第四章 與貿易雲資訊安全相關之締約雙方責任分配暨現有雲端服務契約狀況
第一節 貿易雲資訊安全之責任分配與風險承擔
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
59
第四章 與貿易雲資訊安全相關之締約雙方責任分配暨現有雲端服 務契約狀況
截至目前,各國針對雲端運算資訊安全所制定的法律有限。許多與資訊安全 相關之法規,係針對傳統模式的網路犯罪、隱私權、電子文件傳輸所制定的規定,
從法條上看起來,其功能似為嚇阻(例如刑法第36 章),或幫助設立規範(例如 電子簽章法中數位簽證須由憑證機構依法簽發),甚至做部分資訊安全維護責任 分配(例如電信法第6 條,電信業者有保障通信祕密的義務)。
當管理、技術與法規皆無法再降低或消除資訊安全的風險時,雲端運算使用 者與服務提供者面臨資訊安全維護責任和損害分擔,包含平常時雙方各應盡哪些 義務,當資訊安全風險實現時,其損失由誰承擔,此即為雲端運算契約必須處理 的問題之一,是以貿易商在導入雲端運算時,就資訊安全管理的部分,須審慎檢 視雲端服務契約內容。
本節舉出雲端運算契約訂定時,與資訊安全相關的注意事項,以及目前就雲 端運算資訊安全提出的研究或建議中,其對責任分配模式之看法,另一方面,參 考發展較完備之雲端運算服務提供者的服務契約、傳統模式下的產品與服務契約,
最後參考我國業者就目前軟體、網路平台的實務運作上,就資訊安全是如何分配 責任與損害,以觀察我國資訊業者對雲端運算資訊安全整體責任分擔的態度為何,
並藉由這些事項,檢討與給與貿易商締約時的建議。
第一節 貿易雲資訊安全之責任分配與風險承擔
回顧第三章資訊安全的管理方法,CSA 在許多方法中強調使用者透過契約 約定,以契約方式維護其資訊安全,例如要求服務提供者立即通知資訊安全發生
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
60
狀況。其他研究中,亦有強調雲端運算契約雙方應在契約中規範雙方責任,並認 為詳盡的約定與遵守可提升使用者對服務提供者的信任程度131;ENISA 亦在其 報告中建議,使用者應該妥適擬訂契約,透過契約管理其資訊安全風險132。
一、 貿易商在締結貿易雲端服務契約前之應有認知
貿易商在締結貿易雲端服務契約前,應認識雲端運算與傳統模式的差別,以 及貿易商在不同雲端服務模式中所應負擔的責任,以免在導入貿易雲端後,承受 太多不公平的對待。貿易商導入貿易雲端時,應意識到自己未來即將把重要的公 司資訊、以及原本自由控制的電子商務事項交予貿易雲端,這種模式與傳統模式 之間具極大差別。
有關資訊安全維護責任與損害承擔之分配,貿易商須自問,雲端服務提供者 提供何種程度的資訊保護?資訊被儲存在哪些國家與機房?貿易雲端受到攻擊時,
雲端服務提供者是否須通知貿易商?發生資訊安全問題、導致貿易商受有損害時,
雲端服務提供者是否負擔完全的責任?若可歸責於雲端服務提供者,其是否能透 過契約方式排除其責任?若雲端服務提供者須負損害賠償,雲端服務提供者對該 賠償金額負擔無限責任還是有限責任?
二、 如何分配貿易雲端服務契約對資訊安全相關責任與損害
無論是何種服務模式,服務提供者與使用者皆無可避免地必須負擔一些責任,
並風險實現時承受損害,是以雙方事前約定義務與責任範圍,對導入雲端運算而 言非常重要。從雲端運算各種服務模式的技術層面觀察,SaaS 模式的服務提供
131 TIM MATHER et al., supra note 41, at 109-110.
132 ENISA, Cloud Computing: Information Assurance Framework, European Network and Information Security Agency 6 (2009).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
61
者理所當然地須負擔大部分資訊安全的維護工作,原因在於服務提供者既把資訊 全部集中在自己手上,對使用者的公開程度無法達到完全透明,且就算達到完全 透明,能實質處裡資訊的仍是服務提供者133;PaaS 模式下,服務提供者與使用 者應該分別就其平台與存放的應用程式負擔資訊安全責任,服務提供者主要負責 其所提供之平台服務上的資訊安全,使用者則須對其放置應用程式的平台負擔與 應用程式的資訊安全負責(圖11)134;IaaS 模式下,服務提供者通常將使用者 的資訊視為普通的物件,不清楚裡面的內容,導入這種服務模式的使用者多須自 行維護所有資訊安全責任,就其下所提供給他人的應用程式與平台,其亦須負擔 他們一部分的資訊安全維護責任135。
圖 11 PaaS 模式資訊安全責任之分擔 資料來源:本研究自製
歐洲網路和資訊安全機構(European Network and Information Security Agency, ENISA)就雲端服務契約中對責任分配的建議,主要依據雙方對資訊和 設施的掌握程度,認為契約當事人應就其範圍內得控制的部分負責136。
貿易商導入不同雲端服務模式,將使其對貿易雲端資訊安全負擔不同程度的 責任。論者普遍認為,資訊安全責任由掌控資訊與設施之人負責,在SaaS 模式、
PaaS 模式與 IaaS 模式中,貿易商有不同程度的控制權,尤其是前二者與 IaaS 模
133 TIM MATHER et al., supra note 41, at 53-55.
134 Id., at 56-57.
135 Id., at 58-59.
136 ENISA, supra note 132, at 8.
Apps
PaaS 平台本身 Apps Apps
使用者維護
服務提供者維護
‧
務(due diligence)就其所能控制的事項,為應 盡之注意義務(due
diligence)
資料來源:Cloud Computing Information Assurance Framework, ENISA, Nov. 2009.
表 7 SaaS 模式下雲端服務使用者與服務提供者之責任分配
138 IDS 係監測網路入侵檢測系統(intrusion detection system),主要功能為監測網路和/或系統 活動中是否含有惡意活動、或違反規定的活動出現,並將偵測到的結果記錄、通報予技術人員;
‧
包過濾(packet filtering)等。7. 記錄並監測安全相關事項。
資料來源:Cloud Computing Information Assurance Framework, ENISA, Nov. 2009.
表 8 PaaS 模式下雲端服務使用者與服務提供者之責任分配 包過濾(packet filtering)等。
IPS 為入侵防禦系統(intrusion prevention system),其主要功能是檢測系統中的惡意活動,將此 類活動區隔開來或停止下來,並且通報技術人員。參考資料:Wikipedia, Intrusion detection system, at http://en.wikipedia.org/wiki/Intrusion_detection_system (last visited Jul. 15, 2011); Wikipedia, intrusion prevention system, at http://en.wikipedia.org/wiki/Intrusion_prevention_system (last visited Jul. 15, 2011).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
64
7. 記錄並監測安全相關事項。
資料來源:Cloud Computing Information Assurance Framework, ENISA, Nov. 2009.
表 9 IaaS 模式下雲端服務使用者與服務提供者之責任分配
資料來源:Cloud Computing Information Assurance Framework, ENISA, Nov. 2009.
由表7、8、9 之比較,可觀察出導入 IaaS 模式的使用者,理論上幾乎對所 有虛擬化部分的資訊安全負責,服務提供者所需負擔的,則只有硬體設備與主機 系統狀態的維護與管理。
服務使用者 服務提供者
1. 維持身分認證管理系統。
2. 管理其身分認證管理系統。
3. 管理平台上的驗證機制(包含執行 密碼驗證相關程序與規則)。 4. 對客戶作業系統的修復與補強(且
考量客戶狀況使否與其相容,並提 供適切的支援)。
5. 建構安全的平台供客戶使用,如制 定與執行與防火牆相關的規範、調 整IDS/IPS。
6. 監測客戶的系統。
7. 對客戶維持安全的平台,如維護防 火牆、IDS/IPS、防止病毒入侵、
採行封包過濾(packet filtering)。
8. 記錄並監測安全相關事項。
1. 維護支援平台的硬體設施(包含其 設備、容量、電力、冷卻等事項)。
2. 維護硬體設施的安全與可用性(如 伺服器、儲存功能、頻寬之狀況)。
3. 負責主機系統(如管理系統、維持 虛擬防火牆)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
65