雲端運算服務企業⽤⼾之⾵險管理與雲端運算保險法律問題研析 - 政大學術集成
274
0
0
全文
(2) 謝辭 此本論⽂得以完成,⾸要感謝恩師張冠群⽼師。⾃⼤學因法英營結識張⽼ 師起,⽼師即給予我許多機會與幫助,在⼤學畢業之際引領我進⼊⾵險管理與保 險領域,並擔任碩⼠班指導教授。研究所期間,⽼師⽤⼼安排知性讀書會讓同⾨ 學⾧姐、學弟妹間有機會交流、學習;歡樂的運動會和張⾨聚餐更讓張⾨之⼤⼩ 桃李們更認識、熟絡。同時,師母的溫馨關懷與⿎勵,更給予我在學術上的信⼼。 從張⽼師⾝上學到的不僅是法學知識上的傳授,更感謝⽼師悉⼼幫學⽣修改論⽂、 多次的討論與邏輯上的突破;同時有機會在研究所期間參與台灣保險法學會的設 ⽴和國際研討會的舉辦,讓我從張⽼師和林建智⽼師⾝上看⾒了更開闊的視野、. 治 政 大 ⽼師和李志峰⽼師,在⼝試時給予我許多寶貴的建議,彌補論述上的漏洞,讓論 立 ⽂更臻完善。. 敏捷的思考,和學習做⼈處事的態度。更感謝張⽼師為我安排的⼝試委員林建智. ‧ 國. 學. 在⾵管所學習的期間收穫甚豐,除知識擴充外,猶記在葉啟洲⽼師的課堂上. ‧. 開始學習發問、吸收⿈義豐⽼師的⼈⽣經驗談、在林建智⽼師的課堂上學習實務 及法律的調和,也在最令⼈緊張胃痛的江朝國⽼師的課堂中亦完成⼈⽣第⼀份英. sit. y. Nat. ⽂學術報告和上台報告、與⾵管所同學們在陳彩稚⽼師課堂上的⼀邊崩潰⼀邊相. er. io. 互扶持,⼀切都成為在研究所時期最美好的回憶。同時,也要感謝同為張⾨的⾵ 管學⾧陳俊瑋和謝政恩學⾧給予的筆記傳承以及課業、論⽂撰寫上的經驗分享,. n. al. Ch. i n U. v. 兩位都是我學術上的榜樣。此外,更感謝同⾨、同班、同為 TILA ⼩蜜酥的戴戴,. engchi. 成為彼此論⽂撰寫的好戰友,從無到有,到⼀起⼝試畢業,締結⼀⽣共戰情誼。 在⽣活中,當然要感謝家⼈不時追問進度督促我,感謝⽼爸總是陪我在咖啡 廳寫論⽂,去⾹港時⽼媽的照顧及⼤餐招待,還有⽼弟冒⾬幫我買⼝試點⼼。也 要感謝創價學會的夥伴們在我趕論⽂無法出席活動時的包容並幫我處理⼀切事 務。最後,感謝遠在英國的盧恩廣與我⼀同唱題祈求、給予⿎勵,讓我有⼀份很 好的信仰能讓我在遇到困難時有⼒量前進,和⿎吹我養了⼀隻⽩⽩胖胖的倉⿏ Muji,陪伴我度過⼀個個論⽂卡關、寂寞的夜晚,是我最紓壓的⽑夥伴。 王莉宸(美樂) 謹識 2016 夏 i.
(3) 摘要 「雲端」是現今網路科技最⽕紅之名詞,不論係個⼈⽇常⽣活中所使⽤之 App 或企業營運應⽤之軟體、服務皆可能與雲端技術之應⽤有關。有鑒於近年來 網路攻擊、資訊安全事件頻傳,不僅造成企業損失⾦額節節上升,更使電⼦化、 雲端化後之個⼈資料保護漏洞浮上檯⾯,然在企業邁向雲端化的同時,若無相應 之⾵險管理措施,則可能使其暴露於財物損失、營運中斷、法律責任和商譽威脅 之⾵險之中。 為此,國外已有將雲端策略和網路安全納⼊國家政策中並以⽴法要求資訊安. 政 治 大 我國除個⼈資料法有對個⼈資料之保護外,於資訊安全及雲端服務使⽤上則尚無 立 全和個⼈資料保護,甚⾄以政策推廣或以軟法要求企業投保網路相關保險者。惟. ‧ 國. 學. 完善之規劃,企業在資訊安全、網路安全相關保險之投保率亦極低,顯⽰企業對 此領域之⾵險意識淡薄。⽽⽬前國內市場上可承擔網路⾵險之保險契約甚少,更 遑論針對雲端化之產業推出之商業保險。. ‧. y. Nat. 因此,本⽂第⼆章將從雲端運算之技術及基本概念出發,於第三章中剖析企. sit. 業雲端使⽤者可能⾯臨之雲端運算⾵險、⽐較其與網路⾵險之差異,檢視現有建. er. io. 議雲端服務使⽤者之雲端運算⾵險管理⽅法,並探討以保險作為雲端⾵險管理途. al. v i n Ch 傳統保險商品適⽤上出現之相關法律問題 e n g,c對照現有網路保險或資訊安全保險之 hi U n. 徑之妥適性。第四章則參考外國法上曾因網路⾵險、資訊安全⾵險等新興⾵險於. 保單條款檢視前述法律問題是否已為妥善解決,並就現⾏保險不⾜之處予以改良, 試研擬新型雲端保險之契約條款內容。最後於第五章以國內外雲端服務發展現況 為出發,綜合本⽂研究成果提出雲端⾵險可能產⽣法律爭議之解套以提升雲端保 險之投保意願,並參考國外雲端發展政策及相關保險制度規劃為我國雲端保險市 場開展之整體配套措施提供粗淺建議,希冀對我國雲端產業及保險未來發展有棉 薄之貢獻。 關鍵詞:雲端、雲端運算、雲端服務、雲端運算⾵險、網路⾵險、雲端保險、資 訊安全、資料外洩、網路保險、網路安全、⾵險管理. ii.
(4) Abstract “Cloud” might be the most popular noun among the information and communication technology field nowadays. From apps in the mobile devices to enterprise softwares, the application of cloud computing techniques is ubiquitous. However, more and more cyber-attacks and data breach events have not only cost businesses a lot but uncovered the issue concerning personal information protection. While embracing the cloud, if enterprises continue to neglect risk management, potential financial loss, business interruption, legal liabilities and the risk of reputation are the risks that enterprise has to deal with. Some countries have already incorporated cloud strategy and cyber security into policies, requiring particular threshold of information security and personal information protection by legislation. Some even require business to disclose its insurance policy relevant to its particular facts, circumstances and the presented risks. Nonetheless, in Taiwan, aside from the Personal Information Protection Act, there is no comprehensive policy or strategy on cloud computing or cyber security. The low insured rate of information security and cyber security related insurance also reveals the weakness of risk management of the emerging risks in business. Cyber risk related insurance is also uncommon in the market, not to mention the cloud-computing-targeted business insurance.. 立. 政 治 大. ‧ 國. 學. ‧. Consequently, this thesis aims to develop a thorough risk management of cloud computing. Starting with the introduction on the basic concept and techniques of cloud computing in Chapter 2, Chapter 3 analyzes the risk that the enterprise cloud service users faces, compares the difference between cyber risk and cloud computing risks, examines current enterprise’s available risk management methods, and discusses the appropriateness of adopting insurance as the risk management of cloud computing. In order to develop a new insurance product for enterprise cloud service users, Chapter 4 studies the related foreign insurance disputes regarding cyber risks and information risks, and examines whether the latest insurance policy had amended the issues, and reforms current cyber insurance into a new cloud insurance. Lastly, based on the present domestic and international market environment of cloud computing service, Chapter 5 summarizes the legal issues discussed in the previous chapter for the purpose of the future development of new cloud insurance market, and map out the cloud computing policy with regard to risk management and insurance as the conclusion of the thesis.. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. Keywords: cloud, cloud computing, cloud service, cloud computing risk, cyber risk, cloud insurance, information security, data breach, cyber insurance, cyber security, risk management. iii.
(5) ⽬次 第⼀章. 緒論................................................................................................................ 1 研究動機及⽬的.......................................................................................... 1. 第⼀項 研究動機.................................................................................................. 1 第⼀款 近年資安事件層出不窮...................................................................... 1 第⼆款 雲端服務之使⽤可能增加資訊安全之成本...................................... 7. 政 治 大. 第三款 外國法對雲端運算資訊安全之因應.................................................. 8. 立. 第⼀⽬ 美國法.............................................................................................. 8. ‧ 國. 學. 第⼆⽬ 歐盟法............................................................................................ 13. ‧. 第四款 我國相關法制.................................................................................... 15. sit. y. Nat. 第⼆項 研究⽬的................................................................................................ 17. n. al. er. io. 研究架構.................................................................................................... 19. i n U. v. 研究⽅法.................................................................................................... 21 第⼆章. Ch. engchi. 雲端運算概述.............................................................................................. 23 雲端運算之定義........................................................................................ 23. 第⼀項 美國國家標準技術局定義.................................................................... 23 第⼀項 歐盟網路暨資訊安全局定義................................................................ 26 第⼆項 本⽂對「雲端運算」之定義................................................................ 27 雲端運算技術概要.................................................................................... 28 第⼀項 資料處理................................................................................................ 29. iv.
(6) 第⼀項 資料儲存................................................................................................ 32 第⼆項 資訊溝通................................................................................................ 34 雲端運算服務分類.................................................................................... 35 第⼀項 依雲端架構分類.................................................................................... 35 第⼀款 公有雲................................................................................................ 35 第⼆款 私有雲................................................................................................ 35 第三款 混合雲................................................................................................ 36. 政 治 大. 第四款 社群雲................................................................................................ 36. 立. 第⼆項 依服務類型分類.................................................................................... 37. ‧ 國. 學. 第⼀款 基礎設施雲........................................................................................ 37. ‧. 第⼆款 平台雲(PaaS)................................................................................ 37. sit. y. Nat. 第三款 應⽤雲................................................................................................ 38. n. al. er. io. 雲端運算服務之優勢及隱憂.................................................................... 39. i n U. v. 第⼀項 雲端運算優勢........................................................................................ 39. Ch. engchi. 第⼀款 降低成本............................................................................................ 39 第⼆款 彈性運算能⼒.................................................................................... 40 第三款 減少資訊遺失⾵險............................................................................ 41 第四款 可攜性服務........................................................................................ 41 第五款 優越的資訊安全性............................................................................ 42 第六款 綠⾊規模經濟.................................................................................... 42 第⼆項 雲端運算服務之隱憂............................................................................ 44. v.
(7) 雲端運算服務市場現況............................................................................ 45 第⼀項 市場上主要之雲端服務應⽤及其提供者............................................ 45 第⼀項 雲端架構配置現況................................................................................ 46 ⼩結............................................................................................................ 49 第三章. 雲端運算⾵險及其管理.............................................................................. 50 雲端運算⾵險............................................................................................ 50. 第⼀項 網路⾵險與雲端運算⾵險之關係與異同............................................ 50. 政 治 大. 第⼀款 網路⾵險............................................................................................ 50. 立. 第⼀⽬ 定義................................................................................................ 50. ‧ 國. 學. 第⼆⽬ 分類................................................................................................ 51. ‧. 第⼆款 雲端運算⾵險.................................................................................... 54. sit. y. Nat. 第⼀⽬ 政策及組織⾵險............................................................................ 55. n. al. er. io. 第⼆⽬ 技術⾵險........................................................................................ 60. Ch. i n U. v. 第三⽬ 法律⾵險........................................................................................ 61. engchi. 第四⽬ 其他⾮雲端運算特有之⾵險........................................................ 63 第三款 本⽂對「雲端運算⾵險」之定義.................................................... 64 第四款 網路⾵險與雲端運算⾵險之⽐較.................................................... 65 第⼆項 雲端運算⾵險管理之重要性................................................................ 67 企業雲端⾵險管理.................................................................................... 69 第⼀項 企業使⽤者之雲端運算主要⾵險確認及評估.................................... 70 第⼀款 ⾵險管理實務⾒解............................................................................ 70. vi.
(8) 第⼀⽬ 締約⾵險........................................................................................ 70 第⼆⽬ 控制權喪失⾵險............................................................................ 72 第三⽬ 累積⾵險........................................................................................ 73 第四⽬ 成本⾵險........................................................................................ 74 第五⽬ 資訊安全⾵險................................................................................ 74 第⼆款 ENISA ⾵險等級評估 ....................................................................... 75 第三款 ⼩結.................................................................................................... 77. 政 治 大. 第⼆項 雲端運算⾵險伴隨之企業可能損失.................................................... 78. 立. 第⼀款 ⾃⼰損失............................................................................................ 78. ‧ 國. 學. 第⼆款 對第三⼈之責任................................................................................ 80. ‧. 第三項 企業之雲端⾵險管理⽅法.................................................................... 81. sit. y. Nat. 第⼀款 企業雲端⾵險管理架構.................................................................... 82. n. al. er. io. 第⼀⽬ 締約前之⾵險管理........................................................................ 82. i n U. v. 第⼆⽬ 締約後之⾵險管理........................................................................ 84. Ch. engchi. 第⼆款 以保險作為雲端⾵險管理之妥適性................................................ 90 第⼀⽬ 雲端⾵險之可保性........................................................................ 90 第⼆⽬ 現⾏相關保險................................................................................ 93 第三⽬ 現⾏保單於雲端運算⾵險管理之短處...................................... 100 第四⽬ 雲端運算保險之必要.................................................................. 104 本章⼩結.................................................................................................. 111 第四章. 雲端運算保險............................................................................................ 114 vii.
(9) 前⾔.......................................................................................................... 114 網路⾵險於保險適⽤上之相關法律爭議.............................................. 117 第⼀項 問題提出—以美國 Eyeblaster Inc. v. Federal Insurance Company 案為 例 .......................................................................................................... 117 第⼆項 網路保險相關法律問題分析.............................................................. 124 第⼀款 損失認定.......................................................................................... 124 第⼀⽬ 問題概述...................................................................................... 124. 政 治 大. 第⼆⽬ 財產損失性質之釐清.................................................................. 126. 立. 第三⽬ 未來潛在損失之認定.................................................................. 139. ‧ 國. 學. 第⼆款 保險契約中故意之認定.................................................................. 144. ‧. 第⼀⽬ 外國相關案例.............................................................................. 145. sit. y. Nat. 第⼆⽬ 案例分析...................................................................................... 147. n. al. er. io. 第三款 因果關係之認定.............................................................................. 149. i n U. v. 第⼀⽬ 問題概述...................................................................................... 149. Ch. engchi. 第⼆⽬ 評析.............................................................................................. 151 現⾏與雲端運算⾵險相關保險契約...................................................... 153 第⼀項 現⾏雲端運算相關之網路保險.......................................................... 153 第⼀款 我國相關保險商品.......................................................................... 153 第⼀⽬ 安全與隱私保護保險.................................................................. 153 第⼆⽬ 資料保護保險.............................................................................. 156 第⼆款 外國相關保險商品.......................................................................... 165. viii.
(10) 第⼀⽬ 美國.............................................................................................. 165 第⼆⽬ 歐洲.............................................................................................. 167 第三款 保險契約之⽐較與分析.................................................................. 173 第⼆項 現⾏雲端相關保險對過去法律爭議解決與否之探析...................... 178 第⼀款 承保範圍之爭議.............................................................................. 178 第⼀⽬ 有形與無形財產之爭議.............................................................. 178 第⼆⽬ 未來潛在損失之認定.................................................................. 181. 政 治 大. 第三⽬ 第三⼈故意⾏為所⽣損失是否屬於承保範圍.......................... 184. 立. 第⼆款 因果關係.......................................................................................... 187. ‧ 國. 學. 第三項 ⼩結...................................................................................................... 190. ‧. 雲端保險之再建構.................................................................................. 193. sit. y. Nat. 第⼀項 保險對象.............................................................................................. 193. n. al. er. io. 第⼆項 雲端保險契約條款重要內容.............................................................. 196. i n U. v. 第⼀款 承保範圍及相關名詞定義.............................................................. 196. Ch. engchi. 第⼀⽬ 第⼀⼈財產保險.......................................................................... 199 第⼆⽬ 第三⼈責任險.............................................................................. 203 第⼆款 除外不保事項.................................................................................. 207 第三款 相關名詞定義.................................................................................. 211 第三項 保險費計算⽅法.................................................................................. 212 第⼀款 雲端保險之定價策略...................................................................... 212 第⼆款 雲端保險定價考量因素.................................................................. 214. ix.
(11) 第四項 ⼩結...................................................................................................... 217 第五章. 我國雲端保險之未來展望—代結論........................................................ 219 雲端保險市場發展前景.......................................................................... 219 雲端⾵險於保險適⽤上可能法律爭議之解決...................................... 222. 第⼀項 雲端保險承保之財產損失.................................................................. 222 第⼀款 資訊安全損失認定.......................................................................... 224 第⼆款 被保險⼈之疏漏、錯誤或過失⾏為及部分第三⼈故意⾏為所⽣損. 政 治 大. 失之承保範圍.................................................................................. 224. 立. 第⼆項 因果關係認定...................................................................................... 226. ‧ 國. 學. 我國雲端保險之制度規劃...................................................................... 228. ‧. 第⼀項 外國法之借鏡...................................................................................... 228. sit. y. Nat. 第⼀項 我國雲端發展政策.............................................................................. 230. er. io. 第⼆項 雲端保險政策建議.............................................................................. 231. al. n. v i n Ch 參考⽂獻.................................................................................................................... 236 engchi U 附件⼀. ENISA 雲端⾵險等級評估⽐較表 .......................................................... 251. 附件⼆. 企業因雲端⾵險事故可能受損資產........................................................ 254. 附件三. 費率釐訂實務處理準則(摘錄)............................................................ 257. x.
(12) 表次 表格 1 - 2011-2015 年重⼤資安事件表 ...................................................................... 6 表格 2 - 美國近期通過之資訊安全相關法案 ......................................................... 11 表格 3 - 雲端服務應⽤類別 ..................................................................................... 46 表格 4 - 網路⾵險與雲端運算⾵險之⽐較 ............................................................. 66 表格 5 - ENISA ⾵險評估⽅法 ................................................................................. 77. 政 治 大 表格 7 - 傳統保險於承保網路⾵險時之潛在漏洞 ............................................... 103 立 表格 6 - 網路保險第三⼈責任承保項⽬ ................................................................. 98. ‧ 國. 學. 表格 8 - 現⾏雲端⾵險相關之保險契約承保內容⽐較 ....................................... 175. ‧. 表格 9 - 不同雲端服務類型下之各類要素控制主體⼀覽 ................................... 194. sit. y. Nat. 表格 10 - 雲端⾵險成因及可能損失分析 ............................................................. 197. io. n. al. er. 表格 11 - 我國現⾏與雲端⾵險相關保險商品 2011-2015 年之賠款率統計表 .. 213. Ch. engchi. xi. i n U. v.
(13) 圖次 圖表 1 - GOP 組織所發布⾄索尼影業員⼯電腦桌⾯圖⽰ ....................................... 2 圖表 2 - 2013 ⾄ 2015 年企業因資訊外洩⽀出各項費⽤演變趨勢圖 ..................... 7 圖表 3 - 研究架構簡表 ............................................................................................. 20 圖表 4 - 研究⽅法簡表 ............................................................................................. 22 圖表 5 - 網路近⽤⽰意圖 ......................................................................................... 25. 政 治 大 圖表 7 - 雲端架構⽰意圖立 ......................................................................................... 29 圖表 6 - 雲端運算三⾯相⽰意圖 ............................................................................. 28. ‧ 國. 學. 圖表 8 - Hypervisor 硬碟虛擬化技術圖⽰ ............................................................... 30. ‧. 圖表 9 - 執⾏環境圖⽰ ............................................................................................. 31. sit. y. Nat. 圖表 10 - 以關鍵值⽅式儲存資料的 Map Reduce 技術圖⽰ ................................. 31. io. al. er. 圖表 11 - 塊狀儲存⽰意圖 .......................................................................................33. v. n. 圖表 12 - ⼆進制位元儲存⽰意圖 ...........................................................................33. Ch. engchi. i n U. 圖表 13 - 雲端架構使⽤⽐例 ................................................................................... 47 圖表 14 - 2015-2016 企業雲端架構配置類型⽐例 .................................................. 47 圖表 15 - 公有雲市佔率⾧條圖 ............................................................................... 48 圖表 16 - 私有雲市佔率⾧條圖 ............................................................................... 48 圖表 17 - 英國網路⾵險分類、所⽣影響及可能損失(中英對照) ................... 53 圖表 18 - 傳統 IT 與雲端環境之⽐較 ................................................................... 115 圖表 19 - 財產損失分類 ......................................................................................... 125 xii.
(14) 圖表 20 - 雲端服務市場組成 ................................................................................. 193 圖表 21 - 2016 年第⼆季雲端業者市佔率和收益成⾧ ......................................... 194 圖表 22 - 我國雲端⾵險相關保險市場現況 ......................................................... 219. 立. 政 治 大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. xiii. i n U. v.
(15) 第⼀章. 緒論. 研究動機及⽬的 研究動機 第⼀款 近年資安事件層出不窮 ⼀、索尼影業多次遭受駭客攻擊. 立. 政 治 大. 2014 年 11 ⽉ 24 ⽇下午,索尼影業內部系統遭駭客組織和平守護者. ‧ 國. 學. (Guardians of Peace, 簡稱 GOP)以七類惡意程式⼊侵其內部網路系統,並在其. ‧. 員⼯之電腦桌⾯顯⽰警告。該組織表⽰已經取得索尼影業內部機密檔案,包含其. Nat. io. sit. y. 員⼯與⾼階主管的全名、社會安全號碼、⽣⽇、住址、信⽤卡及醫療紀錄等可識. er. 別個⼈資訊(Personal Identifiable Information) ,以及公司內部財務資料、存取某. al. n. v i n Ch 些伺服器⾦鑰的壓縮檔等 。並威脅索尼影業不能遵照和平守護者相關的指⽰, engchi U 1. 就會將所擁有的機密資料外洩到網路上2。 本起資訊外洩事件造成索尼影業超過四萬七千名現任及前任員⼯、知名⼈⼠. . 1. David Bisson, Sony Pictures Loses Bid to Throw Out Data Breach Lawsuit, THE STATE OF SECURITY, (Jun. 16, 2015), http://www.tripwire.com/state-of-security/latest-security-news/sony-pictures-loses-bidto-throw-out-data-breach-lawsuit/ (last visited Jul. 28, 2016). 2. ⿈ 彥 棻 , 索 尼 影 業 遭 駭 事 件 始 末 ⼤ 剖 析 , iThome , 2015 年 1 ⽉ 9 ⽇ ,. http://www.ithome.com.tw/news/93457(最後瀏覽⽇:2016/1/11)。. 1.
(16) 和派遣⼯的個資外洩3,受害員⼯亦向美國加州地⽅法院提起集體訴訟,要求索 尼影業就個資外洩造成之損失,以及⽤於補救等預防措施的費⽤及法律費⽤請求 賠償4。最後,索尼影業與其遭受個資外洩之現任及前任員⼯以 800 萬美元雙⽅ 達成和解5。. 立. 政 治 大. ‧ 國. 學 ‧. 圖表 1 - GOP 組織所發布⾄索尼影業員⼯電腦桌⾯圖⽰6. sit. y. Nat. 事實上,索尼相關企業曾遭受不下數次的網路攻擊。前述 2014 年的攻擊事. n. al. er. io. 前之前,早在 2011 年同屬索尼企業集團的 Playstation Network(PSN)線上遊戲. Ch. i n U. v. 社群資料庫亦被駭客攻擊,造成 7,700 萬筆的⽤⼾個⼈資料外洩7,包含⽤⼾姓. engchi. 3. Steven Musil, Sony Hack Leaked 47,000 Social Security Numbers, Celebrity Data, CNET, (Dec. 4, 2014, 7:05 PM PST), http://www.cnet.com/news/sony-hack-said-to-leak-47000-social-securitynumbers-celebrity-data/ (last visited Jul. 28, 2016). 4 5. Michael Corona, et al v. Sony Pictures Entertainment, Inc., 2015 WL 3916744 (C.D.Cal.). 張 頓 , 索 尼 向 雇 員 賠 800 萬 美 元 和 解 駭 客 ⼊ 侵 案 , ⼤ 紀 元 , 205 年 10 ⽉ 23 ⽇ ,. http://www.epochtimes.com/b5/15/10/23/n4556435.htm(最後瀏覽⽇:2016/1/12)。 圖⽚來源:Edgar Alvarez, Sony Pictures Hack: The Whole Story, ENGADGET, (Dec. 10, 2014), http://www.engadget.com/2014/12/10/sony-pictures-hack-the-whole-story/ (last visted Jul. 28, 2016). 6. 7. 陳國榮,SONY 因 PSN ⽤⼾資料外洩事件遭英國罰款 39 萬美元,硬底⼦達⼈網,2013 年 1 ⽉. 25 ⽇,http://www.17inda.com/html/3/article-2528.html(最後瀏覽⽇:2016/1/12)。. 2.
(17) 名、地址、郵件帳號、⽣⽇及帳號密碼等資訊。此事件對 Sony 造成的損失可能 ⾼達數百億,包含對其遊戲⽤⼾的個資竊取保護政策(identity theft protection policy) 、電⼦證據調查及檢驗等費⽤⽀出8。對此,索尼的歐洲分⽀機構於 2013 年 被 英 國 官 ⽅ 隱 私 權 與 資 料 安 全 監 督 機 構 資 訊 監 理 委 員 會 ( Information Commissioner’s Office)認為該資料外洩事件是由於 Sony 缺乏良好 IT 安全機制 所致,依英國資料保護法(Data Protection Act)處以 250,000 英鎊之罰鍰9。此外, 亦有受害⽤⼾針對同⼀事件在美國提起集體訴訟10,最後付出 150 萬美元之代價 和解11。. 立. 政 治 大. ‧ 國. 學. 與前者不同者,係 PSN 線上遊戲資料庫提供其遊戲玩家雲端儲存遊戲紀錄, 並且可以使⽤信⽤卡購買點數,再透過電⼦錢包購買遊戲中的虛擬商品12。據稱,. ‧. 因 Sony 的雲端資料庫是建置在 Amazon 提供的 EC2 虛擬託管伺服器13中,從⽽. y. Nat. n. al. er. io. sit. 讓駭客可在 Amazon 雲端平台申請⼀假帳號,並透過該雲端伺服器對 PSN 線上. 8. Ch. engchi. i n U. v. Lance Bonner, Cyber Risk: How The 2011 Sony Data Breach And The Need For Cyber Risk Insurance Policies Should Direct The Federal Response To Rising Data Breaches, 40 Wash. U. J.L. & Pol’y 257, 261 (2012).. 9. BBC News, Sony Fined Over ‘Preventable’ Playstation Data Hack, (Jan. 24, 2013), http://www.bbc.com/news/technology-21160818 (last visited Jul. 28, 2016). 10. In Re Sony PS3 Others OS Litigation, No. 3:2010cv01811 - Document 185 (N.D. Cal. 2011).. 11. Danielle Walker, Sony To Shell Out $15M In PSN Breach Settlement, SC MAGAZINE, (Jul. 24, 2014), available at http://www.scmagazine.com/sony-to-shell-out-15m-in-psn-breachsettlement/article/362720/ (last visited Jul. 28, 2016). 12. Sony Playstation.com (亞洲)台灣官⽅網站,https://asia.playstation.com/tw/cht/regional (最後. 瀏覽⽇:2016/1/12)。 13. Amazon Elastic Compute Cloud (Amazon EC2) 提供⽤⼾可在雲端調整運算容量的⼤⼩,該服務. 旨在降低開發⼈員進⾏網路規模雲端運算的難度。Amazon EC2–虛擬伺服器託管,Amazon Web Service 官⽅網站,http://aws.amazon.com/tw/ec2/(最後瀏覽⽇:2016/1/13)。. 3.
(18) 遊戲資料庫發動攻擊14。⽽ Sony 其索尼影業 2014 年的資料外洩,網路駭客使⽤ 的⽅法則是利⽤惡意程式攻陷企業內部網路,進⽽竊取相關資訊15。 由上開案例可知,企業所⾯臨的網路⾵險⽇益加劇。隨著雲端技術的引進, 使資訊安全系統的維護不再侷限於企業內部伺服作業系統,更擴及其雲端資料庫, 其可能造成的財務損失及⼈⼒成本均不容⼩覷。然⽽,觀察 Sony 此⼆次重⼤資 訊安全⾵險事件,Sony 在 2011 年事件發⽣以前,在⾵險管理上並未就資訊安全 ⾵險伴隨的財物損失有積極的作為。當事件發⽣後,Sony 欲以商業綜合責任保. 治 政 大 險(Commercial General Liability,簡稱 CGL 保單)向保險公司主張其與遊戲⽤ 立 ‧ 國. 學. ⼾之間因個⼈資料外洩的集體訴訟,依保險契約應由保險公司為其防禦並負擔相 關費⽤,以及其他資訊外洩所造成的損失16,保險公司向法院提起訴訟確認其是. ‧. 否有保險給付責任17。但事實審法院認為資訊外洩(data breach)並不在 CGL 保. y. Nat. io. sit. 單的承保範圍,否定了保險公司的責任18。Sony 提起上訴後與保險公司達成和解. n. al. er. 並撤回上訴19。有鑒於 CGL 保單之不⾜,Sony 隨後加強了對網路⾵險的保險投. 14. Ch. engchi. i n U. v. Pavel Alpeyev, Joseph Galante and Mariko Yasu, Amazon.Com Server Said To Have Been Used In Sony Attack, Bloomberg Business, BLOOMBERG TECHNOLOGY, (May 15, 2011, 3:53 AM HKT), http://www.bloomberg.com/news/articles/2011-05-13/sony-network-said-to-have-been-invaded-byhackers-using-amazon-com-server (last visited Jul. 28, 2016). 15. ⿈彥棻,同註 2。. 16. Ben Berkowitz, Sony Insurer, Zurich, Files Suit To Deny Data Breach Coverage, INSURANCE JOURNAL, (Jul. 21, 2011), http://www.insurancejournal.com/news/national/2011/07/21/207474.htm (last visited Jul. 28, 2016). 17. Zurich American Insurance Co., et al. v. Sony Corp. of America, et al., No. 651982/2011 (N.Y. Sup. Ct. New York Cty., 2015). 18. Young Ha, N.Y. Court: Zurich Not Obligated To Defend Sony Units In Data Breach Litigation, INSURANCE JOURNAL, (Mar. 17, 2014), http://www.insurancejournal.com/news/east/2014/03/17/323551.htm (last visited Jul. 28, 2016).. 19. Young Ha, Sony, Zurich Reach Settlement in PlayStation Data Breach Case in New York, INSURANCE JOURNAL, (May 1, 2015), http://www.insurancejournal.com/news/east/2015/05/01/366600.htm (last visietd Jul. 28, 2016).. 4.
(19) 資,向 AIG 投保了⼀千萬美元的 CyberEdge 資訊安全保險20。 諷刺的是,Sony 的保險規劃並⾮由其內部⼈員主動公開,是 2014 年 Sony 再次遭受駭客攻擊時資訊外流,才使外界得以知曉 Sony 在 2011 年以後有向保 險公司投保網路保險⼀事。 ⼆、近年重⼤資訊外洩事件及其影響 實際上,除了 Sony 的兩起重⼤資安事件外,類似的資訊安全事件層出不窮,. 政 治 大. 僅以表格 1 列出近五年之重⼤資訊外洩事件。. 立. ‧ 國. 學. 根據 Ponemon 資訊研究中⼼就全球 11 個國家、共 350 機構於 2014 年發⽣. ‧. 資訊外界事件之研究報告,每件資安事件對企業所產⽣之費⽤為美⾦ 3,790 萬元,. y. Nat. 平均每筆外洩資料的成本為美⾦ 154 元,且企業總體⽀出及平均每件資訊外洩成. al. er. io. sit. 本較 2013 年相⽐均有明顯成⾧之趨勢21。下圖⼆為 2013 年⾄ 2015 年企業因資. n. 訊外洩所⽀出之各項費⽤演進趨勢。. Ch. engchi. i n U. v. 20. Steve Ragan, Breach Insurance Might Not Cover Losses At Sony Pictures, CSO, (Dec. 15, 2014, 6:29 AM PT), http://www.csoonline.com/article/2859535/business-continuity/breach-insurance-might-notcover-losses-at-sony-pictures.html (last visited Jul. 28, 2016). 21. PONEMON INSTITUTE LLC, 2015 COST OF DATA BREACH STUDY: GLOBAL ANALYSIS 1 (2015).. 5.
(20) 表格 1 - 2011-2015 年重⼤資安事件表22(本⽂⾃⾏整理) 序. 年度. 主體. 企業類型. 國家. 1. 2011. Sony Online Entertainment (PSN). 線上遊戲. 美國. 2. 2011. Epsilon. ⾏銷. 3. 2013. Target. 4. 2013. 5. 途徑 駭客. 話、地址、電⼦郵件. ⼊侵. 美國. 電⼦郵件. 不明. 零售業. 美國. 信⽤卡資訊. Evernote. 雲端服務. 美國. 2013. Living Social. 網路社群. 美國. 6. 2014. eBay. 立. 網路購物. 美國. 7. 2014. JP Morgan Chase. ⾦融業. 美國. 8. 2014. Home Depot. 零售業. 美國. Anthem. 考. 資. 料. :. 萬筆. 姓名、電⼦郵件、⽣. 駭客. ⾄少 5000. ⽇、密碼. ⼊侵. 萬筆. ⽤⼾姓名、密碼、住. 駭客. 址、電話、⽣⽇等. ⼊侵 駭客 ⼊侵 惡意. 訊、電⼦郵件等. 1.45 億萬筆 7600 萬筆 5600 萬筆. y. 程式. 惡意. 外洩資料容. ⽤卡、醫療紀錄、財. 程式. 量約 10 TB. sit. 碼、⽣⽇、住址、信. er. v i n Ch 姓名、電話、地址、 U i e h n c g 保險業 美國 社會安全碼、⼯作經. Information. 4000 萬筆. ⼊侵. 務資料、伺服器⾦鑰. 歷. 參. 2.5 億. 碼. 信⽤卡及簽帳卡資. al. 6000 萬⾄. ⾄少 5000. 姓名、地址、電話. 美國. 7700 萬筆. 駭客. ‧. 電影. 外洩資料數. 電⼦郵件、帳號、密. 政 治 大. n. 2015. 程式. 學. Sony Picture Entertainment. io. 10. 惡意. 姓名、社會安全號. Nat. 2014. ‧ 國. 登⼊資訊、姓名、電. 9. 22. 外洩. 外洩資料類型. Is. Beautiful,. World’s. 駭客 ⼊侵. Biggest. 8000 萬筆. Data. Breaches,. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ (last visited Jan. 13, 2016); Elizabeth Palermo, 10 Worst Data Breaches of All Time, TOM’S GUIDE, (Feb 6, 2015, 7:00 AM), http://www.tomsguide.com/us/biggest-data-breaches,news-19083.html (last visited Jul. 28, 2016); 林 ⼦ 煒 , 2015 年 資 訊 安 全 之 解 析 與 展 望 , IT’s 通 訊 eNEWS , 2015 年 第 7 期 , http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3295(最後瀏覽⽇:2016/7/28)。. 6.
(21) 圖表 2 -2013 ⾄ 2015 年企業因資訊外洩⽀出各項費⽤演變趨勢圖23(本⽂依原統計資料重製). 資訊外洩支出各項費用演變趨勢(單位:百萬美元) $1.80 $1.60. $1.57. $1.45. $1.40. $1.23. $1.20. $1.05. $1.00. $0.86. $0.75. $0.80. $1.07. $0.99. $0.84. $0.60 $0.40. $0.19. $0.18. $0.20 $-. 2013. $0.17. 政 治 大 2014. 偵察及加強防護. 立. 通知費用. 外洩資訊處理. 營業損失. ‧ 國. 學. 第⼆款. 2015. 雲端服務之使⽤可能增加資訊安全之成本. ‧. Ponemon 資訊研究中⼼另⼀份針對雲端運算對資料外洩影響之研究報告. y. Nat. io. sit. (Data Breach: The Cloud Multiplier Effect)指出,隨著企業使⽤的雲端服務增加,. er. 企業暴露在資安事件的⾵險亦會增⾼24。每增加 1%的雲端服務,資料外洩的機. al. n. v i n Ch 。雲端服務對資料外洩機率的影響部分來⾃於企業的資訊⼈員低 engchi U. 率就上升 3%25. 估了該企業使⽤的雲端服務數量及類型,⼀旦無法充分掌握使⽤者與雲端應⽤程 式的互動⽅式以及使⽤者所處理的資料,就會衍⽣出許多⾵險26。報告中指出, 有 69%的受訪者表⽰其企業未確實檢查哪些類型的資料是否太過敏感⽽不應移. 23. Id., at 17.. 24. PONEMON INSTITUTE LLC, DATA BREACH: THE CLOUD MULTIPLIER EFFECT 1 (2014).. 25. TREND MICRO, Cloud Makes Data Breaches Increasingly Likely And Costly, June 17, 2014, http://blog.trendmicro.com/cloud-makes-data-breaches-increasingly-likely-costly/ (last visited Jul. 28, 2016). 26. Id.; PONEMON INSTITUTE LLC (2014), supra note 24, at 5-6.. 7.
(22) 轉⾄雲端;另外,供應商與客⼾之間的服務等級協議經常模糊不清,很少定義雙 ⽅該如何分擔安全責任等27,均為雲端服務使⽤下的潛藏⾵險。. 第三款. 外國法對雲端運算資訊安全之因應. 第⼀⽬. 美國法. ⼀、健康保險法案. 政 治 大. 為消除使⽤者對雲端服務的資訊安全疑慮,美國法上賦予資訊持有⼈相當法. 立. 律上義務,以確保資訊安全及防⽌個資竊取等情事28。在聯邦法案⽅⾯,美國聯. ‧ 國. 學. 邦健康保險法案(Health Insurance Portability and Accountability Act of 1996,. ‧. HIPAA)29中確保病⼈對其個⼈資訊的掌控程度並要求資訊持有⼈應保護個資免. sit. y. Nat. 於 實 際 或 潛 在 的 遺 失 或 公 開 威 脅 30 。 對 此 , 美 國 健 康 與 公 共 衛 ⽣ 服 務 部. n. al. er. io. (Department of Health and Human Services)亦依前法授權制定了個⼈可識別健. i n U. v. 康 資 訊 隱 私 標 準 ( Standards for Privacy of Individually Identifiable Health. Ch. engchi. Information)要求資訊持有⼈應以合理且適當之⼿段(reasonable and appropriate means)在⾏政上、物理上、技術上及⾵險評估上確保其持有之可識別個⼈健康 資訊的安全31。. 27. PONEMON INSTITUTE LLC (2014), supra note 24, at 3-4.. 28. Jared A. Harshbarger, Cloud Computing Providers and Data Security Law: Building Trust with United States Companies, 16 J. Tech. L. & Pol’y 229, 230-231 (2011). 29. 42 U.S.C. § 1320d-6 (2006).. 30. See 42 U.S.C. § 1320d-1 (2006).. 31. 45 C.F.R. §§ 164.308-314 (2011).. 8.
(23) ⼆、⾦融現代化法案 除健康機構外,⾦融服務現代化法案(Financial Service Modernization Act of 1999,⼜稱 Gramm-Leach-Bliley Act)亦加強了⾦融機構對債權⼈之資訊安全保 護32 。該法案要求企業應建⽴⼀套個資保護計畫,特別是針對⾮公開個⼈資訊 (nonpublic personal information,簡稱 NPI)的部分33。其⽴法⽬的與前述健康法 案類似,均為防⽌並保護個⼈資料有被未授權公開獲取⽤的威脅34,但此法案更 進⼀步要求企業應指派⾄少⼀專業⼈員管理 NPI,建⽴全⾯⾵險管理計畫,並隨. 治 政 大 著 NPI 的搜集、儲存、使⽤⽅法更新 。因此,若⾦融機構採⽤雲端服務,即應 立 35. ‧ 國. 學. 考量該雲端服務提供者之的組織、技術等是否符合前述法規之要求36。. ‧. 三、紅旗規則(FTC Red Flag Rules). Nat. sit. y. 另⼀項可能加重雲端服務提供者資訊安全維護義務的法案則為美國公平交. er. io. 易委員會(US Fair Trade Commission,簡稱 FTC)於 2008 年依公平準確信⽤交. al. n. v i n 易法(Fair and Accurate CreditC Transactions Act of 2003)第 h e n g c h i U 114 節制定的「紅旗規 則」 (Red Flag Rules) 。37此規則要求⾦融機構應額外建⽴⼀套可以偵測個資竊取、. 32. See 15 U.S.C. §§ 6801-6809 (2006).. 33. Id. § 6803.. 34. Id. § 6801(b).. 35. 16 C.F.R. §314.3-.4 (2011).. 36. 張乃⽂,雲端運算環境之法規遵循議題剖析,科技法律透析,第 25 卷第 7 期,⾴ 24,2013 年. 7 ⽉。 37. Harshbarger, supra note 28, at 241.. 9.
(24) 回應並採取積極⾏動的系統,以保障資訊安全38。 四、相關聯邦法律草案. 有鑒於雲端服務使⽤範圍愈來愈廣,⽽雲端服務之資訊安全仍存有疑慮,美 國聯邦⽴法機構亦針對雲端運算提出個別之資訊安全草案,如 2009 年提出之資 訊信賴及責任草案(Data Accountability and Trust Act)要求公平交易委員會應就 個⼈資訊儲存及處理制定相關⾏政規則,若企業違反法案者應處以可觀之罰鍰,. 政 治 大. 並應在資訊洩漏時通知消費者39。另⼀項更新的資訊安全及外洩通知草案(Data. 立. Security and Breach Notification Act of 2015)也要求公平交易委員會應制定相關. ‧ 國. 學. 規則、懲處及數據加密標準,以確保資訊安全40。雖然相關草案仍未強制要求企. ‧. 業應投保相關資訊安全保險,但有論者認為將來引進強制保險規定是有可能的41。. Nat. sit. y. 近⼆年,美國國會通過了不少與資訊安全有關之法案(⾒表格 2) 。然上述兩. n. al. er. io. 項法案仍為待決議之草案,有認為這是因為政府太過依賴法律規定,且忽略私部. Ch. ⾨的⾃律能⼒⽽遭到反對 。 42. engchi. 38. 16 C.F.R. §681.1(d) (2011).. 39. Bonner, supra note 8, at 268. See also H.R. 2221 §2-4.. 40. See H.R. 1770.. i n U. v. 41. See Stephen J. Rancourt, Hacking, Theft, And Corporate Negligence: Making The Case For Mandatory Encryption Of Personal Information, 18 Tex. Wesleyan L. Rev. 183, 215 (2011).. 42. See Erich Schwartzel, Cybersecurity Insurance: Many Companies Continue To Ignore The Issue, PITTSBURGH POST-GAZETTE, (June 22, 2010 4:00 AM), http://www.post-gazette.com/business/technews/2010/06/22/Cybersecurity-insurance-Many-companies-continue-to-ignore-theissue/stories/201006220157 (last visited Jul. 28, 2016).. 10.
(25) 表格 2 -美國近期通過之資訊安全相關法案 (本⽂⾃⾏整理) 43. 近期通過之法案 序. 條⽂編號. 法案名稱. 1. P.L. 114-113. Cybersecurity 2015. 2. P.L. 113-274. Cybersecurity Enhancement 2014. 3. P.L. 113-282. 4. P.L. 113-246. Act. of. Act. of. 通過⽇期. 重要內容. 2015.12.18. Promotes and encourages the private sector and the US government to rapidly and responsibly exchange cyber threat information. Provides an ongoing, voluntary public-private partnership to improve cybersecurity and strengthen cybersecurity research and development, workforce development and education and public awareness and preparedness. Codifies an existing operations center for cybersecurity. Directs the Secretary of Homeland Security, within 180 days and annually thereafter for three years, to conduct an assessment of the cybersecurity workforce of the Department of Homeland Security (DHS).. 2014.12.18. National Cybersecurity Protection Act of 2014 Cybersecurity Workforce Assessment Act. 2014.12.18 2014.12.18. 政 治 大. 立. ‧ 國. 學. 除聯邦法律外,美國各州之州法在資訊安全法規上有較聯邦法規更嚴格的規. ‧. 定,是雲端服務提供者不可忽略的⼀環44。如⾺⾥蘭州 2008 年通過之⾺⾥蘭個. y. Nat. al. er. io. sit. ⼈資訊保護法(Maryland Personal Information Protection Act)45及⿇州於同年通. n. 過之相關資訊安全條⽂46中均要求資訊持有⼈應將「第三⽅服務提供者」(third. Ch. 43. engchi. i n U. v. ISACA, Cybersecurity Legislation http://www.isaca.org/cyber/pages/cybersecuritylegislation.aspx (last visited Jul. 12, 2016).. Watch,. 44. Harshbarger, supra note 28, at 241.. 45. Md. Code Ann., Com. Law § 14-3503 (West 2011). 原⽂:[In order t]o protect personal information. from unauthorized access, use, modification, or disclosure, a business that owns or licenses personal information of an individual residing in the State [of Maryland] shall implement and maintain reasonable security procedures and practices that are appropriate to the nature of the personal information owned or licensed and the nature and size of the business and its operations. 46. Mass. Code Regs. § 17.03(2011) Duty to Protect and Standards for Protecting Personal Information. (1) Every person that owns or licenses personal information about a resident of the Commonwealth shall develop, implement, and maintain a comprehensive information security program that is written in one or more readily accessible parts and contains administrative, technical, and physical safeguards that are appropriate to (a) the size, scope and type of business of the person obligated to safeguard the personal information under such comprehensive information security program; (b) the amount of resources available to such person; (c) the amount of stored data; and (d) the need for security and confidentiality of both consumer and employee information. The safeguards contained in such program must be consistent with the safeguards for protection of personal information and information of a similar. 11.
(26) party as a service provider)以契約條款⽅式使第三⽅服務提供者,也就是雲端服 務提供者,遵守相關資訊安全及個⼈資料保護的規範;⽽內華達州則具體要求個. character set forth in any state or federal regulations by which the person who owns or licenses such information may be regulated. (2) Without limiting the generality of the foregoing, every comprehensive information security program shall include, but shall not be limited to:. 政 治 大. (a) Designating one or more employees to maintain the comprehensive information security program; (b) Identifying and assessing reasonably foreseeable internal and external risks to the security, confidentiality, and/or integrity of any electronic, paper or other records containing personal information, and evaluating and improving, where necessary, the effectiveness of the current safeguards for limiting such risks, including but not limited to:. 立. ‧ 國. 學. 1. ongoing employee (including temporary and contract employee) training; 2. employee compliance with policies and procedures; and. ‧. 3. means for detecting and preventing security system failures.. y. Nat. (c) Developing security policies for employees relating to the storage, access and transportation of records containing personal information outside of business premises.. er. io. sit. (d) Imposing disciplinary measures for violations of the comprehensive information security program rules. (e) Preventing terminated employees from accessing records containing personal information. (f) Oversee service providers, by:. al. n. v i n 1. Taking reasonable steps to selectCand retain third-party service providers that are capable of htoeprotect i U information consistent with these maintaining appropriate security measures such personal h n c g regulations and any applicable federal regulations; and 2. Requiring such third-party service providers by contract to implement and maintain such appropriate security measures for personal information; provided, however, that until March 1, 2012, a contract a person has entered into with a third party service provider to perform services for said person or functions on said person’s behalf satisfies the provisions of 17.03(2)(f)(2) even if the contract does not include a requirement that the third party service provider maintain such appropriate safeguards, as long as said person entered into the contract no later than March 1, 2010. (g) Reasonable restrictions upon physical access to records containing personal information, and storage of such records and data in locked facilities, storage areas or containers. (h) Regular monitoring to ensure that the comprehensive information security program is operating in a manner reasonably calculated to prevent unauthorized access to or unauthorized use of personal information; and upgrading information safeguards as necessary to limit risks. (i) Reviewing the scope of the security measures at least annually or whenever there is a material change in business practices that may reasonably implicate the security or integrity of records containing personal information. (j) Documenting responsive actions taken in connection with any incident involving a breach of security, and mandatory post-incident review of events and actions taken, if any, to make changes in business practices relating to protection of personal information.. 12.
(27) ⼈資料的傳輸應進⾏加密47。雖然內華達州該規則後來被推翻48,但作為雲端服 務提供者,仍適⽤前法較⾼之資訊加密標準,以獲取使⽤者的信賴49。. 第⼆⽬. 歐盟法. 歐盟法上與資訊安全相關者,主要有⼆:個⼈資料保護指令(Data Protection Directive 95/46/EC)50及甫於 2015 年 12 ⽉ 7 ⽇通過、將在 2018 年春季施⾏的個 ⼈資料保護命令(General Data Protection Regulation)51。依個⼈資料保護指令,. 政 治 大. 各國個資法的適⽤範圍主要取決於「資料管理者的地理位置」,與資料管理者此. 立. ⽤之雲端服務類型及其服務位置無關;若資料管理者不在歐洲經濟區(European. ‧ 國. 學. Economic Area, EEA)內但雲端服務提供者在者,則資料管理者亦會受到所在國. ‧. 家個資法的規範52。⼜,若要將個⼈資訊移轉⾄ EEA 以外國家,則應確保該國對. sit. y. Nat. 資訊有採取適當程度(adequate level)的保護措施53。與前述保護指令不同的是,. n. al. er. io. 新的個⼈資料保護命令不需透過歐盟成員國加以內國法化,⽽可以直接適⽤於各. 47. Ch. engchi. i n U. v. Nev. Rev. Stat. § 597.970 (2008). “A business in this State shall not transfer any personal information or a customer through an electronic transmission other than a facsimile to a person outside of the secure system of the business unless the business uses encryption to ensure the security of electronic transmission.” 48. S. 227, 2009 Leg., 75th Sess. (Nev. 2009).. 49. Jared A. Harshbarger, supra note 28, at 244.. 50. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995, on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data, arts. 2-4 1995 O.J. (L 281) 31, 31 (EC) [hereinafter Directive 95/46/EC]. 51. Proposal for a Regulation of the European Parliament and of the Council on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data (General Data Protection Regulation), COM (2012) 11 final (Jan. 25, 2012) [hereinafter General Data Protection Regulation].. 52. 劉定基,雲端運算與個⼈資料保謢-以台灣個⼈資料保護法與歐盟個⼈資料保護指令的⽐較. 為中⼼,東海⼤學法學研究,第四⼗三期,⾴ 65,2014 年 8 ⽉。 53. Directive 95/46/EC, surpa note 50, at 36-38.. 13.
(28) 成員國;若有違反者,可依法對其處以罰鍰54。尤有甚者,此新通過的保護命令 甚⾄擴⼤了其適⽤範圍,亦即,資料管理者縱使位於歐盟境外國家,只要其對歐 盟資料主體銷售物品或提供服務,或有監控歐盟資料主體之⾏為,均受新法規範 55. 。 此外,關於歐盟及美國間之跨境資料傳輸,原訂有雙邊之安全港架構(Safe. Harbor Framework)56以資規範。然此規範於 2015 年 10 ⽉ 6 號為歐洲法院以歐 洲議會逾權宣告無效57,⽬前歐美雙⽅正研擬如何加強資訊安全保護等級及跨境 資料傳輸 。 58. 立. 政 治 大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 54. Sasha Segall, Jurisdictional Challenges In The United States Government’s Move To Cloud Computing Technology, 23 Fordham Intell. Prop. Media & Ent. L.J. 1105, at 1128-1129. 55. 劉定基,同註 52,⾴ 65-66。. 56. 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441). 57. Maximillian Schrems v. Data Protection Commissioner, 2014 WL 4954897 (2014).. 58. Federal Trade Commission, U.S.-EU Safe Harbor Framework, Nov. 6, 2015, https://www.ftc.gov/tipsadvice/business-center/privacy-and-security/u.s.-eu-safe-harbor-framework (last visited Jan. 20, 2016).. 14.
(29) 第四款. 我國相關法制. 我國法規中亦不乏對資訊安全有相關要求者,諸如⼈體⽣物資料庫管理條例 59. 及其⼦法、⼤陸地區⼈民管理按捺指紋及建檔管理辦法60、⽼⼈福利法61、公教. ⼈員保險法62、社會救助法63、兒童及少年福利與權益保障法64、家庭暴⼒防治法 、國民年⾦法66、勞⼯保險條例67等⼋⼗項法規68。然多數法規中僅以「主管機. 65. 關依前項規定所取得之資料,應盡善良管理⼈之注意義務,確實辦理資訊安全稽 核作業,其保有、處理及利⽤,並應遵循個⼈資料保護法之規定。」為概括規範,. 政 治 大 就資訊安全稽核作業之具體內容則規範於相關⼦法。因此,若相關機構未來欲以 立. ‧ 國. 學. 59. ⼈體⽣物資料庫管理條例第 13 條:「設置者應依主管機關公告之⽣物資料庫資訊安全規範,. ‧. 訂定其資訊安全管理規定,並公開之。」第 24 條: 「設置者有下列情形之⼀者,處新臺幣五⼗萬. y. Nat. 元以上⼆百五⼗萬元以下罰鍰,並得限期令其改正;屆期未改正者,按次處罰之:……四、違反. sit. 第⼗三條第⼀項規定,未訂定或公開資訊安全規定,或⽣物檢體及相關資料、資訊之管理違反資. er. al. ⼤陸地區⼈民管理按捺指紋及建檔管理辦法第 5 條: 「指紋檔案之傳輸、儲存及查詢過程,應. n. 60. io. 訊安全規定;或未依同條第⼆項經倫理委員會審查通過,或送主管機關備查。……」. Ch. i n U. v. 遵守資訊安全相關規範,確保指紋資料庫安全,防範不法⼊侵及資料外洩。」 61. engchi. ⽼⼈福利法第 12-1 條第 2 項: 「主管機關依前項規定所取得之資料,應盡善良管理⼈之注意義. 務,確實辦理資訊安全稽核作業,其保有、處理及利⽤,並應遵循個⼈資料保護法之規定。」 62. 公教⼈員保險法第 43 條第 4 項。. 63. 社會救助法第 44-3 條。. 64. 兒童及少年福利與權益保障法第 70 條第 4 項。. 65. 家庭暴⼒防治法第 58 條第 4 項。. 66. 國民年⾦法第 56 條第 4 項。. 67. 勞⼯保險條例第 65-5 條第 2 項。. 68. 全國法規資料庫檢索結果,關鍵字「資訊安全」 ,http://law.moj.gov.tw/Index.aspx(檢索⽇期:. 2016/1/20)。. 15.
(30) 雲端服務作為資訊儲存、處理⽅法,則應遵守上開規範。 除資訊安全之⼀般規範外,我國個⼈資料保護法(下同「個資法」)第 4 條 規定:「受公務機關或⾮公務機關委託蒐集、處理或利⽤個⼈資料者,於本法適 ⽤範圍內,視同委託機關。」並於第 28 條69、第 29 條70就違反個資法之公務及 ⾮公務機關訂有損害賠償責任。⽽依據法務部解釋,「受託為個⼈資料蒐集、處 理或利⽤者,仍以委託機關為權責歸屬機關,故為釐清責任歸屬,委託機關應對 受託者為適當監督,以確保委託處理個⼈資料之安全管理71。」因此,若雲端使. 治 政 大 ⽤者將個⼈資料或可連結⾄特定⾃然⼈的資料以雲端⽅式處理 ,不僅雲端服務提 立 ‧ 國. 學. 供者應遵循個⼈資料保護規範,雲端服務使⽤者亦應注意相關個⼈資料保護之要 求,並對已雲端運算⽅式處理之個⼈資料及可連結⾄特定⾃然⼈之資料使⽤為適. ‧. 當之監督。. sit. y. Nat. n. al. er. io. 在資訊安全及個資保護相關⼦法中,「⾦融監督管理委員會指定⾮公務機關. i n U. v. 個⼈資料檔案安全維護辦法」第 10 條明確要求⾮公務機關提供「電⼦商務服務. Ch. engchi. 系統」時,應採取⼀定之資訊安全措施,如使⽤者⾝分確認及保護機制、個⼈資 料顯⽰之隱碼機制、網際網路傳輸之安全加密機制、應⽤系統於開發、上線、維. 69. 個⼈資料保護法第 28 條: 「(第 1 項)公務機關違反本法規定,致個⼈資料遭不法蒐集、處理、. 利⽤或其他侵害當事⼈權利者,負損害賠償責任。但損害因天災、事變或其他不可抗⼒所致者, 不在此限。(第 2 項)被害⼈雖⾮財產上之損害,亦得請求賠償相當之⾦額;其名譽被侵害者, 並得請求為回復名譽之適當處分。」 70. 個⼈資料保護法第 29 條第 1 項: 「⾮公務機關違反本法規定,致個⼈資料遭不法蒐集、處理、. 利⽤或其他侵害當事⼈權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」 71. 法務部法律字第 10103107800 號,101 年 11 ⽉ 21 ⽇。. 16.
(31) 護等各階段軟體驗證與確認程序、個⼈資料檔案及資料庫之存取控制與保護監控 措施、防⽌外部網路⼊侵對策、⾮法或異常使⽤⾏為之監控與因應機制。 ⽽雲端服務具有透過網路提供或接受服務之特性,因此服務提供者與使⽤者 可能位在不同國家,且雲端服務提供者亦多在多國多點建置資料中⼼或架設伺服 器,⼤規模的資料跨國境挪移與儲存是必然現象72。從⽽,個⼈資料的跨境傳輸 亦為雲端服務提供及使⽤者之重要課題。我國個資法第 21 條亦有針對跨境傳輸 做原則允許、例外限制之規範73。. 立. 研究⽬的. 政 治 大. ‧ 國. 學. 當資訊外洩事件發⽣後,企業所⾯臨之⾏政罰鍰及必要處理程序,如通知受. ‧. 影響之當事⼈等,仍會對企業造成⼀定程度的財務負擔74。除硬體設備損壞等直. y. Nat. io. sit. 接損失外,商譽受損、通知當事⼈費⽤、受影響當事⼈損害賠償、更新資訊安全. er. 設備⽀出等都有可能成為雲端服務提供者因資訊外洩所受之損失75,亦有可能造. al. n. v i n Ch 成雲端服務使⽤者的損失。綜觀我國相關法規,現有資訊安全相關法規不僅未將 engchi U 所有可流通之資訊安全詳細納⼊規範,亦尚未將雲端技術使⽤納⼊法規制定之思. 72. 張乃⽂,同註 36,⾴ 30。. 73. 個資法第 21 條:「⾮公務機關為國際傳輸個⼈資料,⽽有下列情形之⼀者,中央⽬的事業主. 管機關得限制之:⼀、涉及國家重⼤利益。⼆、國際條約或協定有特別規定。三、接受國對於個 ⼈資料之保護未有完善之法規,致有損當事⼈權益之虞。四、以迂迴⽅法向第三國(地區)傳輸 個⼈資料規避本法。」 74. Harshbarger, supra note 28, at 250.. 75. Id.. 17.
(32) 維中,顯現我國對資訊安全和雲端⾵險意識仍與進步科技之使⽤程度並不相當。 然雲端運算是未來科技應⽤的趨勢,其技術的嶄新特性可能衝擊企業固有法規遵 循的架構。在雲端運算服務以及相關資訊科技蓬勃發展之同時,即便我國似尚未 出現⼤規模損失之資訊外洩或由網路、雲端造成嚴重之企業損失,仍應未⾬綢繆 於採⽤雲端服務之際將⾵險管理納⼊政策或企業經營中。⽽雲端⾵險管理,僅從 事前資訊安全維護⾯著⼿尚不⾜夠,就無法防範之⾵險和可能對企業產⽣之損失, 應有⾵險移轉機制以防患於未然。雲端服務使⽤者應如何正確認識雲端運算⾵險. 政 治 大. 並有效管理,在⾯對⾵險發⽣時是否有相關⾵險移轉之可能,為雲端服務使⽤者. 立. 之當務之急。. ‧ 國. 學. ⽬前國內外雖已有少數保險業者就資訊安全⾵險或網路⾵險(cyber risk)推. ‧. 出保險商品,然鮮少⾒以「雲端運算⾵險」為出發或將雲端運算服務明⽂納⼊承. y. Nat. io. sit. 保範圍之保險,且相關保險之投保率顯然不如⼀般商業保險多76;我國亦少有⾒. er. 就網路⾵險或雲端⾵險為研究對象之⾵險管理及法律相關學術⽂獻。為使企業雲. al. n. v i n Ch 端⾵險管理更趨完善,⾸應瞭解雲端運算之技術,並從⾵險管理之⾓度分析企業 engchi U 使⽤雲端運算服務可能⾯臨之⾵險及所受損失。再者,應探討現⾏相關保險投保. 率甚低之原因,以為新型雲端保險之建構。希冀我國雲端運算服務於產業發展、 政策規劃和⾵險管理上能⿑驅並進,企業能減少使⽤雲端服務之疑慮,帶動科技 創新、產業升級,並擴⼤我國新型保險市場,亦為整體⼈類福祉之進步。. 76. 參財團法⼈保險事業發展中⼼,中華民國 104 年意外保險賠款率統計表—按⾵險類別(曆年. 制)。. 18.
(33) 研究架構 本⽂共分為五章節,⾸章緒論說明本⽂研究動機、研究⽬的、研究架構和研 究⽅法,從著名之資訊外洩事件中分析出與雲端⾵險相關之部分,並為整體論⽂ 架構之開展。有鑒於雲端⾵險係與電腦資訊技術⾼度相關者,故第⼆章將以雲端 運算之技術及基本概念為出發,期以重點提⽰⽅式⼀窺雲端運算之⾯貌,利於第 三章剖析雲端運算⾵險。. 政 治 大. 第三章中將⽐較過去較廣為討論之網路⾵險及較新進之雲端⾵險差異,檢視. 立. 現有建議雲端服務使⽤者之雲端運算⾵險管理⽅法,並探討以保險作為雲端⾵險. ‧ 國. 學. 管理途徑之妥適性。於第四章中,參考外國法上曾因網路⾵險、資訊安全⾵險等. ‧. 新興⾵險於傳統保險商品適⽤上出現之相關法律問題,再對照現有網路保險或資. sit. y. Nat. 訊安全保險之保單條款檢視前述法律問題是否已為妥善解決,並就現⾏保險不⾜. n. al. er. io. 之處予以改良,試研擬新型雲端保險之契約條款內容。最後於第五章以國內外雲. Ch. i n U. v. 端服務發展現況為出發,綜合本⽂研究成果提出雲端⾵險可能產⽣法律爭議之解. engchi. 套以提升雲端保險之投保意願,並參考國外雲端發展政策及相關保險制度規劃為 我國雲端保險市場開展之整體配套措施提供粗淺建議,希冀對我國雲端產業及保 險未來發展有棉薄之貢獻。. 19.
(34) 圖表 3 - 研究架構簡表(本⽂⾃製) 第一章 緒論 • 研究動機與目的 • 研究架構 • 研究方法 第二章 雲端運算概述 • 定義 • 技術概要 • 雲端運算服務分類 • 雲端運算服務之優勢與隱憂 • 雲端運算服務市場現況. 政 治 大. 第三章 雲端運算風險及其管理. 學. 第四章 雲端運算保險. al. er. io. sit. Nat. • 網路風險於保險適用上之相關法律爭議 • 現行與雲端運算風險相關保險契約 • 雲端保險之再建構. ‧. ‧ 國. 立. y. • 雲端運算風險 • 企業雲端風險管理. n. 第五章 我國雲端保險之未來展望—代結論. Ch. i n U. v. • 雲端保險市場發展前景 • 雲端風險於保險適用上可能法律爭議之解決 • 我國雲端保險之制度規劃. engchi. 20.
(35) 研究⽅法 本⽂採⽤「⽂獻探討法」,以國內外就網路、資訊安全、雲端運算之技術、 ⾵險管理、保險與法律為主題之⽂獻出發,發現雲端運算之相關⾵險及整理過去 於網路、資訊安全領域出現之保險和法律問題,並尋找問題之答案。並採「⽐較 法學」,在研討國內外網路和資訊安全相關法規⽅⾯,⽐較歐盟、美國及我國之 規定,了解我國法規不⾜之處;於雲端運算⾵險管理及可能遇到之法律問題上,. 政 治 大 概念之保險法及民法相關規定之司法實務和學說⾒解 ,研究法律爭議於我國法上 立 由於我國對此議題尚未有⾒任何研討,故以美國法上之案例分析,輔以我國相關. ‧ 國. 學. 之適⽤情形;並於結論中探究。再者,於雲端保險之再建構上,採「歷史⽅法」. ‧. 和「保險契約條款⽐較分析法」,先就傳統保險之發展及其於網路⾵險適⽤上產. sit. y. Nat. ⽣之爭議為分析,再⽐較現有網路、資訊安全相關保險之條款內容,研討舊有法. io. al. n. 約內容。. er. 律爭議是否仍存在於新型態之保險契約,最後以此論述為基準提出雲端保險之契. Ch. engchi. 21. i n U. v.
(36) 圖表 4 - 研究⽅法簡表(本⽂⾃製). • 以國內外就網路、資 訊安全、雲端運算之 技術、風險管理、保 險與法律為主題之文 獻出發,發現問題並 尋找答案. • 比較現行國內外網路、 資訊安全相關保險之 契約條款,為雲端保 險再建構之參考基礎. 立. 文獻探討 法. 比較法 學. 保險契約 條款比較 分析. 歷史方 法. • 比較歐盟、美國及我 國網路和資訊安全相 關法規,了解我國法 歸及政策之不足;並 以美國法案例分析輔 以我國保險法、民法 相關概念為問題評析. 政 治 大. • 由傳統保險契約演進 至新型保險過程中曾 出現之法律議題,並 比較契約條款. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 22. i n U. v.
(37) 第⼆章. 雲端運算概述. 雲端運算之定義 在進⼊雲端⾵險的分析之前,⾸應了解何謂「雲端運算」。雲端運算⼀詞, ⾸次係出現於 1960 年代,於企業會議時以雲朵符號作為「網路」之象徵77。雲端 運算是⼀種新興電腦運算技術應⽤之集合,因無法確知其出現之時點,且⽬前並 無法預測此技術未來發展之⾛向,論述上很難給予⼀明確定義78。然電腦技術之. 政 治 大 探求並⾮本⽂之研究⽬的,故本節將以美國國家標準技術局(National Institute of 立. ‧ 國. 學. Standards and Technology, NIST)及歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)兩⼤代表性官⽅機構之雲端. ‧. 運算相關⽂件為本⽂雲端運算定義之參考依歸,並提供雲端運算之基本技術概念。. n. Ch. engchi. er. io. al. sit. y. Nat. 美國國家標準技術局定義. i n U. v. 根據 NIST 於 2011 年發布之建議⽂件,雲端運算(Cloud Computing)是⼀ 種具有隨處可得、⽅便利⽤性的結構化運算資源模式,使雲端服務提供者僅需藉 由極⼩的管理措施,即可快速與使⽤者互動,並依使⽤者網路存取需求釋放網路 資源如網路(network) 、伺服器(servers) 、儲存裝置(storage) 、應⽤程式(application). 77. Segall, supra note 54, at 1111.. 78. Joseph M. Kizza & Li Yang, Is the Cloud the Future of Computing?, in SECURITY, TRUST, AND REGULATORY ASPECTS OF CLOUD COMPUTING IN BUSINESS ENVIRONMENTS 57, 57 (S. Srinivasan ed. 2014).. 23.
(38) 和服務(service)等之技術79。⽽此模式具有依需求⾃助服務(On-demand selfservice) 、寬廣的網路近⽤(Broad network access) 、資源共享(Resource pooling) 、 計算能⼒快速彈性變化(Rapid elasticity)及可計算容量之服務(Measured service) 等五項重要特性,並可分類為「軟體即服務」 (Software as a Service, 簡稱 SaaS) 、 「 平 台 即 服 務 」( Platform as a Service, 簡 稱 PaaS )、「 基 礎 設 施 即 服 務 」 (Infrastructure as a Service, IaaS)三種雲端服務類型(service models) ,及「私有 雲」 (Private Cloud) 、 「社群雲」 (Community Cloud) 、 「公有雲」 (Public Cloud) 、. 政 治 大. 「混合雲」(Hybrid Cloud)四種雲端運作模式(deployment models)80。以下就. 立. 五項特性詳述之,其餘分類請詳⾒本章第三節。. ‧ 國. 學. •. 依需求⾃助服務:係指雲端服務使⽤者不需透過與服務提供者之⼈⼯交流,. ‧. 即可單⽅存取所需之運算資源,如伺服器使⽤時間及網路容量等;. sit. y. Nat. n. al. er. 寬廣的網路近⽤:雲端運算資源遍布整個網路,使⽤者可透過各種⽤⼾平台,. io. •. i n U. v. 如⼿機、個⼈電腦、⼯作站等以標準化機制進⼊使⽤(如下圖 5);. 79. Ch. engchi. 原⽂:Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access. to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models. PETER MELL & TIMOTHY GRANCE, THE NIST DEFINITION OF CLOUD COMPUTING 2, U.S. DEP’T OF COMMERCE (2011), Spec. Publ’n 800-145, available at http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf (last visited Aug. 15, 2016). [hereinafter ‘NIST’] 另參:羅邵晏,雲端服務⾵險評估模式建⽴之研究,國⽴政治⼤學資 訊管理學系碩⼠學位論⽂,⾴ 10,2013 年 1 ⽉。 80. NIST, Id.. 24.
(39) 圖表 5 -網路近⽤⽰意圖81. •. 政 治 大. 資源共享:雲端服務提供者的運算資源同時提供給多數使⽤者以數租⽤⼾⽅. 立. 式運⽤,並根據使⽤者需求以動態⽅式分配及再分配各種不同的物理及虛擬. ‧ 國. 學. 資源⽅式進⾏。此資源共享具有位置獨⽴性,指使⽤者通常不會知道且無法. ‧. 控制其運⽤之雲端資源之具體位置,但可能可以得知其⼤概⽅位,如位在何. Nat. n. al. •. Ch. engchi. er. io. 資訊處理、電腦記憶體及網路頻寬等;. sit. y. 國家、何州或哪個數據中⼼等。⽽前述雲端可共享之資源則包含儲存空間、. i n U. v. 運算能⼒快速延展:雲端使⽤者所需之運算容量可彈性供給及釋放不需要的 資源,部分雲端服務甚⾄可以作到⾃動化計算。對使⽤者⽽⾔,其運算資源 通常並無限制,且可隨時達到其數量要求;. •. 可計算容量之服務:雲端系統根據提供之不同服務類型,如儲存空間、資料. 81. 圖 ⽚ 來 源 : DERRICK ROUNTREE & ILEANA CASTRILLO, THE BASICS OF CLOUD COMPUTING -. UNDERSTANDING THE FUNDAMENTALS OF CLOUD COMPUTING IN THEORY AND PRACTICE 4, (Hai Jiang, Technical Edt., 2014).. 25.
Outline
相關文件
Wi-Fi Supported Network Environment and Cloud-based Technology to Enhance Collaborative Learning... • Curriculum is basically a lesson plan that functions as a map
Wi-Fi Supported Network Environment and Cloud-based Technology to Enhance Collaborative Learning.. Centre for Learning Sciences and Technologies (CLST) The Chinese University of
A Cloud Computing platform supports redundant, self-recovering, highly scalable programming models that allow workloads to highly scalable programming models that allow workloads to
Teacher / HR Data Payroll School email system Exam papers Exam Grades /.
Classifying sensitive data (personal data, mailbox, exam papers etc.) Managing file storage, backup and cloud services, IT Assets (keys) Security in IT Procurement and
Service Level Agreement – ensure at least 99.7% availability of the WiFi service, support four-hour response time and four-hour service recovery with active monitoring,
• A formal usage policy and procedures should be in place, and appropriate security measures should be adopted to protect against the risks of using mobile computing and
Presents a metric selection framew ork for online anomaly detection i n utility cloud.. ◦ Select most essential metrics by appl ying metric selection and
