第七部分：商业秘密与数字对象

本部分涉及的主题：

数字对象的类别，包括数字数据
数字对象的商业秘密保护资格
数字商业秘密的管理
数字商业秘密、网络攻击、审计的挑战和风险
商业秘密与数字对象的其他知识产权

随着数字技术的飞速发展，企业在保护其宝贵的专有知识和信息方面面临着独特的挑战。虽然以专利为中心的“传统”知识产权保护战略在这一技术领域仍然有效，但商业秘密保护已成为数字技术的重要保护制度之一。

由于商业秘密可能涵盖范围广泛的数字数据和信息，本部分使用“数字对象”这一术语。该术语一般是指以电子或数字格式存储和传输的数据或信息。因此，数字对象的商业秘密保护可能包括两个不同的领域：

数字数据（文本、音频或图像格式）、算法或程序代码本身是有价值的商业秘密信息，以及
以数字格式存储的任何技术领域的商业秘密信息（如存储在数字文件中的有关物质X制造方法的信息）。

在第七部分，我们主要讨论第一类 "数字对象"。不过，本部分第4节和第6节所述的信息技术安全措施可适用于任何数字格式的商业秘密信息（另见第四部分：一般性的商业秘密，特别是第2.3节）。

1.数字对象的出现和商业秘密保护的潜力

数字对象在当今的商业环境中发挥着举足轻重的作用。随着云存储和计算、电子通信、高级数据分析以及GPT-4等大型语言模型的出现，各组织在很大程度上依赖于数字平台。数字对象的性质为商业秘密保护带来了优势和挑战。

一方面，数字格式可以高效地存储、复制、计算和传输信息。另一方面，由于数字数据易于复制、共享和传播，这些特点也增加了未经授权披露、窃取或利用的风险。

要获得商业秘密保护的资格，数字对象必须符合商业秘密保护的基本要求，即它们必须是：

因其保密性而具有商业价值，
仅为少数人所知，以及
信息的合法权利人应采取合理的保密措施，包括与业务伙伴和员工签订保密协议。

为了确定数字对象是否符合商业秘密保护的条件，有必要先分析“数字对象”的客体，并确定其保密性是否使该客体具有商业价值——然后再讨论具体的访问控制和保密方案。

2.数字对象的子类别和商业秘密保护资格

数字对象包括各种元素，如算法、代码（源代码和对象）、文本、图像、音频和视频。在考虑商业秘密保护时，各种子类别的数字对象及其商业价值之间存在着非常重要的细微差别。

算法

算法是数字数据处理的支柱。它们是一组规则或指令，规定了解决特定问题或完成特定任务的一系列步骤。通过数据分析、机器学习和人工智能应用，算法在将原始数据转化为有意义的信息方面发挥着至关重要的作用。它们提供逻辑和计算框架，使数字数据得以处理、分析和解读，从而获得有价值的见解。因此，算法是数字经济的核心，可实现数据驱动的决策、预测建模和自动化。

代码

代码，又称计算机代码或编程代码，是用来编写软件程序和执行算法的语言。它由一系列指令和命令组成，指导计算机执行特定任务或操作。代码是人类意图（源代码）和机器执行（目标代码）之间的桥梁，可将算法转化为可执行程序。通过代码，原始数据或预处理数据被转化、改变，并以提供所需的功能和用户体验的方式呈现出来。代码是软件应用程序、系统和平台的基本构件，而软件应用程序、系统和平台则是对数字数据的利用和使用。

原始数据和经处理的数据

原始数据可视为数据的最基本形式，它是直接从数据源获取的未经处理的初始输出，例如，传感器随时间采集的数值流或读数，或非结构化文本文档或信息。原始数据是最细粒度和最详细的数据，由单个数据点或记录组成，通常缺乏结构或组织，可能需要预处理、清理和格式化后才能有效分析或用于决策目的。它是后续数据处理步骤（如数据转换、汇总、分析和可视化）的基础。

与原始数据相比，经处理的数据是指已经过某种形式的算法或分析处理，以提取有意义的见解或将其转换为更有条理和可用的格式的数据。经处理的数据通常更加精细、结构化，并根据特定目标或分析要求进行定制，因此比原始数据具有更高的商业价值。

元数据

元数据指的是描述性信息，为（其他）数字数据（无论是原始数据还是经过处理的数据）提供上下文、结构和额外的见解。它包括创建日期、作者、文件格式、大小、位置以及与其他数据元素的关系等属性。元数据是一种关于数据的数据形式，有助于数字信息的组织、可搜索性和互操作性。它可以帮助用户了解数据的内容、来源和特征，从而更容易定位、检索和分析特定信息。在数字数据方面，元数据在数据管理、数据集成和数据治理过程中发挥着至关重要的作用。

算法、代码和元数据共同构成了汇总、处理和解释（原始和预处理）数字数据的基础。随着数字领域的不断发展，这些组件在利用数字数据的力量促进各领域和行业的创新、问题解决、自动化和决策方面将继续发挥至关重要的作用。

交通信息应用程序中的数字对象

为了便于理解数字对象的子类别，我们可以把一个综合交通信息应用程序作为示例，说明最终产品包含各种数字对象。

交通信息应用程序综合利用算法、代码、文本、图像、音频和视频，为用户提供实时交通更新和导航帮助。

算法：示例应用程序采用复杂的算法来分析各种来源的数据，如GPS信号、交通摄像头和用户生成的报告，以确定交通拥堵情况、最佳路线和预计旅行时间。
代码（源代码和目标代码）：应用程序的源代码是决定其功能的基本编程指令。编译成目标代码后，应用程序就能在用户的设备上无缝执行，从而促进流畅的交互和数据处理。
文本：该应用程序通过友好的用户界面显示文本信息，如当前的交通状况、事故报告、道路封闭情况和建议的替代路线。用户可以轻松阅读和理解应用程序提供的文字更新和指示内容。
图像：该应用整合了来自道路上战略性布置的交通摄像头的图像，让用户直观地了解实时交通状况。用户可以查看拥堵区域、事故或建筑工地的快照或流媒体视频，从而做出明智的决策。
音频：为增强用户体验和安全性，该应用程序提供了听觉提示和指示。它可以使用音频通知向用户通报即将发生的转弯、车道变更或交通事故，让驾驶员在接收关键信息的同时专注于路况。
视频：结合视频剪辑或动画，应用程序可以动态直观地展示交通流量和道路状况。例如，它可以显示说明交通模式的动画地图，或使用视频叠加来突出特定事件和绕行路线。

通过将这些元素纳入其数字框架，该示例应用程序成为“数字对象”的缩影，展示了算法、代码、文本、图像、音频和视频的多样性和集成性，从而为用户提供全面的交互式交通信息解决方案。

3.数字数据、元数据、算法和代码的“保密性”

为了满足商业秘密保护的一个非常基本的先决条件，数字对象必须是保密的。事实上，这也是实践中最大的挑战，因为各组织每天都要共享、处理和加工各种数字对象。确保保密性对于保护敏感数据、算法和代码免遭未经授权的暴露或利用至关重要。

3.1 原始和经处理的数字数据及元数据

数据的收集

物联网（IoT）、手机、支付处理终端和其他电子通讯设备每天都会收集数以亿计的数据点。仅仅收集数据的事实本身并不一定是商业秘密，但“如何”收集和收集“什么”可能适合于某种类型的保护。

例如，工业物联网设备可使用专有传感器或其他手段收集以前无法获得的运行参数，从而创建一个独特的数据集。如果该数据集在收集时已经加密，那么数据所有者就可以认为这些数据是商业秘密，因为“加密”是保密的合理步骤。同样，信用卡处理商在销售点获取消费者的消费行为这一事实本身并不属于商业秘密，但其收集的内容和形式可能属于商业秘密——尤其是当其与消费者或商家不易获取的元数据相关联时。

代表第三方收集的数据

那么，代表第三方收集的数据或并非由收集者或处理者“拥有”的数据呢？这些情况提出了有关主张商业秘密保护的重要问题。如上所述，商业秘密是一种无形资产，因此只有数据所有者（或某些司法管辖区的专有用户）才能主张知识产权。

代表第三方收集的数据通常是在咨询或供应商式的关系中产生的，此时数据收集者和数据生成者处于合同关系中。合同条款通常规定谁拥有哪类数据（如原始数据或经处理的数据），以及双方应如何处理这些数据。主张对此类数据进行商业秘密保护，需要进行合同审查，以确定谁是真正的所有者以及相关的保密/使用限制。例如，安装和管理物联网传感器的工业物联网公司很可能会与数据所有者签订服务合同，其中规定了收集哪些类型的数据、如何管理数据、如何处理数据以及各自使用这些数据的权利。在这种情况下，物联网公司和数据所有者都有可能要求对数据的某些方面进行商业秘密保护。

在没有合同关系的情况下收集的数据

反之，第三方在没有合同关系的情况下收集和处理的数据可能有资格获得商业秘密保护：但谁能主张这种保护是一个模糊的问题。这些情况最常发生在支付处理商、销售点供应商或参与处理消费者支付的其他各方处理消费者数据的消费环境中。如果使用的是信用卡，消费者可能与发卡银行存在合同关系，发卡银行规定了收集数据的类型和使用权，但消费者很可能与商家、销售点供应商或处理商（如VISA）不存在法律关系。

在这种情况下，每一方都可以“要求”对数据的某些方面进行商业秘密保护，但支付链中还有谁也可以访问这些数据，是否存在规范保密和使用的合同关系？如果不明确界定这些限制（并确立明确的所有权或专有使用权），这些数据可能就不属于商业秘密的定义范围。下一节将更详细地探讨这些使用权。

交换和共享数据

随着社交媒体、电子商务、工业分析和数字经济的出现，数据共享（如通过应用编程接口(API)）和商业数据再销售对商业应用程序越来越重要。数据共享的重要性在于它能够促进合作和加快进展。在这个跨学科产生大量数据的时代，共享数据使研究人员能够访问更广泛的信息库，促进跨学科的洞察和发现。如今，应用程序接口通过为数据访问和通信提供标准化接口，在实现不同系统和平台之间的无缝集成和互操作性方面发挥着至关重要的作用。

此外，商业数据转售商和数据共享协议的兴起为每个人获取以前无法获取或收集起来太费时间的宝贵数据集提供了新的机会。这些转售商通过先进的分析和质量控制措施，对来自多个来源的数据进行整理和汇总，使其能够随时用于科学研究。虽然与数据隐私、伦理和数据质量有关的挑战依然存在，但数字数据共享、应用程序接口和商业数据转售商的重要性与日俱增，这标志着向合作和数据驱动型研究的范式转变，最终将增强跨领域的科学知识和创新。

访问受限的共享数据

数据的这一新的合作维度可能会使人们难以确定特定的数字数据是否属于商业秘密——谁有权访问这些数据，信息的合法权利人采取了哪些合理措施来保密——如果是，如何管理和利用商业秘密。

在实践中，共享数据（原始数据、经处理的数据和元数据）的保密性通常是 ⁽¹⁾例如，日本的情况见《访问受限的共享数据指南》，网址：https://www.meti.go.jp/english/policy/economy/chizai/chiteki/pdf/guidelines_on_shared_data_with_limited_access.pdf。另见欧盟《关于公平访问和使用数据的统一规则的条例》（《数据法》），网址：https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113。通过适用“访问受限的共享数据”这一概念来酌情确定的。共享数据可能包括的信息不一定是机密信息或专有信息，但出于隐私或安全原因需要受控访问。对这些数据的实际访问通常通过用户身份验证、访问控制列表、基于角色的访问控制、加密和其他安全措施加以限制。

经常还有一种合同访问受限访问的目的是确保只有获得授权的人才能查看或使用共享数据，同时仍能在一个确定和可信的用户网络内进行协作和信息交流。在试图主张共享数据的商业秘密地位时，数据所有者通常难以主张数据的保密性，以及针对受限访问的共享数据所应实施的访问控制的细化程度。

尽管如此，还是很难在访问受限的共享数据和商业秘密之间划定准确的界限，因为两者的区别在于与每个个案中每个概念相关的目的、范围和保密程度。但根据经验，与访问受限的共享数据概念不同，商业秘密数据通常不与拥有这些数据的组织之外的任何人共享或披露，并受到非常严格的组织内部访问控制计划的约束，下文将详细阐述的代码和算法的情况就是如此。

为了说明区分商业秘密保护和访问受限的共享数据保护有多么重要，我们可以考虑以下围绕优化工业生产过程能耗的专有算法的假设性例子。

商业秘密算法和在访问受限的情况下共享某些数据的示例

组织A提供并销售能源优化软件。组织A能源优化软件的核心是其专有算法，该算法在市场上具有显著的竞争优势。该算法是一项商业秘密，凝聚了多年的研究、开发和测试成果。

组织A采取了大量措施来确保该算法的保密性和安全性。公司将算法的访问权限限制在一小批值得信赖的软件工程师内，他们都签署了严格的保密协议。算法的源代码存储在安全的服务器上，并进行了高级加密，只有在需要知道的情况下才允许访问。外部各方，包括合作者或合作伙伴，都无法获得完整的算法，从而确保组织A对这一宝贵商业秘密的专有控制权。

现在，组织A决定与研究机构B合作，推进节能制造领域的发展。作为合作的一部分，组织A与组织B共享某些与生产流程和能源消耗趋势相关的数据。然而，为了保护其无形资产，组织A制定了一项协议，限制组织B访问特定的数据子集。这种受限的访问权限使组织B的研究人员仅能出于研究目的分析数据，确保核心专有算法和实施细节保密且无法访问。组织A保留对关键商业秘密——精确算法——的控制权，绝不与组织B或任何其他方共享。

在这个例子中，访问受限的共享数据代表了与合作者有控制地共享非核心信息，而商业秘密则包括核心专有算法，在公司内部严格保密。组织A对共享数据和商业秘密之间的界限进行了战略性管理，以在合作与保护其最宝贵的知识产权之间取得平衡。

3.2 代码与算法

如上所述，代码是编写软件程序的语言，包含算法的实现细节，并能揭示有关数据处理和使用方式的重要业务信息。除非采取开源战略，否则保护代码和算法的机密性至关重要，以防止未经授权的个人理解或逆向工程专有软件，从而建立和捍卫相对于竞争对手的竞争优势。在实践中，代码混淆、加密和严格的访问控制等技术被用来维护代码（及其背后的算法）的机密性，并防止未经授权的访问或复制。

虽然存在一些与特定行业相关的影响，但一般来说，企业间共享代码和/或算法远不如共享经处理的数据集等常见。这表明并强调了代码和算法的商业价值及其保密程度，并为数字数据商业秘密开辟了一个主要的竞争环境。

版权是适用于代码和算法的另一种知识产权保护形式。然而，应当注意的是，某些司法管辖区不允许所有者同时主张商业秘密和版权，特别是如果受版权保护的软件披露了大部分源代码或“专有”部分。 ⁽²⁾Capricorn Mgm’t Sys., Inc. 诉Gov’t Emps.Ins.Co.等, 15-CV-2926 (DRH) (SIL) (E.D.N.Y.)在Capricorn案中，法院认为源代码所有者不得主张商业秘密保护，因为该代码也注册了版权，因而已向公众提供。因此，源代码所有者应仔细考虑每种保护方式的利弊。

4.数字商业秘密的管理

我们已经看到，数字对象只要符合商业秘密（即数字商业秘密）保护的资格标准，就可以受到商业秘密的保护。随之而来的问题是，数字商业秘密的权利人如何对其进行妥善管理，以便在行政程序和/或司法程序中证明在具体个案中其符合商业秘密保护的资格。

对数字商业秘密的妥善管理包括对信息进行定义和分类以确定其受保护的地位，概述必要措施以持续保护其机密性，并围绕每项或每类商业秘密制定商业秘密管理生命周期。本节针对与有效管理数字商业秘密资产有关的具体挑战和机遇进行了阐述。不过，有关防止披露和未经授权使用商业秘密的技术措施的说明也适用于数字格式的非数字商业秘密信息。

4.1 识别和选择数字商业秘密

企业需要首先识别和选择符合一个或多个商业秘密条件的特定数字信息，并明确每项商业秘密所对应的数字对象或数字对象集合。

获取数字商业秘密信息

假设数字对象已被标记并能被具体识别，那么获取潜在数字商业秘密信息这就要求将相关数字对象创建、转移或复制到专门的文件管理系统或结构中，将其与非相关数字对象明确分开（例如，转移到内部商业秘密管理系统、商业或企业云存储、加密物联网设备、专门指定和锁定的硬盘驱动器或类似设备中）。

这一步骤可以针对单个对象执行，也可以同时针对多个对象执行。批量获取需要同一套权限的多个对象，为获取信息的人员提供了便利，因为获取过程的元数据在一个会话中记录的所有对象中共享，而无需（通常是手动）按每个数字对象提供。在这种方法下，对馆藏中潜在数字商业秘密的接收可以是一个自动化的过程，而商业秘密状态的认定则由经过专门培训的人员（如首席商业秘密官，或知识产权部门内的商业秘密专业人员）利用自己的一套资源来处理，或通过API网关或其他文件传输机制完全自动化地传输到一个安全的存储位置。

值得注意的是，最初的获取步骤可以完全匿名进行，也可以与商业秘密创造者一起获取。后者有助于确定应根据员工薪酬或激励计划给予奖励的员工。

认定数字商业秘密

一旦获取了潜在的商业秘密信息，就必须认定数字商业秘密，同时考虑到商业秘密的价值及其风险。通过明确界定其范围，企业可以更好地了解所需的保护级别和访问控制的严格程度。

识别和选择数字商业秘密的工作流程示例

示例1：雇员获取了潜在的商业秘密信息

员工A上传的文件1、2、3和4都与某个特定的金融算法有关，如该算法的设计文件、用户手册和源代码。
决策者B审查上传的文件，并（例如，与员工A合作）将文件1和3认定为需要相应访问控制的商业秘密。
决策者B以电子方式通知员工A有关文件1和3的商业秘密地位，以及文件2和4的非商业秘密地位。

示例2：物联网设备获取潜在商业秘密信息

物联网设备收集原始工艺设备数据，所有数据都与专有工艺相关。
物联网设备使用内部算法对数据进行汇总，并分离出对进一步的下游处理有用的数据。
物联网设备会对这些分离的数据进行加密，然后定期将其安全地传输到单独的本地服务器或云存储，供数据科学家进一步使用。数据科学家被告知，这些位置的数据被视为商业秘密。

一般来说，在选择应受商业秘密保护的信息时，过于宽泛的做法比过于严格的筛选更为可取，因为后者可能会带来失去对信息控制的风险，而这些信息日后可能会被证明是至关重要的。不过，在没有对商业秘密资格进行进一步审查的情况下，就过度扩大地认定为商业秘密的做法也应当避免，以便：(i)保持数字商业秘密信息的数量可控、结构合理；(ii)能够证明数字商业秘密是在精细的分类系统中管理的，而不是简单地放入“文件堆”。否则，法院可能不会同意所有者的商业秘密主张。 ⁽³⁾这种情况经常发生在标有“机密和专有”的文件或电子邮件上，但实际上它们既不是机密，也不具专有性。法院和法庭并不认可这些一概而论、未经深思熟虑的主张。见FormFactor, Inc.诉Micro-Probe, Inc.等，第C 10-3095 PJH号，2012 WL 2061520（N.D.Cal.June 7, 2012)。

在此有必要强调的是，在这一中间步骤中没有获得商业秘密地位的数字信息，作为交易中的背景信息也是有价值的，因为它可以促进商业秘密（例如作为技术诀窍）的实施，并可通过商业协议加以保护。

4.2 时间戳

数字商业秘密的主要优势之一是能够为其标记时间戳。为文件内容标记时间戳可以确定文件内容在特定时间点的存在性、完整性和所有权。通常情况下，标记时间戳需要一个受信任的第三方或一个中心化的时间戳管理机构来为文件分配一个唯一的时间戳，然后由该机构进行数字签名，从而形成文件当时存在的可验证证明。确切地说，时间戳的效用不仅限于数字商业秘密，还扩展到数字格式的非数字商业秘密（例如，数字文件中描述的化学合成物X的制造过程）。

为此，一些国家或地区知识产权局建立了一项服务，为任何文件提供带有日期和时间戳记的数字指纹。 ⁽⁴⁾韩国特许厅提供了一项名为“KIPRIS”的服务（见http://eng.kipris.or.kr/enghome/main.jsp）。INPI法国提供的服务称为“l' enveloppe Soleau”（见https://www.inpi.fr/proteger-vos-creations/lenveloppe-soleau/enveloppe-soleau）。比荷卢知识产权局（BOIP）提供了名为iDEPOT的服务（见https://www.boip.int/en/entrepreneurs/ideas/maintain-an-i-depot#:~:text=An%20i%2DDEPOT%20is%20a,together%20with%20others%2C%20for%20example）。虽然政府服务在很大程度上受益于时间戳管理机构的可信度，但如今许多商业数据存储解决方案都可以启用数字时间戳。 ⁽⁵⁾例如，关于AWS S3：https://aws.amazon.com/blogs/big-data/working-with-timestamp-with-time-zone-in-your-amazon-s3-based-data-lake/此外，通常在收集数据时以元数据的形式自动对原始数据或经处理的数据标记时间戳。不过，这种标记时间戳的做法要求元数据“标签”与数据持续关联。如果该关联断开，就无法证明收集的时间。

区块链

区块链技术可以提供一种去中心化和防篡改的方式，替代来自中心化机构或服务的时间戳。 ⁽⁶⁾关于区块链技术和知识产权生态系统，请进一步参阅产权组织的相关出版物：https://www.wipo.int/export/sites/www/cws/en/pdf/blockchain-for-ip-ecosystem-whitepaper.pdf。基于区块链的时间戳包括将文件的加密哈希值与时间戳一起记录到区块链中。

区块链的去中心化特性确保没有任何一个实体可以控制时间戳，因此任何人都很难操纵数据。此外，区块链的不可篡改性确保了文件一旦被打上时间戳，就无法在未被发现的情况下被篡改或删除。

基于区块链的时间戳还具有透明性，因为时间戳信息会成为公共分类账的一部分（不会披露机密信息本身，见下文第4.3节），任何人都可以对其进行独立验证。由于文件的完整性和真实性可由区块链网络中的多个参与者验证，这就提供了高度的信任和问责。此外，基于区块链的时间戳系统通常带有内置机制，如共识算法，以确保时间戳的准确性和一致性。

4.3 防止披露和未经授权访问的措施

在数字系统（无论是商业秘密管理系统、云或内部数据存储或时间戳服务）中获取商业秘密信息可能会带来各种安全风险，这些风险可能会：(i)从整体上破坏所获取信息的商业秘密地位；或(ii)为商业秘密盗用提供机会。因此，需要专门针对数字商业秘密制定保护措施。确切地说，本节所述的各种数字保护措施也适用于任何商业秘密的数字表现形式。

防止披露数字商业秘密的措施

在（无论是中心化还是去中心化的）数字系统上访问商业秘密时，一个迫在眉睫的风险是向未经授权的人甚至向公众意外披露商业秘密的风险。

许多传统的商业秘密管理系统故意在没有互联网连接的计算机上运行（如实验室计算机），或者在企业客户的本地服务器上运行，即使在硬件方面也有非常严格的访问控制（如不允许使用USB设备，不允许使用蓝牙等其他可传输数据的连接方式）和大量的安全日志。然而，无论是云存储、个人通信设备（如手机）还是物联网设备，当前的管理系统都是“始终连接”的。因此，如果数字商业秘密获取系统涉及（特别是外部）云存储、通信链接和/或区块链集成，则一般都要进行大量的安全尽职调查，以实施技术保障措施并获得相关标准认证。 ⁽⁷⁾例如，ISO/IEC 27001；系统和安全控制（SOC）2安全审计。

数字商业秘密安全的两大支柱是哈希运算和加密。两者都是用于保护数据的加密技术，但目的不同，特点也各异。

哈希运算是一种单向过程，将任意大小的数据转换成固定长度的字符串，即哈希值或校验和，例如，用SHA（安全哈希算法）校验和对文件进行哈希运算，以确保数据完整性并验证文件的真实性。SHA校验和生成一个固定长度的字母数字字符串，唯一代表文档的内容。使用SHA对文件进行哈希运算时，文件中的任何细微变化都会导致完全不同的校验和。因此，要想在不改变校验和的情况下篡改文件几乎是不可能的。通过比较计算出的文件SHA校验和与原始校验和，可以快速确定文件是否被修改或损坏。

在上述使用区块链技术对商业秘密标记时间戳的示例中，文件本身并没有披露到分类账本身中或存储在数字文件存储系统（如星际文件系统（IPFS））中。相反，文件哈希值（代表单个文件或数字文件集合，如.zip文件）与相关时间戳一起永久记录在分类账上，有效避免了机密信息的公开披露，同时充分利用了公共区块链的透明度优势。因此，无法根据校验和重新创建经过哈希运算的文件。不过，反过来说，也有可能提供证据，证明具有匹配哈希值的文件在标记时间戳时由标记时间戳的哈希值可归属的个人（或区块链钱包）持有。

通过对文件进行哈希运算，信息可以离线或本地存储和进行哈希运算，而只有哈希值被在线记录和标记时间戳。当然，在这种情况下，从数字系统本身检索文件是不可能的，因为只向数字系统披露了哈希值/校验和。

而加密是一个双向过程，利用加密算法和密钥将数据转换成密文。加密的主要目的是数据保密。它确保数据安全，未经授权的个人无法读取数据。加密可以将原始数据转换成加密形式，然后使用相应的解密算法和正确的密钥将其解密，恢复成原始形式。这就是现代无线通信设备在发送和接收数据时的工作原理。

在实践中，标记时间戳、哈希运算和加密可以结合使用，这取决于商业秘密权利人希望实施的个别保密要求的级别和性质。

访问控制措施

此外，还应采取访问控制措施，防止未经授权访问、披露或窃取数字系统中的商业秘密信息。这种访问控制的最低标准是双因素身份验证（2FA），这是一种安全措施，旨在通过要求用户在身份验证过程中提供至少两种形式的身份或凭证，为用户账户和系统增加一层额外的保护。

双因素身份验证，顾名思义就是利用两个因素进行身份验证。通常，这些因素包括用户知道的信息（如密码或PIN码）和用户拥有的事物（如移动设备或安全令牌）。登录时，用户输入密码作为第一要素，然后提供第二要素，通常是由验证器应用程序生成或通过短信接收的临时代码。

根据所需的保护级别，多因素身份验证（MFA）可以在双因素身份验证概念的基础上进行扩展，在上述两个因素之外加入其他因素。这些附加因素可以包括用户本身（生物识别数据，如指纹或面部识别）或用户拥有的事物（如实体智能卡或注册设备）。通过结合多种因素，多因素身份验证提供了更高水平的安全性，并降低了未经授权访问的风险。

另一种访问控制和安全保障的方法是建立安全隔离区，该区域会将数据库或内存的一部分隔离开来，并配备更严格的安全控制措施。这可以在大多数存储设备和数据库（如笔记本电脑、服务器、移动设备）上完成。 ⁽⁸⁾https://learn.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-enclaves?view=sql-server-ver16。例如，大多数大型企业使用Microsoft Office 365 Mobile安全隔离区作为隔离公司数据的一种方式，并允许在出现安全问题时通过移动设备进行远程访问。 ⁽⁹⁾https://learn.microsoft.com/en-us/microsoft-365/admin/basic-mobility-security/set-up?view=o365-worldwide。因此，如果移动设备丢失或被盗，企业IT部门可以远程禁用隔离区和/或删除其数据。

4.4 互操作性

在获取和认定数字商业秘密方面，还应提到的一点是对互操作性的潜在要求。

就商业秘密获取解决方案而言，互操作性对于确保解决方案能够适应未来的交易至关重要，即使这些交易是最初未曾预料到的。在设计时考虑到互操作性的获取解决方案，在未来必要时能够与其他系统、平台或协议集成和互动。这种前瞻性使该解决方案能够支持各种交易，如转让（并购交易后的出售或公司内部转让）、交换或智能合约互动，而不管它们在哪个生态系统或技术上运行。

缺乏互操作性会导致若干弊端，包括交易成本的增加，因为企业可能需要使用多个平台来处理其商业秘密业务的不同方面。此外，还可能出现验证/证明时间戳不同步的困难，这可能会增加维护准确一致的商业秘密获取记录的难度。

5.数字商业秘密和大语言模型

大语言模型（如GPT-4（Generative Pre-trained Transformer 4））的出现彻底改变了自然语言处理，并为商业秘密保护带来了新的机遇和挑战。这些先进的模型具有分析和生成类人文本的能力，是内容生成、客户服务自动化和数据分析等各种应用的重要工具。然而，企业必须在内部利用大语言模型的优势与保护其商业机密免遭未经授权的披露之间取得微妙的平衡。最近的一起新闻案件涉及三星员工涉嫌泄露机密数据，如新程序的源代码本身、内部会议记录以及与硬件有关的数据，以及使用ChatGPT帮助其完成任务。 ⁽¹⁰⁾https://www.techradar.com/news/sansung-workers-leaked-company-secrets-by-using-chatgpt。

为了在内部使用大语言模型（LLM）的同时保护商业机密，企业应考虑采取各种策略：

重点保护特定输入或专有数据。通过将机密信息置于自己的控制范围内，并限制仅授权人员可访问，企业可以降低将敏感商业机密暴露给大语言模型的风险。如上所述，这可能涉及实施访问控制、加密和监控大语言模型访问的机制。
采用数据屏蔽或数据混淆等技术，防止直接向模型暴露专有信息。通过在将数据输入模型之前对数据的某些方面进行修改或匿名化，企业可以维护商业秘密的机密性，同时还能受益于模型的语言处理能力。应认真考虑数据的选择和处理，在实用性和保密性之间取得平衡。
与参与使用大语言模型的员工和承包商制定明确的政策和协议。保密协议（NDA）和保密条款可以概述个人的责任和义务，以确保商业秘密得到保护。应就保密的重要性、数据安全最佳做法以及与未经授权的披露相关的风险对员工进行培训。
考虑使用大语言模型的私人实例（尽管是收费的），在使用和销毁上传到模型的专有数据方面，与大语言模型供应商之间有合同保障措施。请注意，OpenAI有这样一种产品，允许个人或企业通过应用程序接口在私有环境下使用GPT-4。

总之，随着GPT-4等大语言模型的普及，企业需要在利用其功能和保护商业机密之间取得平衡。这样，企业就能在先进语言处理技术时代不断创新，提高运营效率，保持竞争优势。

6.保护数字商业秘密的挑战和风险以及缓解策略

数字商业秘密可能面临一系列特定的潜在安全挑战和风险。本节将讨论最常见的挑战和风险，以及如何在高层次上缓解这些挑战和风险。它也可能与数字格式的非数字商业秘密信息相关。

“第四部分：商业秘密管理”中解释了防止商业秘密泄露和盗用的一般业务和合同缓解措施。如第四部分所述，建立决策机构、文件管理、后勤措施、员工教育和培训、信息技术措施以及与员工和外部合作伙伴签订合同的重要性也适用于数字商业秘密的保护。

从本质上讲，数字商业秘密一旦被泄露或盗用，就很有可能无法完全恢复。因此，任何商业秘密权利人都应首先防止数字商业秘密的披露和未经授权的访问。

6.1 易受盗窃、网络攻击和数据泄露的影响

在数字时代，保护数字商业秘密面临着各种挑战和风险，尤其是容易被盗、遭受网络攻击和数据泄露。这些威胁对宝贵的专有信息的保密性和完整性构成了相当大的风险，有可能给企业带来严重的财务和声誉后果。

保护数字商业秘密面临的主要挑战之一是更易被窃取，因为它们很容易被复制、共享和传播。技术高超的黑客和网络犯罪分子的网络攻击会给数字商业秘密的保护带来另一个重大风险。此外，数据泄露（未经授权的个人或黑客进入公司的数字基础设施，暴露敏感信息）可能导致商业秘密的保密性和全部价值的丧失。

可以实施健全的安全措施，包括定期更新和事件应对计划，以降低风险。同时，安全措施也应与其他商业秘密保护措施类似，达到合理的水平。可能还需要考虑商业秘密的价值与商业秘密保护成本以及组织的特点（见第四部分第2.3节）。

第四部分已经强调，数字商业秘密也很容易被现任和前任雇员或外部合作者和商业伙伴披露或盗用，因为商业秘密信息是与他们共享的。在数字技术和数字服务领域，全球员工流动、外包安排和利用离岸资源是许多组织日常业务的一部分，这加剧了风险。

为了降低风险，基于必要知情原则实施访问控制、采取健全有力的合同措施、开展教育和培训以及进行离职和入职面谈，不仅对防止盗用很重要，也对避免受他人拥有的商业秘密污染很重要（见第四部分第3.1和第5.1节）。

6.2 审计期间的暴露

内部和外部审计在确保合规、确定运营效率和评估财务业绩方面发挥着至关重要的作用。然而，在审计过程中，审计人员即使受保密协议的约束，也需要接触企业的机密信息，以评估其财务报表、内部控制和遵守法规的情况。这种信息共享增加了商业秘密被盗用或意外披露给未经授权人员的风险。

为降低审计过程中暴露数字商业秘密的风险，企业应与审计人员签订有力的保密协议，明确概述他/她们有权访问的信息范围，并界定他/她们在商业秘密保护方面的义务。该协议还应包括归还或销毁审计过程中获得的任何商业秘密信息的条款。此外，实施数据加密、访问控制和数据跟踪等技术保障措施，可以在审计过程中进一步保护数字商业秘密。

6.3 找回并重新控制数字商业秘密数据

由于数字商业秘密的数字可用性，一旦数字商业秘密被盗用或未经授权使用，找回并重新控制该信息就成为一项艰巨的任务。

各组织可以采取某些措施来解决这个问题，并试图减轻潜在的损害。除了通过法律追索权追回数字商业秘密的“传统”做法外，企业还可以考虑利用技术和数字取证来追踪并找回数字商业秘密。这可能需要与专门的网络安全公司或法医专家合作，追踪未经授权使用商业秘密的情况，确定涉及的地点或系统，并试图重新获得对信息的控制权。这一过程可能涉及采用先进的数据分析技术、监控网络或利用取证工具来追踪商业秘密数据的移动和存储。

这些努力能否成功，在很大程度上取决于未经授权用户的复杂程度、其活动的范围以及数字证据的可用性。

找回并重新控制商业秘密信息的法律和技术措施不一定能保证完全恢复。因此，我们只能重申，通过健全的安全和合同措施、员工培训等来防止数字商业秘密的披露和未经授权的使用仍然至关重要。

7.数字对象的商业秘密与其他知识产权

7.1 数字对象：商业秘密与专利

正如“第三部分：商业秘密保护的基本知识”中所解释的，大多数公司都采用专利保护和商业秘密保护相结合的策略，同时考虑每种保护机制的优缺点。在本节中，我们将简要探讨与数字对象特别相关的某些方面。

数字对象的可专利性

一般来说，根据许多国家的专利法，数据本身、软件代码本身以及仅仅是信息的呈现，都不被视为有资格获得专利保护的发明。同样，在许多国家，抽象概念、数学方法本身以及商业或商务方法本身都不属于可授予专利的客体。然而，对于创新者来说，在这些被排除在专利保护范围之外的客体与可获得专利保护的软件或计算机实现的发明之间划清界限并非易事。

此外，由于各国专利法和实践在专利资格和可专利性标准方面适用于数字对象的方式存在差异，即使这些差异看似微小，专利申请人也可能需要调整其专利申请以满足各国的具体要求，这可能会增加专利申请的复杂性和被驳回的风险。

由于不清楚这些发明是否可以获得专利保护，数字技术和服务领域的创新者就更难决定是应该根据专利制度还是商业秘密制度来保护自己的创造成果。

软件实现的专利诉讼的挑战

使用证据

关于软件实现的发明，大多数专利权人在提起诉讼时并没有侵权的直接证据，因为这种直接证据需要获取被控侵权者的源代码。相反，他/她们善意地声称被告可能侵犯了专利，因为被控程序的外在功能与要求保护的发明相似。获取直接证据并非易事。在一些国家，健全的披露程序允许专利权人在诉讼期间审查源代码。由于大多数被告将源代码视为商业机密，第三方“托管”代理会审查被控侵权者的源代码。其工作方式是，第三方访问代码的静态副本，并管理专利权人和/或其专家的访问（通常在现场进行，以限制打印或复制）。 ⁽¹¹⁾双方通常会签订保护令，以限制或约束专利权人的访问，尤其是在存在竞争关系的情况下。一旦专利权人确定了要提交作为侵权证据的源代码部分，双方（往往在仲裁庭的帮助下）会就提交方式进行谈判。

地域性

由于专利是严格的地域性知识产权，如果被指控对要求保护的发明的某些要素（但不是全部）侵权的行为在地理上分布在不同的国家，那么在以下情况下，在专利诉讼期间就会产生一系列问题，例如：

如果数据分散地存储在多个位置（云端或本地）
如果侵权行为发生在一个以上国家的多个服务器上
如果数据被出口到一个对数据“处理”不提供任何专利保护的国家，而处理结果随后被再次进口供商业利用
如果未经授权的人员将数据（如U盘上的数据）转移到没有专利保护或没有寻求专利保护的国家。

这些只是对数字对象实施专利保护时面临的部分挑战。遗憾的是，要解决上述问题，并没有唯一的答案。如果寻求商业秘密保护（也可能与专利一起采用混合策略），那么健全的安全措施（如双因素身份验证、加密、泄露检测）是当前将风险降至最低的最佳解决方案。如果发现任何盗用或侵权行为，应立即采取行动，尤其是在法治健全的地区。

针对专利侵权的公平救济措施

禁令等公平救济措施的可用性也因司法管辖区而异。如果下达了禁令，被告通常可以修改几行代码或重新构建数据库（有时说起来容易做起来难）来规避禁令。这可能会导致与被告展开一场无休止的“打地鼠”式较量。

7.2 数字对象：商业秘密与版权

应根据受保护的数字对象的类型，认真考虑版权问题。例如，版权保护可能是音频和视频记录的最佳解决方案，尤其是当这些记录是原创作品和/或将被广泛传播时。 ⁽¹²⁾目前，各司法管辖区正在努力解决如何为大型语言模型或其他生成模型生成的音频、视频或文本分配版权的问题。因此，如果有可能，此类生成内容应考虑采用多重保护方案。然而，内部使用或通过合同有选择地共享的原始或经处理的数字数据可能最适合作为商业秘密。此外，某些数据如果不被视为作者的原创作品，则可能不具备受版权保护的资格。关于源代码和算法，某些司法管辖区不允许所有者对源代码同时要求商业秘密和版权保护——因此所有者应考虑这种保护的利弊。

7.3 数字对象：商业秘密与合同权利

商业秘密和合同权利应一并考虑。事实上，如果第三方代表合法所有人生成商业秘密数据，就必须签订一些合同来确立“合理的保护手段”。在要求商业秘密保护时，商业秘密权利人通常会指出与被控盗用者之间的某种合同安排（如不使用协议和/或保密协议）。如果权利人未能成功主张商业秘密盗用，他/她们通常可以依据基本的合同违约条款来寻求救济。

但是，权利人必须正确地分别提出两个诉因。否则，仲裁庭可能会认定，如果数据不属于商业秘密，也就不受保密或不使用限制的约束。这就是为什么必须将商业秘密数据与单纯的机密或专有数据分开管理。

7.4 数字数据的混合保护策略

综上所述，将专利权、商业秘密权和合同权结合起来很可能是技术创新的最佳保护策略。专利保护可能最适合用于收集和传输数字数据的独特物联网设备、通信协议或数据存储。商业秘密保护最适合算法和数据本身（原始数据和经处理的数据）。如果数据的收集、处理或共享涉及第三方，则需要通过合同来保障权利。这种三重保护方法为数据所有者提供了多种执法选择。