般用户并不允许云服务商或他人查看、使用、披露这些保密信息，甚至签订有保密协议。云服务商对数据的存储和处理，一般是自动的、甚至是“盲目”的、并无人为干预。即使因意外、黑客入侵等原因造成商业秘密泄密，并不因此而自始破坏云端商业秘密的秘密性。

但是，云计算对商业秘密信息“秘密性”的影响也很大。特别是搜索引擎和社交网站服务，使得大量信息、包括个人信息前所未有的丰富和公开。如2010年的Sasqua Group v. Courtney案18. Sasqua Group v. Courtney, 2010 WL 3613855 (E.D.N.Y. Aug. 2, 2010) .，猎头公司指控前员工从其客户数据库中窃取了客户信息，跳槽后非法使用这些信息接触客户，这些保密信息包括客户的联系方式、个人资料、简历、与客户的关系、招聘偏好等。美国纽约地区法院在本案中，就他人能否容易地获得这些信息进行判断。被告证明了如何通过Google、LinkedIn、Bloomberg.com、FX Week等搜索引擎或社交服务网站进行搜索，就能容易地获得该客户数据库中的信息。法院由此认定所谓的客户数据库并不构成商业秘密。由此可见，虽然将涉及商业秘密的信息放至非信息公开的云平台，并不一定会使其丧失“秘密性”；但却可能因为将信息公开的云服务使得这些信息变得“容易获得”，从而影响商业秘密信息的“秘密性”。

（二）保密性

所谓保密性，根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第11条是指权利人为防止信息泄漏采取了“与其商业价值等具体情况相适应的合理保护措施”。虽然云平台并不一定直接破坏放至其上的商业秘密信息的“秘密性”，但云环境下商业秘密的“保密性”更值得探讨，即在云平台上什么是“合理的保护措施”。

关于“合理的保护措施”，该解释第11条第二款规定“人民法院应当根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素，认定权利人是否采取了保密措施。”

如上所述，云计算安全问题既包括云平台的安全，也包括云平台上应用的安全；既涉及技术层面，也涉及人员操作层面。因此云计算下商业秘密的“合理的保护措施”与云平台的情况、云服务的类型、以及安全技术措施等紧密相关：这不仅涉及云平台的安全管理措施，也涉及云应用的安全管理措施；不仅涉及技术措施，也涉及人员管理措施；而且这些措施根据云平台、云服务类型的不同而有所不同。特别是对于不同类型的云服务，根据用户对数据有多大程度的控制权，所采用的“合理的保护措施”情况有所不同。

云计算服务主要有三种模式：软件即服务(Softwareas a Service, “SaaS”)，平台即服务(Platform as a Service,“PaaS”)和基础设施即服务(Infrastructure as a Service,“IaaS”)。

对于软件即服务SaaS而言，管理访问权限是至关重要的。在这类服务下，用户租用特定的软件应用程序，无论从笔记本电脑、台式机还是手机哪种终端接入，其唯一的控制是访问权限。因此关于访问权限的保护措施属于“合理的保护措施”。

对于平台即服务PaaS而言，除访问权限外，对安装恶意软件的防护措施是同样重要的。在这类服务下，云服务商把用户使用的开发语言和工具、或者购买的应用程序部署到云计算基础设施上，由用户使用、并控制所部署的应用程序。由于用户参与安装、使用并管理应用程序，因此除访问权限外，防止安装恶意软件的防护措施属于“合理的保护措施”。

对于基础设施即服务IaaS而言，除上述访问权限管理、恶意软件防护措施外，有关虚拟机的安全管理措施是必要的。在这类服务下，云服务商向用户提供CPU、存储、网络和其他基本的计算资源，使用户能够通过虚拟机来运行任意软件，控制操作系统、存储和应用程序，甚至获得有限制的网络组件（如防火墙、负载均衡器等）的控制。因此除访问权限管理、恶意软件的防护措施外，虚拟机管理措施（如防止升级虚拟机规模、恶意操纵存储）属于“合理的保护措施”。

从用户控制权的角度出发，如上所述云计算数据安全问题实际上有两个主体——云服务商和用户，云服务商所采取的保密措施并非用户所采取的保密措施。除非在定制程度很高的私有云的情况下，由云服务商向用户提供安全措施咨询，并根据用户的需要、风险分析、费用等情况定制其所需的安全措施。一般而言，如果不专门进行云安全咨询服务，云服务商只提供一个标准的云服务平台、以及标准的安全措施。一般的云计算服务，其标准的安全性能、安全级别较低，如只具有有限的安全功能，无入侵检测、数据备份、灾备等功能。这种安全级别显然不能适应商业秘密或其他高风险数据（如财务信息）的保护要求。对于安全级别较低的云服务（如公有云），云的保密措施是由云服务商提供的，如果按照法律对商业秘密权利人的要求，由于其安全性能较低，有可能达不到“合理的保护措施”的要求。但是如果用户与云服务商签署保密协议、限定涉密信息的知悉范围，向云服务商选择安全级别较高的云服务（并对相关安全性能额外付费），特别是在云服务商之外自行增加了保密措施（如加密），则属于商业秘密权利人所采取的保密措施，并且根据最高院反不正当竞争司法解释应属于“合理的保护措施”。

（三）责任和风险分担

用户如将涉及商业秘密的信息放至云，一旦出现涉密信息泄露，如何主张权利，如何获得法律救济？对该问题的分析，有可能帮助权利人做出是否将敏感信息放入云中的决定，以及事先制订风险管理计划。

从侵权责任出发，根据我国《反不正当竞争法》，认定商业秘密侵权行为要求经营者存在以不正当手段获取商业秘密的行为，或者存在披露、使用或者允许他人使用权利人商业秘密的行为。对于因云计算安全问题，如意外、黑客入侵等原因造成商业秘密泄密或数据丢失，云服务商并不存在披露、使用或者允许他人使用权利人商业秘密的行为，权利人难以追究云服务商的侵权责任。但如果能够找到恶意入侵的黑客，当然可以追究其法律责任（民事、甚至刑事责任）。如在AT&T iPad黑客案19.Shaun Nichols. AT&T iPad hacker found guilty in data leak case［EB/OL］. http://www.v3.co.uk/v3-uk/news/2226206/at-t-ipad-hackerfound-guilty-in-data-leak-case; 2012-12-14.中，黑客被美国联邦政府追究了刑事责任。但毕竟能够找到黑客的可能性是极小的，因此从侵权责任的角度，用户很难主张权利。

对于用户可能的法律救济，通过合同约定云服务商的责任则成为更为重要的方式。数据安全一般在IT服务合同中都是重要的问题，服务商一般都不能对数据安全做出担保保证，还往往明示地对数据丢失和恢复的责任予以免责。特别在公有云中，我们在Amazon、Microsoft的用户服务条款中都看到，服务商并未涉及这些问题和责任。即使在私有云中，这个问题也往往成为用户和服务商双方寸土必争的问题，在上文提到的Montclair State University vs. Oracle一案中也有所反映。从云服务商的角度，即使合同中含有保密条款，也是按照标准的安全级别或合理的谨慎义务对从用户处获得的商业秘密进行保密；但是就数据的所有风险仍由用户承担。如果用户选择更高的安全级别或安全性能，亦须就数据安全性与云服务商达成进一步的协议，对这些加强的安全措施，云服务商会根据风险以及服务协议中的双方的责任及义务衡量服务的价格。

实际的案例比如T-Mobile Sidekick数据泄露事件20.Bierce & Kenerson, P.C., Case Study for Legal Risk Management for “Cloud Computing”: Data Loss for T-Mobile Sidekick Customers［EB/OL］. http://www.outsourcing-law.com/2009/10/case-study-for-legal-risk-management-for-cloud-computing-data-loss-for-t-mobilesidekick-customers/ ; 2012-12-14.。T-Mobile是德国电信所提供的服务，它将其Sidekick服务的云计算功能部分外包给Microsoft的子公司Danger, Inc。结果不幸在2009年10月发生了大规模的数据丢失事件，导致大量移动用户的个人数据（如联系信息、日历、照片、甚至游戏中获得的分数等）丢失不能恢复。T-Mobile对此向用户进行了赔偿，但显然在其与IT服务商的外包合同中，云服务商对数据丢失没有承担什么责任。

（四）分析与建议

根据以上讨论，可以看到云计算环境下商业秘密保护问题与隐私和个人信息保护问题不同。首先是权利人的不同，商业秘密的权利人是经营者，与个人信息的权利人是自然人不同。其次是范围的不同，商业秘密一般分为技术信息和经营信息，与个人信息相关的似乎只有包含个人信息的客户名单。但即使是这类个人信息也并不能直接构成商业秘密，除非其具有商业上的价值，如涉及客户的交易习惯、意向等与交易相关的个人信息。从法律责任的角度，虽然商业秘密保护已具有法律基础，相比个人信息保护缺乏法律依据而言似乎更为乐观，但是从以上的分析不难发现，在云计算环境下主张商业秘密侵权也是极为困难的。

在云计算环境下，商业秘密保护问题与数据安全问题也不相同，但二者有紧密的联系。商业秘密是对安全性要求很高的信息，数据安全问题直接影响商业秘密是否会发生泄密。商业秘密的保护措施也直接依赖于数据安全技术与管理措施。从法律责任的角度，即使用户和服务商能够协商接受保密条款，但是要想让云服务商承担数据安全方面的责任，要远远难于让其承担保密责任。

根据以上分析，我们就云计算下的商业秘密保护问题提出如下建议：

·衡量数据（信息）入云的风险：在云计算模式下，许多企业的商业秘密边界并不很清晰。因此一方面需要界定商业秘密的范围，对不同类别的信息和数据进行不同的管理，适合放至云的需要衡量相应的风险、安全级别及处理要求。

·对关键数据（信息）选择与之适合的云服务：先不要将关键数据（如商业秘密）放至云；如必须放置于云，应选择私有云而非公有云，且须进一步选择合理适当的私有云安全性能。

·签订服务协议及保密协议：商业用户应与云服务商签订服务协议及保密协议（涵盖分包商、注意保密期限等）。在服务协议里明确服务提供商对数据应当采取的保护级别、措施等，并协商数据安全、丢失、恢复的风险及责任分担。

·对商业秘密信息采取合理的技术保护措施：理解所选择云平台、云服务的类型及其安全特性，对涉密信息和数据采取相应的、合理的保密措施。

以上我们探讨了云计算安全问题中的两个方面，一方面涉及隐私和数据（信息）安全问题，另一方面关注商业秘密保护问题。这是一个法律与技术高度交叉的领域，值得我们进一步研究和探讨。