Ogilvy公司正在进行一个项目,将机器人流程自动化和Microsoft的视觉人工智能项目融合在一起,来为这家广告、营销和公关公司解决一个独特的商业问题。Yuri Aguiar已经开始考虑如何保护所生成的算法和程序不被窃取了。
“虽然我怀疑这是否是一种专利材料,但它确实给我们带来了竞争优势,并显著缩短了我们的上市时间,”其首席创新和转型官Aguiar表示。“我把算法也看作是一种现代软件模块。如果他们管理的是专有作品,就应该受到保护。”
安全团队通常会采取措施来保护自己的知识产权,如软件、工程设计和营销计划。但是当知识产权是一种算法而不是文档或数据库时,该如何保护它呢?随着公司开始实施数字化转型项目,专有分析正在成为一个重要的区别。幸运的是,法律正在改变,可以合法保护的知识产权也已经包括算法了。
为算法申请专利并将其归类为商业秘密
多年来,公司内部的法律顾问一直坚持认为公司不能为算法申请专利。传统的算法只是简单地告诉计算机该做什么,但是人工智能和机器学习需要一套算法,使软件能够更新和“学习”以前的结果,而不需要程序员的干预,这会产生竞争优势。
Lowenstein Sandler隐私和网络安全实践的主席兼创始人Mary Hildebrand说:“人们对自己想要保护的东西越来越了解了”,指导方针为了适应他们也已经有所改变了。“美国专利局发布了一些新的指导方针,使得为算法和算法中所反映的步骤申请专利变得更加可行了。”
但专利也会有一些缺点和权衡。“如果你只是保护了一种算法,它并不能阻止竞争对手想出另一种能完成相同步骤的算法,”Hildebrand表示。
更重要的是,当一个公司申请一项专利时,它就必须披露和公开申请中的内容。“你申请专利,花钱去做这件事,但并不能保证你一定能得到它,”明尼阿波利斯市Robins Kaplan LLP商业秘密部门的联席主管David Prange表示。
许多公司选择将算法列为了商业机密来作为第一道防线。商业秘密不需要联邦申请或支付任何费用,“但你必须特别警惕地保护它,”Prange补充道。
为了应对可能发生的关于算法所有权的诉讼,公司必须从构思开始就采取一些措施来保持机密性。
采取零信任的方法
Hildebrand说,一旦一个算法被构思出来,公司就可以将其视为商业秘密,并采取合理的措施予以保密。“例如,这将意味着,了解它的仅限于一定数量的人,或接触它的员工将签署一份保密协议。”任何人都不允许把算法带回家过夜,它必须被保存在一个安全的地方。“这些都是非常常识性的步骤,但如果你不得不证明某件事是商业机密,那么这些步骤就是非常重要的。”
Enterprise Strategy group的副总裁兼网络安全部门主管Doug Cahill说,在IT领域,保护算法的最佳实践植根于零信任原则。被视为商业机密的算法“应该存储在一个虚拟保险库中”,他表示。“应该向最少数量的用户授予访问保险库的权限,并为他们的工作提供最少的权限。”访问保险库需要第二个身份验证因素,所有的访问和使用都应进行记录和监控。”
所有人的保密协议
公司应该确保每个接触到项目或算法的员工都签署一份保密协议。Hildebrand回忆说,有一位发明家曾与三个潜在的合作伙伴见面,他认为他们都代表着同一家公司。他认为他们都被公司所签署的保密协议覆盖了。结果发现其中一个是独立顾问,什么都没签,就拿着知识产权跑了。发明者失去了他的发明的商业机密地位。Hildebrand总是建议参加会议的客户能够确保每个人都签了保密协议。
Hildebrand说,需要认真对待已签署的保密协议的另一个原因是:“工程师和科学家特别喜欢与同事谈论他们正在研究的内容”,当他们在团队中工作并相互学习时,这很好,但当他们出去和竞争对手共进晚餐或在附近的烧烤场所讨论他们的研究成果时,这是不可以的。
小型团队及其需要了解的访问权限
考虑一下谁才真正需要对项目或算法有第一手的了解,Prange说。在小公司里,人们戴着更多的帽子,可能需要了解更多,但在更大、更多元化的公司里,需要了解一切的人就会变得很少。即使是有访问权限的小团队,“也可以使用双因素身份验证,限制你是否可以在公司或实体建筑之外工作。或者你可以把电脑锁起来,这样你就不能使用U盘了,”他补充道。
在保护算法方面对业务部门进行教育
IT领袖必须对各业务部门进行教育,让他们明白他们需要保护什么,以及公司正在进行哪些投资,Prange表示。例如,“销售人员喜欢深入了解他们的产品。教育他们产品的哪些方面是需要保密的。”
不要让离职的员工随身携带算法
确保员工知道当他们离开公司去找另一份工作时,他们不能带走什么。“无论何时,只要有员工在敏感领域工作或接触了敏感信息,他们就应该接受一次离职面谈,了解自己拥有什么,并强调他们有这些已签署的义务”,禁止他们在下一份工作中使用这些信息,Prange说。
还应该以同样的方式对待伙伴关系,Prange补充道。“我们看到过很多这样的案例,一家公司处于合作发展关系中,但关系破裂了,其中一家或双方就可能会各自离开。但当其中一方把他们分享的信息推向市场时,就会突然产生争议。”
证明你对算法的所有权
“为了获得算法的使用权,我们可能会采用各种行之有效的策略,包括社会工程的鱼叉式网络钓鱼攻击,通过伪造的登录和密码重置页面来窃取开发者证书,从而进入存储这些知识产权的系统,”Cahill说。
你很难防范那些有意采用某种算法或流程的人,Prange说。“你可以有各种各样的限制,但如果有人有这样的意图,他们就会去做--但这并不意味着你什么都不能做。”
为了帮助证明算法的所有权并防止盗窃或破坏,IBM和其他的公司一直在研究如何将数字水印嵌入到人工智能的深度神经网络中,类似于对数字图像进行水印的多媒体概念。IBM团队在2018年所公布的方法,就允许应用程序通过API查询来验证神经网络服务的所有权,这对于防止攻击是至关重要的,例如,这些攻击可能会欺骗自动驾驶汽车的算法,使其驶过停车标志。
该过程分为两步:嵌入阶段,将水印应用到机器学习模型中;检测阶段,提取水印以证明其所有权。
这个概念确实有一些需要注意的地方。它不能在离线模型上工作,也不能防止“预测API”攻击的侵害,这些攻击可以通过发送查询和分析响应来提取机器学习模型的参数。
KDDI Research和国家信息学研究所的研究人员也在2017年引入了一种深度学习模型的水印方法。
许多水印解决方案的另一个问题是,目前的设计无法解决盗版攻击,第三方可以通过将他们自己的水印嵌入到已经水印了的模型中,来谎称其拥有模型的所有权。
2020年2月,芝加哥大学的研究人员公布了“零嵌入”方案,一种在模型初始训练时就可以将抗盗版水印构建到深度神经网络中的方法。该算法在模型的正常分类精度和水印之间建立了很强的依赖性,使得攻击者无法删除嵌入的水印,也无法在已经水印的模型上添加新的盗版水印。但这些概念还处于开发的早期阶段。