文 / 闫文军 / 吴安骐 / 中国科学院大学人文学院

云计算环境下商业秘密保护问题探讨

文 / 闫文军 / 吴安骐 / 中国科学院大学人文学院

云计算的发展给商业秘密的保护带来了新的问题。云存储中的信息会影响商业秘密的构成认定，但云服务合同中的条款不能作为用户放弃商业秘密的表示。云服务商给商业秘密帯来了威胁，应强化服务商在保护商业秘密中的责任。针对黑客窃取商业秘密的行为，应从打击黑客和发挥服务商作用入手。在管辖和法律适用上，应尽量由我国法院管辖，适用我国法律，保护我国云计算用户的商业秘密。

随着云计算技术和“云服务”的发展，越来越多的企业会使用云服务，其包含商业秘密的信息由云服务商处理或存储。但云计算给企业商业秘密的保护带来了新的难题。本文在介绍云计算给商业秘密保护带来的挑战的基础上，分析解决云计算环境下商业秘密保护问题的思路，对保护“云服务”中的商业秘密提出建议。

一、云计算环境及商业秘密保护

云计算是一种新兴的共享基础架构的方法，可以将巨大的系统池连接在一起以提供各种IT服务。云计算将计算任务分布在大量计算机构成的资源池上，使用户能够按需获取计算力、存储空间和信息服务【1】。在云计算环境中，“云计算”服务商将托管全球数据处理和存储服务，企业只需付费即可使用，不用再投资购买昂贵的硬件设备。

企业用户使用云计算具有降低成本、增加存储能力、高度自动化、灵活性高、更高的流动性、解放IT部门等优点【2】。由于上述优点，用户对云计算的需求逐渐增加，云计算的投资也与日俱增。有人预测，2013到2014年，全球云计算预算达到IT总预算的30%【3】。根据《中国大数据技术与服务市场2012-2016年预测与分析》，我国大数据技术与服务市场规模将会从2011年的7760万美元增长到2016年的6.17亿美元，未来5年的复合增长率达51.4%，市场规模增长近7倍。其中增长率最高的是存储市场，将达60.8%。2015年，我国云计算产业链规模将达7500亿至1万亿元【4】。

云计算按照服务类型大致可以分为三类：将基础设施作为服务（IaaS），将平台作为服务（PaaS）和将软件作为服务（SaaS）。随着云计算的深化发展，不同云计算解决方案之间相互渗透融合，同一种产品往往横跨两种以上类型【1】。用户不管使用哪种云计算服务，不管选择哪个云计算服务商，都不可避免将信息通过网络进行远程处理或存储。这些信息，很多是企业不对外公开的信息，属于企业商业秘密的范畴。

因此，在云计算环境下，商业秘密的保护不可避免地受到影响。商业秘密的保护，除了法律提供保护框架外，主要依靠权利人自身的保护，而且权利人采取保护措施是构成商业秘密的前提。在传统意义上，权利人保密的主要措施是限制接触商业秘密的人，首先是将企业的商业秘密在企业内部进行保密，不向他人泄露，并且将知悉商业秘密的人数减少到最少。而在云计算环境中，如果企业将包括商业秘密在内的信息交给云计算服务商处理和存储，则是将企业相关信息交给企业外的人，并且保管的方式是以网络接入的数字化保存，信息安全成为企业的最大顾虑。根据美国华盛顿大学TechCast中心的调查统计，对于云计算服务的弱点，“安全”问题占70%，排在第一位。安全问题是使用者对公共云服务的最主要担心。很多使用者不希望其数据由第三方保管，或保管在他人可以进入的地方。85%的使用者表示其使用云服务存储非敏感数据，只有19%的用户表示使用云服务存储敏感数据【5】。

由于对云计算数据安全的担心，美国律师建议用户在使用云计算服务时，第一步是进行商业秘密评估或调查，确定哪些信息是保密的或敏感的，对于这些信息最好不存在云中【6】。但是，存储在云中的数据不可能完全排除商业秘密。甚至可以说，每个企业存储在云中的信息都可能包含商业秘密。因此，我们需要分析云计算对商业秘密保护带来了哪些影响，如何处理云计算服务中涉及的商业秘密保护问题。

二、云计算环境对商业秘密法定要件的影响

商业秘密受保护的前提是认定所争议的信息属于商业秘密。根据TRIPS协议及我国《反不正当竞争法》第十条的规定，“不为公众所知悉”“具有价值”和“采取合理保密措施”是商业秘密构成的法定要件。其中，“不为公众所知悉”和“采取合理保密措施”是两个最容易引起争议的要件。在云计算环境下，这两个要件的认定也面临新的情况。

（一）“不为公众所知悉”的认定

根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第九条的规定，“不为公众所知悉”指的是“有关信息不为其所属领域的相关人员普遍知悉和容易获得”，而具有下列情形之一的，可以认定有关信息不构成不为公众所知悉：该信息已经在公开出版物或者其他媒体上公开披露；该信息从其他公开渠道可以获得；该信息无需付出一定的代价而容易获得。

当权利人主张自己的信息属于商业秘密时，被控侵权人可以以该信息不符合“不为公众所知悉”的要件为由，否定其构成商业秘密。我国以及其他国家都有类似的规定和做法。被控侵权人可以根据网络中可以获取的信息否定商业秘密“不为公众所知悉”的要件。例如，在纽约东区法院2010年审理的Sasqua Group v. Courtney12010 WL 3613855( E.D.N.Y. Aug. 2 2010).案中，法院就否定了原告主张的信息构成商业秘密。原告Sasqua Group公司是一个金融行业的猎头公司，被告Courtney曾是该公司的业务经理。原告主张被告在客户数据库中偷走了保密的客户信息，然后引诱这些客户进行交易。这些保密的数据包括客户联系方式，个人简历，就职意向等。法院根据以前的判例，认为认定商业秘密需要考虑的因素之一是“他人适当取得或复制该信息的难易程度”。而根据被告的主张，金融从业人员在 Bloomberg、 LinkedIn、Facebook 以及其他公开的数据库中都有联系方式以及简历等信息，其所掌握的信息不是复制于原告，而是从公开的数据库中找到的。虽然从公开的信息中不能找到就职意向，但法院认为，根据从公开途径找到的联系方式，就可以通过联系该人得到其就职意向。因此，法院认为，他人可以容易地从公开渠道得到原告所主张的信息，该信息不能作为商业秘密受保护。

随着云计算以及网络社交平台的发展，越来越多的用户将信息存放在云中。云中存储的信息越来越多，从公开的渠道通过搜索可以得到很多企业或个人的信息。像客户名单这样的信息，很多都可以从公开的网络中找到。因此，美国律师指出，在21世纪的新技术面前，某些信息可能不再受保护【6】。

能从公开的网络上搜索得到的信息，属于“无需付出一定的代价而容易获得”的信息，不再符合“不为公众所知悉”的要件。因此，如果一项信息被用户存储在公有云中，他人可以随意接触到该信息，该信息就不能再认定属于商业秘密。但是，如果用户每人上传的只是其中一部分内容，而商业秘密权利人所主张的是将这些信息组合起来的信息整体，能否认定权利人所主张的信息符合“不为公众所知悉”的要件，则要具体分析。如果权利人所主张的只是少量信息的组合，则很难认定组合后的信息属于商业秘密。但是，如果权利人主张的是大量信息的组合，特别是这些信息如果还包含了尚未公开的信息，就不能轻易否定这些组合后的信息属于商业秘密。例如，美国Sasqua案中的就职意向就不属于网络中公开的信息，虽然可以根据联系方式向每个人电话联系得到其就职意向，很难说这一信息的获得是容易的。特别是在涉及的人特别多的情况下，更是如此。如果信息的获得要付出一定的代价，就不属于“容易获得”，仍属于“不为公众所知悉”。我们认为，美国Sasqua案中对“不为公众所知悉”的要件过于严格，不利于对商业秘密权利人的保护。

（二）“采取合理保密措施”的认定

根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十一条的规定，保密措施指权利人为防止信息泄漏所采取的与其商业价值等具体情况相适应的合理保护措施，人民法院应当根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素，认定权利人是否采取了保密措施。同时，该条还规定了应当认定权利人采取了保密措施的七种情形。但是，法律和司法解释没有规定在哪些情形下可以认定当事人未采取保密措施，从而不能认定商业秘密。在有的判决中，法院认定如果原告将其所主张的商业秘密交给他人，同时没有要求他人承担保密义务，也没有在有关信息载体上标注保密，则该信息不能作为商业秘密受保护。2例如，北京市第二中级人民法院在（(2007)二中民终字第02155号判决中指出，张铁军虽主张曾将《整合报告》交付王晓京，但并未与王晓京就此签订保密协议。而且根据本案现有证据，亦不能证明上诉人张铁军将带有“机密”字样的《整合报告》交付给了王晓京。本院认定上诉人张铁军关于《整合报告》构成商业秘密的上诉主张，依据不足。而根据美国学者的观点，作为一般规则，商业信息一旦自愿泄露给其他人，就不能再受到保护【7】。根据美国商业秘密法的规则，当商业秘密权利人将商业秘密泄露给他人时，对方应负有保密义务，其商业秘密才能得到保护。

当用户将信息交给云计算服务商进行处理或存储时，用户一般通过接受服务商规定的条款达成服务协议。而该服务条款一般都是云计算服务商单方拟定的。在云计算服务商拟定的条款中，有时会免除服务商的保密责任。例如，美国OpSource Cloud的服务条款载明：“在任何情况下，各方都对偶然惩罚性的、直接或附随的技术损失、数据损失的损害不承担责任。”【7】在Google的服务条款中载明：“在法律允许的范围内，Google 及其供应商和分销商不承担利润损失、收入损失或数据、财务损失或间接、特殊、后果性、惩戒性或惩罚性损害赔偿责任。”【8】在Amzon的云服务条款第13.10条规定：“除了在协议中的免责声明，我们特此声明，我们不承担任何受托保管人或保管员责任。你放弃一切针对我们或我们的附属公司或我们承办商或代理人的，关于或产生于媒体或数据储存、传输的权利及补救（不论是由于根据普通法或成文法）。你全权负责对您的数据采取适当的安全措施，包括加密敏感数据。”【9】当用户对上述类似的条款签署同意并使用了云计算服务时，是否意味着用户与服务商之间没有保密要求，从而说明用户没有采取相应的保密措施？这是一个有争议的值得研究的问题。

我们认为，在这种情况下不能轻易认定用户没有采取保密措施。云服务商拟定的免责条款，只是其免除保密责任的规定，并不能理解为一旦用户接受了这些条款就放弃了对有关信息的保密要求。认定用户是否采取了合理的保密措施，还要看用户有没有保密的意愿，例如有没有采取其他保密措施。如果用户设置了进入密码等防止他人接触其信息的措施，也应当认定用户采取了合理的保密措施。

当用户将包含商业秘密的信息交给云服务商处理或存储时，云服务商具有控制用户商业秘密的能力，也影响着商业秘密的安全。

三、云服务商对商业秘密的威胁

当用户将包含商业秘密的信息交给云服务商处理或存储时，云服务商具有控制用户商业秘密的能力，也影响着商业秘密的安全。

（一）服务商使用客户数据的问题

在商业秘密交给云服务商处理或存储时，商业秘密处在云服务商的控制之下，云服务提供商有可能为了自己利益使用，甚至向外出售客户的信息。例如，2013年中央电视台的3.15晚会就曝光了网易同意第三方公司加代码，窃取用户信息隐私、邮箱投放垃圾广告的行为。第三方公司在窃取邮箱用户隐私时，就可以得知用户邮箱中的内容，包括商业秘密。而在云存储环境中，云服务提供商可能又与他人签订协议，将客户的信息存放在其他提供云存储服务的服务器上。因此，虽然商业秘密的权利人与一个云计算服务商达成了协议，但实际提供服务的可能是多个主体。而信息在哪个环节被泄露，对于商业秘密权利人来说是不容易查明的。

在云计算服务商与客户的协议中，云计算服务商会为自己保留使用有关数据的权利。例如，Google的服务条款中规定：“当您上传内容或通过其他方式向我们的服务提交内容时，您授予 Google（以及我们的合作伙伴）一项全球性的许可，允许 Google 使用、持有、存储、复制、修改、创建衍生作品（例如，我们为了使您的内容更好地与我们的服务配合使用而进行翻译、改编或其他更改，由此所产生的作品）、传播、出版、公开演示、公开展示和分发此类内容。”【8】客户如果接受了这些条款，并将商业秘密的内容上传，就意味着允许Google及其合作伙伴使用其商业秘密，对商业秘密的保护构成威胁。

在用户与云计算服务商的关系中，用户处于弱势地位，并且合同条款都是云计算服务商拟定的格式合同。云计算服务商为了提供服务的需要，对有关信息进行使用是必要的，但以不损害用户的利益为限。不管服务商是否收取使用费，服务商都不能将用户的信息向外转让以谋取利益。当用户与服务商就合同条款产生争议后，应当从合同效力和解释的角度，尽量维护用户的利益。从合同的效力讲，按照我国《合同法》第四十条的规定，提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的，该条款无效。第五十三条的规定“因故意或者重大过失造成对方财产损失的”条款无效。如果服务商擅自披露用户的商业秘密，给用户造成财产损失，即使有免责条款，也可以认定无效。从合同解释的角度讲，根据我国《合同法》第四十一条的规定，对格式条款有两种以上解释的，应当作出不利于提供格式条款一方的解释。即使不能认定有关条款无效，也可以从合同解释的角度限制服务商对于用户信息的使用权。

由于云计算本身的特点，用户很难发现服务商是否泄露了其信息。这就需要加强信息安全的立法，强化服务商的责任。一方面强化对服务商的监管，防止其利用客户信息非法谋利；另一方面要求服务商保留其处理和存储用户信息的证据，并在双方产生争议时提交有关证据以证明其没有非法利用客户信息。

（二）合同终止后的信息处置问题

在传统的模式下，商业秘密权利人在自己控制下对有关信息采取保密措施，不存在后续处置问题。但是，如果权利人将商业秘密交给他人保管，就会出现合同终止后，信息如何处理的问题。

在云计算服务合同终止后，用户可能由于数据迁移障碍而失去对商业秘密数据的控制【10】。即使用户可以选择删除或迁出有关信息，也存在该信息是否安全的问题。如果客户放弃了数据，云计算服务商继续保存有关信息还是删除？如果一旦将信息删除，信息是否还能够恢复？在云计算服务商提供的合同中，大部分都不涉及这些问题。

只有个别企业的服务合同中包括了这些内容。例如，Amazon的云服务合同第6条规定，在用户违约等情形下，Amazon可以中止有关服务，但不删除存储的内容。第7 条规定， 在合同终止的情况下，用户可以立即收回或按Amazon的指令删除有关数据。在终止后30天内，用户可以删除有关数据，也可以在支付有关费用后恢复有关数据【11】。在Google服务条款中，也涉及到这个问题，“我们认为您拥有自己数据的所有权并保留对此类数据的访问权限，这一点非常重要。如果我们停止某项服务，在合理可能的情况下，我们会向用户发出合理的提前通知，并让用户有机会将信息从服务中汇出。”【8】即使按照这些条款，仍不能解决合同终止后数据处理的问题。

这些问题的核心在于合同终止后商业秘密的安全问题。在合同终止后，仍然存于服务商处的信息处于权利人无法控制的状态。即使用户选择了删除有关信息，也并不意味着信息就完全安全了。删除后还存在数据残留的问题。如果存储介质被放置在失控的环境下，例如扔到垃圾堆，或交给第三方机构，数据残留可能会在无意中泄露十分敏感的信息。

在合同终止后，仍然存于服务商处的信息处于权利人无法控制的状态。为了确保合同终止后用户商业秘密的安全，应加强服务商的后合同义务。

为了确保合同终止后用户商业秘密的安全，应加强服务商的后合同义务。根据我国《合同法》第九十二条的规定，合同的权利义务终止后，当事人应当遵循诚实信用原则，根据交易习惯履行通知、协助、保密等义务。云计算服务合同中，服务商的后合同义务非常重要。在合同终止后的合理期限内，服务商应彻底删除用户的信息及有关数据残留，并应妥善处理曾存储客户信息的硬件，防止他人从中获取客户的商业秘密。如果因服务商的过错造成他人获取了用户残留的商业秘密，服务商应承担相应的责任。

四、第三人对商业秘密的威胁

商业秘密的最大威胁往往来自竞争对手。竞争对手可能采取非法手段取得和利用他人的商业秘密，损害商业秘密权利人的利益。在云计算环境下，竞争对手除了采用常规的窃取手段外，最常用的手段就是使用黑客攻击进入云服务商的网络。

在网络环境下，黑客攻击获取商业秘密的情况越来越多。例如，在2011年就出现过多起有名的黑客攻击事件，如包括索尼PSN遭系列攻击事件、Wordpress遭攻击事件、新浪微博蠕虫攻击、国内多家网站遭遇“拖库”。3“拖库”是安全行业术语，指黑客入侵企业网络、把服务器上的用户数据库、财务数据库等复制下来。全球最大的授权电子邮件营销商Epsilon数据库系统遭黑客入侵，多家大型企业的信息被窃取。瑞星公司发布的2011年上半年互联网安全报告显示，随着越来越多有价值的用户资料转移到云端，储存了这些资料的“云”，正成为黑客攻击的新对象【12】。

云计算环境下，由于云端数据存储量特别巨大，而又存放在从外部可以进入的网络中，就极易受到黑客攻击。黑客攻击对于存储在云端数据中的商业秘密构成严重威胁。

对于黑客攻击的行为，我国现行民事和刑事法律已经有了法律规定。针对云计算环境下黑客行为的特点，我们一方面要完善有关法律规定，加强执法的针对性，运用行政手段和刑事手段，制裁和威吓有关行为人。另一方面，云服务商更有能力在面临黑客攻击时减少或避免损失，要发挥云计算服务商在应对黑客攻击方面的作用。云服务商一般都声明对黑客等行为造成的客户数据损失不承担责任。对此，如前所述，我们应利用合同法的规则妥善认定云服务商的责任。另外，黑客攻击不能一律认定为不可抗力，如果服务商在防止黑客攻击方面有过错，应承担相应的责任。即使将黑客攻击认定为不可抗力，服务商没有采取积极措施及时减少损失的，也应当承担相应的责任。

五、商业秘密侵权的管辖和法律适用

在权利人自己保管商业秘密的情况下，侵害商业秘密的管辖和法律适用都容易确定。根据我国《民事诉讼法》的规定，对侵害商业秘密的行为，由侵权行为地或被告所在地法院管辖。根据我国《反不正当竞争法》的规定，对于发生在我国范围内的侵害商业秘密的行为，可以适用我国的反不正当竞争法进行规制。在云计算环境下，云计算服务合同以及侵权行为都在网络中完成，已经突破了传统的国界限制。这就不可避免地带来了管辖和法律适用的难题。

（一）用户与服务商就商业秘密侵权争议的管辖和法律适用问题

如果用户与云计算服务商就服务中涉及的商业秘密保护产生争议，首先应确定解决争议的法院和适用的法律。在云服务商提供的标准合同或服务条款中，一般会做有利于服务商的约定，约定由服务商所在地的法院管辖并适用服务商所在地的法律。例如，Google 服务条款规定：“美国加利福尼亚州的法律（不包括加利福尼亚州的法律冲突规则）将适用于因本条款或服务引起的或与之相关的纠纷。因本条款或服务引起的或与之相关的所有索赔，只能向美国加利福尼亚州圣克拉拉县联邦法院或州法院提起诉讼，且您和Google 同意上述法院拥有属人管辖权。”【8】因此，如果我国用户接受Google公司服务后就商业秘密产生争议，则会面临法院管辖和法律适用的问题。

我国《民事诉讼法》和《民法通则》赋予了合同当事人选择管辖法院和适用法律的权利。如果当事人在合同中的约定符合有关法律的规定，应当视为有效。但是，如果我国用户与国外云服务商产生争议都到国外的法院适用国外的法律解决，则对我国用户明显不公平。我们可以通过立法的方式，在符合国际公约要求的情况下，限制云服务合同中关于管辖和法律适用的约定。

（二）用户与第三方就商业秘密侵权争议的管辖和法律适用问题

在云计算环境下，分布式服务器和数据中心由各种网络服务商提供，被许可的用户可以从世界任何地方经由互联网访问并运用储存的信息。云计算所依托的数据和信息不是基于个人电脑的存储，而是由互联网所连接的远程数据库。云计算系统根据用户的指令按需调用信息资源，通过网络将分布在不同位置的硬件、软件等资源集中起来组成虚拟主机供用户使用。一旦权利人将商业秘密存储在云端，其存储地址可能连权利人都不知道在哪里，并且有可能是在国外。而侵害商业秘密的行为人也可能在国外。这样，就给侵权行为人和侵权行为地的确定带来了困难，同时也产生了管辖和法律适用的问题。

原则上说，这涉及到我国权利人针对国外侵权人的管辖和法律适用问题，以及国外权利人针对我国侵权人的管辖和法律适用问题。本文主要探讨我国权利人针对国外侵权人，能否在我国管辖以及适用我国法律的问题。

根据我国《民事诉讼法》第265条的规定，只要“诉讼标的物在中华人民共和国领域内”，我国法院就可以行使管辖权。对于存储在云服务器中的商业秘密，能否认定其在中华人民共和国领域内是确定管辖的关键。我们认为，由于该商业秘密是由国内用户存储在服务器上的，并且在国内就可以登录接触到该商业秘密，就可以认定其在其在中华人民共和国领域内，而不能单独以服务器的所在地认定标的物所在地。因此，即使我国用户的商业秘密通过云计算服务存储在国外服务器上，就该商业秘密的侵权产生争议，国内法院仍可以行使管辖权。

根据我国《涉外民事关系法律适用法》第五十条的规定，知识产权的侵权责任，适用被请求保护地法律，当事人也可以在侵权行为发生后协议选择适用法院地法律。因此，如果我国法院审查云计算合同中的商业秘密侵权案件，应当适用我国的法律。

六、结束语

云计算的发展，给商业秘密的保护带来了新的问题。如果这些问题不能解决，将影响着云计算的应用和发展。而解决这些问题，需要依据技术和法律手段。在我们不断完善技术手段的同时，也要灵活妥善地适用现行的法律规定，合理保护商业秘密权利人的利益。与此同时，我们要总结自己的经验，借鉴其他国家和地区的经验，完善我国云计算环境下信息安全及个人数据保护的法律制度，防止商业秘密在云中消失。

参考文献

【1】刘鹏.云计算【M】. 第二版.北京：电子工业出版社，2011：1-3.

【2】企业用户使用云计算的六大优点【EB/OL】.【2013-06-12】. http://datacenter.chinabyte.com/91/11590091.shtml.

【3】Challenges & Opportunities for IT partners when transforming or creating a business in the Cloud.【M】.comBase consulting. 2012:77.

【4】中国大数据技术市场未来5年复合增长率将达50%【EB/OL】.【2013-06-12】.http://www.m2mun.com/yun/2012122314478.html.

【5】Tim Gibson.On Cloud Computing【EB/OL】.【2013-06-12】.http://www.docin.com/p-649041030.html.

【6】 Robert B. Milligan. Managing and Protecting Information( including trade secret) in the Cloud【EB/OL】.【2013-06-12】.http:// www.tradesecretslaw.com/uploads/file/13318061_2(1).pdf.

【7】Sharon K. Sandeen. Lost in the Cloud: the Implications of Cloud Computing for Trade Secret Protection【EB/OL】.【2013-06-12】. http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1685402.

【8】Google 服务条款【EB/OL】.【2013-06-12】.http://www.google.com/intl/zh-CN/policies/terms/.

【9】AWS Service Terms【EB/OL】.【2013-06-12】.http://aws.amazon.com/cn/serviceterms/.

【10】罗先觉,尹锋林.云计算对知识产权保护的若干影响【J】.知识产权，2012（4）：60-64.

【11】AWS Customer Agreement【EB/OL】.【2013-06-12】.http://aws.amazon.com/cn/agreement/.

【12】企业安全意识淡薄 云计算终端成黑客攻击新对象【EB/OL】.【2013-06-12】.http://it.people.com.cn/GB/15204164.html.

*本文受国家社科基金重大项目“中国云计算知识产权问题与对策研究”（项目批准号:11&ZD179）的支持。