一、云计算服务的产业结构图
有IT从业人士概括了云计算服务的产业结构图(图1)[20]30-35:可见,在云计算的产业结构中,从底层到顶层的结构关系依次是:①硬件提供商和基础软件提供商分别向云提供商提供硬件和基础软件;②云提供商再为云服务提供商搭建公有云环境,或者为企业用户搭建私有云环境;③云服务提供商向应用提供商或者企业用户提供开发和运营各种应用所需的资源;④应用提供商向个人用户或者企业用户提供各种云计算服务。其中,个人用户仅直接与应用提供商发生关系,企业用户则可能同时与应用提供商、云服务提供商、云提供商发生关系,以向应用提供商实时按需购买软件的使用权,向云服务提供商购买计算和存储资源来运行企业机构内部的自有应用,向云提供商实时按需购买私有云。不过,笔者认为,与该结构图所示不同的是,实践中可能缺少“应用提供商”这个环节,或者说,“应用提供商”与“云服务提供商”有可能是同一个主体,这样,就使云计算主要呈现为两种互动模式,第一种是云服务提供商与用户双方主体互动,第二种是云提供商、云服务提供商与用户三方主体互动。加上其他用户或者网络黑客等可能侵犯商业秘密的人,将使商业秘密的侵权及责任承担关系结构更加复杂。值得一提的是,为了使美国政府、行业和个人对云计算有一致的认识,NIST组织制定了《云计算定义》和《云计算参考架构》,提出了“参与者———角色”的云计算参考架构模型,如图2所示[21]20-24。
二、云计算环境下商业秘密存在的形式
在传统环境下,商业秘密主要用物理介质来保存,并且保存于权利人或者合同相对方的物理场所内,例如,保存于保险柜、抽屉、文件箱中等,具体表现形式如生产工艺、化学配方、图纸、模型、销售方法、配送方法、合同形式、商业计划、价格协议的内容、消费者数据、广告战略、供应商或客户名单、计算机软件及数据库等。在云计算环境下,商业秘密则主要以电子数据的形式存在,借助磁性介质(U盘、硬盘或光盘)来记录和保存,并通过计算机进行管理,其表现形式主要有:①通过软件、硬盘、光盘、U盘等载体记载的技术信息和经营信息,前者如设计图纸、产品配方、技术工艺等,后者如企业发展规划、经营状况报告、市场调研报告、重要会议通知等。②企业从事电子商务活动时建立的各种数据库,比如客户资料数据库、产品数据库、支付数据库、工艺数据库等。③电子交易过程中传递的信息,如客户的姓名、银行卡卡号、订货信息和付款信息等[22]93-96。此外,有学者认为,为了确保电子商务安全而设置的有关用户名、口令、密码、密匙等,虽然严格说来并不属于商业秘密,但由于它对商业秘密的保护具有重要作用,亦有必要作为广义上的商业秘密加以保护[23]39-43。笔者认为,由于用户名、口令、密码、密钥等不完全具备商业秘密的法定特征,比如不具备秘密性、实用性、价值性甚至保密性等,能否作为商业秘密进行保护,主要是一个保护政策的问题。
三、云计算环境下商业秘密侵权的形式
我国刑法和反不正当竞争法等法律法规列举了侵犯商业秘密的主要形式:一是以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密;二是披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密;三是违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密;四是明知或者应知存在前述三种侵权情形,仍获取、使用或者披露他人的商业秘密。在云计算环境下,这些侵权形式仍然存在,只不过结合了网络传输、云计算和侵权主体的特点而已。具体言之,云计算环境下商业秘密的侵权形式主要有:1.以不正当手段获取权利人的商业秘密。是指行为人以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密。既包括从使用云计算服务的用户或用户的雇员那里获取,也包括从云服务提供商、云提供商及其雇员那里获取;既包括权利人公司外部的人员以不正当手段获取,也包括权利人的雇员以不正当手段获取,比如雇员擅自复制载有商业秘密的文件资料或擅自收集不应该知道的商业秘密等;既包括第二人以不正当手段从权利人或义务人处获取,也包括第三人明知或应知第二人的侵犯商业秘密行为,仍从第二人处获取[24]491-492。其中,比较突出的问题是窃取商业秘密。常见有黑客利用木马病毒等技术侵入他人电脑硬盘、电子邮箱或者公司数据库窃取商业秘密,利用网络嗅探技术寻找云计算系统的软硬件缺陷、取得云计算系统的控制权从而冒充合法用户窃取商业秘密,利用科技设备拦截在网络传输过程中从网络设备中泄露出去的电磁波以窃取商业秘密[25]39-47,云服务提供者或其雇员利用管理网站和服务器的优势,秘密窃取用户的商业秘密等。此外,在企业的加密强度不够等场合,黑客可能通过互联网、公共电话网或搭线,在电磁波辐射范围内安装截收装置,或在网关和路由器上设置装置截获通过的数据包,通过分析信息流量、流向、通信频度和长度等参数,来推出有用信息,如消费者的银行账号、密码等商业秘密[26]115-118。需要注意的是,虽然以不正当手段获取权利人的商业秘密是一种侵权行为,但是,这种侵权行为并不必然导致权利人遭受现实损失,如果侵权人并未披露、使用或者允许他人使用,并未使权利人失去对其商业秘密的使用可能,则在通常情况下不会导致权利人遭受损失,不过,在侵权人是权利人的商业竞争对手的情况下,即使没有披露、使用或允许他人使用,仅仅是获取并知悉权利人的商业秘密,也会缩短侵权人与权利人之间技术水平的差异,从而削弱权利人的竞争优势,这在某种意义上也是一种现实损失。2.非法披露、使用和允许他人使用权利人的商业秘密。既包括以不正当手段获取商业秘密者披露、使用或允许他人使用,也包括云服务提供商、云提供商违反约定或者不顾用户的保密要求而披露、使用或允许他人使用,还包括恶意第三人披露、使用权利人的商业秘密。其中,与云计算比较密切的问题是非法披露。所谓披露,是指以口头、书面或其他方式将权利人的商业秘密向他人公开。例如,将权利人的商业秘密上传至BBS、FTP、MSN、QQ、BT、Newsgroup、Telnet[27]33-36、博客、微博或其他网页上,供网友下载或传播。而商业秘密一旦被人上传至网上,就会丧失秘密性。这是因为,所谓秘密性,是指有关信息不为同一行业或者领域内的大多数人所知或可轻易获得,这些人如果要想获得同一信息,必须付出较大程度(值得法律保护程度)的辛劳和努力才行,只有这样的信息才值得国家作为商业秘密来保护。反之,如果某一信息已经为同一行业或者领域内的大多数人所知,则属于众所周知的信息,当然不值得作为商业秘密来保护;或者虽然同一行业或者领域内的大多数人仍然不知,但是如果这些人只要想知悉就能很容易地获取并知悉的话,同样不值得国家作为商业秘密来保护。实际上,保护同一行业或者领域内的大多人所知或者可轻易获取并知悉的信息,对于其他从业者而言也是不公平的,无异于以法律来保障特定人对公知信息的垄断地位。正如美国法院相关判例所言,无论权利人对其商业秘密采取了何种程度的保密措施,一旦有关信息被公布于网上,就属于普遍公知的信息,不能再获得商业秘密法的保护①。不过,也有的法官在判断网络公开是否会导致商业秘密丧失秘密性时,会综合考虑信息公开时的各种情况、商业秘密权利人的利益、鼓励竞争的相关政策、善意第三人的言论自由等因素①,例如,在DVDCopyControlAssociationv.Bunner一案中,被告Bunner将其从网上下载的原告的DVD解密程序上传至个人网站上,初审法官认为,商业秘密不能仅仅因为公布在网上而丧失秘密性,因为这样做只会鼓励侵权人尽其可能地快速散布信息,以彻底破坏商业秘密的秘密性,因此,初审法官禁止Bunner在任何网站公布原告的商业秘密,但后来该判决被上级法院改判,认为原告的信息早已被公开而不属于商业秘密②。此例中,初审法官对被告下达禁止令是有必要的,因为任何散布行为都可加速信息的公开与传播,但是,其脱离秘密性的通常判断方法来认定秘密性,却与商业秘密保护原理相悖,这里存在一个形式合理性与实质合理性何者优先的问题。尽管在实质上,一项公布于某网站上的信息,有可能由于公布者、传播者及时删除网页而仍然处于同一行业或者领域内的大多数人所不知并且不能轻易获取并知悉的状态,因而仍然符合秘密性的一般定义,但是,这一点在司法实践中是极难证明的,原告也难以举证证明其信息没有丧失秘密性;对于这种纯粹属于原被告双方民事权利均衡保护的问题,也不宜参照适用刑事诉讼中对事实存在疑问时的处理原则,否则,对转播信息的被告不公平;加上信息被出版物或者网络公开会丧失秘密性的一般经验常识,大多数法官还是坚持形式合理性优先原则,认为只要某一信息曾经被公布于网上,即使其实际上有可能仍然符合秘密性的一般定义,也认定其已经丧失了秘密性,转播这种信息并不构成商业秘密侵权。由此可见,在类似案例中,完全可能出现在民事上不构成侵权(因为某一信息一旦被上网就被认为丧失秘密性,转播这种信息不构成侵权),而刑事上构成犯罪(如果该信息仍然具有秘密性,则转播它仍可构成犯罪)的情况,这是由于民事重形式、刑事重实质的思维差异所造成的。3.采用黑客技术,破解用户、云服务提供者、云提供者计算机的安全防护系统,侵入他们的计算机信息系统并故意传播计算机病毒等破坏性程序,对储存在服务器上或正在传输过程中的商业秘密数据进行删除、修改、插入等操作,破坏权利人商业秘密数据信息[28]119-121。实施这种侵权行为的人,既可能是想显示自己黑客技术高超的电脑爱好者,也可能是商业秘密权利人的竞争对手,这种侵权行为会全部或者部分破坏权利人商业秘密信息的完整性和实用性,导致商业秘密丧失其原有的价值。
四、云计算环境下商业秘密侵权的新特点
与网络传输及云端数据处理与存储等特点相对应,云计算环境下商业秘密的侵权也呈现出一些新特点。1.侵权主体的多元化。既包括企业内部的侵权,又包括企业外部的侵权,前者如企业内部员工将企业的商业秘密从企业内部网上下载出售,或者内外勾结为外人获取企业内部网上的商业秘密提供便利,虚拟企业或者虚拟企业联盟非法披露、使用或允许他人使用成员企业合作投入的商业秘密或者合作后产生的商业秘密[29]121-123;后者如黑客入侵用户或云服务提供商、云提供商的计算机信息系统,散布计算机病毒程序,破译企业计算机系统密匙,冒充合法用户登录以窃取用户的商业秘密。既包括云服务提供商、云提供商或其员工非法披露、使用或允许他人使用用户的商业秘密,也包括黑客、无意中获取权利人商业秘密者获取、披露、使用或者允许他人使用用户或云服务提供商、云提供商的商业秘密。一个侵权行为往往涉及二方、三方甚至四方、五方主体,法律关系非常复杂。2.侵权手段的高科技性。在云计算环境下,权利人特别是用户的商业秘密通常存储在云端,在用户、云服务提供商、云提供商以及各企业内部,有关商业秘密均依靠网络来传输,面临着身份假冒、虚拟层软件漏洞、数据泄露、篡改和丢失、非法用户访问、分布式拒绝服务(DDoS)等安全风险[30]87-89,黑客攻击、网络钓鱼、域欺骗、木马病毒、蠕虫病毒、恶意软件、间谍软件等手段也比较常见。利用技术手段非法解密、破坏防火墙等安全保护措施,从而非法侵入他人计算机信息系统或者远程登录他人计算机终端,通过无线网窃听、窃取、破坏他人商业秘密的行为屡见不鲜,体现出很高的科技性[31]80-83。由此导致防范侵权的难度极大。3.侵权行为的隐蔽性和侵权后果的难以控制性。由于权利人的商业秘密储存于云端的服务器中,一个商业秘密的电子数据可能拆开并分散存储于多个服务器上,“这些服务器可能位于街边的某个位置,可能分散于全国各地,也可能在世界的另一头”[32]64-69,通过网络来传播,并以无形无体、稍纵即逝的电子数据形式来体现,加之侵权主体非常广泛、侵权技术含量高超,导致侵权行为很难被发现,侵权的后果非常不容易控制,权利人甚至根本找不出侵权者位于何处。4.原告举证难度加大。在我国,商业秘密侵权属于一般侵权,仍适用“谁主张谁举证”原则,权利人向人民法院提起商业秘密侵权诉讼时,至少应提出证据证明自己拥有商业秘密,被告能够接触到自己的商业秘密,被告获取、使用或披露的商业秘密与自己的商业秘密相似等事实。但是在云计算环境中,相对而言,商业秘密权利人的技术水平往往比不上黑客或云服务提供商等侵权人,即便明知对方侵权,也很难收集到相关证据,特别是证明被告能够接触到自己的商业秘密和被告侵权的证据。目前的云计算服务也不利于调查取证,因为多个用户的数据和日志记录既可能同地协同工作,也可能通过一组随时变化的主机和数据中心进行传播,而大规模分布式异构虚拟计算基础设施也使非授权的调查取证工作雪上加霜。有些侵权方式即使是刑侦手段也无能为力,例如,目前至少有三分之一的云实例是通过虚拟专用网络(VPN)访问,而网络刑侦对这种方式几乎完全检测不到,如果在网吧、图书馆或公众开放环境通过VPN进行访问,那就更加没有办法侦测到,大量的新兴多媒体终端设备通过无线方式接入到开放网络中,都使问题更加复杂和恶化[33]38-40。因此,对于权利人而言,尽可能事先防范是非常必要的。
五、云计算环境下商业秘密的技术保护和制度保护
如前所述,云计算环境下商业秘密的保护与传统环境下没有本质区别,只是由于商业秘密数据化电子化、侵权主体多样化、侵权手段科技化、侵权行为隐蔽化等特征,导致有必要采取一些不同的手段,特别妇科医学论文是针对商业秘密所面临的主要安全隐患而采取相应的手段,以防止商业秘密被泄露或窃取。
作者:周铭川 单位:上海交通大学