雲端法律漫談
資訊外洩的風險控制與責任分擔機制
文／圖 朱瑞陽律師

從法律制度的角度來看「雲端服務」，本即有諸多面向可以討論。同時也因「雲端服務」未來變化樣態的差異而有相當的複雜性，以目前還處初期萌芽發展階段，似難有全面性的觀察。因此，嘗試以初淺所知，提供淺見以作為討論與對話的基礎。

---

雲端技術與服務是近年來政府與IT產業共同推廣的新資訊服務架構。不論是軟體廠商與硬體廠商都冀望這樣的服務模式能創造另一波的資訊高峰。特別是已有許多嶄新雲端服務模式而引起市場關注的話題。例如Google等成功案例。 然而在雲端服務下，不論是「架構即服務(IaaS)」、「平台即服務(PaaS)」或「軟體即服務(SaaS)」等，從服務導向說明雲端服務的不同架構；或以服務對象而區分「公共雲端」、「私有雲端」或「混合雲端」等，都是由軟硬體服務業者提供企業用戶的委外服務，或本身即以外部服務滿足用戶的資訊需求，當然也隨時因為時空與創意的發想，而有更多變化「雲端」出現，而使得雲端服務呈現其多樣面貌。
身分認證
「雲端服務」最為資訊業界以及用戶疑慮的莫過於儲存於「雲端網路」的資訊，不論是因為駭客入侵或委外廠商盜賣資料或用戶本身的內部人洩露，乃至於軟體服務本身存在的漏洞都是風險來源。
要控制外洩的風險，除了技術與勾稽資訊使用者的狀態外，要使用「雲端服務」，其身分認證的工具確實具有相當的重要性。而工具的選擇，究其實際至少是要取代現行多數人使用的「通關密語」式的身分認證，而改從更具安全性的OTP的密碼控制或指紋辨識等具有一定的風險控制機能。
然從使用服務的軌跡來看，為了能夠有效追蹤與辨識使用者的身份來源，使用「電子憑證-PKI」機制，就登入「雲端系統」與使用或寄送資訊並以電子簽章簽署留下使用者證據，當能取得辨識度與舉證責任強的軌跡。例如應用工商憑證或金融憑證等。當然，該憑證以IC晶片卡方式作為其載具應是基礎的要求，以避免電子憑證遭駭客複製或竊取。

法規遵循
就不同行業的用戶，對於資訊管理的要求本即有其差異。例如醫療機構與金融機構對於病歷資料與金融資訊的控制要求，有其行業特性與資訊敏感度的差異，自然衍生出不同的資訊保護的法規要求。

不同法規遵循的差異
從「雲端服務」擬以提供架構性或軟體或平台性服務，其服務供應商所架構的平台應符合個別法規要求的服務水準。也因此，「雲端服務」的行業特性差異化也將因法規範的差異而會有不同的「法規遵循」要求。同時，因緣於此基礎差異，「雲端服務」勢必也將出現「專業領域」的服務提供者，以符合不同專業領域的客戶需求。植基於此，對應不同的產業，勢必會有不同專業領域從專業知識know-how所存在的差異化市場，也對應產生不同的法規遵循要求而存在的差異化「雲端服務」。


「個人資料」與「營業秘密」保護
從用戶所能掌握的資料，上傳到「雲端網路」應用。其保護的對象，大致可以區分為「個人資料」或「營業秘密」。


個人資料保護將是提倡雲端服務面臨的課題
如從「個人資料」保護著眼，現行「電腦處理個人資料保護法」對於非公務機關有其適用行業的限制。如以未來修法通過後的「個人資料保護法」觀之，對於所有公私部門均有適用，勢必需要對於「個人資料」的保護從企業用戶保護觀點，轉以「雲端服務提供者」(Cloud Service Provide, CSP)是否能妥適保護「個人資料」以維護個人隱私權，將是未來幾年提倡「雲端服務」將面臨的課題。


協助企業用戶舉證善加保護
輔以「雲端服務」已然將原本屬於企業用戶應當承擔的管理責任，轉由CSP負責控管保護責任，如發生「個人資料」外洩事件，CSP是否得以協助用戶主張已盡專業注意之舉證責任，而得以減免賠償範圍或可以以此免除企業負責人之可能面對的處罰，以協助舉證證明已盡防止義務，將是CSP面對「個人資料」保護措施的新視野。


營業秘密保護
至於用戶將「營業秘密」，儲存在「雲端網路」，而該「雲端網路」是否能符合用戶對於營業秘密的內部保護措施要求，除了應注意「營業秘密保護法」對於營業秘密保護條件外，也將是CSP提昇客製化服務的基石。


應用第三方存證機制
由於雲端服務架構是將用戶核心資料置放在CSP的設施中，對於資料保存的安全性與信賴性將是用戶或用戶的客戶可能面臨的疑慮。
例如，運用第三方存證機制搭配前文所提電子簽章之憑證機構的公信力，亦可提昇信賴服務等級並強化資料保護機制。同時，應用此存證機制，對於使用雲端服務所生爭議，亦可適時扮演「黑盒子」的舉證與記錄功能。當然，此第三方存證機制的選擇與交易敏感度以及資料價值具有正相關性，自不待言。


資訊責任保險機制
當CSP已經成為委外服務的主流系統，那麼對於資訊的不當外流或竊取等資料外洩事件，是否得以透過責任保險機制將可能的風險共同轉嫁由保險機構分散，將是「雲端服務」產業面臨的課題之一。
例如，CSP的共同責任保險，可以有效分散風險並且可以透過「保費減價機制」引導建立資料保護的管理制度。即符合一定資料保護等級或建立經認證的資料保護制度（例如ISO27001或未來經濟部擬推動的個人資料保護標章）的CSP或用戶可以減少保費，以引導其保護資訊做好「個人資料」或「營業秘密」的保護措施，以為減免風險的制度設計。從而建立資訊保護的管理制度可以有效控制風險，並且以其為保費減價之依據，將是可以引導落實保護儲存於「雲端網路」的資訊。


「雲端導線」的責任分擔
利用網路存取到「雲端」，此連線斷線或雲端當機無法提供服務時，對於用戶而言， CSP是否可以提供如同企業內建置的MIS資訊部門即時的客戶服務將是一大挑戰。同時，其所衍生的服務品質進而產生的合約賠償責任，則有賴於雙方合約對於服務品質要求，以及就此「雲端連線」的斷線與不穩定性詳加規範。特別是如何要求CSP的內部管理符合資料保護的服務等級，以免發生資料外洩風險也是在合約規範中應予以確認的事項。


控制資訊外洩風險創造高信賴的雲端服務
總括而言，雲端服務前景無限，然CSP應如何確保資訊安全以免資訊外洩造成無限賠償責任進而影響企業經營存亡，也是不得不重視的風險管理課題。因此，除了雲端運算要有創新價值外，對於雲端服務的風險分散以及法律制度的連結應用，以創造低風險、高信賴的雲端服務也是可以整合推動的範疇。