雲計算下的商業秘密保護

來自專欄 徐學義律師

在雲計算背景下，企業的經濟效率大大提升，給企業帶來經濟利益的高速增長。在凸顯數據重要性的同時，企業商業秘密的保護問題逐漸凸顯。小編告訴你，雲計算背景下企業如何保護商業秘密。

1.企業在雲中的數據是否是商業秘密

企業在雲端的數據是不為公眾所知悉的，企業在使用雲服務時必須用專屬自己的賬號登錄，每個賬號都有自己設定的密碼，只有登錄成功才能使用雲中的服務，我們可以認定該賬號對應的虛擬空間是企業的私有空間。數據上傳到雲端不代表企業將其公開，這與企業在網站、社交平台公布信息不同，後者是信息公開，已經公開即被公眾所知悉。企業對雲中的數據採取相應的保密措施，雲中的數據能為企業帶來經濟利益，企業不希望其他主體獲得雲中的數據，企業一般會採取嚴格的賬號密碼管理制度，限制使用雲端數據的主體範圍。雲數據的商業價值要綜合考量數據是否能為企業帶來利益、是否具有商業價值等。退一步講，即使雲中的數據不能認定為法律上的商業秘密，對企業來講也是具有保護價值的企業信息。

2.雲計算帶來的商業秘密泄露風險

在傳統的數據存儲中，數據儲存於用戶端，企業對自己的數據有最高的管理許可權，可以決定對數據採取何種保密措施；在雲服務中，將企業數據傳送至雲端，由雲服務供應商決定企業數據的保護方式。在雲服務供應商激烈的競爭中，供應商都承諾保護企業數據，但是沒有萬無一失的技術，企業享受雲服務帶來的收益，也面臨雲服務帶來的風險。

雲服務供應商聲稱完備的雲技術面臨著多租戶模式、數據隔離、數據刪除等方面的安全威脅：

首先，雲服務在開放的平台和為多用戶提供服務的特點，決定了雲服務多租戶的模式。雲數據在使用周期中的部分階段處於未加密狀態，因為在部分階段加密，會導致無法處理、查詢、分類數據，脫離了企業控制的非加密數據容易被雲服務供應商掌握，雲服務商泄露企業數據會對企業造成重大損失。

其次，在雲服務這個硬體開放的平台，企業很可能和其競爭對手使用同一台物理設備，而很多供應商不能提供有效的數據隔離，非物理隔離對企業雲端中的數據有很大的安全隱患。

最後，企業儲存在雲端的數據能否被有效的刪除也是企業關注的問題，在企業要求刪除或與供應商解除合同後，供應商應不留殘餘的刪除企業數據，將企業使用的雲空間分配給新用戶時徹底刪除企業數據，但是實際上是否能徹底刪除卻得不到保障。

3.企業可採用的保密措施

在雲環境下，我們要同時採用技術保護措施和法律保護措施對企業在雲端的數據進行保護。

首先，對在雲端的數據加密處理，採用密文處理的演算法對加密數據進行搜索、分析，雖然對加密數據進行搜索、分析會降低處理速度，但是隨著密文處理演算法的發展，謂詞加密、同態加密的處理方式會商業化，用於處理加密數據。

其次，身份認證機制是鑒定企業身份以保證企業信息在雲端安全的重要手段。身份認證的目的就是保障企業數據不被未授權的主體訪問和使用，然而現有的身份認證機制多採用靜態口令的方式，這種方式存在終身使用、易於破解、難於管理的安全隱患，可採用生物認證技術、數字證書認證技術、OTP認證技術、智能卡身份認證技術、手機簡訊認證和多因素風險身份認證等認證方式。

最後，雲服務合同約定了雲服務供應商和企業的權利義務，雲服務提供商佔據著技術優勢和市場優勢，往往與企業簽訂格式合同，格式合同有以下特點：強調雲服務提供商的權利、弱化其義務、限制或者免除其責任，對用戶數據安全的保護約定不明確，用戶可選擇的救濟途徑狹窄。在此情形之下，企業對格式合同嚴格審查顯得尤為必要。

任何事物都有兩面性，我們在享受雲計算帶來的巨大利益的同時也應思考雲計算對商業秘密帶來的威脅，企業可以從技術和法律兩個角度思考商業秘密在雲計算中的保護。