雲端運算之風險管理與保險之法律問題研究

科技部補助專題研究計畫成果報告

期末報告

雲端運算之風險管理與保險之法律問題研究

計 畫 類 別 ： 個別型計畫 計 畫 編 號 ： MOST 103-2410-H-004-043-執 行 期 間 ： 103年08月01日至104年07月31日 執 行 單 位 ： 國立政治大學法律學系 計 畫 主 持 人 ： 張冠群 計畫參與人員： 碩士班研究生-兼任助理人員：王莉宸 報 告 附 件 ： 出席國際會議研究心得報告及發表論文 處 理 方 式 ： 1.公開資訊：本計畫涉及專利或其他智慧財產權，2年後可公開查詢 2.「本研究」是否已有嚴重損及公共利益之發現：否 3.「本報告」是否建議提供政府單位施政參考：是，經濟部、金管會

中　華　民　國　104　年　10　月　31　日

中 文 摘 要 ： 雲端運算，乃一種基於網際網路的運算方式，透過此種方式，共享 的軟硬體資源和訊息可以按需求提供給電腦和其他裝置。質言之 ，「雲端運算」」即「網路運算」，舉凡運用網路溝通多台電腦之 運算工作，亦或透過網路連線取得由遠端主機提供之服務等，均得 歸類為「「雲端運算」。 而行政院於2012 年，考量方案在國內市場各種應用需求與國際產業 技術競爭等成效檢討因素，落實推動「落實雲端基礎建設」與「建 構創新應用之開發能量」等措施，帶動國內雲端運算產業發展，並 以雲端開發測試平台做為政府部會及雲端軟硬體業者之間的供需整 合管道。此舉亦使2013年12月初，全球搜尋引擎龍頭Google宣布擴 大於擴大彰濱工業區「雲端資料中心」投資規模，使台灣超越香港 、新加坡，成為亞太地區最大之雲端資料中心。 雲端運算具有令使用者降低成本達成規模經濟之優勢，確亦存在服 務中斷造成使用者蒙受經濟損失即因資訊外洩誘發雲端服務提供者 大量賠償責任等風險。鑒於保險為最適化風險管理方法，本研究乃 考察雲端服務及其保險制度先進之美國、歐盟及澳洲等國家或地區 ，自法制面及保險實務面全面研析，其能為我國雲端運算風險管理 及保險制度建構自法制面向，提出具體可行之建議。 中 文 關 鍵 詞 ： 雲端運算、風險管理、雲端風險、責任保險

英 文 摘 要 ： Cloud computing is flourishing in Taiwan, where an US$800 million, 5-year government project is underway to generate US$423 million R&D investment in corporate, and

production value of US$33 billion by 2015 and create 50,000 jobs.

The cloud is the concept of remotely hosted IT services, termed cloud apps, provided by a supplier. These suppliers are called cloud providers. Typical cloud apps offered by cloud providers include email, calendar, documents, online storage, sales, customer service, and more.

Using business apps in the cloud has widely recognized advantages: you save money by paying for only the IT computing resources you need, you can ramp up computing resources quickly without capital investment, and you can increase your reach to employees and users anywhere on the planet.

When cloud computing goes as planned, it can be an efficient way to outsource a significant part of a business‘ management of electronically captured

information. It may also yield savings, as do other out-sourcing strategies. When cloud computing goes “off the rails,” however, the consequences can be devastating. Cloud security breach not only may affect millions of users so as to incur huge amount of liabilities to the cloud service provider, but also cause significant property damage or business interruption.

Cloud Insurance platform designed to specifically address emerging liabilities within the Cloud environment. Not only will the availability of policies allay some cautious potential customers’ concerns about moving to the cloud, but insurance policies for providers will help offset the cost of dealing with an outage.

While establishing the world grade cloud facilities, Taiwan fails to collaboratively place emphasis on the risk

management techniques of managing risks associated with cloud computing. This research aims to compare the cloud computing risk insurance systems in the U.S., EU and

Australia and attempt to find the best model for Taiwan to refer to.

英 文 關 鍵 詞 ： cloud computing, risk management, cloud risks, liability insurance

1

科技部補助專題研究計畫成果報告

（□期中進度報告/□

V

期末報告）

（計畫名稱）

計畫類別：□

V

個別型計畫 □整合型計畫

計畫編號：MOST 104－2410－H －004 －043 －

執行期間：2014 年 8 月 1 日至 2015 年 7 月 31 日

執行機構及系所：政治大學法律系

計畫主持人：張冠群教授

共同主持人：

計畫參與人員：王莉宸、戴郡儀

本計畫除繳交成果報告外，另含下列出國報告，共 _1__ 份：

□執行國際合作與移地研究心得報告

□

V

出席國際學術會議心得報告

期末報告處理方式：

1. 公開方式：

□非列管計畫亦不具下列情形，立即公開查詢

□

V

涉及專利或其他智慧財產權，□一年□二年後可公開查詢

2.「本研究」是否已有嚴重損及公共利益之發現：□

V

否 □是

3.「本報告」是否建議提供政府單位施政參考 □否□

V

是， 金管會 （請列

舉提供之單位；本部不經審議，依勾選逕予轉送）

中 華 民 國 104 年 10 月 10 日

2

中文摘要

雲端運算，乃一種基於網際網路的運算方式，透過此種方式，共享的軟硬體資源和訊息可以按需 求提供給電腦和其他裝置。質言之，「雲端運算」」即「網路運算」，舉凡運用網路溝通多台電腦之運算 工作，亦或透過網路連線取得由遠端主機提供之服務等，均得歸類為「「雲端運算」。 而行政院於2012 年，考量方案在國內市場各種應用需求與國際產業技術競爭等成效檢討因素， 落實推動「落實雲端基礎建設」與「建構創新應用之開發能量」等措施，帶動國內雲端運算產業發展， 並以雲端開發測試平台做為政府部會及雲端軟硬體業者之間的供需整合管道。此舉亦使2013年12月初， 全球搜尋引擎龍頭Google宣布擴大於擴大彰濱工業區「雲端資料中心」投資規模，使台灣超越香港、 新加坡，成為亞太地區最大之雲端資料中心。 雲端運算具有令使用者降低成本達成規模經濟之優勢，確亦存在服務中斷造成使用者蒙受經濟損 失即因資訊外洩誘發雲端服務提供者大量賠償責任等風險。鑒於保險為最適化風險管理方法，本研究 乃考察雲端服務及其保險制度先進之美國、歐盟及澳洲等國家或地區，自法制面及保險實務面全面研 析，其能為我國雲端運算風險管理及保險制度建構自法制面向，提出具體可行之建議。 關鍵字：雲端運算、風險管理、雲端風險、責任保險

3

英文摘要

[ABSTRACT]

Cloud computing is flourishing in Taiwan, where an US$800 million, 5-year

government project is underway to generate US$423 million R&D investment in corporate,

and production value of US$33 billion by 2015 and create 50,000 jobs.

The cloud is the concept of remotely hosted IT services, termed cloud apps, provided by

a supplier. These suppliers are called cloud providers. Typical cloud apps offered by cloud

providers include email, calendar, documents, online storage, sales, customer service, and

more.

Using business apps in the cloud has widely recognized advantages: you save money by

paying for only the IT computing resources you need, you can ramp up computing resources

quickly without capital investment, and you can increase your reach to employees and users

anywhere on the planet.

When cloud computing goes as planned, it can be an efficient way to outsource a

significant part of a business' management of electronically captured information. It may also

yield savings, as do other out-sourcing strategies. When cloud computing goes “off the rails,”

however, the consequences can be devastating. Cloud security breach not only may affect

millions of users so as to incur huge amount of liabilities to the cloud service provider, but

also cause significant property damage or business interruption.

Cloud Insurance platform designed to specifically address emerging liabilities

within the Cloud environment. Not only will the availability of policies allay some

cautious potential customers’ concerns about moving to the cloud, but insurance

policies for providers will help offset the cost of dealing with an outage.

While establishing the world grade cloud facilities, Taiwan fails to collaboratively

place emphasis on the risk management techniques of managing risks associated with

cloud computing. This research aims to compare the cloud computing risk

insurance systems in the U.S., EU and Australia and attempt to find the best model

for Taiwan to refer to.

4

壹、

前言

雲端運算(Cloud Computing)無疑為現今最主要之資訊科技趨勢。企業或個人均面臨是否將資料 移至暈端服務提供者，並委由其管理此些資訊之選擇。利用雲端服務，無疑帶來經營持本之節省，為 成本之降低，並非企業做成利用雲端服務決定之唯一考量，蓋雲端服務與其他線上服務相同，伴隨風 險。使用雲端服務之風險即使其資訊暴露於駭客攻擊之風險中，倘無適足之風險理財機制可茲因應， 其損失影響所及，將抵銷雲端運算所附隨之經濟效益，雲端運算服務提供者之商欲亦將因之蒙受損害1 。 相較於美國、歐盟(英國與德國)及澳洲，則均已有以現有之一般商業責任保險或專門之雲端運算綜合 保險保單承保雲端運算服務提供者之其侵權責任、契約責任及財產損失之情形，足堪借鏡。本研究擬 比較美國、歐盟及澳洲因雲端運算風險發生致成立雲端運算服務提供者責任之相關案例，確認雲端運 算之法律風險後，探究該些風險之可保性，復比較各國雲端運算保險單條款中關於承保範圍、保險對 象、不保事項、保險金額及無過失責任之承擔等具體事項，冀藉比較法律與制度之研究為借鏡，建構 我國雲端運算保險之制度。另，雲端運算保險之建立所涉及之保險法上相關問題，如(1)保險人於賠償 雲端運算服務提供者之損失後，得否行使代位求償權？(2)於責任保險中，保險人為雲端運算服務提供 者與雲端服務使用者間之和解義務及防禦義務如何發動與操作？(3)雲端運算保險有無複保險規範之 適用？若無，於多數保險存在時應如何解決？(4)關於雲端運算服務提供者之風險管理與投保義務應否 強制規定？亦係推動雲端運斷保險必然需釐清與解決者，本研究亦將一併探討。

貳、

研究目的

本計畫之終局目的乃為我國雲端運算風險管理與保險相關制度之建構，擘畫一完整且合於保險基 礎原則與各類雲端運算模式之藍圖。而此一目的，需奠基於下列四大子目的之達成： 1. 探究雲端運算之基本型態及其所面臨之可能風險，並試就保險理論及風險之特性，分析其可 保性及以保險作為風險管理方法之正當性與適切性。 2. 比較分析美國、歐盟(以英、德為例)及澳洲關於雲端運算風險管理與保險之相關立法與保險 條款及實務。 3. 探討我國目前雲端運算風險管理與保險之法制及實務之弱化處及所面臨之問題與挑戰。 採問題解決導向模式，為我國就雲端運算風險管理與保險之法規與制度之建構所面臨之各類問題 含保險契約法、保險監理法、個資法上之問題，尤其關於被保險人、保險事故、承保範圍、不保事項、 保險金額、無過失責任之承保與加費承保事項等，依比較法規與實務之比較分析結果提供可行方案與 選擇。 1

MSPAlliance, 10 Reasons to Buy Cyber Liability Insurance (2011) available at

5

參、

研究方法

本研究兼採「比較法研究」及「風險管理式之問題解決導向」二主要研究方法。並兼用其他法學 方法如法律解釋方法及少量之對「政府法規範」(Regulation)之經濟分析。 就比較法研究以言，本文擬考察雲端運算保險發源及蓬勃之美國、歐盟(以英國與德國為例)對雲 端運算保險規範之相關法律及保險商品(尤其保單條款)。除依國別為個別研究外，並比較各國制度之 差異與優劣，尤其各國對保險單貼現商品之法律規範架構與規範內容，尤係研究與比較之重點。 至於風險管理之問題解決導向之方法，則於本研究之後段使用。蓋風險管理之步驟為：(1)發現 風險與問題，(2)發現可行之風險管理方案，(3)選擇最適化風險管理方案，(4)方案執行，(5)方案成 果檢討。如前述，我國現行雲端運算風險管理與保險制度，付之闕如，相關管理法規無論係保險法規 或規範雲端服務提供者義務之法規均有不足。本研究首就我國雲端運算可能面臨之風險為考察；次就 各該問題於可行之風險管理方法中，找尋一至數個可行之解決之道，尤其探詢以保險制度管理雲端運 算風險之可行性，亦即分析雲端運算保險於各國之現況與保單條款；最末，配合我國現行保險商品內 容與市場實況，於數可選擇之方案中，擇於吾國最適採取者，並提出法規面之立法建言。於方案選擇 過程中，少量之成本效益分析方法，亦將使用。

肆、

文獻探討

國內關於雲端運算風險管理與保險之文獻付之闕如。於國家圖書館之「台灣期刊論文索引系統」 中，以「雲端運算」與「風險管理」為篇名查詢，查獲資料為 0 筆，而以「雲端運算」與「保險」為 篇名查詢，資料亦為 0 筆。若以政治大學之「博碩士論文全文查詢系統」以「雲端運算」與「風險管 理」為篇名查詢，查獲資料為 0 筆，而以「雲端運算」與「保險」為篇名查詢，資料亦為 0 筆。而於 書籍方面，2013 年 6 月，由托比爾斯‧哈沃斯著，樂以媛及孫衛東翻譯之《向雲環境遷移》一書中， 雖有提及資安風險及相關之法律議題，然該書僅指出風險所在，確未就如何管理乙事再有論述，而關 於法律面向，亦僅強調隱私權保護予個人資料保護法制之內容，然對雲端服務提供者之法律責任問題 則未演繹，故本書僅屬介紹性書籍，對本研究助益不高。 因本研究屬新穎領域，國外之研究數量雖亦不多，然因議題集中於雲端運算之風險與保險者學術 論文、官方或實務界研究報告皆有之，甚具參考價值。於學術論文方面，Cass W. Christenson 氏於 2011 年發表之 Insurance Coverage Regarding Data Privacy, Cloud Computing, and Other Emerging Cyber Risks 一文，即指出以 CGL 保單承保雲端運算風險之不足，並藉使用者對雲端運算服務者訴訟 之案例，指出雲端運算服務提供者之風險所在，進而倡議雲端運算專門保險，惟該文對具體之保險契 約內容則未再詳究，是其所憾。Joshua Gold 氏於 2012 年所撰 Protection in the Cloud: Risk Management and Insurance for Cloud Computing 一文，則對雲端運算之風險有深度探討，並提出各 類風險管理方案及美國 SEC 關於雲端服務風險揭露之規則，然其雖提及保單中之不保事項，然未就具 體之保險事故類型予詳述，實用價值稍弱。Lance Bonner 氏於 2012 年所撰之 Cyber Risk: How the 2011 Sony Data Breach and The Need for Cyber Risk Insurance Policies Should Direct the Federal Response to Rising Data Breaches 一文，則探討 2011 年 Sony 資訊外洩之具體案例，並對美國聯邦 立法應有之回應提出具體建議，對雲端運算風險之剖析十分深入，最末並具體建議擬訂 Internet Liability and Network Protection Policy ，對保險內容亦有建議，為國外參考文獻中與本研就屬

6

性最接近者。

研究報告方面，屬歐盟官方之 European Network and Information Security Agency 於 2012 年 發佈之 Cloud Computing: Benefits, Risks and Recommendations for Information Security 報告 書詳細羅列雲端運算之可能風險極其型態與成因，並綜述其風險管理之步驟與方法選擇，於研究雲端 運算風險甚具參酌價值，為其未聚焦於保險制度，僅得供本研究之前半段參酌。至於 ACE 保險公司 2011 年之研究報告─Data Security: Protecting Private Data from Prying Eyes Poses Some Serious Risk Management Questions 中，則再次強調資安風險及保險規劃之具體策略，為研究保險實務之重要參考 資料。

伍、

結果與結論

一、雲端運算之定義與型態

雲端運算（英語：Cloud Computing），乃一種基於網際網路的運算方式，透過此種方式，共享的 軟硬體資源和訊息可以按需求提供給電腦和其他裝置2 。質言之，「雲端運算」」即「網路運算」，舉凡 運用網路溝通多台電腦之運算工作，亦或透過網路連線取得由遠端主機提供之服務等，均得歸類為「「雲 端運算」3 。使用者無庸再需了解「雲端」中基礎設施之細節，無需具有相應之專業知識，亦無需直接 進行控制，易言之，雲端運算描述了一種基於網際網路之新型態IT服務增加、使用及交付模式，通常 利用透過網際網路來提供動態易擴充功能而且經常是虛擬化之資源4 。 其主要類型有三：

1. 軟體即服務(Software as a Service, SaaS)：消費者使用各種終端裝置透過精簡之使用者介 面，即可用雲端基礎架構上之應用程式，惟並不掌控作業系統、硬體或運作之網路基礎架構；

2. 平台即服務(Platform as a Service, PaaS)：消費者使用主機操作應用程式，掌控運作應用 程式之環境並擁有主機部分掌控權，惟對作業系統未掌控，對硬體或網路基礎架構亦然；

3. 基礎架構即服務(Infrastructure as a Service, IaaS)：消費者使用處理能力、儲存空間、 網路元件或中介軟體等基礎運算資源，且可掌控作業系統、儲存空間、已部署應用程式及網路元件， 然並不掌控雲端基礎架構5 。 另以使用單位為分類，則可分： 2

Eric Knorr & Galen Gruman, What Cloud Computing Really Means,

http://www.infoworld.com/d/cloud-computing/what-cloud-computing-really-means-031 (last visited Dec. 30th 2013).

3

黃重憲，淺談雲端運算，台灣大學計算機中心電子報，第 0008 期，擷取自：

http://www.cc.ntu.edu.tw/chinese/epaper/0008/20090320_8008.htm (最終瀏覽日：2013 年 12 月 30 日)。

4

Knorr & Gruman, supra note 1. 5

Webb Henderson, Private Clouds with No Silver Lining: Legal Risk in Private Cloud Service, Vol. 85 No. 1 Digiworld J. 125, 127 (2012).

7 1. 私有雲(Private Cloud)：提供單一組織所使用，可由該組織或第三方合作單位管理與營運； 2. 社群雲(Community Cloud)：由眾多利益相仿的組織掌控及使用，社群成員共同使用雲端資料 及應用程式； 3. 公用雲(Public Cloud)：開放提供一般公眾使用服務，可由企業、學術機構或政府組織擁有、 管理與營運； 4. 混合雲(Hybrid Cloud)：結合私有雲、社群雲或公用雲兩種以上模式，提供資料與應用程式 可攜性服務6 。

二、我國雲端運算之發展及其優勢

2009 年，全球雲端運算技術及服務應用發展陸續起步。因考量台灣資通訊產業能繼續在全球雲 端運算市場取得先機與未來競爭優勢(延續既有硬體製造產業基礎優勢、因應市場變化)，行政院責成 經濟部研提「雲端運算產業發展方案」，並經2010年4 月29 日第3193 次行政院會核定通過，方案規 劃推動15 項雲端運算計畫。而院於2012 年，考量方案在國內市場各種應用需求與國際產業技術競爭 等成效檢討因素，乃責成研究發展考核委員會配合經濟部修訂方案內容，從「推動民眾有感應用」、 「奠定系統軟體基礎」、「發揮綠色節能效率」、「落實雲端基礎建設」、「建構創新應用之開發能 量」等五個面向進行調整，以民眾有感的政府雲端應用，帶動國內雲端運算產業發展，並以雲端開發 測試平台做為政府部會及雲端軟硬體業者之間的供需整合管道7 。 而在民間投資方面，2013 年 12 月初，全球搜尋引擎龍頭 Google 宣布擴大於擴大彰濱工業區「雲 端資料中心」投資規模，擬增購至少五公頃土地擴建第三期廠房，總投資金額由 3 億美元增至 4 億美 元（約新台幣 120 億元）。此一投投案，將使台灣超越香港、新加坡，成為亞太地區最大之雲端資料 中心8 。由此可知，於政府建置雲端基礎設施及有利環境與海外知名雲端服務提供者之大規模投資等公 部門與私部門配合之有利環境下，台灣於亞洲雲端服務市場居領先地位，於短期內誠可期待。 實則，雲端運算之所以迅速發展，乃因對雲端服務使用者而言，具下列優勢： 1. 達成規模經濟：因雲端服務使使用者僅以少數人力即可創造較以往為大之產值，且可減少 IT 設 備之購置，並降低維護成本，使單位生產成本降低。舉例言之，服務提供者整合大量之資源供 多個用戶使用，用戶得輕易的請求（甚或租借）更多資源，並隨時調整使用量，將不需要的資 6

European Network and Information Security Agency, Cloud Computing: Benefits, Risks and Recommendations for Information Security §1.2 (2012) available at https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-benefits-risks-and-recommendatio ns-for-information-security. 7 行政院研考會，雲端運算應用與產業發展方案， http://www.bost.ey.gov.tw/Upload/WebArchive/4725/%E9%9B%B2%E7%AB%AF%E9%81%8B%E7%AE%97%E6%87%89%E7%94% A8%E8%88%87%E7%94%A2%E6%A5%AD%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88%20.pdf (最終瀏覽日：2013 年 12 月 26 日)。 8 Google 擴大投資 台灣將成亞太最大雲端中心，聯合新聞網， http://udn.com/NEWS/FINANCE/FIN1/8337527.shtml#ixzz2olP60ful (最終瀏覽日：2013 年 12 月 26 日)。

8 源釋回整體架構，如是用戶不需因短暫尖峰的需求即購買大量的資源，僅需提升租借量，需求 降低時即可終止租賃； 2. 增加資訊儲存能量：若使用者為如金融服務業類之需大量儲存課乎資訊之產業，雲端服務提供 較大之儲存容量，却令使用者無需過度投資於資訊安全及相關儲存設備之購置； 3. 以較低廉之成本統合全球人力：全球之人力資源得藉接近使用雲端服務相互連結，彼此合作； 4. 對市場參與者進行垂直整合：以雲端平台，生產線之參與者間得藉雲端服務迅速整合並取得資 訊，以提升商品或服務之速度，如於保險業中，保險經紀人與代理人即得藉共同之雲端平台與 保險人，保險人亦得藉雲端平台與再保險人進行資源整合與資訊分享； 5. 雲端服務對使用者提供於全球各地，只需得與網際網路連線，即得隨時接近使用資訊及工作之 便利性； 6. 藉雲端平台之連結，各使用者間為彼此合作，將致力提升商品及系統之標準化，可進一步降地 生產成本； 7. 雲端服務降取得低軟體授權之成本9 。

三、雲端運算之風險及以保險管理雲端運算風險之可能性

雲端運算因處理並儲存大量個人或企業之機密或敏感資訊，則對其附隨之風險與管理，由需審慎 對應，否則風險一旦發生，如服務中斷或資訊外洩所肇生之損害，恐難估計。 (一) 雲端運算之主要風險 雲端運算之服務提供者主要面臨兩方面之風險：因自身設施故障(如技術風險)或因其他原因(如 駭客攻擊)導致系統或資料毀損及營業中斷之財產損失，及因資料外洩所致之侵權責任(如隱私權侵害、 營業秘密侵害及其他智慧財產權之侵害等)與因設備故障或遭受攻擊服務中斷而生之契約責任10 。 前開風險一旦發生，影響對象甚廣，亦將伴隨鉅額財產損失或損害賠償，恐非雲端運算服務提供 者所得負擔，如於2011年，全球最大之3C設計與製造者Sony的Playstation Network 及Qiocity Services遭駭客入侵，造成超過上億筆之客戶資訊外洩11

。同年，郵件伺服器提供者Epsilon亦因遭駭 客入侵而使超過400億個電子郵件帳號，超過全球2000個品牌之電子郵件，致客戶之電子郵件帳號曝露 於遭未授權者入侵之風險中12

。2012年3月，第三方支付之雲端服務提供者Global Payments Inc之支付

9

WERIO, 10 Benefits of Cloud Computing, http://www.verio.com/resource-center/articles/cloud-computing-benefits/ (last visited Dec. 30th 2013); Capgemini, Cloud Computing in the Property & Casualty Insurance Industry 12 (2012) available at

http://www.nl.capgemini.com/resource-file-access/resource/pdf/Cloud_Computing_in_the_Property___Casualty_Insurance_Indu stry.pdf.

10 _{Cass W. Christenson, Insurance Coverage Regarding Data Privacy, Cloud Computing, and Other Emerging Cyber Risks, 2011 WL}

601376 at 10 (2011).

11

Lance Bonner, Cyber Risk: How the 2011 Sony Data Breach and The Need for Cyber Risk Insurance Policies Should Direct the

Federal Response to Rising Data Breaches, 40 Wash. U. J.L. & Pol'y 257, 258 (2012).

9

處理系統，遭未授權者進入，致MasterCard Inc.、 Visa Inc.及American Express Co.等三大發卡公

司支持卡人個人資訊外洩，致三大信用卡公司緊急宣布將吸收持卡人因信用卡詐欺所生之一切損失13 。 前開風險，倘不有效管理，將令雲端運算使用者因其資訊管理與安全掌握於服務提供者處而對雲 端運算服務喪失信心14 ，導致市場萎縮。又， (二) 雲端運算之風險管理及保險 風險管理上，於辨識發現風險後，即需選則可行之風險管理方法。風險管理之主要方法，計有風 險規避、風險自留、風險控制、風險理財與損失控制等。風險規避不可行，因除全然斷絕使用雲端運 算服務外，別無其他規避風險之方法。至於風險自留，則需配合風險控制。所謂風險控制，乃以適當 之方法或計數降低風險之發生率之謂。如強化駭客入侵之偵測機制，加強測試與辨認系統之漏洞與安 全威脅15 或依資訊之敏感性設定不同等級之安全防護機制等均屬之16 。此些方法對風險法生率之降低固 有助益，惟其成本所費不貲，雖需為之，效果如何，難以評估，且亦不保證風險即從此不發生。準此， 以少量固定之成本，以移轉風險，並於風險發生時，由風險受移轉人承擔賠償風險之保險機制，乃成 管理雲端運算風險之可行方案。透過保險機制，除雲端服務提供者回復受損害之硬體與資訊重見之成 本及侵權或契約不履行損害賠償費用可由保險承擔外，其尚有增加使用者對雲端運算服務提供者信心 之附加價值，確為可行之風險管理工具17 。 鑒於以傳統之一般商業責任保險單(CGL)承保雲端運算服務提供者之責任風險恐有疑義18 ，美國推 出專承保雲端服務提供者之綜合保險單，承保範圍含技術之疏漏(Technology E & O)、線上侵權責任 (Cyber Liability)、契約責任(Contractual Liability)、一般責任(General Liability)及財產 (Property)等事項19

。於歐盟，如英國之ACE保險公司亦針對線上風險(Cyber Risk)，主要是資訊安全 風險，提供第一人保險(First-Party Insurance)，承保一般財產損失及第三人保險(Third-Party Insurance)即責任保險20

。澳洲因一般傳統保單無法承保雲端運算風險，亦推出專為承保線上風險之保 險單(Cyber Specific Insurance Policy)21

。由是，除服務提供者自身資訊安全及技術層面防護機制 之強化外，保險仍係管理雲端運算風險最普遍之方法。

13 _{CBS MONEYWATCH, Card Companies, US Banks Hit by Security Breach,}

http://www.cbsnews.com/news/card-companies-us-banks-hit-by-security-breach/ (last visited Dec. 30th 2013).

14

Sandy Shrum and Paul Murry, Common Risks of Using Business Apps in the Cloud 2-3 (2012) available at http://www.us-cert.gov/sites/default/files/publications/using-cloud-apps-for-business.pdf.

15

朱敬一，雲端運算之風險管理，內部稽核，102 年 10 月號，頁 30。

16 _{Gold, supra note11, at 25.} 17

Reuven Cohen, New Cloud Computing Insurance Attempts to Solve Cloud Liability Concerns For Service Providers (2013), http://www.forbes.com/sites/reuvencohen/2013/04/24/new-cloud-computing-insurance-trys-to-solve-cloud-liability-concerns-for -service-providers/ (last visited Dec. 30th 2013).

18

Christenson, supra note 10 , at 6.

19

MSPAlliance, Cloud and Managed Services Insurance, http://www.mspalliance.com/membership/cloud-msp-insurance/ (last visited Dec. 30th 2013).

20

ACE, Data Security: Protecting Private Data from Prying Eyes Poses Some Serious Risk Management Questions 12 (2011)

available at http://www.acegroup.com/global-assets/documents/Europe-Corporate/Whitepapers/SR-Data_Security_report.pdf.

21

Marsh, Cyber Risks: Understanding Your Insurance Protection 7 (2011) available at

10

四、各國雲端運算保險制度

(一)

美國

雲端風險主要來自駭客攻擊所產生之資料損失、營業中斷及雲端服務提供者因之產生之對客戶責 任。美國雲端保險所承保者即此三大類風險。責任保險承保雲端服務提供者對客戶因資料管理有過失 之責任，營業中斷保險除營業中斷損失外，至於資料損失則提供資料備份保障22 。但，對雲端使用者之 客戶而言，將資料儲存於雲端服務提供者，固然移轉部分資料滅失或遭駭客攻擊的風險，移轉與雲端 服務提供者，其自身仍需承擔營業中斷之風險，此類營業中斷，倘屬傳統營業中斷保險不保事項，即 須專門的雲端保險承保23 。但，對保險人而言，提供雲端保險之風險評估為一問題，蓋倘如洪水、地震 等天然巨災，其風險可依地理位置不同而估計其各地風險，進而釐訂費率，然雲端風險範圍、樣態、 影響所及與財產損失均非常難以估計，此亦目前雲端保險投保數量與承保之保險人數量尚屬有限的原 因24 。

(二)

歐盟

以英國為例，於設計雲端保險保單時，保險人通常會考慮被保險人之組織型態，如被保險人之受 僱人是否在辦公室以外之處所工作或將資料亦儲存於自己之筆記型電腦、平板點腦甚至手機中，甚至， 被保險人是否有在使用次承攬人為其設備進行服務與維護工作，而保險人通常對被保險人自己無法掌 握之第三人所造成之損失，不予承保25 。 雲端保險承保之對象限於駭客對被保險人之攻擊所導致之資料與硬體設備損失。至於客戶電腦或 資料之損失，則非屬承保範圍。故，關於因系統技術問題導致之毀損滅失，或因恐怖攻擊或政府組織 之入侵所造成之損失，即非屬承保範圍26 。

除第一人保險外，英國推出之雲端保險中，有承保「因私權侵害」(Privacy Breach Coverage) 者，該保險同時承保第一人保險與第三人保險，前者含危機處理與通知客戶所生之費用及民事罰款 (Civil Penalty)與因責任發生之訴訟防禦費用，後者則是承保對第三人的責任，此些責任含因錯誤接 露個資所生賠償責任、因駭客攻擊安全漏洞所生資料損失之賠償責任、因資訊內容所生之法律責任及 隱私權侵害所生之責任27 。另，亦有成立專屬保險公司進行風險移轉或再保險者28 。再者，保險人亦會 提供附隨服務，如技術支援、法律扶助、IT 安全保護機制建構之協助及刑事鑑識服務等29 。最末，未 來雲端保險之核保技術，將可透過有 IT 工程師背景之專業人員參與核保及附隨服務，以期較正確估計 風險，且保險業對實施攻擊之駭客及樣態等相關資訊，應建立資訊共享平台，以大數據分析，達成精 22

Understanding Cloud Insurance, https://www.trustedchoice.com/business-insurance/coverage-types/cloud-computing/ (last visited July 20 2015).

23 _{Lauri Floresca, Cyber Insurance 101: Cloud Computing Liability, http://www.wsandco.com (last visited July 25 2015).} 24

Id.

25

Airmic, Review of Recent Developments in the Cyber Insurance Market, http://tinu=yurl.com/lcn6r58.

26 _{Philip Rawlings, Cyber Risk: Insuring the Digital Age, Queen Mary University of London, School of Law, Legal Research Paper No.}

189/2015, at 19-20.

27

Kevin P. Kalinich, European Union Cyber Exposures and Solutions 20-24 (2013).

28

Id, at 21.

11 確之危險估計30 。

(三)

澳洲

澳洲雲端保險乃經由保險經紀人洽談訂約，其承保範圍，包括第一人保險與第三人保險。就第一 人保險而言，其承保雲端服務提供者之直接損失，含財產損失(包括有形與無形資產，如軟體、資料等)、 營業中斷、重要資訊尤其係客戶資訊的失竊等所生之損失，至於保險事故則可能含下列幾項：內部或 外部駭客攻擊、電腦病毒、程式錯誤、犯罪行為(如遭恐嚇)及硬體與系統故障或停電等事項31 。 至於第三人保險(或稱第三人責任保險)，承保雲端服務提供者對第三人應負之責任，包括：(1) 對第三人財產之損害(含無形資產之損害，包括程式、軟體等)，此一損失可能由下列保險事故所引起 ─拒絕存取、保護電腦犯罪機制不足所引起、電腦病毒之散布、軟體故障、程式錯誤等；(2)智慧財產 權之侵害(含程式專利權、著作權及營業秘密)；(3)誹謗(包括文字誹謗(libel)與口頭誹謗(slander))； (4)隱私權侵害;(5)不公平競爭；及(6)未經授權之機密資訊利用32 。

五、我國雲端運算保險之制度之設計建議與相關法律問題

(一)

制度設計

1. 保障內容

以美國、歐盟(英國)與澳洲制度觀察，雲端保險之保障應分為第一人保險與第三人責任保險，足 為我國建構雲端保險制度之我各自保障範圍圖示如下： 30 Id, at 24. 31

Marsh Academy of Risk, Cyber Risk: Understanding Your Protection 5 (2011).

12

2. 考量事項

因雲端風險為新型態風險，其與傳統財產與責任保單核保技術上有諸多差異。雲端保險之承保， 首須發現可能風險，並確認雲端服務提供者之資訊安全機制，甚至於服務上，須對雲端服務提供者提 供安全機制之改善協助。凡此，均係保險人承保雲端風險石英面臨之新技術與新挑戰。

(二)

關於強制投保的問題

強制投保，依大法官會議釋字第 473 號解釋文意旨，多發生於社會保險或政策性保險，乃政府未 達成某種政策性質之目的而舉辦之保險，通常由政府自行辦理，或由政府立法，令私部門配合辦理， 前者如全民健康保險，後者則如強制汽車責任保險33 。而雲端保險純粹係雲端服務提供者為分散自己風 險而有保險之需求，其風險雖屬新型態，惟其風險之分散，乃純粹出於商業經營判斷考量，與一般網 路公司或企業驚疑者投保財產損失保險與責任保險之目的，洵無二致，故應無強烈之政策目的而有需 將之定為強制保險之需求。 33 游淑君，兩岸強制汽車責任保險法制重要問題比較研究，2007 年，政治大學風險管理與保險學系碩士論文，頁 5。 雲端保險 第一人保險 財產損失(含有形 與無形資產損失) 營業中斷 資料失竊回復 民事罰款 通知費用 第三人責任保險 對第三人之一般財 產損害 智慧財產權侵害 隱私權、名譽權侵 害 未經授權之機密資 訊使用

13

科技部補助專題研究計畫成果報告自評表

請就研究內容與原計畫相符程度、達成預期目標情況、研究成果之學術或應用價

值（簡要敘述成果所代表之意義、價值、影響或進一步發展之可能性）

、是否適

合在學術期刊發表或申請專利、主要發現（簡要敘述成果是否有嚴重損及公共利

益之發現）或其他有關價值等，作一綜合評估。

1. 請就研究內容與原計畫相符程度、達成預期目標情況作一綜合評估

□

V

達成目標

□

未達成目標（請說明，以 100 字為限）

□ 實驗失敗

□ 因故實驗中斷

□ 其他原因

說明：

2. 研究成果在學術期刊發表或申請專利等情形：

論文：□已發表 □未發表之文稿□

V

撰寫中 □無

專利：□已獲得 □申請中□

V

無

技轉：□已技轉 □洽談中 □

V

無

其他：

（以 100 字為限）

附件二

14

3. 請依學術成就、技術創新、社會影響等方面，評估研究成果之學術或應用價

值（簡要敘述成果所代表之意義、價值、影響或進一步發展之可能性）

，如已

有嚴重損及公共利益之發現，請簡述可能損及之相關程度（以 500 字為限）

行政院責成經濟部研提「雲端運算產業發展方案」，並經 2010 年 4 月 29 日第 3193 次行 政院會核定通過，方案規劃推動 15 項雲端運算計畫。而院於 2012 年，考量方案在國內 市場各種應用需求與國際產業技術競爭等成效檢討因素，乃責成研究發展考核委員會配合 經濟部修訂方案內容，從「推動民眾有感應用」、「奠定系統軟體基礎」、「發揮綠色節 能效率」、「落實雲端基礎建設」、「建構創新應用之開發能量」等五個面向進行調整， 以民眾有感的政府雲端應用，帶動國內雲端運算產業發展，並以雲端開發測試平台做為政 府部會及雲端軟硬體業者之間的供需整合管道。 雲端服務之建構，既屬政府重點政策，面對附隨之風險，風險分散與管理機制自屬必要， 亦係雲端服務可永續發展之不可或缺要素，本研究考察各國雲端保險之現況，提出以保險 機制分散雲端風險之構想，兼具理論與實務價值。

科技部補助專題研究計畫出席國際學術會議心得報

告

日期：2015 年 1 月 20 日

計畫編

號

MOST103 －2410－H －004 － 043 －

計畫名

稱

雲端運算之風險管理與保險之法律問題研究

出國人

員姓名

張冠群

服務機

構及職

稱

政治大學/副教授

會議時

間

2014 年

09 月 28 日

至

2014 年 10

月 02 日

會議地

點

羅馬‧義大利

會議名

稱

(中文)國際保險法學會 2014 年第十四屆世界大會

(英文)

AIDA XIV World Congress 2014

發表題

目

(中文)

(英文) Insurance & Arbitration – The Taiwan National

Report

一、 參加會議經過

(一) 行程

日期

行程

說明

2014/09/25

台北─杜拜─羅馬

出發與在途

2014/09/26

台北─杜拜─羅馬

抵達

2014/09/27

羅馬

參訪 European

University of

Rome

2014/09/28

European

University of

Rome

參與 AIDA 2014 世

界大會

2014/09/29

European

University of

Rome

參與 AIDA 2014 世

界大會

2014/09/30

European

University of

Rome

參與 AIDA 2014 世

界大會

2014/10/01

European

University of

參與 AIDA 2014 世

界大會

2

Rome

2014/10/02

參與 AIDA 2014 世

界大會

參與 AIDA 2014 世

界大會

2014/10/03

羅馬─杜拜─台北

返程

2014/10/04

羅馬─杜拜─台北

抵達台北

(二) 會議經過

1. 第一天─2014 年 9 月 28 日

本日為歡迎酒會，酒會中與各國與會指保險法學術與實務界先進交流，含 英國之 Sir Bernard Rix , Julian Miller 大律師、澳洲籍大會主席 Michael Gill 及義大利 Università Cattolica del Sacro Cuore 之 Pierpaolo Marano 教授 等人，並當面邀訪台灣，參與 2015 年 10 月由台灣保險法學會主辦之保險法國 際會議。

2. 第二天─2014 年 9 月 29 日

本日上午為開幕儀式，除由主席Michael Gill及秘書長Colin Croly 致歡迎 詞外，並宣布下屆(2016年之AIDA世界大會，將於巴西召開)。緊接著為上午第一 場，由義大利AIDA分部主席Paolo Montalenti以Insurance Law between National Legal Systems and Globalisation為題發表主題演講。Montalenti教授提出國際 保險法原則之統合對內國法的影響。他舉出歐洲保險契約法原則整編，及係為統 合歐陸各國與英國保險契約法在保險契約法之重要原則，如告知義務、重複保險 等等。而在保險監理法方面，他亦舉出近期國際保險監理官組織(IAIS)發布之關 於全球系統性重要保險機構(Global Systemically Important Financial )之認 定標準對內國保險監理法規，尤其是資本適足要求的影響。 下午第一場為平行場次，張冠群教授參與由智利Osvaldo Contreras-Strauch 教授主持之「民事責任」(civil liability)場次，該場次討論四大議題：(1)損 失填補保險中，保險人應向何人為保險給付?(2)無保險利益但因事故受有損害之 第三人於被保險人死亡、失蹤或破產時對保險人有無任何請求權？(3)第三人可否 於被保險人未參與之場合直接對保險人提起訴訟？(4)保險人對第三人之請求殂 3

何抗辯？

下午第二場亦為平行場次，張冠群教授參與氣候變遷(Climate Change)場次， 該場次由英國Tim Hardy教授擔任主席，南非Birgit Kuschke及澳洲CGU Insurance 的資深研究員Chris Rodd等人擔任與談人。該場次討論因氣候變遷造成巨災損失 加劇，各國之公私協力保險及災害補償機制如何建構之問題。討論主要聚焦於洪 水保險，討論保險公司之承保能量與危險轉分機制等議題。

3. 第三天─2014 年 9 月 30 日

本日上午場次討論關於資訊揭露之主題。由義大利 Giovanna Volpe Putzolu 教授擔任主席，主要討論在締約前保險人之說明義務與誠信原則。與 談人包括義大利的 Sara Landini 及 Marco Frigessi di Rattalma 教授、德 國 Manfred Wandt 教授及澳洲 Mark Radford 教授。討論主要聚焦保險人違反 資訊透明義務之處罰，保險契約條款之說明義務及保險中介人之說明義務等 議題。 下 午 平 行 場 次 第 一 場 ， 張 冠 群 教 授 參 與 保 險 與 仲 裁 (Insurance and Arbitration)場次，張冠群教授本次代表台灣撰寫台灣關於保險與仲裁制度 之報告書(詳附件一)，經彙整後於本場次發表。本場次由義大利仲裁協會主 席 Piero Bernardini 教授主持，本場次討論重點聚焦在以替代性爭端解決機 制解決保險爭端之優劣。張教授於台灣國家報告中，提及我國大型商業保險 如工程保險、海上保險之仲裁制度，及關於消費性保險之金融消費評議制度。 其中張教授詳細指出二制度之優劣性，尤其較諸訴訟解決之迅速、成本低廉 及其與確定判決效力之比較等制度。與談時，並提出以調處(Mediation)作為 替代性爭端解決之首部曲之概念，獲參會者認同與回響。比利時 Marcel Fontaine 教授則針對比利時制度分享，並指出比利時僅針對商業保險有仲裁制度， 而仲裁制度聚焦於雙方當事人權益之平衡，可超越法律而做成仲裁判斷，較一般 法院判決較具彈性。而英國 Sir Bernard Rix 教授則認為英國 FOS 的公平合理原 則與判斷機制，在弱勢消費者之保障上，發揮極大功能。

下午第二場平行場次，張教授參加由大會秘書長英國 Colin Croly 主持 之再保險(Reinsurance)，與談人包括英國 Rob Merkin 教授、丹麥 Niels Schiersing 及美國 Richard Traub 大律師等人。討論主題聚焦於再保險與保 險人間之協力，含於和解參與、風險分攤、風險評估與核保協力、代位求償 及在保險保費訂定等議題。

4. 第四天─2014 年 10 月 1 日

本日上午為 AIDA 亞太地區會員大會，分享各國新興之保險契約法與監理

法議題，並建立合作機制，倡議定期舉辦地區會員大會。2016 年之亞太區大 會，將由澳洲舉辦，而台灣保險事業發展中心、金融消費評議中心及台灣保 險法學會(張冠群教授闈後二者代表)，則表示爭取主辦 2018 年區域大會之意 願。

下 午 平 行 場 次 ， 張 冠 群 教 授 參 與 「 新 科 技 、 預 防 與 保 險 」 (New Technologies, Prevention & Insurance)場次，由西班牙 Joaquin Alarçon 教授主持，西班牙 Felix Benito 教授、阿根廷 Eduardo Mangialardi 教授及 烏拉圭 Andrea Signorino 教授擔任與談人。本場次語言為西班牙文，但提供 英語同步口譯。本次會議聚焦於新科技衍生的新種保險需求及因新科技對核 保與費率計算之影響。新科技方面，因資訊科技發達，尤其雲端儲存技術之 發展與成熟，對財產保險則責任保險均產生需求，尤其關於個人資料之保險 及雲端服務提供者之責任保險等均為新興之議題，此部分，與本研究計畫主 題內容，完全契合。至於基因檢測，關於基因檢測技術是否適宜做為危險分 級與核保之依據，乃此部分討論之聚焦點。

5. 第五天─2014 年 10 月 2 日

本日上午場次討論線上投保(Online Insurance)相關問題。由土耳其 Samim Ünan 教授主持，波蘭 Anna Tarasiuk 博士、義大利 Pierpaolo Marano 教授、澳洲 Chris Rodd 博士及德國 Jens Gal 教授擔任與談人。討論之議題 聚焦於線上投保之保險契約成立時期，線上投保之保險人資訊揭露與警告義 務，保險仲介人於線上投保實之角色及線上投保時如何防止被保險人免於詐 欺等議題。我國亦於日前放寬線上投保之規定，本部分討論，對我國法治之 改革參酌，有即時之助益。

本日最後一場次為保險產生之差別待遇(Discrimination)問題，由南非 Birgit Kuschke 教授擔任主持人，以色列 Peggy Sharon 博士、義大利 Marco Frigessi di Rattalma 教授及比利時 Yves Thiery 博士擔任與談人。主要討 論保險和寶中的差別待遇問題，包括因基因檢測結果產生的歧視性待遇、因 性別產生的保費差異及因年齡所為之差別待遇等。與談人自保險原理、倫理 及對價平衡等較度切入，並對反歧視規則之訂立及其應有之內容等為深度闡 述。

二、 與會心得

本次會議聚焦者，悉為近年保險法之重要議題。保險法雖屬內國法，惟 其變革，不能自外於國際趨勢。歐洲保險契約法原則與 IAIS 近期對監理法規 之指引，均足為我國補充立法不足之參採。 新興議題中，關於以基因檢測結果作為保險核保與保費釐訂之工具，我 5

國保險監理官署及實務界，對此議題尚乏討論。然於隨基因解碼技術與檢測 技術已臻成熟之際，此一議題乃監理機關與保險業界無可避免應正視之問題， 本次會議關於此部分之討論，正足為我國借鏡。 至於於雲端儲存與保險部分，目前面臨之困境為保險共同團體之規模及 風險評估，尤其後者，於缺乏有效風險評估機制時，躺再欠缺再保險人之風 轉分，保險人則可能缺乏承保意願，或以較保守之方式計費，如是，則雲端 運算服務之提供者投保意願如何，又成問題。凡此，均為雲端運算大國之我 國於擬定雲端運算風險管理政策時再思考者。 關於任何保險，替代性爭端解決機制均屬重要。我國金融消費評議制度 為全世界少數針對金消費爭議成立之半官方爭端解決機構，為各國肯定。未 來，金融消費者保護法修正後，此一制度增加團體評議，本制度功能將更形 強化。

三、發表論文全文或摘要

詳見附件(一)

四、建議

1. 台灣為 AIDA 亞洲分會會員之一，具籌辦大型國際會議能量，建議未 來爭取 AIDA 亞太分會，甚至全球大會之主辦，以提升台灣保險法學研究之國 際能見度。 2. 台灣目前保險法規中，尚乏對保險人說明義務、關於系統重要性保險 公司之監理措施及對氣候變遷保險機制之規定，本次會議之資訊，足作為相 關立法新增之參酌素材。 3.關於保險替代性爭端解決機制，我國金融消費評議制度深受各國肯定， 建議將來空大適用其功能至非消費性保險，以落實替代性爭端解決功能。 4.我國日前亦開放線上投保之商品險種，但專法中對保險契約成立之始 點及如何防止保費給付之詐欺上尚乏相關規定，建議新增。

五、攜回資料名稱及內容

 會議議程表(附件二)

 相關議題簡報檔抽取式磁碟一只

6

六、其他 (會議照片)

會議進行情形

與 Insurance & Arbitration 組召集人 Piero Bernardini 教授合影

AIDA 主席 Michael Gill 教授合影

於會議看板前留影

附件一：論文全文

Insurance and Arbitration

(NATIONAL REPORT OF TAIWAN)

REPORTER: KUAN-CHUN JOHNNY CHANG∗

Proposed questions, to be answered in the light of national legislation and personal experience.

1. Is arbitration to be preferred as a method of insurance disputes resolution under a) an insurance policy; b) a commercial contract between the insured and a third party; c) a reinsurance contract?

Comment: answers may consist in identifying problems related to the use of

arbitration in view of the interrelationship among these various contractual arrangements and possible solutions (this question relates to suggested question a) under AIDA’s letter of 19 July 2012).

a) Since the establishment of Financial Ombudsman Institution in January 1 2012,

arbitration or the so called “alternative dispute resolution mechanism” becomes the preferred method of settling insurance disputes. In the year 2012, the number of insurance disputes resorted to all level of courts in Taiwan is 742,1 _{but 2086}

arbitration cases regarding insurance disputes (both claim and non-claim) were handled in the Financial Ombudsman Institute.2 _{However, pursuant to Article 4 of}

the Financial Consumers Protection Act, it does not apply to qualified institutional investors or natural persons or juristic persons with a prescribed level of financial capacity or professional expertise.

b) It is unclear whether parties of each type of commercial contract consider

arbitration as a preferred method for resolving disputes between the insured and a third party. In general, arbitration is more likely to be a preferred alternative for dispute resolution where a commercial insurance contract that involves parties from more than one sovereign state like the marine insurance, or insurance contracts included in a bundle of commercial transaction like construction insurance.

c) Arbitration has been the preferred method in resolving disputes associated with the

reinsurance contract as most of the reinsurance are underwritten by foreign reinsurers so as to avoid conflict of forums and laws among different jurisdictions.

2. What are the reasons why arbitration is to be preferred for the resolution of insurance disputes: a) choice of experienced arbitrators; b) avoidance of conflict of national jurisdictions in case of transnational relations; c) confidentiality; d) duration of the proceedings; e) limited recourse against the award; f) better

∗

Associate Professor, National Chengchi University College of Law and College of Commerce. S.J.D. with distinction, Georgetown University Law Center.

1

Judicial Yuan of ROC (Taiwan), Law and Regulations Retriving System, http://jirs.judicial.gov.tw/eng/.

2

FOI, Disclosure of Statistical Data, http://www.foi.org.tw/Area/Statistics/StatisticsAreaLIST.aspx (last visited July 30 2013).

1

enforceability of the award; g) other. What are the specific disadvantages of arbitration in insurance matters and the reasons why in certain cases national court procedures should be preferred?

Comment: answers may consist in identifying the critical aspects of arbitration

in the field of insurance and in explaining how problems may be overcome or mitigated (the reference to the choice of experienced arbitrators relates to the suggested questions c) and d) under AIDA’s letter of 19 July 2012).

In the case of Taiwan, the reason that arbitration is considered preferable approach for dispute resolution varies in accordance with the type of insurance contracts.

1. In case of personal insurance, the professionalism of the arbitrator, the speed of proceedings, and confidentiality and the cost of the proceeding are primary reasons made arbitration preferable.

(1) Professionalism: Article 17 of the Financial Consumer Protection Act (hereinafter the FCPA) provides that the Financial Ombudsman Institution (hereinafter the FOI) shall establish an ombudsman committee comprising 9 to 25 members whom shall be selected from among scholars, experts, and fair and impartial persons who possess relevant learning or professional experience, and shall be hired after their selections have been submitted to and approved by the competent authority. All ombudsman committee members shall exercise their authority in a fair and impartial manner. Regulations on the Procedure of

Arbitration and Qualification and Dismissal of Ombudsman further provides that

members of the Ombudsman Committee should be composed of: (a) university professors in the field of finance, insurance or law with experience of five years or more, (b) former directors or officers of financial institutions or ancillary service provders with experience of 10 years or more, (c) former government officials serviced in agencies of consumer protection, financial supervision,or legal department of other agencies with experience of 10 years or more, (d) former judges, prosecutors or practicing lawyers with experience of 10 years or more, and (e) former arbitrators with the experience more than 10 years of experience in handling financial disputes.

(2) Speedy proceeding: Article 18 of the Regulations on the Procedure of Arbitration

and Qualification and Dismissal of Ombudsman requires the FOI to make the

final decision within three months since the receipt of the application for arbitration. Under the premise of giving prior notice to the parties, a two-month extensionis permissible if necessary, but the extention is permissible only for one time.

(3) Confidentiality: The FOI’s obligation to maintain the confidentiality of the parties are provided in Article 19 of the FCPA. The application and any explanatory materials or concessions that one party to a financial consumer dispute submits to the other party to the dispute during the course of the dispute shall not be made public unless it is already public, or the law requires that it be made public, or the other party to the dispute has indicated consent. Unless it is otherwise provided by law, or both parties to the dispute have indicated agreement, the

ombudsman body and its personnel shall maintain confidential any financial consumer dispute materials and information pertaining to the ombudsman case to which they may become classified.

(4) Cost of Proceedings: Pursuant to Article 24 and 26 of the Regulation on the

Establishment and Governance of the Financial Dispute Resolution Institute, the

source of capital of the FOI comes from: (a) the government donation, (b) service charges levied from the financial institutions, (c) interests and other investment returns, and (d) other source of donations. Among which, the amount service charges financial institutions should pay are determined in accordance with the number and types of cases filed to the FOI. Financial institutions pay less if the case is a pure compliant or deniable for the arbitration proceeding. Service charges are higher is the case of mediation, and the highest in the case that arbitration award is rendered.

2. In the case of commercial insurance and reinsurance, it is the expertise of the arbitrators, the confidentiality, the avoidance of conflicts between national jurisdiction, and the flexibility that constitute the feasibility of utilizing arbitration as the main dispute resolution mechanism.

(1) Experience and Expertise: Most reinsurance contracts contain an arbitration clause. Arbitration clauses in reinsurance contracts are usually very inclusive so that virtually any dispute or disagreement concerning the interpretation or application of any part of the reinsurance contract, including its formation, must be decided by arbitration. This is mainly because insurance and reinsurance companies would prefer to have their disputes settled by a panel of industry experts who will decide disputes in accordance with the industry custom and practice. Article 6 of the Arbitration Law, to the great extent, emphasizes on the expertise of the arbitrators. To act as an arbitrator, a person must possess legal or other professional knowledge or experience, a reputation for integrity and impartiality, and any of the following qualifications: (a) Service as a judge or public prosecutor; (b) Practice for more than five years as a lawyer, accountant, architect, mechanic or in any other commerce-related profession; (c) Act as an arbitrator of a domestic or foreign arbitration institution; (d)Teaching as an assistant professor or higher post in a domestic or foreign college certified or recognized by the Ministry of Education; and, (e) Specialist in a particular field or profession and has practiced for more than five years.

(2) Confidentiality: In court, the dispute is on public display and anyone can sit and

watch the trial. In arbitration, the process is private and confidential. While the industry rumor mill may leak some information, the fact is that in most commercial arbitration disputes, only the parties and the arbitrator see the evidence and hear the testimony. Reinsurance arbitrations are also private, confidential proceedings that are not open to public or competitor scrutiny. This is another reason why many insurers and reinsurers would rather arbitrate than litigate. While information about arbitrations often does find its way into the industry press, especially if a party goes to court to seek to confirm or vacate an arbitration award, for the most part, the details of the award and the dispute are

kept confidential. Article 23 of the Arbitration Law requires arbitral tribunal to ensure that each party has been given a full opportunity to present its case and the arbitral tribunal shall conduct the necessary investigations of the claims by the parties and the arbitral proceedings shall not be made public unless otherwise agreed by the parties. The arbitrator shall also be independent, impartial and uphold the principle of confidentiality in conducting the arbitration.3 In addition, Article 32 of the Arbitration Law explicit prohibits the deliberations of an arbitral award from being made public.

(3) Avoidance of Conflict of National Jurisdictions: Most reinsurance agreements contain an arbitration clause that provides that disputes between the reinsurer and the reinsured be settled through arbitration because most reinsurance matters are international in character. Article 47 of the Arbitration Law provides criteria for making the foreign arbitration award enforceable in Taiwan. Generally, a foreign arbitral award refers an arbitral award which is issued outside the territory of Taiwan or issued pursuant to foreign laws within the territory of theTaiwan.4 Such award, after an application for recognition has been granted by the court, shall be enforceable. 5

(4) Flexibility: Flexibility of the process is another significant difference between litigation and arbitration. The court proceeding contains very little flexibility. The case will be tried in the courthouse, and the rules make clear how the process will unfold. In arbitration, the parties and the arbitrator may take advantage of the flexibility in selecting the vanue of the arbitration hearing—it can be held in more than one location, or the forms of proceedings—it may accpet only briefs, or hold oral argument where necessary. Because commercial arbitration is a private, confidential, and consensual procedure, the parties and the arbitrator may adopt unique methods for resolving the dispute. Article 31 of the Arbitration permits the arbitral tribunal to apply the rules of equity to determine the arbitral award where expressly authorized by the parties.

3. Are there (legal) limitations to the arbitrability of disputes in the field of insurance?

Comment: under certain legal systems not all insurance disputes are arbitrable.

Under French law, for example, article 2061 of the civil code, in its 2001 formulation, permits arbitration only when the contract is concluded in the performance of a professional activity (subject in any case to specific legal prohibitions): this excludes the validity of clauses when the insured does not act within the framework of a professional activity or when the insurer is a “mutual insurance association”.

(a) Personal Insurance where the FCPA and Related Regulations Apply

3

Arbitration Law of Taiwan, Art. 15.

4

Arbitration Law of Taiwan, Art. 47(1).

5

Arbitration Law of Taiwan, Art. 47(2).

4

In the case of personal insurance, the FCPA place restrictions on who is qualified to access the FOI’s dispute resolution mechanism, and various types of cases which are to be denied access to such mechanism.

As for the qualified party, Article 3 of the FCPA provides that only the "banking enterprises," "securities enterprises," "futures enterprises," and "insurance enterprises" as indicated by the definitions set out in Article 2, paragraph 3 of the Organic Act Governing the Establishment of the Financial Supervisory Commission are qualified respondant of the FOI arbitration process.6 On the other hand, as provided in Article 4 of the FCPA, the "financial consumer" who is eligible to accees the FOI dispute resolution mechanism includes parties that receive financial products or services provided by a financial services enterprise, but either the qualified institutional investors; or natural persons or juristic persons with a prescribed level of financial capacity or professional expertise are precuded. The qualified insittutional investors refers to (a) banking, future, securities or insurance institutions, (b) Demoestic or foreign sovereign wealth fund, mutual fund, investment trust, and other financial institutions recognized in accordance with the Investment Trust and Advisors Act and Future Trading Act. On the other hand, natural persons not qualified as financial consumer are persons who conduct the investment as a perfessional investor or professional customer defined in the Regulation of Foreign Sturcture Products, the Regulation on the Limitation of the

Transfer of Shares, Risk Discloure and Marketing of the Trust Company, Administrative Rules on the Trading Activities of Foreign Securities of the Securities Firms, Guidelines on the Dervative Business of Banks, and the Regulation on Trading Derivatives on the OTC Market.

In terms of cases not eligilbe for accessing the FOI Arbitration, Article 24 of the FCPA provides a laundry list concerning the situations where consumer applies to institute an arbitration case but the FOI shall decide not to entertain the application:

(1) The application was not filed properly.

(2) The matter is not a financial consumer dispute.

(3) The applicant did not first file a complaint with the financial services enterprise. (4) The financial services enterprise is still handling the complaint that was filed with it, and it has not yet been more than 30 days since the filing.

(5) The application was submitted after the statutory time limit. (6)A party to the dispute lacks standing.

6

Article 2, para. 3 (4) of the Organic Act Governing the Establishment of the Financial Supervisory Commission defines the “insurance enterprises” as insurance companies, insurance cooperatives, insurance agents, insurance brokers, insurance surveyors, the simple life insurance business of a postal institution, and the businesses and institutions run by other insurance service enterprises.

5

(7) The applicant has previously applied to institute an ombudsman case in accordance with this Act, and the case failed to achieve a resolution.

(8) A final and irrevocable court judgment has been rendered on the subject of an application to institute an ombudsman case, or a mediation, ombudsman, compromise, conciliation, or arbitration procedure has resulted in a successful resolution of the matter.

(9) Other situations as may be specified by the competent authority.

Where consumers’ applications are denied, the FOI shall provide written notification to the financial consumer and the financial services enterprise; provided, however, that if the situation can be corrected, the ombudsman body shall notify the financial consumer to make correction within a reasonable time limit.

(b) Commercial Contract and Reinsurance where the Arbitration Law Applies

Despite that no single article in the Arbitration Law specifically dealing with the insurance, in principle, where one of the following situations exists, the arbitral may not proceed with the arbitration and obtain an arbitral award: (1)The arbitration agreement is nullified; (2)The arbitral proceedings have derogated from the provisions of the law; (3)The arbitration agreement has not been followed; (4)The arbitration agreement is not related to the dispute for resolution; (5)The arbitral tribunal lacks the authority to arbitrate; (6) Any other reason which allows a party to apply to a court to set aside an arbitral award.7

4. Under which conditions can a non-signatory of the arbitration agreement be a party to the arbitration? Specifically, can the insurer join or be joined in a dispute arising out of a commercial contract between the insured and a third party, containing an arbitration clause?

Comment: some national legislations on arbitration permit third party’s

intervention under specified conditions. This may be the case of an insurer who, being bound to the insured under the insurance policy, is a third party in a dispute between the insured and the latter’s commercial counterparty. In the same line, the question also arises whether by virtue of a clause in the insurance contract, a third party like the reinsurer or the broker can be obliged to join the arbitration procedure.

It is suggested that an answer to the question may e.g. consist in underlining the importance of the choice of the place of arbitration (since third party’s intervention depends on the procedural rules of this place). It is also suggested that it is worth to examine at this point the importance of the arbitration place as a way to achieve a satisfactory procedural framework.

While neither the Arbitration Law nor the FCPA explicitly permits the third party to join the arbitration proceeding8, Article 19 of the Artitration Law leaves a room for the

7

Arbitration Law of Taiwan, Art. 30.

8

Fro example, Article 26 of the FCPA provides only that “The procedure for an ombudsman case shall in principle involve a consideration of documents, and the parties to the dispute shall be given an opportunity to state their opinions within a reasonable period of time. The ombudsman committee may, as it deems necessary, notify a party to the dispute

6