既有的雲端服務契約規範內容

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

65 

第二節 既有的雲端服務契約規範內容

與雲端運算資訊安全相關之法律問題，在法規之外，雲端運算服務之契約為 雙方主要的主張依據，有參考之必要。有關雲端服務契約之訂定，實務上有雲端 服務使用者挑選現成的契約，做其締約之主要架構與內容，再針對當中的某些條 款與服務提供者協商，或甚至在無協商的情況下締結契約¹³⁹。鑒於此一締約模式，

加上許多雲端運算服務業者已發展出制式之契約內容，並且累積許多客戶，顯示 出雙方就締約方式與契約本身之內容尚能接受，有關契約中之資訊安全責任分配，

這些契約具有一定之參考價值。

本研究參考Google、Salesforce.com（以下稱 Salesforce）、IBM、Windows Azure 與Amazon AWS 之雲端服務契約，以觀察既有雲端服務契約規範架構、契約就 維護資訊安全的責任分配、以及損害發生時損害賠償金額之決定等事項。選擇 Google、Salesforce.com、IBM、Microsoft 與 Amazon AWS 的原因有二，第一、

這些公司已在國際間累積許多客戶；第二、這些公司皆提供SaaS 與／或 PaaS 模 式的服務，故具備參考價值，部分亦提供IaaS 模式服務，可為與 SaaS 與／或 PaaS 模式比較之用。

一、 雲端服務提供者的服務暨相關資訊

本研究參考契約之雲端運算服務提供者，Google、Salesforce 與 Microsoft 的 服務屬SaaS 與／或 PaaS 模式，IBM 與 Amazon AWS 提供的服務包含 SaaS／PaaS 模式，亦包含IaaS 模式的服務，服務涵蓋皆範圍包含商用雲端運算服務。

Google 的服務對象為一般大眾、企業與學校等不同機構，內容包含應用程 式與平台。Google 提供給企業的雲端服務為 Google Apps for Business，企業可藉        

139 ENISA, supra note 132.

‧

Salesforce.com 主要提供 CRM 相關服務，其平台架構分為基礎環境、發展 平台、社交平台與應用軟體。Salesforce.com 提供銷售管理應用程式、聯繫客戶 的服務雲端、企業跨部門合作之雲端，以及建構商業應用程式的雲端平台，企業 可使用該雲端服務的人次，規模可從5 人擴充到 5,000 人，服務對象包含大型企 業與中小企業¹⁴¹。

Windows Azure 是 Microsoft 公司的雲端運算產品，特色為幫助企業處理複 雜的平台問題，讓企業專注於應用程式開發。Windows Azure 提供平台與 Windows Azure Tools for Microsoft Visual Studio，後者可幫助企業在 Windows Azure 上建立、

設定、建置、偵錯、執行、封裝與部署可擴充的Web 應用程式與服務¹⁴²。

Amazon 在 2006 年推出 Amazon Web Service（AWS），提供的服務涵括雲端 運算三種服務模式。Amazon AWS 之 SaaS 模式提供電子商務流程所需之應用程 式，包含Fulfillment Web Service（FWS）、Flexible Payment Service（FPS）、

Mechanical Turk 等；PaaS 模式之服務包含 Amazon Simple Queue Service（SQS）

和Amazon Simple Notification Service（SNS），可提供客戶資料暫存與使用，並        

140 超過 3 百萬家公司選用 Google 應用服務，Google 網站，網址

http://www.google.com/apps/intl/zh-TW/business/index.html （最後瀏覽日期：2011 年 7 月 15 日）。

141 Salesforce.com 官方網站，網址：http://www.salesforce.com/tw/ （最後瀏覽日期：2011 年 7 月 15 日）。

142 Windows Azure Platform, at http://msdn.microsoft.com/zh-tw/windowsazure/ (last visited Jul. 15, 2011).

143 拓樸產業研究所，探索雲端運算市場新商機，2010 年，頁 34-36；IBM Smart Cloud, at http://www.ibm.com/cloud-computing/us/en/index.html (last visited Jul. 15, 2011).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

67 

且整合Amazon 其他資源等用途；IaaS 模式之服務項目眾多，包含 Amazon Elastic Compute Cloud（Amazon EC2）、Simple Storage Service（Amazon S3）、Virtual Private Cloud（VPC）等，Amazon EC2 功能為雲端運算，Amazon S3 提供儲存服 務，VPC 則提供私有雲端服務¹⁴⁴。

二、 雲端運算服務契約之概要

雲端運算服務提供者在與服務使用者締約時，其契約常由不同契約與／或條 款組成，並且以一個主要的服務契約（亦即雙方簽訂該條款或契約後，締結依雲 端運算服務契約）將其他附屬條款包含進內容中，形成契約之全體，是以雙方所 需遵守之義務與規範，不得僅參考契約之主要協議內容。常見的雲端運算契約包 含主要的服務契約與服務層級契約（Service Level Agreement, SLA），締約雙方往 往須一併遵守各國法律，以及該服務之網站使用規範、隱私權保護政策、智慧財 產權保護政策等條款。

雲端運算服務的使用者，多半得依其需求使用雲端上的不同資源，因此在主 要條款之外，契約可能包含其他SLA。雲端運算服務提供者對不同使用者提供 的服務類型與內容紛雜，且各項服務之範圍、程度、品質、期間等事項，亦有分 別被明確化、具體化之必要，SLA 針對這些個別服務，規範雙方對該服務的合 意細節，譬如服務應如何被執行、其品質應該到達何種程度等事項¹⁴⁵。此外，因 為服務提供者常與其它網路服務提供者合作，或使用其他服務提供者的服務，以 執行SLA 中的服務項目，是以締約雙方與第三方的關係，也間接影響該 SLA¹⁴⁶。

本研究參考各個定型化契約之一般性規範，包含雙方在不同模式服務中的權 利與義務、資訊安全責任分配及損害負擔程度等，故首要參考為主要的服務契約。

       

144 Amazon, Products & Services, at http://aws.amazon.com/products/ (last visited Oct. 1, 2011).

145 Li-jie Jin et al., Analysis On Service Level Agreement Of Web Services, Software Technology Laboratory of HP Laboratories Palo Alto (2002).

146 Id.

‧

Apps for Business 線上合約（Google Apps for Business Online），Salesforce 之 Salesforce 主要訂閱合約（Master Subscription Agreement）及 Salesforce 主要開發 服務合約（Master Subscription Agreement Developer Services），Microsoft 之 Windows Azure Platform Consumption Online Subscription Agreement 及 Microsoft Online Services 使用權利，IBM 之 IBM Smart Business Cloud Agreement，以及 Amazon AWS 之 AWS Customer Agreement¹⁴⁷。有關主要的服務協議與相關契約 架構，如表10 內容所載。

Google SaaS、PaaS Google Apps for Business 線上合約

Salesforce SaaS、PaaS Salesforce 主要訂 閱合約（SaaS 模 式）；Salesforce 主 要開發服務合約

‧

Microsoft PaaS Windows Azure Platform

Consumption Online Subscription Agreement、

Microsoft Online Services 使用權利

IBM SaaS、PaaS、IaaS IBM Smart Business Cloud Agreement

線上合理使用政 策。

Amazon AWS SaaS、

PaaS、IaaS

AWS Customer Agreement

AWS Customer Agreement 外，契約 協議中亦多規定雙方遵守隱私權保護政策、合理使用政策（Acceptable Use Policy）

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

70 

等其他條款，以確保服務之安全性與品質。以下即以主要的服務協議為主要觀察 對象，分別介紹Google、Salesforce、Microsoft、IBM 及 Amazon 之定型化契約 內容。

（一） Google Apps for Business 線上合約

Google Apps for Business 線上合約為 SaaS 模式與 PaaS 模式的服務，其服務 主要依照Google Apps for Business 合約及 Google 服務之各 SLA 的內容提供¹⁴⁸。

依Google Apps for Business 線上合約，Google 對「客戶（Customer）」除提供 服務之外，就「客戶」資訊之處理、儲存、移動、修訂等事項，皆有相關約定¹⁴⁹。 有關「客戶」資訊的儲存與處理設施，Google 須以合理，並且不低於管理自有 類似資訊儲存與處理設施的程度，以管理「客戶」資訊之設施。有關「客戶」資 訊之安全性及完整性，Google 對其採行不低於業界標準的系統與程序，使該些 資訊免於可預見的威脅、風險，並確保沒有未經授權之使用情況發生¹⁵⁰。有關「客 戶」之機密資訊，除有例外情況（例如不可歸責於接收者之公開、法規要求揭露 等），原則上Google 對於「客戶」之機密資訊負與管理自己事務相同程度的保護 義務¹⁵¹。

「客戶」的義務包括相關條款之遵守、濫用情形之監控、相關管理權限之維 護，以及對第三方之管理。「客戶」應遵守「合理使用政策（Acceptable Use Policy）」， 在使用網域服務時，則應遵守「網域服務使用條款（Domain Service Terms）」¹⁵²。

「客戶」須監控、回應與處理傳送至濫用情形（abuse）與郵件管理員（postmaster）

等客戶網域名稱別名（aliases for Customer Domain Names）的電子郵件¹⁵³。「客        

148 Google Apps for Business Online Agreement, at

http://www.google.com/apps/intl/en/terms/premier_terms.html (last visited Oct. 22, 2011).

149 Google Apps for Business Online Agreement, art.1.1. 

150 Google Apps for Business Online Agreement, art.1.1.

151 Google Apps for Business Online Agreement, art. 6.

152 Google Apps for Business Online Agreement, art. 2.1.

153 Google Apps for Business Online Agreement, art. 2.2.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

71 

戶」可指定具有管理帳戶（Admin Account）權限之人，負責內部管理工作¹⁵⁴。「客 戶」須以符合業界實務的方式，避免未被授權的使用，在發現有未授權使用之情 事時，須終止之、並且通知Google¹⁵⁵。未經Google 之書面同意，不得透過服務 從事「高風險活動¹⁵⁶」，亦不能透過服務儲存或傳輸法律規範下不得出口的「客 戶」或「使用者（End User）¹⁵⁷」資料¹⁵⁸。就Google 之機密資訊，「客戶」負擔 與Google 就「客戶」機密資訊相同之保護，原則上不得公開之¹⁵⁹。

Google 若發現「使用者」有不當的使用，可要求「客戶」暫停「使用者」使 用服務，若「客戶」未有效暫停該服務，Google 可以自行為之¹⁶⁰。在緊急的安 全情況發生時，Google 可先在最小範圍與最短時間內自動暫停與具攻擊性使用 的服務，事後依「客戶」之要求為說明¹⁶¹。

契約終止時，有關資訊之處理易有規範。當契約終止，除服務之提供停止之 外，Google 有返還「客戶」資料與「客戶」與刪除「客戶」資料之義務¹⁶²。Google 與「客戶」皆負有以符合業界實務之方式歸還或銷毀對方機密資訊的義務¹⁶³。

       

154 Google Apps for Business Online Agreement, art. 2.3.  

155 Google Apps for Business Online Agreement, art. 2.5. 

156 係指會造成人身傷亡或環境破壞的活動，譬如核子設施、空中交通系統、維生系統運作。Google

Apps for Business Online Agreement, art.15.

157 係指「客戶」允許使用 Google Apps for Business 服務之人。Google Apps for Business Online Agreement, art.15.

158 Google Apps for Business Online Agreement, art.2.6.

159 Google Apps for Business Online Agreement, art. 6. 

160 Google Apps for Business Online Agreement, art. 5.1.

161 Google Apps for Business Online Agreement, art. 5.2.

162 Google Apps for Business Online Agreement, arts. 11.2(ii) (iii).

163 Google Apps for Business Online Agreement, art. 11.2 (iv). 

‧

Salesforce 主要有兩種服務契約，Salesforce 主要訂閱合約（Salesforce Master Subscription Agreement）為提供「客戶」取得與使用 Salesforec 網站上的服務，

屬於SaaS 模式；Salesforce 主要開發服務合約（Salesforce Master Subscription Agreement Developer Services）為提供「客戶」使用網站平台與應用程式開發、

維持應用程式與服務，屬於PaaS 模式。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

73 

1. Salesforce 主要訂閱合約

Salesforce 的義務包含隨時提供服務，以適當的方式保護「客戶」的資訊¹⁶⁴。 有關雲端運算服務內容，Salesforce 原則上隨時提供、更新改良¹⁶⁵。有關「客戶」

之資訊保護，Salesforce 以適當的管理、設備與技術防護措施保障其資訊安全¹⁶⁶。 契約終止後，Salesforce 負有返還資料與永久刪除資料之義務¹⁶⁷。

「客戶」對資訊安全相關維護的義務，主要集中於管理自行之資料與其授權 使用者之使用行為。「客戶」須確保其所授權之使用者遵行本服務合約內容；維 持資料（Data）的正確性、合法性與品質；於合理商業範圍內防止未經授權的服 務存取或服務使用，發現有未經授權之使用情事時，須通知Salesforce；不得透 過服務從事違法的行為（例如誹謗、侵犯隱私權等）；不得損害Saleforce 服務或

「客戶」對資訊安全相關維護的義務，主要集中於管理自行之資料與其授權 使用者之使用行為。「客戶」須確保其所授權之使用者遵行本服務合約內容；維 持資料（Data）的正確性、合法性與品質；於合理商業範圍內防止未經授權的服 務存取或服務使用，發現有未經授權之使用情事時，須通知Salesforce；不得透 過服務從事違法的行為（例如誹謗、侵犯隱私權等）；不得損害Saleforce 服務或

在文檔中 論我國導入貿易雲之資訊安全風險暨法規因應 - 政大學術集成 (頁 73-105)