評論與建議

國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

106 

不完全透明，是以服務提供者應該負擔較大的資訊安全維護責任。在IaaS 模式 時，因服務提供者的服務內容為基礎設施服務，換言之，服務提供者負責維護硬 體設備，使用者需自行維護虛擬軟體之資訊安全。

參考Google、Salesforce、Microsoft、IBM 與 Amazon 既有的雲端服務契約，

可發現這些契約就其模式之不同，對維護資訊安全義務的分配權重不相同。

Google、Salesforce 與 Microsoft 的服務主要為 SaaS 與 PaaS 服務，服務提供者負 擔較大資訊安全維護責任，使用者則負責管理其內部人員與其提供之對象皆遵守 條款。IBM Smart Business Cloud 與 Amazon，則因提供的服務包含 SaaS、PaaS 與IaaS 模式服務，IBM 不對使用者的任何資訊負責。此外，這些雲端運算服務 定型化契約中，皆以免責條款、不可抗力條款與有限責任條款排除一方或雙方的 部分責任，或是控制損害賠償請求權得以請求之金額，此舉對使用者而言，具有 許多不利益，且其是否合理或公平，有待商榷。貿易商在締約時，應注意契約所 適用的準據法規定，倘若該準據法不絕對禁止這些條款，這些責任條款仍可能有 效，使貿易商負擔潛在的不利益。

我國傳統模式下之資訊業者與客戶，其所訂定的契約與前述雲端運算服務定 型化契約相似，或者較為簡陋，然而以這二種契約之對象與複雜程度，適用於傳 統模式的契約條款不一定適合雲端運算契約。

第二節 評論與建議

本研究係以貿易商之立場，檢視導入貿易雲端後，所可能面臨的資訊安全風 險。經過觀察與比較後，本文歸納出之建議為貿易商重視與雲端運算服務提供者 之間的締約。貿易商在導入雲端運算時，應對資訊安全風險與相關因應的技術及 管理有所認識，自不待言，但貿易商的資訊既然被存在服務提供者一方，其所能 透過技術與管理的直接控制受到極大侷限性，甚至不可能達到，因此透過間接的

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

107 

方式，亦即以契約保障資訊受到充分完善的管理及保護，是比較實際的做法。

須注意者是，雲端運算服務提供者通常提出一定型化契約，當中除規範雙方 須履行的義務與遵守的條款事項外，多半還立有幾個責任條款，透過責任條款分 配損害發生時應由誰承擔後果。依第四章之比較，可知雲端運算服務提供者通常 以責任條款排除許多責任，並且就剩餘可歸責事項為有限賠償金額之限制，這些 規定有礙於使用者在損害發生時主張其權利、填補其損失。

有關前述之責任條款，貿易商應注意該等責任條款在契約約定準據法之下是 否為有效，倘若這些責任條款為有效，則應嘗試與服務提供者為協商，盡可能修 改這些條款內容，以保障自己的安全。然而，在現實情況中，因雲端服務提供者 通常規模較大，而我國個別貿易商多為中小型企業，似難以要求與雲端服務提供 者就契約為另外之協議。若貿易商無法改變契約條款內容，則應多比較各個雲端 運算服務提供者責任條款之內容。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

108 

參考文獻

一、 中文部分

1. William Stalling 著，電腦網路 網際網路協定與技術，王金龍等譯，2006 年 1 月。

2. 王澤鑑，侵權行為法（1）－一般侵權行為，2006 年 8 月初版。

3. 台北市進出口商業同業公會，「2007 年貿易業經營環境調查報告」， 2007 年。

4. 台灣經貿網，台灣經貿網供應商會員合約。

5. 行政院主計處，行政院主計處電腦硬體設備採購參考合約。

6. 行政院主計處，行政院主計處電腦硬體設備租賃參考合約。

7. 行政院主計處，行政院主計處電腦硬體設備維護參考合約。

8. 行政院主計處，行政院主計處電腦軟體授權使用參考合約。

9. 行政院主計處，行政院主計處電腦軟體委託開發參考合約。

10. 宋佩珊，個人醫療資訊隱私權保護之立法趨勢探究－以美國、加拿大為例，

科技法律透析，2010 年 5 月。

11. 拓墣產業研究所，探索雲端運算市場新商機， 2010 年 7 月。

12. 邱聰智，新訂民法債編通則（下），2003 年 3 月新訂一版。

13. 高大宇等人，資訊安全，2003 年。

14. 張乃文，雲端運算產業發展之策略規劃與法制因應，科技透析法律，2010 年 12 月。

15. 張錦源，國際貿易實務詳論， 2009 年 8 月 14 版。

16. 張錦源、康蕙芬，國際貿易實務，2006 年 10 月 6 版。

17. 黃仲夫，刑法精義，2006 年。

18. 最高法院，最高法院 91 年度台再字第 45 號判決。

19. 最高法院，最高法院 91 年度台上字第 2220 號判決。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

109 

20. 彭開英，日韓電子商務法制環境與發展之比較，科技法律透析，2008 年 3 月。

21. 經濟部商業司，2010 中華民國電子商務年鑑。

22. 經濟部國際貿易局電子商務小組，貿易便捷化計畫執行成效與展望，2010 年 11 月 5 日。

23. 蔡孟佳，國際貿易實務， 2006 年 7 月 3 版。

24. 趨勢科技研究：43%的受訪企業曾經遇到雲端服務廠商發生資訊安全問題，

自由時報電子版，2011 年 6 月 14 日。

25. 關貿網路，關貿網路使用規範。

26. 露天拍賣，露天會員拍賣合約。

二、 英文部分

1. Armbrust, Michael et al, A View of Cloud Computing, Communications of the ACM Vol. 53 No.4 (2010).

2. Armbrust, Michael et al, Above The Clouds: A Berkeley View Of Cloud Computing, Technical Report No. UCB/EECS-2009-28, University of California at Berkeley (2009).

3. Brotby, Krag,INFORMATION SECURITY GOVERNANCE (2009).

4. Clarke, Roger, User Requirements for Cloud Computing Architecture, 2010 10th IEEE/ACM International Conference on Cluster, Cloud and Grid Computing (2010).

5. European Network and Information Security Agency, Cloud Computing: Benefits, Risks and Recommendations for Information Security (2009).

6. European Network and Information Security Agency, Cloud Computing Information Assurance Framework (2009).

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

110 

7. Gilbert, Francoise, Domain 3: Legal, in Security Guidance for Critical Areas of Focus in Cloud Computing (Cloud Security Alliance ed., 2009).

8. Google, Google Apps for Business Online Agreement.

9. IBM, IBM Smart Business Cloud Agreement.

10. International Organization for Standardization, ISO Risk Management- Principles and Guidelines (ISO 31000: 2009(E)).

11. Mather, Tim et al., CLOUD SECURITY AND PRIVACY (2009).

12. Mell, Peter & Timothy Grance, The NIST Definition Of Cloud Computing (Draft), NIST Special Publication 800-145 (Jan., 2011).

13. Microsoft, Windows Azure Platform Consumption Online Subscription Agreement.

14. Pawluk, Jean, Domain 14: Storage, in Security Guidance for Critical Areas of Focus in Cloud Computing (Cloud Security Alliance ed, 2009).

15. Paquette, Scott et al., Identifying the Security Risks Associated with Governmental

Use of Cloud Computing, Government Information Quarterly (2010).

16. Reavis, Jim et al., Domain 9: Data Center Operations, in Security Guidance for Critical Areas of Focus in Cloud Computing (Cloud Security Alliance ed., 2009).

17. Reich, Jeffrey N., Domain 6: Information Lifecycle Management, in Security Guidance for Critical Areas of Focus in Cloud Computing (Cloud Security Alliance ed., 2009).

18. Spivey, Jeff et al., Domain 8: Traditional Security, Business Continuity and

Disaster Recover, in Security Guidance for Critical Areas of Focus in Cloud

Computing 55, 55-56 (Cloud Security Alliance ed., 2009).

19. Salesforce, Master Subscription Agreement.

20. Salesforce, Master Subscription Agreement Developer Services.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

111 

三、 網路資料

1. 台灣經貿網官方網站，http://www.taiwantrade.com.tw/CH/

2. 行政院主計處，中華民國行業標準分類第 7 次修訂（2001 年 1 月），中華民國 統計資訊網，網址：http://www.dgbas.gov.tw/ct.asp?xItem=2203&ctNode=3374 3. 行政院主計處，中華民國台灣地區國民所得統計摘要，中華民國統計資訊網，

網址：http://www.stat.gov.tw/ct.asp?xItem=15060&ctNode=3536 台灣綜合研究 院，中小企業基本知識，台灣綜合研究院，網址：http://www.tri.org.tw/ceo/。

4. 財政部關稅總局，財政部關稅總局發布 99 年第 4 季與 99 年全年度各項業務 統計資料，財政部關稅總局，網址：

http://web.customs.gov.tw/ct.asp?xItem=50595&ctNode=12661 5. 經濟部國際貿易局，貿易便捷化簡介，網址：

http://cweb.trade.gov.tw/kmi.asp?xdurl=kmif.asp&cat=CAT605

6. 關貿網路官方網站，網址：http://www.tradevan.com.tw/web/guest/home 7. Google 官方網站，網址：http://www.google.com.tw/

8. IBM 官方網站，網址：http://www.ibm.com/us/en/

9. Microsoft 官方網站，網址：http://www.microsoft.com/en-us/default.aspx 10. Salesforce 官方網站，網址：http://www.salesforce.com/tw/?ir=1 11. Wikipedia，網址：http://en.wikipedia.org.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

112 

附件一：介宏資訊有限公司 訪談記錄

受訪者：孫元順先生（介宏資訊業務部經理）

受訪時間：2011 年 7 月 15 日上午 9:40

以下分別對介宏資訊產品內容、契約中有關雙方責任分配之相關事項、以及其他 訪談內容為記錄。

（一） 介宏資訊產品內容與提供模式

1. 介宏資訊（以下簡稱「介宏」）主要提供與物流業活動相關的系統與平 台（以下統稱「產品」），客戶可在單一主機上使用，或透過網路平台，

以取得、使用產品內容。

2. 部分產品係由私有雲端模式提供。在此所指的「雲端」，係指網路平台，

雲端運算則為在網際網路環境中、透過網際網路功能來處理資訊或儲 存資訊。依網路平台的大小，可將雲端區分為私雲、公雲、大公雲、

超級雲等類型；又，依網路平台存放地點，若其由客戶自行保有，性 質上屬於私雲，若平台在企業外部，其他使用者亦可取得或使用，則 為公雲。

3. 有關資訊的處理與儲存，介宏產品具有處理資訊的功能，但無儲存資 訊的功能。因此客戶的資訊由客戶自行持有與維護。

4. 因使用介宏產品導致的資訊毀損或滅失，由介宏負責修復。

（二） 介宏資訊交易模式

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

113 

1. 與個別客戶訂定契約。

2. 契約類型：

(1) 產品買賣契約：與一般買賣契約無異；

(2) 維護契約等：若客戶希望增加額外服務，譬如維修、資訊安全維護 等，則雙方另訂維護契約或其他服務契約。

（三） 產品之保固與維修

1. 介宏在約定的保固期限內，負責維修產品。

2. 介宏依維護契約的服務內容，負責維修產品。

3. 實際情況中，介宏原則上可遠距離地、即時地解決客戶產品問題，若 須到場維修，通常原因是病毒、蠕蟲或其他重大事件，導致系統無法 使用，此時大多數客戶對系統問題具有損害嚴重的認知與心理準備。

（四） 介宏的責任範圍與損害賠償限制

1. 介宏與客戶之間的契約條款中，多半沒有訂立免責條款。

2. 介宏對負擔有限的損害賠償責任，損害賠償的上限金額通常依下列兩 種方式決定：

(1) 維護契約中介宏資訊取得的服務報酬；或 (2) 和客戶另行協議。

3. 若客戶提出無限責任之要求，介宏應該不會選擇締結契約。

（五） 其他訪談內容

1. 因產品、客戶狀況單純，契約的結構不太複雜，大致上規定雙方義務、

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

114 

產品使用期限、付款方式、管轄法院等。

2. 介宏目前尚未與客戶發生過訴訟。

3. 介宏透過盡量協助客戶解決問題，維護其與客戶間的關係。

4. 介宏在未來發展中，可能朝向公雲發展。在公雲的架構下，介宏與客 戶之間的法律關係，將因公雲的性質而呈現比目前更複雜的情況，譬 如有主導該公雲的廠商介入。有關公雲相關的法律問題或評估，現行 中尚未著手擬訂。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

115 

附件二：關貿網路股份有限公司 訪談記錄

受訪者：魏垚德先生（關貿網路股份有限公司稽核室總稽核）

受訪時間：2011 年 7 月 19 日上午 10:30

訪談中與貿易業電子化服務及雲端服務、以及資訊安全相關的記錄如下：

訪談中與貿易業電子化服務及雲端服務、以及資訊安全相關的記錄如下：

在文檔中 論我國導入貿易雲之資訊安全風險暨法規因應 - 政大學術集成 (頁 114-145)