行政院國家科學委員會專題研究計畫 成果報告
從個人資料保護的觀點論雲端運算科技
研究成果報告(精簡版)
計 畫 類 別 : 個別型 計 畫 編 號 : NSC 100-2410-H-004-003- 執 行 期 間 : 100 年 01 月 01 日至 100 年 07 月 31 日 執 行 單 位 : 國立政治大學法律學系 計 畫 主 持 人 : 劉定基 計畫參與人員: 碩士班研究生-兼任助理人員:賴雪梅 公 開 資 訊 : 本計畫涉及專利或其他智慧財產權,1 年後可公開查詢中 華 民 國 100 年 10 月 31 日
中文摘要: 雲端運算(cloud computing),亦即「個人(包括自然人、法人及 其他團體)將其所擁有之資訊,儲存於由他人管理、運作之遠端 資料中心上,並利用網際網路存取該等資訊之電腦資源利用方 式」,是目前政府及民間積極推動、發展之產業。然而,雲端 運算服務讓使用者透過網際網路,不受時間、地點限制,隨意 存取資料之便利性,卻同時對資料主體之資訊隱私產生嚴重衝 擊。 從個人資料保護之觀點出發,雲端運算服務主要涉及之法律問 題包括「資料主體」、「雲端服務提供者」與「第三人」三方 間之法律關係。此外,在使用雲端運算服務時,由於相關當事 人未必清楚了解在特定時間,個人資料究竟儲存於何處(國)之 遠端資料中心,此一特徵是否對個人資料之保護產生不利影 響,在法制上又應如何因應,亦值得加以研究。 針對上開問題,國內外目前之研究均處於起步階段。惟相關法 制面之不確定因素除不利於人民資訊隱私/個人資料之保護外, 亦恐對雲端運算產業之健全發展產生負面影響。準此,本計畫 之目的即在於及早從新近通過之「個人資料保護法」之觀點, 深入檢視雲端運算相關法律問題、提出建議,俾供將來相關討 論或執法參考。
英文摘要: Cloud computing, which involves the storage by users of their information on remote data centers owned and operated by others and access through the Internet—is a fast growing business. However, while cloud computing allows its users easy access to their information at anytime and anywhere, as long as there is internet connection, the technology brings serious data security and privacy concerns.
From the personal data protection point of view, cloud computing service requires the study of legal relations among data subjects, cloud computing srvice providers, and third parties. In addition, since relevant parties may not know where personal data is located geographically at any particular time, it is also worth considering whether this characteristic may have adverse impact on data protection, and how the law should respond.
The issues mentioned above have not yet been thoroughly studied. The legal uncertainty surrounding cloud computing may not only affect the protection of individuals’ information privacy, but also hinder the development of the business. Thus, this research project aims to comprehensively review the related issues based on the newly enacted Personal Data Protection Act, and to provide suggestions for law enforcement and further discussion in this field.
一 一一
一、、、 研究計畫之、研究計畫之研究計畫之研究計畫之緣由緣由緣由緣由及目的及目的及目的及目的
依據歐盟 European Network and Information Security Agency 之報告,全世界雲端運 算服務之產值於 2009 年為 174 億美元,預估至 2013 年則將大幅提高為 442 億美元 。 就我國而言,不論公、私部門亦均將雲端科技視為現階段與未來重點推動、發展之項目, 例如:根據媒體報導,政府及中華電信於未來 5 年,將分別投入新台幣 240 億及 640 億, 發展雲端運算產業及相關服務 。 然而,雲端運算服務讓使用者透過網際網路,不受時間、地點限制,隨意存取資料 之便利性,卻同時對資料主體的資訊隱私產生嚴重之衝擊。新近通過之「個人資料保護 法(下稱「個資法」)」係落實憲法保障資訊隱私權之重要工具,惟該法草案草擬時,雲 端運算技術之應用尚未普及,故該法相關條文是否足以因應雲端運算服務提供者、資料 主體,以及第三人間因資料蒐集、處理及利用所產生之法律關係,抑或有必要針對雲端 運算技術之特性予以檢討修正,實有待研究。 針對上開問題,國內外目前之研究均處於起步階段。在此同時,雲端運算服務在政 府及民間大力之推動下,早已蓄勢待發,惟相關法制面之不確定因素除不利於人民資訊 隱私/個人資料之保護外,亦恐對雲端運算產業之健全發展產生負面影響。準此,本計畫 之目的即在於及早自個人資料保護之觀點,深入研究雲端運算技術可能產生之法律問題、 提出建議,俾供將來相關討論或執法參考。 二 二二 二、、、 結果與討論、結果與討論結果與討論結果與討論 有關「雲端運算」之定義及分類,學界目前仍未有一致之看法。本研究將其定義為: 「個人(包括自然人、法人及其他團體)將其所擁有之資訊,儲存於由他人管理、運作之 遠端資料中心(data centers)上,並利用網際網路存取(access)該等資訊之電腦資源利用方 式」。雲端運算雖是一種新興之電腦資源利用方式,但並不是一項新科技,一般大眾早 已熟悉並大量使用的網路郵件服務(如:Google 的 Gmail),即是雲端運算技術應用之例。 雲端運算技術雖然使個人得以隨時透過網際網路存取相關資訊,為生活帶來極大之 便利,然而,隨著此一技術之普及與快速發展,對於個人資訊隱私也產生相當威脅。例 如,美國「電子資訊隱私中心(Electronic Information Privacy Center)」即曾於 2009 年 3 月向美國聯邦交易委員會(Federal Trade Commission)檢舉 Google 相關之雲端服務(如:
Google Docs, Gmail, Desktop)未能確保使用者之資料安全、易遭駭客攻擊、侵害使用者
2
除了美國以外,其他國家或區域組織亦逐漸開始關注雲端運算技術可能造成之個人 隱私威脅。例如:英國資訊保護官辦公室(Information Commissioner’s Office)於 2009 年
12 月提出之「線上個人資料實務準則(Personal Information Online Code of Practice)」中,
即特別針對雲端運算可能產生之問題加以討論;同屬大英國協之加拿大,其安大略
(Ontario)省「資訊及隱私保護官(Information and Privacy Commissioner)」於 2010 年 5 月
發表之報告,強調應將隱私保護觀念融入雲端系統之設計中(privacy by design),方能落 實個人隱私/資料之保護;德國之資料保護機關亦分於 2010 年 6 月 18 日及 2011 年 10 月 13 日提出雲端運算相關法律意見及指導方針,就雲端運算可能涉及的法律問題,以 及雲端運算服務使用者及提供者間之契約內容提出強行及建議規定。至於在區域組織方 面,歐盟網路及資訊安全局(European Network and Information Security Agency)亦於 2009 年,從資訊安全之觀點,分析雲端運算技術之優勢及風險,並提出相關建議。 歸納上述國家或組織初步之研究,從個人資料保護之觀點出發,雲端運算服務主要 涉及「資料主體」、「資料蒐集、處理者(可能同時為「雲端服務提供者」)」及「第三人」 等當事人間之法律關係。這些問題及其對應我國個資法之規定,可以舉例說明如下: 1、 準據法(亦即我國之個資法是否適用,尤其是資料處理中心設置於我國領域外 知情形)。 2、 雲端環境的資訊安全標準及維護計畫(個資法第 18 條及第 27 條)。 3、 第三人取用(access)儲存於雲端之資訊相關問題(個資法第 9 條、第 16 條及第 20 條)。 4、 有關個資法第 21 條國際傳遞規定於雲端環境的適用。 5、 是否有必要課與資料蒐集、處理者一定之義務,藉由其與雲端服務提供者間之 法律關係(通常為契約約定事項),間接達成保障資料主體權益,貫徹我國個資 法各項規定之意旨(德國資料保護機關指導方針參照) 6、 關於特殊敏感性資料部分(個資法第 6 條),於何種情形下,得由資料蒐集、處 理者儲存於雲端資料中心,也可能必須於施行細則中予以釐清。 三 三三 三、、、 研究成果自評、研究成果自評研究成果自評研究成果自評 本研究計畫之研究成果已初步撰寫成「雲端裡的隱私:雲端運算與個人資料保護」 一文(初稿);然由於法務部於日前(100 年 10 月 27 日)方公告個人資料保護法施行細則 草案,目前正依據草案就初稿進行增補修改,完成後預計投稿於大學法律學刊,期望能 對個人資料保護法在雲端運算所產生法律關係之適用上,提供初步之建議。
我國雖早於 1995 年即有「電腦處理個人資料保護法」之制定,但該法之執行及落 實,卻一直有所欠缺,不但在行政及司法實務上,未能累積足夠案件,即便在學術研究 上,亦少對該法個別條文之適用問題,進行深入分析,以致許多法律疑義一直未能釐清。 新近通過之「個人資料保護法」及方才公告之施行細則草案,雖係進一步落實憲法保障 資訊隱私權之重要工具,惟面對不同事業(社群網站、媒體…等)、具體個案,該法究應 如何適用,值得長期觀察,在本研究之基礎上,仍應持續追蹤相關爭議問題以及實務與 學說之討論,以釐清相關爭議,並針對法制不足之處,適時提出必要之修正建議。 四 四四 四、、、 參考文獻、參考文獻參考文獻參考文獻 (一)中文文獻 王郁琦,優質網路社會下個人資料保護法制之因應,台灣科技法律與政策論叢,第 5 卷 第 2 期,2008 年 12 月。 吳兆琰,論政府資料探勘應用之個人資料保護爭議,科技法律透析,第 19 卷第 11 期, 2007 年 11 月。 呂丁旺,淺析修正「個人資料保護法」,月旦法學,第 183 期,2010 年 8 月。 李治安,當法律漫步在雲端,法學新論,第 25 期,2010 年 8 月。 林俊宏,數位化時代個人資料隱私之問題,月旦法學教室,第 55 期,2007 年 5 月。 邱文聰,從資訊自決與資訊隱私的概念區分—評「電腦處理個人資料保護法修正草案」 的結構性問題,月旦法學,第 168 期, 2009 年 5 月。 馬特,誰謀殺了隱私?—從「人肉搜索」看隱私權的困境與出路,月旦民商法雜誌,第 24 期,2009 年 6 月。 張玉琦,羅之盈,Web 2.0 之後的另一場革命—雲端風暴來襲,數位時代,173 期,2008 年 10 月。 許華偉、吳兆琰,政府資訊業務委外涉及個人資料保護法律責任分析及因應建議,科技 法律透析,第 20 卷第 12 期,2008 年 12 月。 陳起行,台灣法律資料庫及其個人資料之保護,法令月刊,第 59 卷第 6 期, 2008 年 6 月。 湯德宗,電腦處理個人資料保護法 2008 修正草案評釋,發表於「台灣法學會 2008 年年 度法學會議」,台灣法學會,2008 年 12 月。 蒲樹盛,創新科技環境下的資訊管理重點—雲端資訊安全、個資隱私保護、營運持續服 務,品質月刊,第 46 卷第 7 期,2010 年 7 月。
4 劉靜怡,隱私權保障與數位資訊社會,月旦法學教室,第 57 期,2007 年 7 月。 劉靜怡,不算進步的立法:「個人資料保護法」初步評析,月旦法學,第 183 期,2010 年 8 月。 劉靜怡,雲端運算趨勢與個人資訊隱私保護,全國律師,第 14 卷第 2 期,2010 年 2 月。 (二)英文文獻 1、書籍
Tim Mather et. al., Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance (2009).
John W. Rittinghouse & James Ransome, Cloud Computing: Implementation, Management, and Security (2009).
Espen Torseth, Privacy and Accountability in the Cloud: Based on Exploring Private and Accountable Storage in Distributed and Dynamic Environments (2009).
2、期刊論文
Suzanne Bell, Cloud Computing: Privacy, Data Security and Cross-Border Transactions, 1010 PLI/Pat 125 (2010).
Nicole Black, Lawyers Should Not be Wary of Cloud Computing, 72 Tex. B.J. 746 (2009). Chris Chatman, How Cloud Computing is Changing the Face of Health Care Information
Technology, 12 No.3 J. Health Care Compliance 37 (2010).
David A. Couillard, Defogging the Cloud: Applying Fourth Amendment Principles to Evolving Privacy Expectations in Cloud Computing, 93 Minn. L. Rev. 2205 (2009). Andrew C. Devore, Cloud Computing: Privacy Storm on the Horizon?, 20 Alb. L.J. Sci. &
Tech. 365 (2010).
Rebecca S. Eisner & Mark A. Oram, Clear Skies or Stormy Weather for Cloud Computing? Critical Privacy and Security Contracting Issues for Customers of Cloud Computing, 1018 PLI/Pat 409 (2010).
Jane Horvath, Cloud Computing Issues, 1006 PLI/Pat 263 (2010).
Colin P. McCarthy, Paging Dr. Google: Personal Health Records and Patient Privacy, 51 Wm. & Mary L. Rev. 2243 (2010).
Nicole M. Murphy, Cyberspace & the Law: Privacy, Property, and Crime in the Virtual Frontier, 94 Minn. L. Rev. 1303 (2010).
William Jeremy Robison, Free at What Cost?: Cloud Computing Privacy under the Stored Communications Act, 98 Geo. L. J. 1195 (2010).
Doors in the Web 2.0 Era, 8 J. Telecomm. & High Tech. L. 359 (2010).
Mark H. Wittow & Daniel J. Buller, Cloud Computing: Emerging Legal Issues for Access to Data, Anywhere, Anytime, 14 No.1 J. Internet L. 1 (2010).
Mark H. Wittow, Cloud Computing: Recent Cases and Anticipating New Types of Claims, 1010 PLI/Pat 175 (2010).
R. Bruce Wells, The Fog of Cloud Computing: Fourth Amendment Issues Raised by the Blurring of Online and offline Content, 12 U. Pa. J. Const. L. 223 (2009).
Larry N. Zimmerman, Cloud Computing: Possible Lurking Dragons are Real, 78-May J. Kan. B.A. 14 (2009).
國科會補助計畫衍生研發成果推廣資料表
日期:2011/10/31國科會補助計畫
計畫名稱: 從個人資料保護的觀點論雲端運算科技 計畫主持人: 劉定基 計畫編號: 100-2410-H-004-003- 學門領域: 行政法無研發成果推廣資料
100 年度專題研究計畫研究成果彙整表
計畫主持人:劉定基 計畫編號: 100-2410-H-004-003-計畫名稱:從個人資料保護的觀點論雲端運算科技 量化 成果項目 實際已達成 數(被接受 或已發表) 預期總達成 數(含實際已 達成數) 本計畫實 際貢獻百 分比 單位 備 註 ( 質 化 說 明:如 數 個 計 畫 共 同 成 果、成 果 列 為 該 期 刊 之 封 面 故 事 ... 等) 期刊論文 0 1 100% 研究報告/技術報告 0 0 100% 研討會論文 0 0 100% 篇 論文著作 專書 0 0 100% 申請中件數 0 0 100% 專利 已獲得件數 0 0 100% 件 件數 0 0 100% 件 技術移轉 權利金 0 0 100% 千元 碩士生 1 1 100% 博士生 0 0 100% 博士後研究員 0 0 100% 國內 參與計畫人力 (本國籍) 專任助理 0 0 100% 人次 期刊論文 0 0 100% 研究報告/技術報告 0 0 100% 研討會論文 0 0 100% 篇 論文著作 專書 0 0 100% 章/本 申請中件數 0 0 100% 專利 已獲得件數 0 0 100% 件 件數 0 0 100% 件 技術移轉 權利金 0 0 100% 千元 碩士生 0 0 100% 博士生 0 0 100% 博士後研究員 0 0 100% 國外 參與計畫人力 (外國籍) 專任助理 0 0 100% 人次其他成果
