Глава VII. Коммерческая тайна и цифровые объекты

Вопросы, которые будут рассматриваться в этой главе

  • Категории цифровых объектов, включая цифровые данные

  • Критерии охраны цифровых объектов в качестве коммерческих тайн

  • Управление цифровыми коммерческими тайнами

  • Проблемы и риски, связанные с цифровыми коммерческими тайнами, кибератаки, проверки

  • Сравнение коммерческой тайны с другими правами ИС, применимыми к цифровым объектам

На фоне стремительного развития цифровых технологий компании сталкиваются с особыми проблемами, пытаясь защитить принадлежащие им знания и информацию. Хотя в этой технологической области по-прежнему могут применяться «традиционные» стратегии охраны интеллектуальной собственности, центральным элементом которых являются патенты, коммерческая тайна уже стала одним из важнейших режимов охраны цифровых технологий.

Поскольку коммерческие тайны потенциально могут включать в себя широкий спектр цифровых данных и информации, для целей данной главы мы будем использовать термин «цифровые объекты». В целом он относится к информации или данным, хранение и передача которых осуществляется в электронных или цифровых форматах. Следовательно, охрана цифровых объектов в качестве коммерческих тайн может включать в себя два отдельных направления:

  • цифровые данные (в формате текста, аудиозаписи или изображения), алгоритмы или программные коды, которые являются ценными коммерческими тайнами сами по себе;

  • относящаяся к любой технической области информация, составляющая коммерческую тайну, которая хранится в цифровом формате (например, информация о методе производства вещества Х, хранящаяся в электронном файле).

В главе VII мы будем в основном говорить о первой категории цифровых объектов. Однако меры ИТ-безопасности, о которых рассказывается в разделах 4 и 6 этой главы, могут применяться к любой информации, составляющей коммерческую тайну и хранящейся в цифровом формате (см. также главу IV «Управление коммерческой тайной» в целом и ее раздел 2.3 в частности).

1. Появление цифровых объектов и их потенциал с точки зрения охраны коммерческой тайны

Цифровые объекты играют ключевую роль в современных условиях ведения бизнеса. Появление облачных хранилищ и вычислений, электронных способов коммуникации, сложных методов анализа данных и больших языковых моделей (например, GPT-4) привело к серьезному росту зависимости организаций от цифровых платформ. Природа цифровых объектов наделяет их как преимуществами, так и недостатками с точки зрения охраны коммерческих тайн.

С одной стороны, цифровые форматы позволяют эффективно хранить, копировать, вычислять и передавать различную информацию. С другой стороны, именно эти характеристики одновременно повышают риски несанкционированного раскрытия, хищения или эксплуатации цифровых данных, связанные с простотой их копирования, передачи и распространения.

Цифровые объекты, подлежащие охране в качестве коммерческих тайн, должны отвечать соответствующим базовым требованиям, т. е.:

  • иметь коммерческую ценность ввиду своей секретности;

  • быть известными лишь ограниченному кругу лиц;

  • являться объектом разумных мер со стороны законного владельца этой информации в целях сохранения ее секретности, включая заключение соглашений о конфиденциальности с деловыми партнерами и подчиненными.

Чтобы определить, подлежит ли цифровой объект охране в качестве коммерческой тайны, необходимо прежде всего проанализировать его предмет и решить, определяется ли коммерческая ценность этого предмета его секретностью, и лишь затем переходить к конкретным схемам контроля доступа и обеспечения конфиденциальности.

2. Подкатегории цифровых объектов и их пригодность для охраны в качестве коммерческих тайн

К категории цифровых объектов относятся различные элементы, включая алгоритмы, программный код (как исходный, так и объектный), тексты, изображения, а также аудио- и видеозаписи. Анализируя вопросы охраны коммерческой тайны, необходимо учитывать чрезвычайно важные тонкие различия между различными подкатегориями цифровых объектов и их коммерческой ценностью.

Алгоритмы

Алгоритмы являются основополагающим элементом обработки цифровых данных. Они представляют собой наборы правил или инструкций, которые определяют последовательность шагов, необходимых для решения конкретной проблемы или выполнения конкретной задачи. Алгоритмы играют важнейшую роль в преобразовании исходных данных в осмысленную информацию посредством анализа данных, машинного обучения и применения искусственного интеллекта. Они обеспечивают логическую и вычислительную рамочную основу, позволяющую обрабатывать, анализировать и интерпретировать цифровые данные для получения ценной информации. В связи с этим алгоритмы занимают центральное положение в цифровой экономике, создавая возможности для принятия решений на основе данных, прогностического моделирования и автоматизации.

Код

Код (также компьютерный или программный код) — это язык, который используется для составления компьютерных программ и выполнения алгоритмов. Он состоит из последовательностей инструкций и команд, в соответствии с которыми компьютеры выполняют определенные задачи или операции. Код выполняет функцию посредника между исходным намерением человека и его реализацией машиной (объектом), переводя алгоритм на язык пригодных для выполнения программ. С помощью кода происходит преобразование и изменение исходных или предварительно обработанных данных, а также их представление в виде, который обеспечивает желаемый функционал и результат для пользователя. Код представляет собой основной «строительный материал» для программ, систем и платформ, обрабатывающих и использующих цифровые данные.

Исходные и обработанные данные

Исходные данные могут рассматриваться как наиболее базовая форма данных, получаемых напрямую из источников в первоначальном, не обработанном виде; например, к этой категории могут относиться последовательности цифровых значений или показаний датчиков, снятых за определенный период времени, неструктурированные текстовые документы или сообщения. Исходные данные — это данные, представленные в наиболее подробном и детализированном виде; они состоят из отдельных единиц информации или записей, обычно характеризуются отсутствием структуры или организации и могут требовать предварительной обработки, очистки и форматирования перед тем, как их можно будет эффективно проанализировать или использовать для принятия решений. Исходные данные служат основой для последующих этапов обработки данных, таких как преобразование, объединение, анализ и визуализация.

Сами по себе исходные данные, как правило, не подлежат охране в качестве коммерческой тайны, поскольку потенциальная возможность такой охраны обычно возникает в отношении результатов анализа, информации или процессов, созданных на основе этих данных. Тем не менее важно отметить некоторые исключения и особые моменты, связанные с этим общим правилом. В некоторых случаях исходные данные могут иметь коммерческую ценность, если они являются уникальными, сложными для получения, связанными с конкретным объектом, местом, организацией или отдельным лицом, а также если методы их сбора принадлежат конкретному владельцу.

В отличие от исходных, обработанные данные — это данные, которые уже прошли ту или иную алгоритмическую или аналитическую обработку в целях извлечения из них осмысленной информации или их преобразования в более структурированный и пригодный для использования формат. Как правило, обработанные данные являются более качественными, структурированными и адаптированными к конкретным целям или требованиям анализа и поэтому имеют более высокую коммерческую ценность, чем исходные.

Метаданные

Термин «метаданные» относится к описательной информации, которая поясняет контекст и структуру (других) исходных или обработанных цифровых данных, а также содержит дополнительные сведения о них. Она включает в себя такие атрибуты, как дата создания, авторство, формат, размер и расположение файла, а также связи с другими элементами данных. Метаданные являются своего рода «данными о данных», которые облегчают организацию и поиск цифровой информации и улучшают ее взаимную совместимость. Они помогают пользователям узнать содержание, источник и характеристики данных, облегчая выявление, получение и анализ конкретной информации. Применительно к цифровым данным метаданные играют незаменимую роль в процессах управления данными, а также интеграции и регулирования данных.

Алгоритмы, код и метаданные в совокупности формируют основу для процессов объединения, обработки и интерпретации исходных и предварительно обработанных цифровых данных. На фоне непрерывного обновления цифровой среды эти компоненты сохраняют большое значение для использования потенциала цифровых данных в сфере инноваций, решения проблем, автоматизации и принятия решений в различных тематических областях и отраслях промышленности.

Цифровые объекты в составе приложения с информацией о дорожной обстановке

Чтобы получить более четкое представление о различных подкатегориях цифровых объектов, давайте представим себе современное приложение с информацией о дорожной обстановке — наглядный пример конечного продукта, включающего в себя разнообразные цифровые объекты.

Для того чтобы пользователи могли получать сведения о ситуации на дорогах и указания навигатора в режиме реального времени, в таком приложении используется сочетание алгоритмов, кода, а также текстовой, графической, аудио- и видеоинформации.

  • Алгоритмы: в приложении, которое мы демонстрируем в качестве примера, используются сложные алгоритмы, анализирующие данные из разных источников (сигналы GPS, дорожные камеры, сообщения пользователей), чтобы выявить пробки, проложить оптимальные маршруты и рассчитать приблизительное время в пути.

  • Код (исходный и объектный): исходный код приложения представляет собой базовые программные инструкции, определяющие его функционирование. Путем компиляции в объектный код он позволяет приложению безошибочно работать на различных устройствах пользователей, обеспечивая четкое взаимодействие и обработку данных.

  • Текстовые объекты: с помощью удобного интерфейса приложение отображает текстовую информацию (например, текущую дорожную обстановку, сообщения об авариях и перекрытии дорог, предлагаемые альтернативные маршруты). Используемые в приложении текстовые сообщения и указания легко читаются и хорошо понятны пользователям.

  • Графические объекты: приложение обрабатывает изображения с камер, расположенных в стратегических точках дорожной сети, позволяя пользователям увидеть обстановку на дорогах собственными глазами. Пользователи могут просматривать фотографии или видеотрансляции с участков, где затруднено движение, случилась авария или проходят строительные работы, что помогает им принимать обоснованные решения.

  • Звуковые объекты: для повышения удобства и безопасности пользователей в приложении используются голосовые подсказки и указания. Приложение может предупреждать голосом о предстоящем повороте, смене полосы движения или аварии, что позволяет пользователям получать важную информацию, не отвлекаясь от дороги.

  • Видеообъекты: с помощью видеороликов или анимации приложение может представлять транспортные потоки и дорожную обстановку в наглядном и динамичном виде. Например, анимированная карта может использоваться для демонстрации схем организации движения, а наложенное поверх нее видео — для привлечения внимания к авариям и объездам.

Это гипотетическое приложение, цифровая структура которого включает в себя все вышеперечисленные элементы, служит наглядной демонстрацией термина «цифровые объекты»: оно показывает разнообразные алгоритмы, код, а также текстовые, графические, аудио- и видеообъекты, используемые для предоставления пользователям всеобъемлющей и интерактивной информации о дорожной обстановке.

3. «Конфиденциальность» цифровых данных, метаданных, алгоритмов и кода

Для соответствия наиболее основополагающему предварительному условию охраны в качестве коммерческих тайн цифровые объекты должны быть конфиденциальными. В действительности это условие является наиболее трудновыполнимым, поскольку организации обмениваются различными цифровыми объектами, производят с ними те или иные действия и обрабатывают их на каждодневной основе. Обеспечение конфиденциальности важно для защиты чувствительных данных, алгоритмов и кода от несанкционированного доступа и эксплуатации.

3.1. Исходные и обработанные цифровые данные и метаданные

Сбор данных

«Интернет вещей», мобильные телефоны, платежные терминалы и другие электронно-коммуникационные устройства ежедневно собирают сотни миллионов единиц информации. Сам по себе факт сбора данных не обязательно является коммерческой тайной, однако методы и объекты этого сбора могут подлежать тому или иному виду охраны.

Например, промышленное устройство, оснащенное «интернетом вещей», может использовать защищенные авторским правом датчики для сбора рабочих параметров, которые невозможно было узнать до появления таких устройств, создавая тем самым уникальный набор данных. Если на момент сбора такой набор данных был зашифрован, то его владелец может заявить, что эти данные являются коммерческой тайной, поскольку шифрование представляет собой разумную меру для сохранения секретности. Аналогичным образом сам по себе тот факт, что терминал для банковских карт получает информацию о тратах покупателя в точке продаж, не является коммерческой тайной, однако полученные им данные и их формат могут представлять собой коммерческую тайну, особенно если они сопровождаются метаданными, которые продавец или покупатель не могут получить свободно.

Данные, собираемые по поручению третьих сторон

Что можно сказать о данных, сбор которых ведется по поручению третьих сторон, или о данных, которые не «принадлежат» собирающей или обрабатывающей их стороне? В подобных сценариях возникают важные вопросы, связанные с доказыванием права на охрану в качестве коммерческой тайны. Как уже упоминалось выше, коммерческие тайны представляют собой нематериальные активы, поэтому надлежащим образом защитить свои права на интеллектуальную собственность может только владелец данных (или исключительный пользователь в некоторых юрисдикциях).

Как правило, сбор данных по поручению третьих сторон проводится в рамках консультативной или подрядной деятельности, где сторона, генерирующая данные, и сторона, ведущая их сбор, связаны договорными отношениями. Обычно условия договора определяют право собственности на те или иные виды данных (например, на исходные или обработанные данные), а также описывают способы обращения сторон с этими данными. Для того чтобы доказать право на охрану подобных данных в качестве коммерческой тайны, необходимо проанализировать договор и определить, какая из сторон в действительности является владельцем данных и какие в этой связи существуют ограничения с точки зрения их конфиденциальности и использования. Например, компания из сферы промышленного «интернета вещей», которая устанавливает и обслуживает датчики «интернета вещей», скорее всего, подписывает с владельцем данных договор на обслуживание, который, помимо прочего, определяет виды данных, подлежащих сбору, способы управления ими и их обработки, а также соответствующие права на использование таких данных. В этой ситуации, вероятно, о праве на охрану тех или иных аспектов данных в качестве коммерческой тайны могут заявить как компания — поставщик решений «интернета вещей», так и владелец данных.

Данные, собираемые вне рамок договорных отношений

Существуют и обратные ситуации, в которых данные, собранные и обработанные третьей стороной вне рамок договорных отношений, могут соответствовать критериям для охраны в качестве коммерческой тайны; при этом вопрос о том, какая сторона вправе потребовать такой охраны, остается недостаточно ясным. Чаще всего такие ситуации возникают в процессе торговли, когда оператор платежной системы, владелец точки продаж или иные стороны, участвующие в процессе обработки платежей покупателей, производят какие-либо действия с данными покупателя. Если при платеже используется банковская карта, потребитель может находиться в договорных отношениях с банком, выпустившим карту: этот договор определяет виды данных, подлежащих сбору, и права на их использование. При этом потребитель, скорее всего, не состоит в подобных отношениях с продавцом, владельцем точки продаж или оператором платежной системы (например, системой VISA).

В данной ситуации каждая из перечисленных сторон может потребовать охраны тех или иных аспектов данных в качестве коммерческой тайны, однако какие еще стороны в рамках цепочки платежей также имеют доступ к этим данным? И существуют ли договорные отношения, регулирующие конфиденциальность и использование таких данных? Без четкого определения таких ограничений (а также четкого установления права собственности или права исключительного использования) подобные данные могут не подпадать под определение коммерческой тайны. В следующем разделе эти права использования будут описаны более подробно.

Обмен данными и их передача

С появлением социальных сетей, электронной коммерции, отраслевой аналитики и цифровой экономики передача данных (например, с помощью интерфейсов прикладного программирования — API) и вторичная продажа коммерческих данных начали приобретать всё большее значение с коммерческой точки зрения. Передача данных представляет важность, так как она может способствовать укреплению сотрудничества и ускорению прогресса. В нашу эпоху, которая характеризуются огромными объемами данных, генерируемых в различных отраслях, передача данных позволяет исследователям получить доступ к более обширным источникам информации, что облегчает появление новых идей и открытий на стыке разных дисциплин. Сегодня API играют важнейшую роль в обеспечении беспрепятственной интеграции и функциональной совместимости между различными системами и платформами, предоставляя стандартные интерфейсы для доступа к данным и коммуникации.

Кроме того, рост числа компаний, занимающихся вторичной продажей коммерческих данных, и соглашений о передаче данных открыл для всех новые возможности доступа к ценным наборам данных, которые ранее были недоступными или слишком трудоемкими для сбора. Эти компании проверяют и обобщают данные из множества источников с применением передовых методов анализа и контроля качества; таким образом, итоговые данные оказываются пригодными для научных целей. Несмотря на сохраняющиеся проблемы, связанные с вопросами этики, неприкосновенности частной жизни и качества данных, растущая важность передачи цифровых данных, API и компаний, занимающихся вторичной продажей коммерческих данных, знаменует собой переход к парадигме исследований на основе данных и сотрудничества, что в конечном счете повышает качество научных знаний и инноваций в различных областях.

Передаваемые данные с ограниченным доступом

Этот новый аспект совместного использования данных может осложнить принятие решения о том, являются ли те или иные цифровые данные коммерческой тайной (т. е. кто имеет доступ к ним и какие разумные меры были приняты законным владельцем информации для сохранения ее секретности), а если являются — то каким образом необходимо управлять этой коммерческой тайной и эксплуатировать ее.

На практике и в применимых случаях режим конфиденциальности для передаваемых данных (включая исходные и обработанные данные, а также метаданные) обычно устанавливается (1)Например, для Японии см. Guidelines on Shared Data with Limited Access: https://www.meti.go.jp/english/policy/economy/chizai/chiteki/pdf/guidelines_on_shared_data_with_limited_access.pdf. См. также Регламент ЕС об упорядоченных правилах справедливого доступа к данным и их использования (Закон о данных): https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113. путем применения концепции «передаваемых данных с ограниченным доступом». Передаваемые данные могут включать в себя информацию, которая не обязательно является конфиденциальной или эксклюзивной, однако требует контролируемого доступа по причинам, связанным с неприкосновенностью частной жизни или безопасностью. Физический доступ к этим данным обычно ограничивается с помощью авторизации пользователей, списков контроля доступа, контроля доступа для отдельных категорий, шифрования и других мер безопасности.

В большинстве случаев также используется контроль доступа, предусмотренный договором. Цель ограничения доступа заключается в том, чтобы убедиться, что просматривать и использовать передаваемые данные могут только лица, имеющие разрешение; при этом ограничение доступа также не должно препятствовать сотрудничеству и обмену информацией внутри четко определенной сети доверенных пользователей. Стремясь к получению статуса коммерческой тайны для передаваемых данных, их владельцы, как правило, сталкиваются с трудностями, пытаясь доказать их секретность и степень детализации в контексте контроля доступа к передаваемым данным с ограниченным доступом.

С учетом вышесказанного проведение четкой границы между передаваемыми данными с ограниченным доступом и коммерческой тайной может оказаться сложной задачей, поскольку разница между ними относится к целям, масштабу и уровню конфиденциальности для каждого из этих понятий и определяется индивидуально в каждом отдельном случае. Тем не менее в качестве базового принципа, различающего концепции передаваемых данных с ограниченным доступом и данных, имеющих статус коммерческой тайны, можно указать, что данные из второй категории, как правило, не передаются и не раскрываются кому бы то ни было за пределами организации, которой они принадлежат. Кроме того, в отношении таких данных используются чрезвычайно строгие внутриорганизационные механизмы контроля доступа, которые будут описаны ниже применительно к коду и алгоритмам.

Чтобы проиллюстрировать важность проведения различия между охраной коммерческой тайны и передаваемых данных с ограниченным доступом, предлагаем вам рассмотреть приведенный ниже гипотетический пример закрытого алгоритма оптимизации расхода электроэнергии в производственных процессах.

Пример алгоритма, составляющего коммерческую тайну, и передачи некоторых данных с ограниченным доступом

Организация А предлагает и продает программное обеспечение для оптимизации расхода электроэнергии. Центральным элементом этого программного обеспечения является принадлежащий организации алгоритм, который обеспечивает ей существенное конкурентное преимущество на рынке. Этот алгоритм является коммерческой тайной, воплощающей в себе многие годы исследований, разработок и проверок.

Организация A принимает активные меры для сохранения конфиденциальности и защищенности этого алгоритма. Компания разрешает доступ к нему лишь небольшой группе разработчиков программного обеспечения, которые пользуются ее доверием и подписали соглашение о неразглашении информации с жесткими условиями. Исходный код алгоритма хранится на защищенных серверах со сложной системой шифрования, а доступ к нему предоставляется лишь тогда, когда это необходимо для рабочих целей. Доступа к полному алгоритму не имеет ни одна третья сторона, включая партнеров и участников совместных проектов, что позволяет организации A сохранить исключительный контроль над этой ценной коммерческой тайной.

Впоследствии организация A принимает решение о сотрудничестве с исследовательской организацией B для получения новых результатов в области энергоэффективного производства. В рамках этого сотрудничества организация A передает организации B некоторые данные, касающиеся производственных процессов и тенденций потребления электроэнергии. При этом в целях защиты своих нематериальных активов организация A заключает соглашение, которое ограничивает доступ организации B к отдельным подгруппам данных. Подобный ограниченный доступ позволяет исследователям организации B анализировать данные исключительно в исследовательских целях и обеспечивает сохранение конфиденциальности и недоступности основного закрытого алгоритма и деталей его использования. Организация A сохраняет контроль над своей главной коммерческой тайной, а именно над алгоритмом, который никогда не передавался организации B или любой другой стороне.

В этом примере концепция передаваемых данных с ограниченным доступом представлена в форме контролируемой передачи партнеру второстепенной информации, в то время как коммерческую тайну составляет основной закрытый алгоритм, конфиденциальность которого компания надежно охраняет. Действуя стратегическим образом, организация A разделила передаваемые данные и коммерческую тайну, чтобы соблюсти баланс между сотрудничеством и охраной своей наиболее ценной интеллектуальной собственности.

3.2. Код и алгоритмы

Как уже упоминалось выше, код — это язык, который используется для составления компьютерных программ. Он содержит подробные сведения о выполнении алгоритмов и может раскрыть критически важную с деловой точки зрения информацию о способах обработки и использования данных. Если компания не придерживается стратегии открытого исходного кода, то охрана конфиденциальности кода и алгоритмов является важнейшим мероприятием, которое не позволяет без разрешения изучать закрытое программное обеспечение или заниматься его обратным проектированием, с тем чтобы получить и сохранить конкурентное преимущество перед соперниками. На практике для сохранения конфиденциальности кода (и лежащих в его основе алгоритмов), а также для предотвращения несанкционированного доступа и копирования применяются такие методы, как намеренное искажение данных, шифрование кода и строгий контроль доступа.

В некоторых отраслях существует своя специфика, но в целом компании предоставляют доступ к своему коду и алгоритмам гораздо реже, чем, например, к наборам обработанных данных. Эта ситуация демонстрирует и подчеркивает коммерческую ценность кода и алгоритмов и применяемый в их отношении уровень секретности, а также создает базовые предварительные условия для охраны цифровых данных в качестве коммерческой тайны.

Еще одним видом охраны интеллектуальной собственности, применимым к коду и алгоритмам, является авторское право. Однако следует отметить, что в некоторых юрисдикциях владельцу не разрешается одновременно прибегать к охране ИС в форме коммерческой тайны и авторского права, в особенности если защищенное авторским правом программное обеспечение раскрывает значительную часть исходного кода или его «закрытые» фрагменты (2)Capricorn Mgm’t Sys., Inc. v. Gov’t Emps. Ins. Co. et al., 15-CV-2926 (DRH) (SIL) (E.D.N.Y.). В деле компании Capricorn суд постановил, что владелец исходного кода не имеет права на охрану этого кода в качестве коммерческой тайны, поскольку он также был зарегистрирован как объект авторского права и тем самым стал общедоступным. Это означает, что владелец исходного кода должен тщательно оценить преимущества и недостатки каждого вида охраны.

4. Управление цифровыми коммерческими тайнами

Выше говорилось о том, что цифровые объекты могут подлежать охране в качестве коммерческих тайн (т. е. являться цифровыми коммерческими тайнами) до тех пор, пока они отвечают критериям, необходимым для такой охраны. Из этого утверждения вытекает следующий вопрос: каким образом владельцы цифровых коммерческих тайн должны управлять ими, чтобы доказать в рамках административного и/или судебного процесса, что критерии для их охраны в качестве коммерческой тайны были соблюдены в каждом конкретном случае?

Надлежащее управление цифровыми коммерческими тайнами включает в себя выявление и систематизацию информации для определения статуса ее охраны, составление перечня необходимых мер для непрерывной защиты ее конфиденциальности, а также разработку системы управления каждой отдельной коммерческой тайной или каждым ее типом на всем протяжении ее жизненного цикла. Данный раздел посвящен конкретным проблемам и возможностям, которые связаны с эффективным управлением активами, относящимися к цифровым коммерческим тайнам. Тем не менее описания, касающиеся технических мер борьбы с раскрытием и несанкционированным использованием коммерческих тайн, также применимы к нецифровой информации, составляющей коммерческую тайну и хранящейся в цифровом формате.

4.1. Выявление и отбор цифровых коммерческих тайн

Прежде всего компания должна выявить и выбрать конкретную цифровую информацию, которая может расцениваться как одна или несколько коммерческих тайн, а затем четко указать, какой цифровой объект или их группа определяют каждую соответствующую коммерческую тайну.

Фиксирование информации, составляющей цифровую коммерческую тайну

Если цифровые объекты снабжены соответствующей маркировкой и могут быть конкретно идентифицированы, первый этап фиксирования информации, потенциально составляющей цифровую коммерческую тайну, будет достаточно простым. На этом этапе необходимо создать соответствующие цифровые объекты и перенести либо скопировать их в отдельную систему или структуру управления файлами, чтобы четко отделить их от не связанных с ними цифровых объектов (например, в локальную систему управления коммерческими тайнами, в коммерческое или корпоративное облачное хранилище, на зашифрованное устройство «интернета вещей», на отдельный надежно изолированный жесткий диск и т. д.).

Сам по себе этот этап может применяться к одному или нескольким объектам одновременно. Групповое фиксирование нескольких объектов, к которым применяются одни и те же виды разрешений, облегчает работу лиц, выполняющих эту задачу, поскольку метаданные процесса фиксации относятся ко всем объектам, запись которых производится в рамках одной сессии, и их не требуется создавать (обычно вручную) для каждого цифрового объекта по отдельности. В рамках этого подхода добавление в подборку потенциальных цифровых коммерческих тайн может представлять собой автоматизированный процесс, а определением статуса коммерческой тайны могут заниматься специально обученные сотрудники (например, ведущий специалист по коммерческим тайнам или специалисты по коммерческим тайнам в составе отдела ИС), которые располагают собственными ресурсами или используют полностью автоматизированные процессы отправки файлов в защищенные хранилища через шлюз API или иной механизм передачи файлов.

Необходимо отметить, что начальный этап фиксации может проходить полностью анонимно или в сочетании с фиксацией, которую осуществляет создатель коммерческой тайны. Создатель коммерческой тайны может участвовать в выявлении сотрудников, которые должны быть отмечены в рамках программы вознаграждения или стимулирования работников.

Определение цифровых коммерческих тайн

После того как информация, потенциально составляющая коммерческую тайну, была зафиксирована, чрезвычайно важно составить определение цифровой коммерческой тайны, приняв во внимание ее ценность и сопутствующие риски. Четко определив сферу охвата коммерческой тайны, компания может более эффективно выбрать необходимый уровень защиты и степень жесткости контроля за доступом к ней.

Примеры рабочих процессов выявления и отбора цифровых коммерческих тайн

Пример 1. Фиксирование информации, потенциально составляющей коммерческую тайну, осуществляет работник

  • Работник A загружает в систему документы 1, 2, 3 и 4. Все они относятся к одному и тому же финансовому алгоритму и представляют собой описание его характеристик, руководства для пользователей и исходный код.

  • Ответственный сотрудник B анализирует загруженные документы и (например, совместно с работником A) определяет, что документы 1 и 3 составляют коммерческую тайну, а следовательно, требуют соответствующего контроля доступа.

  • Ответственный сотрудник B в электронной форме уведомляет работника A о том, что документам 1 и 3 присвоен статус коммерческих тайн, а документы 2 и 4 такого статуса не имеют.

Пример 2. Фиксирование информации, потенциально составляющей коммерческую тайну, осуществляет устройство «интернета вещей»

  • Устройство «интернета вещей» ведет сбор исходных данных об оборудовании, которое осуществляет принадлежащий компании закрытый процесс.

  • В этом устройстве используется внутренний алгоритм, который накапливает данные и выделяет из них необходимые для дальнейшей обработки.

  • Устройство шифрует выделенные данные, а затем в плановом порядке передает их по защищенному протоколу на отдельный сервер, находящийся в помещениях компании, или в облачное хранилище для дальнейшего использования специалистами по анализу и обработке. Специалисты осведомлены о том, что данные, находящиеся на этих носителях, являются коммерческими тайнами.

В целом при отборе информации, подлежащей охране в качестве коммерческой тайны, лучше перестраховаться, нежели чрезмерно сузить критерии отбора, поскольку второй подход может повлечь за собой риск утраты контроля над информацией, который впоследствии может оказаться критическим. При этом также следует избегать чрезмерного раздувания списка коммерческих тайн и не присваивать этот статус любой собранной информации без ее дальнейшей проверки на соответствие критериям, для того чтобы: i) сохранить возможность эффективно управлять информацией, составляющей цифровую коммерческую тайну, и качественно организовывать ее; ii) иметь возможность доказать, что управление цифровыми коммерческими тайнами осуществляется в рамках четко дифференцированной системы категорий, а не обычной «свалки файлов». В противном случае суд может отклонить иск владельца о защите коммерческой тайны (3)Подобные ситуации часто возникают, когда в файлах или электронных письмах присутствует маркировка «конфиденциальная служебная информация», при этом в действительности они не отвечают ни одному из этих определений. Судебные и арбитражные органы не рассматривают как весомое доказательство такую массовую неоправданную маркировку. См. FormFactor, Inc. v. Micro-Probe, Inc., et al., No. C 10-3095 PJH, 2012 WL 2061520 (N.D. Cal. June 7, 2012)..

Здесь важно подчеркнуть, что цифровая информация, не получившая статуса коммерческой тайны на этом промежуточном этапе, тем не менее может иметь ценность в качестве вспомогательной информации при транзакциях, поскольку она может способствовать использованию коммерческих тайн (например, в качестве ноу-хау) и подлежать защите в рамках коммерческих соглашений.

4.2. Метки времени

Одно из важных преимуществ цифровых коммерческих тайн заключается в возможности снабжать их метками времени. Устанавливая на содержимое документа метку времени, вы подтверждаете факт существования этого содержимого, его целостность и принадлежность в определенный момент времени. Как правило, для установки метки времени необходима доверенная третья сторона или централизованный орган. Он присваивает документу уникальную метку времени, которая затем подтверждается цифровой подписью этого органа, создавая тем самым поддающееся проверке доказательство существования документа в данный момент времени. Можно уточнить, что функции временных отметок не ограничиваются цифровыми коммерческими тайнами, а распространяются также на нецифровые коммерческие тайны, хранящиеся в цифровом формате (например, процесс производства химического состава Х, описание которого содержится в цифровом файле).

Для этой цели в некоторых национальных или региональных бюро по правам интеллектуальной собственности существует услуга по созданию «цифрового паспорта» любого файла с метками даты и времени (4)В Корейском бюро по правам интеллектуальной собственности такая услуга носит название KIPRIS (см. http://eng.kipris.or.kr/enghome/main.jsp). Услуга, предоставляемая Бюро по правам интеллектуальной собственности Франции, называется «l’enveloppe Soleau» (см. https://www.inpi.fr/proteger-vos-creations/lenveloppe-soleau/enveloppe-soleau). Бюро по правам интеллектуальной собственности стран Бенилюкса (BOIP) предлагает аналогичную услугу под названием iDEPOT (см. https://www.boip.int/en/entrepreneurs/ideas/maintain-an-i-depot#:~:text=An%20i%2DDEPOT%20is%20a,together%20with%20others%2C%20for%20example).. Большинство органов, проставляющих метки времени, являются государственными и поэтому пользуются доверием, однако сегодня подобная услуга может быть внедрена во многих коммерческих решениях для хранения данных (5)Например, такая услуга существует в системе AWS S3: https://aws.amazon.com/blogs/big-data/working-with-timestamp-with-time-zone-in-your-amazon-s3-based-data-lake/.. Кроме того, присвоение метки времени исходным или обработанным данным обычно происходит автоматически в момент сбора в формате метаданных. Однако в этом случае необходимо, чтобы метка времени в составе метаданных была непрерывно связана с данными. Если на каком-то этапе эта связь прерывается, подтвердить момент сбора данных становится невозможно.

Блокчейн

Технология блокчейн может выступать в качестве децентрализованной и защищенной от несанкционированного доступа альтернативы меткам времени (6)Более подробные сведения о технологиях блокчейн и экосистемах ИС см. в тематической публикации ВОИС: https://www.wipo.int/export/sites/www/cws/en/pdf/blockchain-for-ip-ecosystem-whitepaper.pdf (на англ. яз.).. Создание метки времени на основе блокчейн-технологии требует внесения в блокчейн криптографической хеш-суммы документа, сопровождающей такую метку.

Децентрализованный характер технологии гарантирует отсутствие контроля над метками времени со стороны какой-либо единичной организации, что затрудняет любые попытки манипулирования данными. Кроме того, блокчейн — это неизменяемая система, поэтому незаметно изменить или удалить присвоенную документу метку времени невозможно.

Также создание меток времени на основе блокчейна является прозрачным процессом, поскольку получившая такую метку информация становится частью публичного реестра и может быть самостоятельно проверена любым лицом (при этом сама конфиденциальная информация не раскрывается, см. раздел 4.3 ниже). Все эти функции обеспечивают высокий уровень надежности и подотчетности, поскольку целостность и подлинность документа может быть подтверждена несколькими участниками блокчейн-сети. Кроме того, системы присвоения отметок времени на основе блокчейна часто имеют встроенные механизмы (например, алгоритмы консенсуса), обеспечивающие правильность и согласованность отметок.

4.3. Меры борьбы с раскрытием и несанкционированным доступом

Хранение информации, составляющей коммерческую тайну, в цифровых системах (включая системы управления коммерческими тайнами, облачные или локальные системы хранения данных или службы присвоения отметок времени) может являться источником различных угроз для безопасности, которые способны: i) лишить хранящуюся информацию в целом статуса коммерческой тайны; ii) создать условия для незаконного присвоения коммерческой тайны. Это означает, что меры защиты должны быть нацелены именно на цифровые коммерческие тайны. Следует уточнить, что различные цифровые меры защиты, которые будут описаны в этом разделе, также применимы к любым коммерческим тайнам, представленным в цифровом виде.

Меры борьбы с раскрытием цифровых коммерческих тайн

Когда речь заходит о фиксировании коммерческих тайн в цифровых системах (централизованных или децентрализованных), одним из неизбежных рисков является риск непреднамеренного раскрытия коммерческой тайны посторонним лицам или даже широкой общественности.

Многие традиционные системы управления коммерческими тайнами намеренно устанавливаются на компьютеры, не подключенные к интернету (например, лабораторные), или работают на локальных серверах корпоративных клиентов, где действует чрезвычайно строгий контроль доступа даже к аппаратной части (например, в помещение серверной запрещается вносить любые USB-устройства и использовать любые другие протоколы передачи данных, включая Bluetooth) и тщательно ведется журнал безопасности. Однако современные системы управления характеризуются постоянным доступом в интернет, который может быть необходим для доступа к облачным хранилищам и подключения персональных коммуникационных устройств (например, мобильных телефонов) или устройств «интернета вещей». Поэтому если системы фиксирования цифровых коммерческих тайн включают в себя облачные хранилища (особенно внешние), каналы связи или интеграцию с блокчейн-технологиями, то для применения технических средств защиты и получения сертификатов соответствия необходимым стандартам им, как правило, необходимо проходить расширенные проверки безопасности (7)См., например, стандарт ISO/IEC 27001 или аудиты безопасности в соответствии со стандартом системного и организационного контроля SOC 2..

Двумя краеугольными камнями охраны цифровых коммерческих тайн являются хеширование и шифрование. Оба термина относятся к криптографическим методам, используемым для защиты данных, однако они служат разным целям и имеют различные характеристики.

Хеширование — это однонаправленный процесс конвертации данных любого размера в последовательность символов с фиксированной длиной, которая называется значением хеш-функции или контрольной суммой; этот процесс, например, может осуществляться путем хеширования документа с использованием контрольной суммы безопасного алгоритма хеширования (SHA), который обеспечивает целостность данных и подтверждает подлинность файла. Контрольная сумма SHA генерирует последовательность буквенно-числовых символов с фиксированной длиной, которая является уникальным идентификатором содержимого документа. Если документ был хеширован с использованием алгоритма SHA, то малейшее изменение файла приведет к тому, что его контрольная сумма станет совершенно другой. Благодаря этому свойству практически невозможно произвести с документом какую бы то ни было манипуляцию, не изменив при этом его контрольную сумму. Сравнив вычисленную с помощью SHA контрольную сумму документа с исходной, можно быстро выяснить, был ли файл изменен либо поврежден.

В приведенном выше примере, где коммерческие тайны снабжаются меткой времени с помощью блокчейн-технологии, сам документ не находится в системе хранения цифровых файлов (такой как межпланетная файловая система (IPFS)), а его содержимое не становится доступным для пользователей реестра. Вместо этого хеш-сумма документа (представляющего собой один или несколько цифровых файлов, например, в формате архива .zip) вносится в реестр на постоянной основе вместе с соответствующей меткой времени, что позволяет эффективно избежать необходимости публичного раскрытия конфиденциальной информации, одновременно с этим используя преимущества прозрачности общедоступного блокчейна. Само по себе знание контрольной суммы не позволяет восстановить хешированный документ на ее основе. При этом, напротив, можно доказать, что документ с соответствующей хеш-суммой находился во владении лица (или блокчейн-кошелька), с которым связана хеш-сумма с отметкой времени, в момент создания этой метки.

Хеширование документов позволяет хранить и хешировать информацию как в интернете, так и за его пределами или локально; при этом в онлайне осуществляется только хеширование и присвоение метки времени. Безусловно, в этом случае передача самого документа из цифровой системы не производится, поскольку раскрывается только значение его хеш-функции (контрольная сумма).

В свою очередь, шифрование представляет собой двунаправленный процесс конвертации данных в зашифрованный текст с использованием алгоритма шифрования и секретного ключа. Основной целью шифрования является обеспечение конфиденциальности данных. Шифрование позволяет сохранить данные в безопасности и сделать их нечитаемыми для посторонних лиц. При шифровании исходные данные преобразуются в зашифрованный вид; они могут быть расшифрованы обратно в первоначальный вид с помощью соответствующего алгоритма дешифрования и правильного ключа. Именно этот метод используется в современных устройствах беспроводной коммуникации для отправки и приема данных.

В практических условиях присвоение временных отметок, хеширование и шифрование могут применяться в различных сочетаниях в зависимости от уровня и характера требований конфиденциальности, которые владелец коммерческой тайны желает ввести в конкретном случае.

Меры контроля доступа

Помимо прочего, для предотвращения несанкционированного доступа к информации, составляющей коммерческую тайну и хранящейся в цифровых системах, ее раскрытия или хищения необходимы меры контроля доступа. Минимально допустимым стандартом такого контроля доступа является двухфакторная аутентификация (2FA) — мера безопасности, которая позволяет дополнительно повысить уровень защиты учетных записей пользователей и систем за счет того, что в процессе авторизации пользователи должны использовать как минимум два вида идентификации или подтверждения.

Как следует из ее наименования, система 2FA использует для аутентификации два фактора. Как правило, эти факторы включают в себя нечто известное пользователю (например, пароль или ПИН-код) и нечто, принадлежащее ему (например, мобильный телефон или токен безопасности). При авторизации пользователь вводит пароль в качестве первого фактора, а в качестве второго чаще всего используется одноразовый код, который генерируется приложением для авторизации или присылается в СМС-сообщении.

В зависимости от требуемого уровня защиты концепция 2FA может быть расширена до многофакторной аутентификации (MFA) путем добавления новых факторов к двум вышеупомянутым. Эти дополнительные факторы могут включать в себя какие-либо неотъемлемые характеристики пользователя (биометрические данные, например отпечатки пальцев или распознавание лица) или принадлежащие ему предметы (например материальную смарт-карту или зарегистрированное устройство). Благодаря сочетанию нескольких факторов MFA обеспечивает еще более высокий уровень безопасности и снижает риск несанкционированного доступа.

Еще один способ обеспечения контроля доступа и безопасности заключается в создании так называемого «защищенного анклава» — базы данных или раздела памяти, к которым применяются повышенные меры безопасности. Эта мера может использоваться на большинстве устройств для хранения и в большинстве баз данных (включая ноутбуки, серверы и мобильные устройства) (8)https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-enclaves?view=sql-server-ver16.. Например, большинство крупных корпораций используют защищенный анклав Microsoft Office 365 Mobile для разделения данных компании и разрешения удаленного доступа к ним с мобильных устройств при возникновении проблем в области безопасности (9)https://learn.microsoft.com/en-us/microsoft-365/admin/basic-mobility-security/set-up?view=o365-worldwide.. Таким образом, если мобильное устройство будет потеряно или украдено, ИТ-отдел компании сможет удаленно отключить анклав и/или удалить из него данные.

4.4. Функциональная совместимость

Еще один вопрос, который следует упомянуть в контексте фиксирования и обозначения цифровых коммерческих тайн, касается потенциальных требований к функциональной совместимости. Термин «функциональная совместимость» означает способность различных систем или технологий к беспрепятственной совместной работе и обмену информацией.

В контексте решений, предназначенных для фиксирования коммерческих тайн, функциональная совместимость необходима для того, чтобы эти решения поддерживали будущие транзакции, даже если они не были предусмотрены изначально. Решение для фиксирования, созданное с учетом принципов функциональной совместимости, в будущем сможет при необходимости интегрироваться и взаимодействовать с другими системами, платформами и протоколами. Подобный перспективный дизайн помогает решению поддерживать различные виды транзакций, например передачу (продажу или перемещение внутри компании после заключения сделок слияния и поглощения), обмен или заключение смарт-контракта вне зависимости от конкретной экосистемы или технологии, используемой для осуществления этой транзакции.

Отсутствие функциональной совместимости может привести к некоторым отрицательным последствиям, включая рост стоимости транзакций, поскольку компаниям может потребоваться использовать несколько платформ для управления разными аспектами операций с коммерческими тайнами. Кроме того, в этой ситуации могут возникнуть проблемы, связанные с проверкой или подтверждением несинхронизированных отметок времени, что сделает более сложным четкое и последовательное ведение реестра зафиксированных коммерческих тайн.

5. Цифровые коммерческие тайны и большие языковые модели

Появление больших языковых моделей, таких как GPT-4 (англ. Generative Pre-trained Transformer 4 — предварительно обученный генеративный преобразователь, версия 4), коренным образом изменило процессы обработки текстов на естественных языках и привело к появлению новых возможностей и проблем, связанных с защитой коммерческих тайн. Эти современные модели умеют анализировать и генерировать текст, аналогичный составленному человеком, что превращает их в ценные инструменты для различных прикладных целей, включая создание контента, автоматизацию обслуживания клиентов и анализ данных. При этом компании должны умело соблюдать хрупкое равновесие между собственным использованием преимуществ больших языковых моделей и защитой своих коммерческих тайн от несанкционированного раскрытия. Недавно в прессе широко освещался один из подобных случаев, когда сотрудники компании Samsung предположительно допустили утечку конфиденциальных данных (включая исходный код новой программы, стенограммы внутренних совещаний и данные об аппаратном обеспечении), поскольку использовали программу ChatGPT в качестве одного из инструментов выполнения своих рабочих задач (10)https://www.techradar.com/news/sansung-workers-leaked-company-secrets-by-using-chatgpt..

Для охраны коммерческих тайн при использовании больших языковых моделей (БЯМ) внутри компаний необходимо рассмотреть возможность принятия одной из нескольких стратегий.

  1. Акцент на охране отдельных исходных материалов или закрытых данных. Сохраняя контроль над конфиденциальной информацией и ограничивая доступ к ней уполномоченным лицам, компании могут снизить риск того, что чувствительные коммерческие тайны станут известны БЯМ. Как было указано выше, для этой цели могут применяться различные меры контроля доступа, шифрование, а также механизмы, отслеживающие доступ к большой языковой модели.

  2. Использование таких методов, как маскировка или намеренное искажение данных, чтобы не допустить непосредственного попадания закрытой информации в большую языковую модель. С помощью модификации или анонимизации отдельных аспектов данных перед их вводом в модель компании могут сохранить конфиденциальность коммерческих тайн, одновременно с этим продолжая пользоваться преимуществами модели с точки зрения обработки естественного языка. Для сохранения баланса между практическими соображениями и конфиденциальностью необходимо тщательно выбирать данные и обрабатывать их.

  3. Разработка четкой политики и заключение соглашений с работниками и подрядчиками, участвующими в использовании больших языковых моделей. Обязанности и ответственность отдельных лиц в области обеспечения охраны коммерческих тайн могут быть закреплены в соглашениях о неразглашении информации (NDA) и положениях о конфиденциальности. Необходимо провести обучение работников по вопросам, связанным с важностью сохранения конфиденциальности, передовыми практиками обеспечения безопасности данных и рисками их несанкционированного раскрытия.

  4. Возможное использование частной версии БЯМ (на платной основе), если в договоре будут предусмотрены гарантии поставщика БЯМ, касающиеся использования и уничтожения закрытых данных, которые будут введены в модель. Следует отметить, что компания OpenAI предлагает подобный продукт, позволяющий отдельным лицам или корпорациям использовать программу GPT-4 частным образом с помощью API.

В заключение необходимо добавить, что по мере дальнейшего распространения таких больших языковых моделей, как GPT-4, компаниям будет необходимо добиться равновесия между использованием возможностей БЯМ и охраной своих коммерческих тайн. Решив эту задачу, компании смогут продолжить инновационную деятельность, повысить эффективность своей работы и сохранить конкурентное преимущество в эпоху продвинутых технологий обработки языковой информации.

6. Проблемы и риски, связанные с охраной цифровых коммерческих тайн, и стратегии снижения рисков

Существует широкий спектр потенциальных проблем безопасности и рисков, которым могут подвергаться цифровые коммерческие тайны. В данном разделе описаны наиболее распространенные из них, а также способы их смягчения на высоком уровне управления. Эта информация также актуальна для нецифровых коммерческих тайн, хранящихся в цифровом формате.

Практические и связанные с договорами меры снижения рисков утечки и незаконного присвоения коммерческих тайн были описаны в главе IV «Управление коммерческой тайной». Как было показано в главе IV, создание внутриорганизационных структур, занимающихся принятием решений, и систем управления документами, принятие мер в области материально-технического обеспечения и ИТ, обучение и повышение квалификации работников, а также заключение договоров с работниками и сторонними партнерами также имеют большое значение в контексте охраны цифровых коммерческих тайн.

В целом при утечке или незаконном присвоении цифровой коммерческой тайны высок риск того, что полностью исправить ситуацию не удастся. Это означает, что приоритетной задачей для каждого владельца прежде всего должно являться предотвращение раскрытия цифровых коммерческих тайн и пресечение несанкционированного доступа к ним.

6.1. Отсутствие защиты от хищения, кибератак и несанкционированного доступа к данным

В нашу цифровую эпоху охрана цифровых коммерческих тайн связана с проблемами и рисками, которые в основном обусловлены низким уровнем защиты от хищения, кибератак и несанкционированного доступа к данным. Эти угрозы представляют собой серьезный риск с точки зрения конфиденциальности и целостности ценной закрытой информации; они потенциально способны привести к тяжелым финансовым и репутационным последствиям для компаний.

Одна из главных сложностей охраны цифровых коммерческих тайн связана с их недостаточным уровнем защиты от хищения, поскольку такие тайны легко копировать, передавать и распространять. Еще одну серьезную угрозу с точки зрения охраны цифровых коммерческих тайн представляют кибератаки, которые осуществляются искусными хакерами и киберпреступниками. Кроме того, несанкционированный доступ к данным (получение чувствительной информации посторонними лицами или хакерами, проникшими в цифровую инфраструктуру компании) может привести к утрате секретности и всей ценности коммерческой тайны.

Для снижения этих рисков могут быть приняты надежные меры безопасности, которые подлежат регулярному обновлению и включают в себя планы реагирования на инциденты. В то же время меры безопасности, как и любые другие меры охраны коммерческих тайн, должны соответствовать разумному уровню строгости. При этом следует учитывать соотношение между ценностью коммерческой тайны и затратами на ее охрану, а также характеристики конкретной организации (см. раздел 2.3 главы IV).

Как уже упоминалось в главе IV, существует высокий риск раскрытия или незаконного присвоения цифровых коммерческих тайн действующими и бывшими работниками, сторонними участниками совместных проектов и деловыми партнерами, которым была передана информация, составляющая коммерческую тайну. Для многих организаций, работающих в сфере цифровых технологий и цифровых услуг, повседневной деловой практикой является привлечение удаленных работников со всего мира, передача различных задач на субподряд и использование офшорных ресурсов, что приводит к повышению уровня риска.

Для смягчения этих рисков важно применять такие меры, как контроль доступа на основе принципа потребности в информации, жесткие договорные положения, обучение и повышение квалификации, а также собеседования при увольнении и приеме на работу; эти меры помогают не только предотвратить незаконное присвоение, но и избежать смешивания с чужими коммерческими тайнами (см. разделы 3.1 и 5.1 главы IV).

6.2. Получение доступа к коммерческим тайнам во время проверок

Внутренние и внешние проверки играют важнейшую роль в обеспечении соответствия нормам, в определении эффективности работы компании и в оценке финансовых показателей. Однако, для того чтобы оценить финансовую отчетность компании, ее внутренние механизмы контроля и соответствие нормам, в процессе проведения таких проверок аудиторы (даже подписавшие соглашения о неразглашении информации) должны получать доступ к конфиденциальной информации компании. Подобная передача информации увеличивает риск незаконного присвоения коммерческих тайн или их непреднамеренного разглашения посторонним лицам.

Чтобы снизить риски, обусловленные контактом с цифровыми коммерческими тайнами в ходе проверок, компании должны заключать с аудиторами соглашения о конфиденциальности с жесткими условиями; эти условия должны явным образом определять объем информации, к которой будет разрешен доступ, и обязанности аудиторов в отношении охраны коммерческих тайн. В такие соглашения также необходимо включать положения, касающиеся возврата или уничтожения любой информации, составляющей коммерческую тайну, которая будет получена аудиторами в процессе проверки. Кроме того, для дополнительной охраны цифровых коммерческих тайн в ходе проверок могут использоваться технические средства защиты, такие как шифрование данных, контроль доступа и отслеживание движения данных.

6.3. Возвращение и восстановление контроля над данными, составляющими цифровую коммерческую тайну

Поскольку цифровые коммерческие тайны доступны в электронном виде, возвращение и восстановление контроля над информацией после ее незаконного присвоения или несанкционированного использования становится чрезвычайно сложной задачей.

Организации могут принять ряд мер, которые способствуют ее решению и позволяют смягчить потенциальный ущерб. Помимо «традиционного» подхода к восстановлению цифровых коммерческих тайн путем обращения в суд, компании могут рассмотреть возможность задействовать для их отслеживания и возвращения различные технологии и цифровую криминалистику. Эта задача может потребовать привлечения специализированных компаний из сферы кибербезопасности или экспертов-криминалистов, которые должны будут отследить несанкционированное использование коммерческих тайн, определить географическую привязку этих нарушений или задействованные системы и попытаться вернуть контроль над информацией. В процессе могут применяться сложные методы анализа данных, системы мониторинга или технические инструменты, которые позволяют отследить перемещение и хранение данных, составляющих коммерческую тайну.

Успех этих мероприятий во многом зависит от уровня квалификации несанкционированного пользователя, масштаба его действий и наличия цифровых улик.

Судебные и технические меры, которые применяются для возвращения и восстановления контроля над информацией, составляющей коммерческую тайну, не всегда гарантируют полное исправление ситуации. Поэтому мы можем лишь еще раз подчеркнуть исключительную важность предотвращения раскрытия и несанкционированного использования цифровых коммерческих тайн; для этого необходимо принимать надежные меры безопасности и меры, связанные с договорами, обучать работников и т. д.

7. Сравнение коммерческой тайны с другими правами интеллектуальной собственности, применимыми к цифровым объектам

7.1. Цифровые объекты: сравнение коммерческой тайны с патентом

Как уже упоминалось в главе III «Основы охраны коммерческой тайны», большинство корпораций используют стратегию, в которой сочетают патентную охрану с охраной коммерческой тайны, учитывая преимущества и недостатки каждого из механизмов охраны. В этом разделе мы вкратце остановимся на некоторых аспектах, имеющих непосредственное отношение к цифровым объектам.

Патентоспособность цифровых объектов

В целом патентное законодательство многих стран не рассматривает данные, программный код и представление информации как таковые в качестве изобретений, подлежащих патентной охране. Аналогичным образом во многих странах не подлежащими патентованию являются абстрактные идеи, а также математические, деловые или коммерческие методы, рассматриваемые сами по себе. Однако авторам инноваций не всегда бывает просто провести четкое различие между вышеперечисленными явлениями, исключенными из механизмов патентной охраны, и патентоспособными изобретениями, реализованными программными или компьютерными методами.

Помимо этого, различия (даже, казалось бы, минимальные) в методах применения к цифровым объектам национальных патентных законов и практик, касающихся критериев наличия права на патентную охрану и патентоспособности, заставляют заявителей адаптировать свои патентные заявки к тем или иным национальным требованиям, что увеличивает сложность процесса и повышает риск отказа.

Сталкиваясь с подобной неопределенностью относительно доступности патентной охраны этих изобретений, авторы инноваций из сферы цифровых технологий и услуг затрудняются принять решение о том, какую из систем (патентов или коммерческих тайн) следует выбрать для охраны результатов их работы.

Проблемы, связанные с судебными разбирательствами по делам о патентах на программное обеспечение

Доказательства использования

Когда речь заходит об изобретениях, реализованных программными методами, на момент подачи иска у большинства патентообладателей отсутствуют прямые доказательства нарушения, поскольку для получения таких доказательств необходим доступ к исходному коду, принадлежащему предполагаемому нарушителю. Вместо этого патентообладатель заявляет, что считает достоверным факт нарушения патента со стороны ответчика, поскольку внешний функционал соответствующей программы аналогичен функционалу изобретения, о котором идет речь в иске. Получение прямых доказательств является сложной задачей. В некоторых странах в рамках процедур углубленного изучения доказательств патентообладателю разрешается ознакомиться с исходным кодом в ходе судопроизводства. Поскольку большинство ответчиков считают подобные материалы коммерческой тайной, для ознакомления с исходным кодом, принадлежащем предполагаемому нарушителю, назначаются сторонние «распорядители». Этот механизм работает следующим образом: третья сторона получает статическую версию кода и организует доступ к ней для патентообладателя и/или его экспертов (как правило, процедура проводится на месте, чтобы ограничить возможность распечатывания или копирования информации) (11)Обычно стороны действуют в рамках постановления об обеспечении конфиденциальности, которое ограничивает доступ для патентообладателя или сопровождает его определенными условиями, в особенности если речь идет о конкурентах.. Если патентообладатель выявляет фрагменты исходного кода, которые могут быть представлены суду в качестве доказательства нарушения, стороны (обычно с помощью арбитражного органа) договариваются о том, каким образом эта информация будет передана суду.

Территориальность

Патенты относятся к правам интеллектуальной собственности, строго ограниченным территориальными рамками, поэтому если предполагаемое нарушение, связанное с некоторыми (но не всеми) элементами упомянутого в иске изобретения, произошло в различных странах, то во время судопроизводства по патентному нарушению может возникнуть ряд вопросов, включая следующие:

  • были ли данные разбиты на фрагменты и хранились ли они в нескольких местах (включая облачные и локальные хранилища);

  • затронуло ли нарушение несколько серверов, расположенных более чем в одной стране;

  • были ли данные экспортированы в страну, где обработка данных не подлежит патентной охране, и были ли затем результаты этой обработки вновь импортированы для коммерческой эксплуатации;

  • вывезли ли посторонние лица данные (например, на USB-устройстве) в страну, в которой патентная охрана недоступна или соответствующая заявка не подавалась.

В этот список вошла лишь часть проблем, возникающих при реализации патентной охраны цифровых объектов. К сожалению, их единого решения не существует. Если владелец информации желает воспользоваться механизмом охраны коммерческой тайны (возможно, в составе комплексной стратегии, включающей также патентную охрану), то в настоящее время наилучшим способом свести к минимуму возможные риски является принятие жестких мер безопасности (таких как 2FA, шифрование и выявление несанкционированного доступа). При выявлении любого случая незаконного присвоения или нарушения тайны необходимо принять срочные меры, особенно если такое нарушение произошло на территории, где неукоснительно применяется принцип верховенства права.

Средства судебной защиты по праву справедливости, применяемые при нарушении патентных прав

Доступность средств судебной защиты по праву справедливости, включая запреты, также зависит от конкретной юрисдикции. При вынесении запрета ответчик, как правило, может изменить несколько строк кода или архитектуры базы данных (хоть это иногда и непросто), чтобы обойти запрет. В результате противоборство с ответчиком может превратиться в бесконечную череду безрезультатных точечных ударов.

Возможность использования авторского права зависит от вида цифровых объектов, подлежащих охране, и требует тщательного анализа. Например, авторское право может оказаться оптимальным решением для охраны аудио- и видеозаписей, особенно если они представляют собой оригинальные авторские работы и/или предназначаются для широкого распространения (12)В настоящее время в различных юрисдикциях ведутся дискуссии о присвоении авторского права на аудиовидеозаписи или текстовые материалы, созданные БЯМ или другими генеративными моделями. Это означает, что при наличии возможности для подобной сгенерированной информации необходимо рассматривать несколько вариантов схем охраны.. При этом для исходных или обработанных данных, которые используются внутри компании или передаются отдельным сторонам в рамках договора, наилучшим вариантом может оказаться охрана в качестве коммерческой тайны. Кроме того, к некоторым видам данных не может быть применено авторское право, если они не считаются оригинальными авторскими работами. Что касается исходного кода и алгоритмов, то в некоторых юрисдикциях владельцу не разрешается требовать охраны исходного кода в качестве коммерческой тайны и объекта авторского права одновременно; это означает, что он должен взвесить все преимущества и недостатки каждого вида охраны.

7.3. Цифровые объекты: сравнение коммерческой тайны с правами, закрепленными в договоре

Коммерческие тайны и права, закрепленные в договоре, следует рассматривать в совокупности. Если данные, составляющие коммерческую тайну, фактически генерируются третьей стороной по поручению законного владельца, должен существовать некий договор, устанавливающий «разумные меры охраны». Подавая иск об охране коммерческой тайны, ее владелец чаще всего указывает на ту или иную разновидность договорного соглашения (например, о неиспользовании и/или о неразглашении), заключенного с предполагаемым нарушителем. Если владельцу коммерческой тайны не удается доказать факт ее незаконного присвоения, то в большинстве случаев он может использовать обычное нарушение договора в качестве основания для получения правовой защиты.

Однако при этом он должен использовать оба основания для предъявления иска надлежащим образом и по отдельности. В противном случае арбитражный орган может постановить, что если данные не подлежат охране в качестве коммерческой тайны, то к ним также неприменимы ограничения, касающиеся конфиденциальности или неиспользования. Именно поэтому чрезвычайно важно осуществлять управление данными, составляющими коммерческую тайну, отдельно от обычных конфиденциальных или закрытых данных.

7.4. Комплексные стратегии охраны цифровых данных

С учетом всего вышеизложенного наилучшей стратегией охраны технических инноваций, вероятно, является сочетание патентов, коммерческих тайн и прав, закрепленных в договоре. Патентная охрана может оказаться наилучшим выбором для уникального устройства «интернета вещей», протокола обмена данными или хранилища, используемого для сбора и передачи цифровых данных. Охрана коммерческой тайны наилучшим образом подходит для алгоритмов и данных как таковых (в исходном или обработанном виде). Закрепленные в договоре права необходимы в том случае, если в сборе, обработке или передаче данных участвуют третьи стороны. Подобный трехсторонний подход предоставляет владельцу данных широкий спектр возможностей для обеспечения охраны интеллектуальной собственности.