文/董穎/中國惠普有限公司

對于云計算(Cloud Computing)美國國家標準與技術(shù)研究院（NIST）給出的定義是1. National Institute of Standards and Technology.Cloud Computing Synopsis and Recommendations［EB/OL］. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf; 2012-12-14 .：云計算是一種無處不在的、便捷的、按需使用的、對共享的可配置的計算資源（如網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用和服務(wù)）進行網(wǎng)絡(luò)訪問的模式，它通過最少量的管理、最少量的與云服務(wù)商的互動來實現(xiàn)計算資源的迅速供給和釋放。安全問題是云計算的最大障礙——根據(jù)不同的數(shù)據(jù)來源，大約60-80%的企業(yè)首席信息官（CIO）同意該判斷2.Christian Verstraete. Build and secure your complete cloud environment［EB/OL］. http://www.enterprisecioforum.com/en/blogs/christian/buildand-secure-your-complete-cloud-env; 2011-12-07 .。安全性問題是任何企業(yè)轉(zhuǎn)到云計算的關(guān)鍵問題。本文關(guān)注云計算安全問題，一方面涉及隱私和數(shù)據(jù)（信息）安全問題，另一方面關(guān)注商業(yè)秘密保護問題。

一、云計算障礙及安全問題

云計算安全問題既包括云平臺的安全，也包括云平臺上應(yīng)用的安全；既涉及技術(shù)層面，也涉及人員操作層面。關(guān)于云平臺上及應(yīng)用的安全問題，據(jù)NIST的統(tǒng)計約有92%的安全問題發(fā)生在應(yīng)用軟件層面，據(jù)Gartner的統(tǒng)計該比例則達到75%3. 同前注 2。；至于來自人員操作層面的問題，則被Cloud Security Alliance列入云安全七大威脅之一4.Cloud Security Alliance.Top Threats to Cloud Computing［EB/OL］. https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf; 2012-12-14.。

（一）隱私、數(shù)據(jù)（信息）、商業(yè)秘密

這三個概念在云計算環(huán)境下具有不同的含義，其重要性對于不同類型的用戶、不同類型的云而言而有所不同，從法律的角度來看其性質(zhì)也不同。

從不同類型的用戶來看：對于廣大個人用戶而言，其使用的往往是公有云服務(wù)，在公有云環(huán)境下，個人隱私問題顯得更為重要；對于企業(yè)級用戶，則更為重視數(shù)據(jù)安全問題，特別是對安全性要求更高的信息如財務(wù)信息、商業(yè)秘密等。

從不同類型的云平臺來看：對于公有云，一般而言服務(wù)商只能提供標準的安全措施，用戶不能選擇或者控制云服務(wù)的安全措施；對于私有云，企業(yè)用戶則有可能直接控制云，并根據(jù)需要部署相應(yīng)的安全措施；對于混合云，即使是企業(yè)用戶，它對公有云部分的安全性也很難加以控制。

從法律角度來看：關(guān)于“隱私”，一般涉及專門的法律，隱私權(quán)是一種法定的權(quán)利。特別是在歐洲、美國，并且有越來越多的國家正在制訂保護個人信息5. 個人信息 Personally Identifiable Information, 又稱 PII。的法律。因此對于在歐美等國有商業(yè)運營的企業(yè)級用戶來說，在隱私及個人信息方面有合規(guī)性要求。關(guān)于“數(shù)據(jù)”或者“信息”，它們并不是法律上的概念，既不涉及立法、也不直接產(chǎn)生權(quán)利，僅涉及信息安全保障法制。關(guān)于“商業(yè)秘密”，則涉及知識產(chǎn)權(quán)法律，屬于知識產(chǎn)權(quán)范疇，只有符合法律要件要求的“數(shù)據(jù)”或“信息”才能成為商業(yè)秘密?！半[私”/“個人信息”、“數(shù)據(jù)（信息）”、“商業(yè)秘密”這幾者在概念上不同，適用法律也不相同。

（二）云計算下隱私、個人信息與數(shù)據(jù)安全問題解決方案

對于隱私和個人信息保護問題，主要來源于法律要求。由于各國隱私和個人信息保護法律差異較大，企業(yè)級用戶須確保在其商業(yè)運營所在國家對隱私和個人信息保護法律的合規(guī)。也就是說，如這類數(shù)據(jù)處于對個人信息有立法保護的國家（如歐盟），則在其存儲、處理、操作過程中，必須符合所在國家相關(guān)法律的要求。這點與云計算的虛擬性、動態(tài)性、隨機性、甚至于跨境的性質(zhì)有根本的沖突——用戶必須確定數(shù)據(jù)所位于的國家；而關(guān)于數(shù)據(jù)存儲的地點（國家），云服務(wù)商總是希望有最大的自由對數(shù)據(jù)進行分配和控制。在這種矛盾之下，云服務(wù)商也只能向用戶明確數(shù)據(jù)所在地，向用戶提供數(shù)據(jù)所在地通知，以便用戶承擔合規(guī)性責任；如果用戶不同意數(shù)據(jù)存儲地，云服務(wù)商也只能無奈地提供方便終止6. 見 9.3 Termination for Convenience, HP Cloud Customer Agreement, http://hpcloud.com/customer_agreement .的退出機制，供用戶隨時選擇終止接受云服務(wù)。

我國關(guān)于個人信息保護的立法進程至今尚不明朗，企業(yè)對個人信息的保護意識非常淡漠。2011年11月，以CSDN、天涯社區(qū)、支付寶、當當?shù)入娮由虅?wù)為代表的互聯(lián)網(wǎng)站用戶信息在網(wǎng)絡(luò)上被集中曝光，成為我國互聯(lián)網(wǎng)史上最大規(guī)模的用戶信息泄露事件。工信部于2011年12月29日發(fā)出《工業(yè)和信息化部關(guān)于近期部分互聯(lián)網(wǎng)站信息泄露事件的通告》，要求各互聯(lián)網(wǎng)站要高度重視用戶信息安全工作，責令各互聯(lián)網(wǎng)站要采用加密方式存儲用戶信息。隨即2012年“3.15晚會”上爆出電信運營商參與群發(fā)垃圾短信，工信部隨即發(fā)出通知要求運營商清理垃圾短信，并開展清理行動。工信部雖然預(yù)計在2013年2月實施《信息安全技術(shù)個人信息保護指南》，但該指南因立法層級較低、缺少強制性，可以預(yù)見其對個人信息的保護作用也相當有限。

對于更為廣義的數(shù)據(jù)（信息）安全問題，與信息安全保障法制要求、用戶要求、數(shù)據(jù)（信息）安全技術(shù)標準等都有關(guān)系。云計算為用戶提供的是一個服務(wù)平臺，是否選擇和如何使用該平臺、存儲什么樣的數(shù)據(jù)則是用戶的事情。因此，云計算的數(shù)據(jù)安全問題實際上有兩個主體參與，一個主體是云服務(wù)商，它提供云平臺和基礎(chǔ)設(shè)施；另一個主體是用戶，使用云平臺并提供數(shù)據(jù)。云計算數(shù)據(jù)安全主要依靠技術(shù)手段加以控制：云平臺一般通過多種安全技術(shù)措施，保障數(shù)據(jù)（信息）安全——如HP是采用Arcsight、Fortify、TippingPoint等軟件，來實現(xiàn)云計算的主動安全管理管控；如Cloud Security Alliance聯(lián)盟，提出了云計算安全模型7.Informationweek, Cloud Security Alliance To Tackle Cloud Standards ［EB/OL］. http://www.informationweek.com/news/storage/systems/223101102; 2012-12-14.；另外還出現(xiàn)了很多數(shù)據(jù)（信息）安全方面的技術(shù)標準，如ISAE 3402/SSAE 16、HIPAA、DSS PCI、ISO 27002 等8.Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud［EB/OL］. https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf; 2012-12-14.。

在缺乏相關(guān)法律規(guī)制的情況下，云計算的隱私、個人信息與數(shù)據(jù)安全問題非常突出。在這種情況下，作為用戶，只能謹慎選擇云服務(wù)商；即便如此，企業(yè)級用戶還需更為謹慎地根據(jù)自身需要選擇適當?shù)脑破脚_、云服務(wù)類型及安全技術(shù)措施。

二、商業(yè)秘密問題

所謂“商業(yè)秘密”，是指不為公眾所知悉（“秘密性”），具有價值性和實用性（“價值性/實用性”），并經(jīng)權(quán)利人采取保密措施（“保密性”）的技術(shù)信息和經(jīng)營信息9.見《反不正當競爭法》第10條?！础吧虡I(yè)秘密”一般具有“三性”要求。在云計算環(huán)境下衡量商業(yè)秘密的“三性”，特別是“秘密性”和“保密性”，這與云平臺的類型、云服務(wù)的類型、以及用戶在云計算中的角色密切相關(guān)。

（一）秘密性

所謂秘密性，根據(jù)最高人民法院反不正當競爭司法解釋10. 最高人民法院關(guān)于審理不正當競爭民事案件應(yīng)用法律若干問題的解釋（法釋[2007]2號）。是指“有關(guān)信息不為其所屬領(lǐng)域的相關(guān)人員普遍知悉和容易獲得”。在云計算環(huán)境下，就出現(xiàn)了一個問題——如果用戶將涉及商業(yè)秘密的信息放至云，是否即喪失秘密性？要想回答這個問題，這和云平臺的類型及其信息安全情況密切相關(guān)。

云平臺目前分為三種：公有云、私有云和混合云。關(guān)于“秘密性”，最復(fù)雜的情況是公有云。典型的公有云的例子比如：Amazon的Elastic Compute Cloud (EC2)，IBM的Blue Cloud，Sun Cloud, Google AppEngine，以及Microsoft的Windows Azure Services Platform。公有云的服務(wù)條款一般由服務(wù)提供商設(shè)定的，即使針對不同用戶也是不能協(xié)商或是改變的。

以Amazon的公有云服務(wù) Elastic Compute Cloud(EC2)為例，其服務(wù)條款11.見 Amazon EC2 Service Level Agreement, http://aws.amazon.com/ec2-sla/.完全不涉及數(shù)據(jù)安全、保密信息。而實際情況是，其EC2 cloud service曾于2011年崩潰12.Henry Blodget. Amazon's Cloud Crash Disaster Permanently Destroyed Many Customers' Data［EB/OL］. http://www.businessinsider.com/amazon-lost-data-2011-4; 2012-12-14.，不但影響其用戶業(yè)務(wù)的正常運營，還發(fā)現(xiàn)用戶數(shù)據(jù)丟失且無法恢復(fù)。

無獨有偶，Microsoft的公有云也曾經(jīng)遭遇非法訪問。2010年Microsoft不得不公開承認其Business Productivity Online Suite (BPOS)中的數(shù)據(jù)被未授權(quán)的用戶下載13. Keir Thomas.Microsoft Cloud Data Breach Heralds Things to Come［EB/OL］. http://www.pcworld.com/article/214775/microsoft_cloud_data_breach_sign_of_future.html; 2012-12-14 .。而在《Microsoft 》中， 不但找不到Microsoft作為服務(wù)提供商來保護數(shù)據(jù)安全、保密信息，而且還反過來要求用戶對“用戶ID 及賬戶”相關(guān)信息對Microsoft承擔保密責任14.見 Microsoft , http://www.windowsazure.com/zh-cn/support/legal/subscription-agreement/?country=hk&locale=zh-cn .。

倒是Google的公有云服務(wù)App Engine Terms of Service，其服務(wù)條款中的保密條款是雙向的，關(guān)于保密信息的規(guī)定甚至將“客戶內(nèi)容(Customer Content)”列入了保密信息的范疇15.見 Google App Engine Terms of Service, https://developers.google.com/appengine/terms.。即便如此，Google涉及用戶數(shù)據(jù)泄露的事件頻有發(fā)生16.谷歌郵箱爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄漏事件［EB/OL］. http://cloud.yesky.com/238/30966738.shtml ; 2012-12-14。。

數(shù)據(jù)安全一般在IT服務(wù)合同中都是重要的問題。一般服務(wù)商都不能對數(shù)據(jù)安全做出擔保和保證，往往還明示地對數(shù)據(jù)丟失和恢復(fù)的責任予以免責。特別是在公有云環(huán)境下，面對惡意入侵、惡意軟件等問題，要保證數(shù)據(jù)安全是非常困難的事情。即便是私有云，仍不乏出現(xiàn)數(shù)據(jù)安全和責任問題。如2011年Montclair State University vs. Oracle案17. Mark Fontecchio.Oracle lawsuit highlights cloud security and liability concerns, ［EB/OL］. http://searchoracle.techtarget.com/news/2240036863/Oracle-lawsuit-highlights-cloud-security-and-liability-concerns; 2012-12-14.，中Montclair State University花費數(shù)百萬美金選擇Oracle為其提供ERP 實施服務(wù)。Montclair大學(xué)指控Oracle 本應(yīng)提供數(shù)據(jù)中心環(huán)境，將其財務(wù)數(shù)據(jù)轉(zhuǎn)至ERP環(huán)境，Oracle卻要求大學(xué)簽署補充協(xié)議免除其不能對這些財務(wù)數(shù)據(jù)進行保密的責任。結(jié)果是該大學(xué)不得不購買更多的服務(wù)器硬件，耗費更大的人力、物力、財力自行完成這些數(shù)據(jù)的轉(zhuǎn)換。

雖然云平臺不能保證數(shù)據(jù)的安全，但這并不意味著一旦用戶將涉及商業(yè)秘密的信息放至云，即成為公知信息為公眾所知悉；數(shù)據(jù)有可能丟失，并不意味著能為其所屬領(lǐng)域的相關(guān)人員“普遍了解”和“容易獲得”。用戶將商業(yè)秘密信息放至云進行存儲或處理，并非意在將其公開，一般用戶并不允許云服務(wù)商或他人查看、使用、披露這些保密信息，甚至簽訂有保密協(xié)議。云服務(wù)商對數(shù)據(jù)的存儲和處理，一般是自動的、甚至是“盲目”的、并無人為干預(yù)。即使因意外、黑客入侵等原因造成商業(yè)秘密泄密，并不因此而自始破壞云端商業(yè)秘密的秘密性。

但是，云計算對商業(yè)秘密信息“秘密性”的影響也很大。特別是搜索引擎和社交網(wǎng)站服務(wù)，使得大量信息、包括個人信息前所未有的豐富和公開。如2010年的Sasqua Group v. Courtney案18. Sasqua Group v. Courtney, 2010 WL 3613855 (E.D.N.Y. Aug. 2, 2010) .，獵頭公司指控前員工從其客戶數(shù)據(jù)庫中竊取了客戶信息，跳槽后非法使用這些信息接觸客戶，這些保密信息包括客戶的聯(lián)系方式、個人資料、簡歷、與客戶的關(guān)系、招聘偏好等。美國紐約地區(qū)法院在本案中，就他人能否容易地獲得這些信息進行判斷。被告證明了如何通過Google、LinkedIn、Bloomberg.com、FX Week等搜索引擎或社交服務(wù)網(wǎng)站進行搜索，就能容易地獲得該客戶數(shù)據(jù)庫中的信息。法院由此認定所謂的客戶數(shù)據(jù)庫并不構(gòu)成商業(yè)秘密。由此可見，雖然將涉及商業(yè)秘密的信息放至非信息公開的云平臺，并不一定會使其喪失“秘密性”；但卻可能因為將信息公開的云服務(wù)使得這些信息變得“容易獲得”，從而影響商業(yè)秘密信息的“秘密性”。

（二）保密性

所謂保密性，根據(jù)《最高人民法院關(guān)于審理不正當競爭民事案件應(yīng)用法律若干問題的解釋》第11條是指權(quán)利人為防止信息泄漏采取了“與其商業(yè)價值等具體情況相適應(yīng)的合理保護措施”。雖然云平臺并不一定直接破壞放至其上的商業(yè)秘密信息的“秘密性”，但云環(huán)境下商業(yè)秘密的“保密性”更值得探討，即在云平臺上什么是“合理的保護措施”。

關(guān)于“合理的保護措施”，該解釋第11條第二款規(guī)定“人民法院應(yīng)當根據(jù)所涉信息載體的特性、權(quán)利人保密的意愿、保密措施的可識別程度、他人通過正當方式獲得的難易程度等因素，認定權(quán)利人是否采取了保密措施?！?/p>

如上所述，云計算安全問題既包括云平臺的安全，也包括云平臺上應(yīng)用的安全；既涉及技術(shù)層面，也涉及人員操作層面。因此云計算下商業(yè)秘密的“合理的保護措施”與云平臺的情況、云服務(wù)的類型、以及安全技術(shù)措施等緊密相關(guān)：這不僅涉及云平臺的安全管理措施，也涉及云應(yīng)用的安全管理措施；不僅涉及技術(shù)措施，也涉及人員管理措施；而且這些措施根據(jù)云平臺、云服務(wù)類型的不同而有所不同。特別是對于不同類型的云服務(wù)，根據(jù)用戶對數(shù)據(jù)有多大程度的控制權(quán)，所采用的“合理的保護措施”情況有所不同。

云計算服務(wù)主要有三種模式：軟件即服務(wù)(Softwareas a Service, “SaaS”)，平臺即服務(wù)(Platform as a Service,“PaaS”)和基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service,“IaaS”)。

對于軟件即服務(wù)SaaS而言，管理訪問權(quán)限是至關(guān)重要的。在這類服務(wù)下，用戶租用特定的軟件應(yīng)用程序，無論從筆記本電腦、臺式機還是手機哪種終端接入，其唯一的控制是訪問權(quán)限。因此關(guān)于訪問權(quán)限的保護措施屬于“合理的保護措施”。

對于平臺即服務(wù)PaaS而言，除訪問權(quán)限外，對安裝惡意軟件的防護措施是同樣重要的。在這類服務(wù)下，云服務(wù)商把用戶使用的開發(fā)語言和工具、或者購買的應(yīng)用程序部署到云計算基礎(chǔ)設(shè)施上，由用戶使用、并控制所部署的應(yīng)用程序。由于用戶參與安裝、使用并管理應(yīng)用程序，因此除訪問權(quán)限外，防止安裝惡意軟件的防護措施屬于“合理的保護措施”。

對于基礎(chǔ)設(shè)施即服務(wù)IaaS而言，除上述訪問權(quán)限管理、惡意軟件防護措施外，有關(guān)虛擬機的安全管理措施是必要的。在這類服務(wù)下，云服務(wù)商向用戶提供CPU、存儲、網(wǎng)絡(luò)和其他基本的計算資源，使用戶能夠通過虛擬機來運行任意軟件，控制操作系統(tǒng)、存儲和應(yīng)用程序，甚至獲得有限制的網(wǎng)絡(luò)組件（如防火墻、負載均衡器等）的控制。因此除訪問權(quán)限管理、惡意軟件的防護措施外，虛擬機管理措施（如防止升級虛擬機規(guī)模、惡意操縱存儲）屬于“合理的保護措施”。

從用戶控制權(quán)的角度出發(fā)，如上所述云計算數(shù)據(jù)安全問題實際上有兩個主體——云服務(wù)商和用戶，云服務(wù)商所采取的保密措施并非用戶所采取的保密措施。除非在定制程度很高的私有云的情況下，由云服務(wù)商向用戶提供安全措施咨詢，并根據(jù)用戶的需要、風險分析、費用等情況定制其所需的安全措施。一般而言，如果不專門進行云安全咨詢服務(wù)，云服務(wù)商只提供一個標準的云服務(wù)平臺、以及標準的安全措施。一般的云計算服務(wù)，其標準的安全性能、安全級別較低，如只具有有限的安全功能，無入侵檢測、數(shù)據(jù)備份、災(zāi)備等功能。這種安全級別顯然不能適應(yīng)商業(yè)秘密或其他高風險數(shù)據(jù)（如財務(wù)信息）的保護要求。對于安全級別較低的云服務(wù)（如公有云），云的保密措施是由云服務(wù)商提供的，如果按照法律對商業(yè)秘密權(quán)利人的要求，由于其安全性能較低，有可能達不到“合理的保護措施”的要求。但是如果用戶與云服務(wù)商簽署保密協(xié)議、限定涉密信息的知悉范圍，向云服務(wù)商選擇安全級別較高的云服務(wù)（并對相關(guān)安全性能額外付費），特別是在云服務(wù)商之外自行增加了保密措施（如加密），則屬于商業(yè)秘密權(quán)利人所采取的保密措施，并且根據(jù)最高院反不正當競爭司法解釋應(yīng)屬于“合理的保護措施”。

（三）責任和風險分擔

用戶如將涉及商業(yè)秘密的信息放至云，一旦出現(xiàn)涉密信息泄露，如何主張權(quán)利，如何獲得法律救濟？對該問題的分析，有可能幫助權(quán)利人做出是否將敏感信息放入云中的決定，以及事先制訂風險管理計劃。

從侵權(quán)責任出發(fā)，根據(jù)我國《反不正當競爭法》，認定商業(yè)秘密侵權(quán)行為要求經(jīng)營者存在以不正當手段獲取商業(yè)秘密的行為，或者存在披露、使用或者允許他人使用權(quán)利人商業(yè)秘密的行為。對于因云計算安全問題，如意外、黑客入侵等原因造成商業(yè)秘密泄密或數(shù)據(jù)丟失，云服務(wù)商并不存在披露、使用或者允許他人使用權(quán)利人商業(yè)秘密的行為，權(quán)利人難以追究云服務(wù)商的侵權(quán)責任。但如果能夠找到惡意入侵的黑客，當然可以追究其法律責任（民事、甚至刑事責任）。如在AT&T iPad黑客案19.Shaun Nichols. AT&T iPad hacker found guilty in data leak case［EB/OL］. http://www.v3.co.uk/v3-uk/news/2226206/at-t-ipad-hackerfound-guilty-in-data-leak-case; 2012-12-14.中，黑客被美國聯(lián)邦政府追究了刑事責任。但畢竟能夠找到黑客的可能性是極小的，因此從侵權(quán)責任的角度，用戶很難主張權(quán)利。

對于用戶可能的法律救濟，通過合同約定云服務(wù)商的責任則成為更為重要的方式。數(shù)據(jù)安全一般在IT服務(wù)合同中都是重要的問題，服務(wù)商一般都不能對數(shù)據(jù)安全做出擔保保證，還往往明示地對數(shù)據(jù)丟失和恢復(fù)的責任予以免責。特別在公有云中，我們在Amazon、Microsoft的用戶服務(wù)條款中都看到，服務(wù)商并未涉及這些問題和責任。即使在私有云中，這個問題也往往成為用戶和服務(wù)商雙方寸土必爭的問題，在上文提到的Montclair State University vs. Oracle一案中也有所反映。從云服務(wù)商的角度，即使合同中含有保密條款，也是按照標準的安全級別或合理的謹慎義務(wù)對從用戶處獲得的商業(yè)秘密進行保密；但是就數(shù)據(jù)的所有風險仍由用戶承擔。如果用戶選擇更高的安全級別或安全性能，亦須就數(shù)據(jù)安全性與云服務(wù)商達成進一步的協(xié)議，對這些加強的安全措施，云服務(wù)商會根據(jù)風險以及服務(wù)協(xié)議中的雙方的責任及義務(wù)衡量服務(wù)的價格。

實際的案例比如T-Mobile Sidekick數(shù)據(jù)泄露事件20.Bierce & Kenerson, P.C., Case Study for Legal Risk Management for “Cloud Computing”: Data Loss for T-Mobile Sidekick Customers［EB/OL］. http://www.outsourcing-law.com/2009/10/case-study-for-legal-risk-management-for-cloud-computing-data-loss-for-t-mobilesidekick-customers/ ; 2012-12-14.。T-Mobile是德國電信所提供的服務(wù)，它將其Sidekick服務(wù)的云計算功能部分外包給Microsoft的子公司Danger, Inc。結(jié)果不幸在2009年10月發(fā)生了大規(guī)模的數(shù)據(jù)丟失事件，導(dǎo)致大量移動用戶的個人數(shù)據(jù)（如聯(lián)系信息、日歷、照片、甚至游戲中獲得的分數(shù)等）丟失不能恢復(fù)。T-Mobile對此向用戶進行了賠償，但顯然在其與IT服務(wù)商的外包合同中，云服務(wù)商對數(shù)據(jù)丟失沒有承擔什么責任。

（四）分析與建議

根據(jù)以上討論，可以看到云計算環(huán)境下商業(yè)秘密保護問題與隱私和個人信息保護問題不同。首先是權(quán)利人的不同，商業(yè)秘密的權(quán)利人是經(jīng)營者，與個人信息的權(quán)利人是自然人不同。其次是范圍的不同，商業(yè)秘密一般分為技術(shù)信息和經(jīng)營信息，與個人信息相關(guān)的似乎只有包含個人信息的客戶名單。但即使是這類個人信息也并不能直接構(gòu)成商業(yè)秘密，除非其具有商業(yè)上的價值，如涉及客戶的交易習(xí)慣、意向等與交易相關(guān)的個人信息。從法律責任的角度，雖然商業(yè)秘密保護已具有法律基礎(chǔ)，相比個人信息保護缺乏法律依據(jù)而言似乎更為樂觀，但是從以上的分析不難發(fā)現(xiàn)，在云計算環(huán)境下主張商業(yè)秘密侵權(quán)也是極為困難的。

在云計算環(huán)境下，商業(yè)秘密保護問題與數(shù)據(jù)安全問題也不相同，但二者有緊密的聯(lián)系。商業(yè)秘密是對安全性要求很高的信息，數(shù)據(jù)安全問題直接影響商業(yè)秘密是否會發(fā)生泄密。商業(yè)秘密的保護措施也直接依賴于數(shù)據(jù)安全技術(shù)與管理措施。從法律責任的角度，即使用戶和服務(wù)商能夠協(xié)商接受保密條款，但是要想讓云服務(wù)商承擔數(shù)據(jù)安全方面的責任，要遠遠難于讓其承擔保密責任。

根據(jù)以上分析，我們就云計算下的商業(yè)秘密保護問題提出如下建議：

·衡量數(shù)據(jù)（信息）入云的風險：在云計算模式下，許多企業(yè)的商業(yè)秘密邊界并不很清晰。因此一方面需要界定商業(yè)秘密的范圍，對不同類別的信息和數(shù)據(jù)進行不同的管理，適合放至云的需要衡量相應(yīng)的風險、安全級別及處理要求。

·對關(guān)鍵數(shù)據(jù)（信息）選擇與之適合的云服務(wù)：先不要將關(guān)鍵數(shù)據(jù)（如商業(yè)秘密）放至云；如必須放置于云，應(yīng)選擇私有云而非公有云，且須進一步選擇合理適當?shù)乃接性瓢踩阅堋?/p>

·簽訂服務(wù)協(xié)議及保密協(xié)議：商業(yè)用戶應(yīng)與云服務(wù)商簽訂服務(wù)協(xié)議及保密協(xié)議（涵蓋分包商、注意保密期限等）。在服務(wù)協(xié)議里明確服務(wù)提供商對數(shù)據(jù)應(yīng)當采取的保護級別、措施等，并協(xié)商數(shù)據(jù)安全、丟失、恢復(fù)的風險及責任分擔。

·對商業(yè)秘密信息采取合理的技術(shù)保護措施：理解所選擇云平臺、云服務(wù)的類型及其安全特性，對涉密信息和數(shù)據(jù)采取相應(yīng)的、合理的保密措施。

以上我們探討了云計算安全問題中的兩個方面，一方面涉及隱私和數(shù)據(jù)（信息）安全問題，另一方面關(guān)注商業(yè)秘密保護問題。這是一個法律與技術(shù)高度交叉的領(lǐng)域，值得我們進一步研究和探討。