國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖表 3 - 研究架構簡表(本⽂⾃製)
第一章 緒論
• 研究動機與目的
• 研究架構
• 研究方法
第二章 雲端運算概述
• 定義
• 技術概要
• 雲端運算服務分類
• 雲端運算服務之優勢與隱憂
• 雲端運算服務市場現況
第三章 雲端運算風險及其管理
• 雲端運算風險
• 企業雲端風險管理
第四章 雲端運算保險
• 網路風險於保險適用上之相關法律爭議
• 現行與雲端運算風險相關保險契約
• 雲端保險之再建構
第五章 我國雲端保險之未來展望—代結論
• 雲端保險市場發展前景
• 雲端風險於保險適用上可能法律爭議之解決
• 我國雲端保險之制度規劃
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
研究⽅法
本⽂採⽤「⽂獻探討法」,以國內外就網路、資訊安全、雲端運算之技術、
⾵險管理、保險與法律為主題之⽂獻出發,發現雲端運算之相關⾵險及整理過去 於網路、資訊安全領域出現之保險和法律問題,並尋找問題之答案。並採「⽐較 法學」,在研討國內外網路和資訊安全相關法規⽅⾯,⽐較歐盟、美國及我國之 規定,了解我國法規不⾜之處;於雲端運算⾵險管理及可能遇到之法律問題上,
由於我國對此議題尚未有⾒任何研討,故以美國法上之案例分析,輔以我國相關 概念之保險法及民法相關規定之司法實務和學說⾒解,研究法律爭議於我國法上 之適⽤情形;並於結論中探究。再者,於雲端保險之再建構上,採「歷史⽅法」
和「保險契約條款⽐較分析法」,先就傳統保險之發展及其於網路⾵險適⽤上產
⽣之爭議為分析,再⽐較現有網路、資訊安全相關保險之條款內容,研討舊有法 律爭議是否仍存在於新型態之保險契約,最後以此論述為基準提出雲端保險之契 約內容。
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第⼆章 雲端運算概述
雲端運算之定義
在進⼊雲端⾵險的分析之前,⾸應了解何謂「雲端運算」。雲端運算⼀詞,
⾸次係出現於 1960 年代,於企業會議時以雲朵符號作為「網路」之象徵77。雲端 運算是⼀種新興電腦運算技術應⽤之集合,因無法確知其出現之時點,且⽬前並 無法預測此技術未來發展之⾛向,論述上很難給予⼀明確定義78。然電腦技術之 探求並⾮本⽂之研究⽬的,故本節將以美國國家標準技術局(National Institute of Standards and Technology, NIST)及歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)兩⼤代表性官⽅機構之雲端 運算相關⽂件為本⽂雲端運算定義之參考依歸,並提供雲端運算之基本技術概念。
美國國家標準技術局定義
根據 NIST 於 2011 年發布之建議⽂件,雲端運算(Cloud Computing)是⼀
種具有隨處可得、⽅便利⽤性的結構化運算資源模式,使雲端服務提供者僅需藉 由極⼩的管理措施,即可快速與使⽤者互動,並依使⽤者網路存取需求釋放網路 資源如網路(network)、伺服器(servers)、儲存裝置(storage)、應⽤程式(application)
77 Segall, supra note 54, at 1111.
78 Joseph M. Kizza & Li Yang, Is the Cloud the Future of Computing?, in SECURITY,TRUST, AND
REGULATORY ASPECTS OF CLOUD COMPUTING IN BUSINESS ENVIRONMENTS 57, 57 (S. Srinivasan ed.
2014).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
和服務(service)等之技術79。⽽此模式具有依需求⾃助服務(On-demand
self-service)、寬廣的網路近⽤(Broad network access)、資源共享(Resource pooling)、
計算能⼒快速彈性變化(Rapid elasticity)及可計算容量之服務(Measured service)
等五項重要特性,並可分類為「軟體即服務」(Software as a Service, 簡稱 SaaS)、
「平台即服務」(Platform as a Service, 簡稱 PaaS)、「基礎設施即服務」
(Infrastructure as a Service, IaaS)三種雲端服務類型(service models),及「私有 雲」(Private Cloud)、「社群雲」(Community Cloud)、「公有雲」(Public Cloud)、
「混合雲」(Hybrid Cloud)四種雲端運作模式(deployment models)80。以下就 五項特性詳述之,其餘分類請詳⾒本章第三節。
• 依需求⾃助服務:係指雲端服務使⽤者不需透過與服務提供者之⼈⼯交流,
即可單⽅存取所需之運算資源,如伺服器使⽤時間及網路容量等;
• 寬廣的網路近⽤:雲端運算資源遍布整個網路,使⽤者可透過各種⽤⼾平台,
如⼿機、個⼈電腦、⼯作站等以標準化機制進⼊使⽤(如下圖 5);
79 原⽂:Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models. PETER MELL & TIMOTHY GRANCE,THE NIST DEFINITION OF CLOUD
COMPUTING 2, U.S. DEP’T OF COMMERCE (2011), Spec. Publ’n 800-145, available at http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf (last visited Aug. 15, 2016). [hereinafter ‘NIST’] 另參:羅邵晏,雲端服務⾵險評估模式建⽴之研究,國⽴政治⼤學資 訊管理學系碩⼠學位論⽂,⾴ 10,2013 年 1 ⽉。
80 NIST, Id.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖表 5 -網路近⽤⽰意圖81
• 資源共享:雲端服務提供者的運算資源同時提供給多數使⽤者以數租⽤⼾⽅
式運⽤,並根據使⽤者需求以動態⽅式分配及再分配各種不同的物理及虛擬 資源⽅式進⾏。此資源共享具有位置獨⽴性,指使⽤者通常不會知道且無法 控制其運⽤之雲端資源之具體位置,但可能可以得知其⼤概⽅位,如位在何 國家、何州或哪個數據中⼼等。⽽前述雲端可共享之資源則包含儲存空間、
資訊處理、電腦記憶體及網路頻寬等;
• 運算能⼒快速延展:雲端使⽤者所需之運算容量可彈性供給及釋放不需要的 資源,部分雲端服務甚⾄可以作到⾃動化計算。對使⽤者⽽⾔,其運算資源 通常並無限制,且可隨時達到其數量要求;
• 可計算容量之服務:雲端系統根據提供之不同服務類型,如儲存空間、資料
81 圖 ⽚ 來 源 : DERRICK ROUNTREE & ILEANA CASTRILLO, THE BASICS OF CLOUD COMPUTING -UNDERSTANDING THE FUNDAMENTALS OF CLOUD COMPUTING IN THEORY AND PRACTICE 4,(Hai Jiang, Technical Edt.,2014).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
處理、頻寬及動態帳⼾使⽤,⾃動化計算以控制並最佳化資源利⽤。其雲端 服務資源⽤量之資訊透明,可為雲端使⽤者及提供者監督、控制、回報82。
歐盟網路暨資訊安全局定義
為提供⼀般消費者、中⼩型企業及政策、法規制定者評估雲端服務之運⽤、
⾵險管理及相關政策、法規制定,歐洲網路暨資訊安全局(ENISA)於 2009 年 出版「雲端運算之優勢、⾵險及資訊安全建議」報告,其中對雲端運算之定義提 供⼀參考⽅向83。⽂中指出,雲端運算是⼀種依⽤⼾需求提供之資訊科技服務,
通常為虛擬化服務,並透過電腦運算技術流通84。⼜雲端運算係由下列要素所構 成:⾼度抽象化資源、運算能⼒幾乎可⽴即擴展及縮放、幾乎可⽴即供應所需計 算能⼒、資源共享(如硬體設備、數據資料庫、記憶體等)、通常以使⽤者所需
⽤量計價之服務,和有規劃的管理系統(如網路伺服器之應⽤程式介⾯)85。
與 NIST 相同,ENISA 亦將雲端運算分為 SaaS、PaaS、IaaS 三種服務類性,
運作模式上則分為公有雲、私有雲及夥伴雲(Partner Cloud)三種86。
82 NIST, supra note 79.
83 ENISA, CLOUD COMPUTING BENEFITS,RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY
14 (2009), available at https://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment (last visited Aug. 15, 2016). [hereinafter ‘ENISA (2009)’]
84 Id.
85 Id.
86 Id., at 15.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
本⽂對「雲端運算」之定義
綜合以上兩⼤官⽅機構所提供之雲端運算定義及相關學術⽂獻87,考量本⽂
研究⽬的為雲端運算之⾵險管理及相關法律問題,⽽⾮電腦資訊技術⽂獻,故本
⽂欲限縮⽂中所指之「雲端運算」為「使⽤者以⾃有電腦、⼿機或平板等設備,
透過網路享受服務提供者所提供之資料儲存空間、資訊運算能⼒、頻寬、網路伺 服器等可依使⽤者需求變化容量⼤⼩,並以⽤量計費之網路資源共享服務」。分 類上,本⽂依循 NIST 之公有雲、私有雲、混合雲、社群雲四種運作模式,並參 考其他相關⽂獻將服務類型分為基礎設施雲、平台雲、應⽤雲88。下圖 6 為雲端 運算的三個⾯相,詳細分類請⾒下節說明。
87 See also Tina Cheng, A Cloudy Forecast: Divergence in the Cloud Computing Laws of the United States, European Union, and China, 41 Ga. J. Int’l & Comp. L. 481, 483 (2013); Kevin McGillivray, Conflicts in the Cloud: Contracts and Compliance with Data Protection Law in the EU, 17 Tul. J. Tech.
& Intell. Prop. 217, 222 (2014).
88 See also W Kuan Hon & Christopher Millard, Cloud Technologies and Services, in CLOUD
COMPUTING LAW 5-6 (Christopher Millard ed. 2013); SREE RAMA EDARA & RANJITH KUMAR
KANDAGATLA,CAPGEMINI,CLOUD COMPUTING IN THE PROPERTY &CASUALTY INSURANCE INDUSTRY -THE CASE FOR DEVELOPING A HOLISTIC CLOUD STRATEGY 6-7, available at
https://www.hu.capgemini.com/resource-file-access/resource/pdf/Cloud_Computing_in_the_Property___Casualty_Insurance_Industry.pdf (laste visited Jun. 23, 2016); TOBY MERRILL & THOMAS KANG, CLOUD COMPUTING: IS YOUR COMPANY
WEIGHING BOTH BENEFITS & RISKS? 2, ACE INSUREDTM (2014), available at http://www.acegroup.com/us-en/assets/privacy-network-security-cloud-computing-is-your-company-weighing-both-benefits-risks.pdf (lasted visited Jun. 23, 2016) [hereinafter ‘ACE’].
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖表 6 -雲端運算三⾯相⽰意圖89
雲端運算技術概要
建構⼀個雲端運算環境所包含之電腦、網路技術繁多,然本⽂⾮為資訊科技 之研究論⽂,故本節不會細論雲端運算所涵蓋之電腦技術細節,僅就雲端運算⾵
險分析相關之基礎雲端運算架構概要分析。
如下圖 7 所⽰,可將雲端運算架構分為「雲端環境」(cloud environment)及 雲端應⽤兩部分,⽽雲端應⽤則是建⽴在雲端環境的基礎之上。⽽雲端環境由資 訊處理(processing)、溝通(communication)及儲存(storage)三部分構成。
89 BERNARDO NICOLETTI,CLOUD COMPUTING IN FINANCIAL SERVICES 34 (2013).
‧
Presentation Message Queue Business Logic
Data Management
使⽤者
Processing Communication Storage
雲端環境 處理 溝通 儲存
資料處理
資訊處理,是指雲端⽤⼾⽤來分配系統負擔的部分,從⽽,雲端⽤⼾可以將 應⽤程式透過部署在雲端的⽅式運⾏91。具體⽽⾔,需透過管理程序(Hypervisor)
技術(⼜稱為虛擬機器監控,Virtual Machine Monitor),虛擬化實體硬碟92(下圖
8);再者,為避免不同硬碟執⾏同樣功能,使其各司其職,需以中間軟體建置⼀
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
此執⾏環境上93(下圖 9)。此外,為處理⼤量資料,需透過映射化簡(Map Reduce)
技術將資料切成較⼩的區塊來分散處理及儲存94,下圖 10 為以關鍵值(key value)
95為資訊分類基礎的 Map Reduce 技術圖⽰。
圖表 8 - Hypervisor 硬碟虛擬化技術圖⽰96
圖表 8 專有名詞對照(順序為由左⾄右、由上⾄下)
Guest OS 客⼾作業系統 Guest OS Extensions
客⼾作業系統延 伸 Virtual
Hardware 虛擬硬碟
Hypervisor Type 管理程序類型 Host OS 雲端服務提供者 作業系統 Physical
Hardware CPU Hard Drive Memory Network
物理硬碟 中央處理器 硬碟 記憶體 網路
93 Id., at 104.
94 Id., at 106.
95 為雲端運算儲存資料⽅式的⼀種,詳⾒本節第⼆款。
96 CHRISTOPH FEHLING ET AL.,supra note 90, at 102.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖表 9 -執⾏環境圖⽰97
圖表 10 -以關鍵值⽅式儲存資料的 Map Reduce 技術圖⽰98
97 Id, at 105.
98 Id., at 107.
應⽤程式元件 執⾏環境
作業系統
硬碟
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
資料儲存
雲端運算上資料儲存的⽅式將依不同的雲端運算服務⽽異,⼀般可分為塊狀 儲存(Block Storage)、⼆進制位元儲存(Blob Storage)、關係型數據庫儲存
(Rational Database)和關鍵值儲存 (Key Value)四種99。其中,塊狀儲存⽅式 較常於基礎設施雲中應⽤,以提供虛擬硬碟的設施延展性;⽽其後三者則較常⽤
在平台雲中100。
⾸先,塊狀儲存好⽐⼀般傳統資訊儲存⽅式,將來⾃不同⽤⼾伺服器之所有 資料透過虛擬硬碟及作業系統集中儲存於⼀處(下圖 11),並可由⽤⼾之個別伺 服器以其作業系統或第三⽅軟體進⼊存取101。
⼆進制位元儲存,像是把欲儲存的資料切割成數個有可辨識命名的部分,再 依序放⼊同樣有命名的階層化資料夾中102(下圖 12)。故此種儲存⽅式與⼀般將
⼆進制位元儲存,像是把欲儲存的資料切割成數個有可辨識命名的部分,再 依序放⼊同樣有命名的階層化資料夾中102(下圖 12)。故此種儲存⽅式與⼀般將