云計算環(huán)境下商業(yè)秘密保護(hù)問題探討

文 / 閆文軍 / 吳安騏 / 中國科學(xué)院大學(xué)人文學(xué)院

云計算環(huán)境下商業(yè)秘密保護(hù)問題探討

文 / 閆文軍 / 吳安騏 / 中國科學(xué)院大學(xué)人文學(xué)院

云計算的發(fā)展給商業(yè)秘密的保護(hù)帶來了新的問題。云存儲中的信息會影響商業(yè)秘密的構(gòu)成認(rèn)定，但云服務(wù)合同中的條款不能作為用戶放棄商業(yè)秘密的表示。云服務(wù)商給商業(yè)秘密帯來了威脅，應(yīng)強(qiáng)化服務(wù)商在保護(hù)商業(yè)秘密中的責(zé)任。針對黑客竊取商業(yè)秘密的行為，應(yīng)從打擊黑客和發(fā)揮服務(wù)商作用入手。在管轄和法律適用上，應(yīng)盡量由我國法院管轄，適用我國法律，保護(hù)我國云計算用戶的商業(yè)秘密。

隨著云計算技術(shù)和“云服務(wù)”的發(fā)展，越來越多的企業(yè)會使用云服務(wù)，其包含商業(yè)秘密的信息由云服務(wù)商處理或存儲。但云計算給企業(yè)商業(yè)秘密的保護(hù)帶來了新的難題。本文在介紹云計算給商業(yè)秘密保護(hù)帶來的挑戰(zhàn)的基礎(chǔ)上，分析解決云計算環(huán)境下商業(yè)秘密保護(hù)問題的思路，對保護(hù)“云服務(wù)”中的商業(yè)秘密提出建議。

一、云計算環(huán)境及商業(yè)秘密保護(hù)

云計算是一種新興的共享基礎(chǔ)架構(gòu)的方法，可以將巨大的系統(tǒng)池連接在一起以提供各種IT服務(wù)。云計算將計算任務(wù)分布在大量計算機(jī)構(gòu)成的資源池上，使用戶能夠按需獲取計算力、存儲空間和信息服務(wù)【1】。在云計算環(huán)境中，“云計算”服務(wù)商將托管全球數(shù)據(jù)處理和存儲服務(wù)，企業(yè)只需付費即可使用，不用再投資購買昂貴的硬件設(shè)備。

企業(yè)用戶使用云計算具有降低成本、增加存儲能力、高度自動化、靈活性高、更高的流動性、解放IT部門等優(yōu)點【2】。由于上述優(yōu)點，用戶對云計算的需求逐漸增加，云計算的投資也與日俱增。有人預(yù)測，2013到2014年，全球云計算預(yù)算達(dá)到IT總預(yù)算的30%【3】。根據(jù)《中國大數(shù)據(jù)技術(shù)與服務(wù)市場2012-2016年預(yù)測與分析》，我國大數(shù)據(jù)技術(shù)與服務(wù)市場規(guī)模將會從2011年的7760萬美元增長到2016年的6.17億美元，未來5年的復(fù)合增長率達(dá)51.4%，市場規(guī)模增長近7倍。其中增長率最高的是存儲市場，將達(dá)60.8%。2015年，我國云計算產(chǎn)業(yè)鏈規(guī)模將達(dá)7500億至1萬億元【4】。

云計算按照服務(wù)類型大致可以分為三類：將基礎(chǔ)設(shè)施作為服務(wù)（IaaS），將平臺作為服務(wù)（PaaS）和將軟件作為服務(wù)（SaaS）。隨著云計算的深化發(fā)展，不同云計算解決方案之間相互滲透融合，同一種產(chǎn)品往往橫跨兩種以上類型【1】。用戶不管使用哪種云計算服務(wù)，不管選擇哪個云計算服務(wù)商，都不可避免將信息通過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程處理或存儲。這些信息，很多是企業(yè)不對外公開的信息，屬于企業(yè)商業(yè)秘密的范疇。

因此，在云計算環(huán)境下，商業(yè)秘密的保護(hù)不可避免地受到影響。商業(yè)秘密的保護(hù)，除了法律提供保護(hù)框架外，主要依靠權(quán)利人自身的保護(hù)，而且權(quán)利人采取保護(hù)措施是構(gòu)成商業(yè)秘密的前提。在傳統(tǒng)意義上，權(quán)利人保密的主要措施是限制接觸商業(yè)秘密的人，首先是將企業(yè)的商業(yè)秘密在企業(yè)內(nèi)部進(jìn)行保密，不向他人泄露，并且將知悉商業(yè)秘密的人數(shù)減少到最少。而在云計算環(huán)境中，如果企業(yè)將包括商業(yè)秘密在內(nèi)的信息交給云計算服務(wù)商處理和存儲，則是將企業(yè)相關(guān)信息交給企業(yè)外的人，并且保管的方式是以網(wǎng)絡(luò)接入的數(shù)字化保存，信息安全成為企業(yè)的最大顧慮。根據(jù)美國華盛頓大學(xué)TechCast中心的調(diào)查統(tǒng)計，對于云計算服務(wù)的弱點，“安全”問題占70%，排在第一位。安全問題是使用者對公共云服務(wù)的最主要擔(dān)心。很多使用者不希望其數(shù)據(jù)由第三方保管，或保管在他人可以進(jìn)入的地方。85%的使用者表示其使用云服務(wù)存儲非敏感數(shù)據(jù)，只有19%的用戶表示使用云服務(wù)存儲敏感數(shù)據(jù)【5】。

由于對云計算數(shù)據(jù)安全的擔(dān)心，美國律師建議用戶在使用云計算服務(wù)時，第一步是進(jìn)行商業(yè)秘密評估或調(diào)查，確定哪些信息是保密的或敏感的，對于這些信息最好不存在云中【6】。但是，存儲在云中的數(shù)據(jù)不可能完全排除商業(yè)秘密。甚至可以說，每個企業(yè)存儲在云中的信息都可能包含商業(yè)秘密。因此，我們需要分析云計算對商業(yè)秘密保護(hù)帶來了哪些影響，如何處理云計算服務(wù)中涉及的商業(yè)秘密保護(hù)問題。

二、云計算環(huán)境對商業(yè)秘密法定要件的影響

商業(yè)秘密受保護(hù)的前提是認(rèn)定所爭議的信息屬于商業(yè)秘密。根據(jù)TRIPS協(xié)議及我國《反不正當(dāng)競爭法》第十條的規(guī)定，“不為公眾所知悉”“具有價值”和“采取合理保密措施”是商業(yè)秘密構(gòu)成的法定要件。其中，“不為公眾所知悉”和“采取合理保密措施”是兩個最容易引起爭議的要件。在云計算環(huán)境下，這兩個要件的認(rèn)定也面臨新的情況。

（一）“不為公眾所知悉”的認(rèn)定

根據(jù)《最高人民法院關(guān)于審理不正當(dāng)競爭民事案件應(yīng)用法律若干問題的解釋》第九條的規(guī)定，“不為公眾所知悉”指的是“有關(guān)信息不為其所屬領(lǐng)域的相關(guān)人員普遍知悉和容易獲得”，而具有下列情形之一的，可以認(rèn)定有關(guān)信息不構(gòu)成不為公眾所知悉：該信息已經(jīng)在公開出版物或者其他媒體上公開披露；該信息從其他公開渠道可以獲得；該信息無需付出一定的代價而容易獲得。

當(dāng)權(quán)利人主張自己的信息屬于商業(yè)秘密時，被控侵權(quán)人可以以該信息不符合“不為公眾所知悉”的要件為由，否定其構(gòu)成商業(yè)秘密。我國以及其他國家都有類似的規(guī)定和做法。被控侵權(quán)人可以根據(jù)網(wǎng)絡(luò)中可以獲取的信息否定商業(yè)秘密“不為公眾所知悉”的要件。例如，在紐約東區(qū)法院2010年審理的Sasqua Group v. Courtney12010 WL 3613855( E.D.N.Y. Aug. 2 2010).案中，法院就否定了原告主張的信息構(gòu)成商業(yè)秘密。原告Sasqua Group公司是一個金融行業(yè)的獵頭公司，被告Courtney曾是該公司的業(yè)務(wù)經(jīng)理。原告主張被告在客戶數(shù)據(jù)庫中偷走了保密的客戶信息，然后引誘這些客戶進(jìn)行交易。這些保密的數(shù)據(jù)包括客戶聯(lián)系方式，個人簡歷，就職意向等。法院根據(jù)以前的判例，認(rèn)為認(rèn)定商業(yè)秘密需要考慮的因素之一是“他人適當(dāng)取得或復(fù)制該信息的難易程度”。而根據(jù)被告的主張，金融從業(yè)人員在 Bloomberg、 LinkedIn、Facebook 以及其他公開的數(shù)據(jù)庫中都有聯(lián)系方式以及簡歷等信息，其所掌握的信息不是復(fù)制于原告，而是從公開的數(shù)據(jù)庫中找到的。雖然從公開的信息中不能找到就職意向，但法院認(rèn)為，根據(jù)從公開途徑找到的聯(lián)系方式，就可以通過聯(lián)系該人得到其就職意向。因此，法院認(rèn)為，他人可以容易地從公開渠道得到原告所主張的信息，該信息不能作為商業(yè)秘密受保護(hù)。

隨著云計算以及網(wǎng)絡(luò)社交平臺的發(fā)展，越來越多的用戶將信息存放在云中。云中存儲的信息越來越多，從公開的渠道通過搜索可以得到很多企業(yè)或個人的信息。像客戶名單這樣的信息，很多都可以從公開的網(wǎng)絡(luò)中找到。因此，美國律師指出，在21世紀(jì)的新技術(shù)面前，某些信息可能不再受保護(hù)【6】。

能從公開的網(wǎng)絡(luò)上搜索得到的信息，屬于“無需付出一定的代價而容易獲得”的信息，不再符合“不為公眾所知悉”的要件。因此，如果一項信息被用戶存儲在公有云中，他人可以隨意接觸到該信息，該信息就不能再認(rèn)定屬于商業(yè)秘密。但是，如果用戶每人上傳的只是其中一部分內(nèi)容，而商業(yè)秘密權(quán)利人所主張的是將這些信息組合起來的信息整體，能否認(rèn)定權(quán)利人所主張的信息符合“不為公眾所知悉”的要件，則要具體分析。如果權(quán)利人所主張的只是少量信息的組合，則很難認(rèn)定組合后的信息屬于商業(yè)秘密。但是，如果權(quán)利人主張的是大量信息的組合，特別是這些信息如果還包含了尚未公開的信息，就不能輕易否定這些組合后的信息屬于商業(yè)秘密。例如，美國Sasqua案中的就職意向就不屬于網(wǎng)絡(luò)中公開的信息，雖然可以根據(jù)聯(lián)系方式向每個人電話聯(lián)系得到其就職意向，很難說這一信息的獲得是容易的。特別是在涉及的人特別多的情況下，更是如此。如果信息的獲得要付出一定的代價，就不屬于“容易獲得”，仍屬于“不為公眾所知悉”。我們認(rèn)為，美國Sasqua案中對“不為公眾所知悉”的要件過于嚴(yán)格，不利于對商業(yè)秘密權(quán)利人的保護(hù)。

（二）“采取合理保密措施”的認(rèn)定

根據(jù)《最高人民法院關(guān)于審理不正當(dāng)競爭民事案件應(yīng)用法律若干問題的解釋》第十一條的規(guī)定，保密措施指權(quán)利人為防止信息泄漏所采取的與其商業(yè)價值等具體情況相適應(yīng)的合理保護(hù)措施，人民法院應(yīng)當(dāng)根據(jù)所涉信息載體的特性、權(quán)利人保密的意愿、保密措施的可識別程度、他人通過正當(dāng)方式獲得的難易程度等因素，認(rèn)定權(quán)利人是否采取了保密措施。同時，該條還規(guī)定了應(yīng)當(dāng)認(rèn)定權(quán)利人采取了保密措施的七種情形。但是，法律和司法解釋沒有規(guī)定在哪些情形下可以認(rèn)定當(dāng)事人未采取保密措施，從而不能認(rèn)定商業(yè)秘密。在有的判決中，法院認(rèn)定如果原告將其所主張的商業(yè)秘密交給他人，同時沒有要求他人承擔(dān)保密義務(wù)，也沒有在有關(guān)信息載體上標(biāo)注保密，則該信息不能作為商業(yè)秘密受保護(hù)。2例如，北京市第二中級人民法院在（(2007)二中民終字第02155號判決中指出，張鐵軍雖主張曾將《整合報告》交付王曉京，但并未與王曉京就此簽訂保密協(xié)議。而且根據(jù)本案現(xiàn)有證據(jù)，亦不能證明上訴人張鐵軍將帶有“機(jī)密”字樣的《整合報告》交付給了王曉京。本院認(rèn)定上訴人張鐵軍關(guān)于《整合報告》構(gòu)成商業(yè)秘密的上訴主張，依據(jù)不足。而根據(jù)美國學(xué)者的觀點，作為一般規(guī)則，商業(yè)信息一旦自愿泄露給其他人，就不能再受到保護(hù)【7】。根據(jù)美國商業(yè)秘密法的規(guī)則，當(dāng)商業(yè)秘密權(quán)利人將商業(yè)秘密泄露給他人時，對方應(yīng)負(fù)有保密義務(wù)，其商業(yè)秘密才能得到保護(hù)。

當(dāng)用戶將信息交給云計算服務(wù)商進(jìn)行處理或存儲時，用戶一般通過接受服務(wù)商規(guī)定的條款達(dá)成服務(wù)協(xié)議。而該服務(wù)條款一般都是云計算服務(wù)商單方擬定的。在云計算服務(wù)商擬定的條款中，有時會免除服務(wù)商的保密責(zé)任。例如，美國OpSource Cloud的服務(wù)條款載明：“在任何情況下，各方都對偶然懲罰性的、直接或附隨的技術(shù)損失、數(shù)據(jù)損失的損害不承擔(dān)責(zé)任?！薄?】在Google的服務(wù)條款中載明：“在法律允許的范圍內(nèi)，Google 及其供應(yīng)商和分銷商不承擔(dān)利潤損失、收入損失或數(shù)據(jù)、財務(wù)損失或間接、特殊、后果性、懲戒性或懲罰性損害賠償責(zé)任。”【8】在Amzon的云服務(wù)條款第13.10條規(guī)定：“除了在協(xié)議中的免責(zé)聲明，我們特此聲明，我們不承擔(dān)任何受托保管人或保管員責(zé)任。你放棄一切針對我們或我們的附屬公司或我們承辦商或代理人的，關(guān)于或產(chǎn)生于媒體或數(shù)據(jù)儲存、傳輸?shù)臋?quán)利及補(bǔ)救（不論是由于根據(jù)普通法或成文法）。你全權(quán)負(fù)責(zé)對您的數(shù)據(jù)采取適當(dāng)?shù)陌踩胧用苊舾袛?shù)據(jù)。”【9】當(dāng)用戶對上述類似的條款簽署同意并使用了云計算服務(wù)時，是否意味著用戶與服務(wù)商之間沒有保密要求，從而說明用戶沒有采取相應(yīng)的保密措施？這是一個有爭議的值得研究的問題。

我們認(rèn)為，在這種情況下不能輕易認(rèn)定用戶沒有采取保密措施。云服務(wù)商擬定的免責(zé)條款，只是其免除保密責(zé)任的規(guī)定，并不能理解為一旦用戶接受了這些條款就放棄了對有關(guān)信息的保密要求。認(rèn)定用戶是否采取了合理的保密措施，還要看用戶有沒有保密的意愿，例如有沒有采取其他保密措施。如果用戶設(shè)置了進(jìn)入密碼等防止他人接觸其信息的措施，也應(yīng)當(dāng)認(rèn)定用戶采取了合理的保密措施。

當(dāng)用戶將包含商業(yè)秘密的信息交給云服務(wù)商處理或存儲時，云服務(wù)商具有控制用戶商業(yè)秘密的能力，也影響著商業(yè)秘密的安全。

三、云服務(wù)商對商業(yè)秘密的威脅

當(dāng)用戶將包含商業(yè)秘密的信息交給云服務(wù)商處理或存儲時，云服務(wù)商具有控制用戶商業(yè)秘密的能力，也影響著商業(yè)秘密的安全。

（一）服務(wù)商使用客戶數(shù)據(jù)的問題

在商業(yè)秘密交給云服務(wù)商處理或存儲時，商業(yè)秘密處在云服務(wù)商的控制之下，云服務(wù)提供商有可能為了自己利益使用，甚至向外出售客戶的信息。例如，2013年中央電視臺的3.15晚會就曝光了網(wǎng)易同意第三方公司加代碼，竊取用戶信息隱私、郵箱投放垃圾廣告的行為。第三方公司在竊取郵箱用戶隱私時，就可以得知用戶郵箱中的內(nèi)容，包括商業(yè)秘密。而在云存儲環(huán)境中，云服務(wù)提供商可能又與他人簽訂協(xié)議，將客戶的信息存放在其他提供云存儲服務(wù)的服務(wù)器上。因此，雖然商業(yè)秘密的權(quán)利人與一個云計算服務(wù)商達(dá)成了協(xié)議，但實際提供服務(wù)的可能是多個主體。而信息在哪個環(huán)節(jié)被泄露，對于商業(yè)秘密權(quán)利人來說是不容易查明的。

在云計算服務(wù)商與客戶的協(xié)議中，云計算服務(wù)商會為自己保留使用有關(guān)數(shù)據(jù)的權(quán)利。例如，Google的服務(wù)條款中規(guī)定：“當(dāng)您上傳內(nèi)容或通過其他方式向我們的服務(wù)提交內(nèi)容時，您授予 Google（以及我們的合作伙伴）一項全球性的許可，允許 Google 使用、持有、存儲、復(fù)制、修改、創(chuàng)建衍生作品（例如，我們?yōu)榱耸鼓膬?nèi)容更好地與我們的服務(wù)配合使用而進(jìn)行翻譯、改編或其他更改，由此所產(chǎn)生的作品）、傳播、出版、公開演示、公開展示和分發(fā)此類內(nèi)容?！薄?】客戶如果接受了這些條款，并將商業(yè)秘密的內(nèi)容上傳，就意味著允許Google及其合作伙伴使用其商業(yè)秘密，對商業(yè)秘密的保護(hù)構(gòu)成威脅。

在用戶與云計算服務(wù)商的關(guān)系中，用戶處于弱勢地位，并且合同條款都是云計算服務(wù)商擬定的格式合同。云計算服務(wù)商為了提供服務(wù)的需要，對有關(guān)信息進(jìn)行使用是必要的，但以不損害用戶的利益為限。不管服務(wù)商是否收取使用費，服務(wù)商都不能將用戶的信息向外轉(zhuǎn)讓以謀取利益。當(dāng)用戶與服務(wù)商就合同條款產(chǎn)生爭議后，應(yīng)當(dāng)從合同效力和解釋的角度，盡量維護(hù)用戶的利益。從合同的效力講，按照我國《合同法》第四十條的規(guī)定，提供格式條款一方免除其責(zé)任、加重對方責(zé)任、排除對方主要權(quán)利的，該條款無效。第五十三條的規(guī)定“因故意或者重大過失造成對方財產(chǎn)損失的”條款無效。如果服務(wù)商擅自披露用戶的商業(yè)秘密，給用戶造成財產(chǎn)損失，即使有免責(zé)條款，也可以認(rèn)定無效。從合同解釋的角度講，根據(jù)我國《合同法》第四十一條的規(guī)定，對格式條款有兩種以上解釋的，應(yīng)當(dāng)作出不利于提供格式條款一方的解釋。即使不能認(rèn)定有關(guān)條款無效，也可以從合同解釋的角度限制服務(wù)商對于用戶信息的使用權(quán)。

由于云計算本身的特點，用戶很難發(fā)現(xiàn)服務(wù)商是否泄露了其信息。這就需要加強(qiáng)信息安全的立法，強(qiáng)化服務(wù)商的責(zé)任。一方面強(qiáng)化對服務(wù)商的監(jiān)管，防止其利用客戶信息非法謀利；另一方面要求服務(wù)商保留其處理和存儲用戶信息的證據(jù)，并在雙方產(chǎn)生爭議時提交有關(guān)證據(jù)以證明其沒有非法利用客戶信息。

（二）合同終止后的信息處置問題

在傳統(tǒng)的模式下，商業(yè)秘密權(quán)利人在自己控制下對有關(guān)信息采取保密措施，不存在后續(xù)處置問題。但是，如果權(quán)利人將商業(yè)秘密交給他人保管，就會出現(xiàn)合同終止后，信息如何處理的問題。

在云計算服務(wù)合同終止后，用戶可能由于數(shù)據(jù)遷移障礙而失去對商業(yè)秘密數(shù)據(jù)的控制【10】。即使用戶可以選擇刪除或遷出有關(guān)信息，也存在該信息是否安全的問題。如果客戶放棄了數(shù)據(jù)，云計算服務(wù)商繼續(xù)保存有關(guān)信息還是刪除？如果一旦將信息刪除，信息是否還能夠恢復(fù)？在云計算服務(wù)商提供的合同中，大部分都不涉及這些問題。

只有個別企業(yè)的服務(wù)合同中包括了這些內(nèi)容。例如，Amazon的云服務(wù)合同第6條規(guī)定，在用戶違約等情形下，Amazon可以中止有關(guān)服務(wù)，但不刪除存儲的內(nèi)容。第7 條規(guī)定， 在合同終止的情況下，用戶可以立即收回或按Amazon的指令刪除有關(guān)數(shù)據(jù)。在終止后30天內(nèi)，用戶可以刪除有關(guān)數(shù)據(jù)，也可以在支付有關(guān)費用后恢復(fù)有關(guān)數(shù)據(jù)【11】。在Google服務(wù)條款中，也涉及到這個問題，“我們認(rèn)為您擁有自己數(shù)據(jù)的所有權(quán)并保留對此類數(shù)據(jù)的訪問權(quán)限，這一點非常重要。如果我們停止某項服務(wù)，在合理可能的情況下，我們會向用戶發(fā)出合理的提前通知，并讓用戶有機(jī)會將信息從服務(wù)中匯出?！薄?】即使按照這些條款，仍不能解決合同終止后數(shù)據(jù)處理的問題。

這些問題的核心在于合同終止后商業(yè)秘密的安全問題。在合同終止后，仍然存于服務(wù)商處的信息處于權(quán)利人無法控制的狀態(tài)。即使用戶選擇了刪除有關(guān)信息，也并不意味著信息就完全安全了。刪除后還存在數(shù)據(jù)殘留的問題。如果存儲介質(zhì)被放置在失控的環(huán)境下，例如扔到垃圾堆，或交給第三方機(jī)構(gòu)，數(shù)據(jù)殘留可能會在無意中泄露十分敏感的信息。

在合同終止后，仍然存于服務(wù)商處的信息處于權(quán)利人無法控制的狀態(tài)。為了確保合同終止后用戶商業(yè)秘密的安全，應(yīng)加強(qiáng)服務(wù)商的后合同義務(wù)。

為了確保合同終止后用戶商業(yè)秘密的安全，應(yīng)加強(qiáng)服務(wù)商的后合同義務(wù)。根據(jù)我國《合同法》第九十二條的規(guī)定，合同的權(quán)利義務(wù)終止后，當(dāng)事人應(yīng)當(dāng)遵循誠實信用原則，根據(jù)交易習(xí)慣履行通知、協(xié)助、保密等義務(wù)。云計算服務(wù)合同中，服務(wù)商的后合同義務(wù)非常重要。在合同終止后的合理期限內(nèi)，服務(wù)商應(yīng)徹底刪除用戶的信息及有關(guān)數(shù)據(jù)殘留，并應(yīng)妥善處理曾存儲客戶信息的硬件，防止他人從中獲取客戶的商業(yè)秘密。如果因服務(wù)商的過錯造成他人獲取了用戶殘留的商業(yè)秘密，服務(wù)商應(yīng)承擔(dān)相應(yīng)的責(zé)任。

四、第三人對商業(yè)秘密的威脅

商業(yè)秘密的最大威脅往往來自競爭對手。競爭對手可能采取非法手段取得和利用他人的商業(yè)秘密，損害商業(yè)秘密權(quán)利人的利益。在云計算環(huán)境下，競爭對手除了采用常規(guī)的竊取手段外，最常用的手段就是使用黑客攻擊進(jìn)入云服務(wù)商的網(wǎng)絡(luò)。

在網(wǎng)絡(luò)環(huán)境下，黑客攻擊獲取商業(yè)秘密的情況越來越多。例如，在2011年就出現(xiàn)過多起有名的黑客攻擊事件，如包括索尼PSN遭系列攻擊事件、Wordpress遭攻擊事件、新浪微博蠕蟲攻擊、國內(nèi)多家網(wǎng)站遭遇“拖庫”。3“拖庫”是安全行業(yè)術(shù)語，指黑客入侵企業(yè)網(wǎng)絡(luò)、把服務(wù)器上的用戶數(shù)據(jù)庫、財務(wù)數(shù)據(jù)庫等復(fù)制下來。全球最大的授權(quán)電子郵件營銷商Epsilon數(shù)據(jù)庫系統(tǒng)遭黑客入侵，多家大型企業(yè)的信息被竊取。瑞星公司發(fā)布的2011年上半年互聯(lián)網(wǎng)安全報告顯示，隨著越來越多有價值的用戶資料轉(zhuǎn)移到云端，儲存了這些資料的“云”，正成為黑客攻擊的新對象【12】。

云計算環(huán)境下，由于云端數(shù)據(jù)存儲量特別巨大，而又存放在從外部可以進(jìn)入的網(wǎng)絡(luò)中，就極易受到黑客攻擊。黑客攻擊對于存儲在云端數(shù)據(jù)中的商業(yè)秘密構(gòu)成嚴(yán)重威脅。

對于黑客攻擊的行為，我國現(xiàn)行民事和刑事法律已經(jīng)有了法律規(guī)定。針對云計算環(huán)境下黑客行為的特點，我們一方面要完善有關(guān)法律規(guī)定，加強(qiáng)執(zhí)法的針對性，運用行政手段和刑事手段，制裁和威嚇有關(guān)行為人。另一方面，云服務(wù)商更有能力在面臨黑客攻擊時減少或避免損失，要發(fā)揮云計算服務(wù)商在應(yīng)對黑客攻擊方面的作用。云服務(wù)商一般都聲明對黑客等行為造成的客戶數(shù)據(jù)損失不承擔(dān)責(zé)任。對此，如前所述，我們應(yīng)利用合同法的規(guī)則妥善認(rèn)定云服務(wù)商的責(zé)任。另外，黑客攻擊不能一律認(rèn)定為不可抗力，如果服務(wù)商在防止黑客攻擊方面有過錯，應(yīng)承擔(dān)相應(yīng)的責(zé)任。即使將黑客攻擊認(rèn)定為不可抗力，服務(wù)商沒有采取積極措施及時減少損失的，也應(yīng)當(dāng)承擔(dān)相應(yīng)的責(zé)任。

五、商業(yè)秘密侵權(quán)的管轄和法律適用

在權(quán)利人自己保管商業(yè)秘密的情況下，侵害商業(yè)秘密的管轄和法律適用都容易確定。根據(jù)我國《民事訴訟法》的規(guī)定，對侵害商業(yè)秘密的行為，由侵權(quán)行為地或被告所在地法院管轄。根據(jù)我國《反不正當(dāng)競爭法》的規(guī)定，對于發(fā)生在我國范圍內(nèi)的侵害商業(yè)秘密的行為，可以適用我國的反不正當(dāng)競爭法進(jìn)行規(guī)制。在云計算環(huán)境下，云計算服務(wù)合同以及侵權(quán)行為都在網(wǎng)絡(luò)中完成，已經(jīng)突破了傳統(tǒng)的國界限制。這就不可避免地帶來了管轄和法律適用的難題。

（一）用戶與服務(wù)商就商業(yè)秘密侵權(quán)爭議的管轄和法律適用問題

如果用戶與云計算服務(wù)商就服務(wù)中涉及的商業(yè)秘密保護(hù)產(chǎn)生爭議，首先應(yīng)確定解決爭議的法院和適用的法律。在云服務(wù)商提供的標(biāo)準(zhǔn)合同或服務(wù)條款中，一般會做有利于服務(wù)商的約定，約定由服務(wù)商所在地的法院管轄并適用服務(wù)商所在地的法律。例如，Google 服務(wù)條款規(guī)定：“美國加利福尼亞州的法律（不包括加利福尼亞州的法律沖突規(guī)則）將適用于因本條款或服務(wù)引起的或與之相關(guān)的糾紛。因本條款或服務(wù)引起的或與之相關(guān)的所有索賠，只能向美國加利福尼亞州圣克拉拉縣聯(lián)邦法院或州法院提起訴訟，且您和Google 同意上述法院擁有屬人管轄權(quán)。”【8】因此，如果我國用戶接受Google公司服務(wù)后就商業(yè)秘密產(chǎn)生爭議，則會面臨法院管轄和法律適用的問題。

我國《民事訴訟法》和《民法通則》賦予了合同當(dāng)事人選擇管轄法院和適用法律的權(quán)利。如果當(dāng)事人在合同中的約定符合有關(guān)法律的規(guī)定，應(yīng)當(dāng)視為有效。但是，如果我國用戶與國外云服務(wù)商產(chǎn)生爭議都到國外的法院適用國外的法律解決，則對我國用戶明顯不公平。我們可以通過立法的方式，在符合國際公約要求的情況下，限制云服務(wù)合同中關(guān)于管轄和法律適用的約定。

（二）用戶與第三方就商業(yè)秘密侵權(quán)爭議的管轄和法律適用問題

在云計算環(huán)境下，分布式服務(wù)器和數(shù)據(jù)中心由各種網(wǎng)絡(luò)服務(wù)商提供，被許可的用戶可以從世界任何地方經(jīng)由互聯(lián)網(wǎng)訪問并運用儲存的信息。云計算所依托的數(shù)據(jù)和信息不是基于個人電腦的存儲，而是由互聯(lián)網(wǎng)所連接的遠(yuǎn)程數(shù)據(jù)庫。云計算系統(tǒng)根據(jù)用戶的指令按需調(diào)用信息資源，通過網(wǎng)絡(luò)將分布在不同位置的硬件、軟件等資源集中起來組成虛擬主機(jī)供用戶使用。一旦權(quán)利人將商業(yè)秘密存儲在云端，其存儲地址可能連權(quán)利人都不知道在哪里，并且有可能是在國外。而侵害商業(yè)秘密的行為人也可能在國外。這樣，就給侵權(quán)行為人和侵權(quán)行為地的確定帶來了困難，同時也產(chǎn)生了管轄和法律適用的問題。

原則上說，這涉及到我國權(quán)利人針對國外侵權(quán)人的管轄和法律適用問題，以及國外權(quán)利人針對我國侵權(quán)人的管轄和法律適用問題。本文主要探討我國權(quán)利人針對國外侵權(quán)人，能否在我國管轄以及適用我國法律的問題。

根據(jù)我國《民事訴訟法》第265條的規(guī)定，只要“訴訟標(biāo)的物在中華人民共和國領(lǐng)域內(nèi)”，我國法院就可以行使管轄權(quán)。對于存儲在云服務(wù)器中的商業(yè)秘密，能否認(rèn)定其在中華人民共和國領(lǐng)域內(nèi)是確定管轄的關(guān)鍵。我們認(rèn)為，由于該商業(yè)秘密是由國內(nèi)用戶存儲在服務(wù)器上的，并且在國內(nèi)就可以登錄接觸到該商業(yè)秘密，就可以認(rèn)定其在其在中華人民共和國領(lǐng)域內(nèi)，而不能單獨以服務(wù)器的所在地認(rèn)定標(biāo)的物所在地。因此，即使我國用戶的商業(yè)秘密通過云計算服務(wù)存儲在國外服務(wù)器上，就該商業(yè)秘密的侵權(quán)產(chǎn)生爭議，國內(nèi)法院仍可以行使管轄權(quán)。

根據(jù)我國《涉外民事關(guān)系法律適用法》第五十條的規(guī)定，知識產(chǎn)權(quán)的侵權(quán)責(zé)任，適用被請求保護(hù)地法律，當(dāng)事人也可以在侵權(quán)行為發(fā)生后協(xié)議選擇適用法院地法律。因此，如果我國法院審查云計算合同中的商業(yè)秘密侵權(quán)案件，應(yīng)當(dāng)適用我國的法律。

六、結(jié)束語

云計算的發(fā)展，給商業(yè)秘密的保護(hù)帶來了新的問題。如果這些問題不能解決，將影響著云計算的應(yīng)用和發(fā)展。而解決這些問題，需要依據(jù)技術(shù)和法律手段。在我們不斷完善技術(shù)手段的同時，也要靈活妥善地適用現(xiàn)行的法律規(guī)定，合理保護(hù)商業(yè)秘密權(quán)利人的利益。與此同時，我們要總結(jié)自己的經(jīng)驗，借鑒其他國家和地區(qū)的經(jīng)驗，完善我國云計算環(huán)境下信息安全及個人數(shù)據(jù)保護(hù)的法律制度，防止商業(yè)秘密在云中消失。

參考文獻(xiàn)

【1】劉鵬.云計算【M】. 第二版.北京：電子工業(yè)出版社，2011：1-3.

【2】企業(yè)用戶使用云計算的六大優(yōu)點【EB/OL】.【2013-06-12】. http://datacenter.chinabyte.com/91/11590091.shtml.

【3】Challenges & Opportunities for IT partners when transforming or creating a business in the Cloud.【M】.comBase consulting. 2012:77.

【4】中國大數(shù)據(jù)技術(shù)市場未來5年復(fù)合增長率將達(dá)50%【EB/OL】.【2013-06-12】.http://www.m2mun.com/yun/2012122314478.html.

【5】Tim Gibson.On Cloud Computing【EB/OL】.【2013-06-12】.http://www.docin.com/p-649041030.html.

【6】 Robert B. Milligan. Managing and Protecting Information( including trade secret) in the Cloud【EB/OL】.【2013-06-12】.http:// www.tradesecretslaw.com/uploads/file/13318061_2(1).pdf.

【7】Sharon K. Sandeen. Lost in the Cloud: the Implications of Cloud Computing for Trade Secret Protection【EB/OL】.【2013-06-12】. http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1685402.

【8】Google 服務(wù)條款【EB/OL】.【2013-06-12】.http://www.google.com/intl/zh-CN/policies/terms/.

【9】AWS Service Terms【EB/OL】.【2013-06-12】.http://aws.amazon.com/cn/serviceterms/.

【10】羅先覺,尹鋒林.云計算對知識產(chǎn)權(quán)保護(hù)的若干影響【J】.知識產(chǎn)權(quán)，2012（4）：60-64.

【11】AWS Customer Agreement【EB/OL】.【2013-06-12】.http://aws.amazon.com/cn/agreement/.

【12】企業(yè)安全意識淡薄 云計算終端成黑客攻擊新對象【EB/OL】.【2013-06-12】.http://it.people.com.cn/GB/15204164.html.

*本文受國家社科基金重大項目“中國云計算知識產(chǎn)權(quán)問題與對策研究”（項目批準(zhǔn)號:11&ZD179）的支持。