從推動體系及法制架構思考我國文化創意產業發展之整合以南韓推動組織與法制架構為例

歐洲創新理事會發布2026年EIC技術報告，揭示25項深具發展潛力的新興技術訊號 資訊工業策進會科技法律研究所 2026年05月25日 歐洲創新理事會（European Innovation Council, EIC）於2026年3月30日發布「2026年EIC技術報告」（EIC Tech report 2026，下稱EIC報告），提出25項新興技術訊號（signal），亦因相關技術極具發展潛力，將可能塑造歐洲未來的科技創新、產業和市場。 壹、事件摘要 EIC根據歐盟展望歐洲（Horizon Europe）科技研發架構計畫之申請、補助及專案管理資料，並涵蓋旗下近五年探路器計畫（EIC Pathfinder）、轉型器計畫（EIC Transition）及加速器計畫（EIC Accelerator）等超過13,380 件提案與獲補助案件，透過資料探勘及專家評估進行前瞻技術掃描，歸納出25項深科技新興技術訊號，並強調相關技術目前處於低至中度成熟階段，但已顯現未來發展潛力與創新性。 貳、重點說明 一、EIC報告辨識25項新興技術訊號，並分為三大領域 （一）數位與太空技術（Digital and space technologies） 1. 技術重點 此領域共9項技術，主要涉及先進半導體、安全運算架構、AI系統、量子通訊，以及太空基礎設施，顯示歐盟將數位主權、資訊安全及太空能力視為核心布局方向。 2. 技術簡介 9項技術包含：用於先進記憶體與憶阻裝置的二維材料（2D materials for advanced memory and memristive devices），有助於新型記憶體及神經形態運算技術發展；可量產之工業電磁設備的MXene二維奈米材料製造技術（Scalable MXene manufacturing for industrial electromagnetic applications），可應用於通訊、汽車電子、感測與新世代無線基礎設施；用於建立無須信任節點量子網路的量子中繼站（Quantum repeaters for trusted-node-free quantum networks），可突破量子通訊距離限制，使量子訊息於數百甚至數千公里距離下被安全傳輸；用於分散式及聯邦式學習之AI系統中的零信任架構（Embedded Zero Trust Architectures for distributed and federated AI systems），可強化對AI模型與資料運算的控制能力；應用於新興自我組織及資源效率系統之仿生AI技術（Bio-inspired AI for emerging self-organising and resource-efficient systems），借鏡神經科學、認知科學與演化生物學原理來設計AI系統，使其具備更高適應性、穩健性與資源效率；將自適應代理人用於開放動態環境中之具身AI技術（Embodied AI for adaptive agents in open and dynamic environments），將感知、內部認知、模擬行動能力等緊密結合之AI系統，並於開放環境中持續互動學習，主要用於支撐機器人、AI自主代理、數位孿生，以及其他需連續決策、長時程的智慧系統；用於大規模且可通訊中斷之衛星運作的邊緣運算技術（Edge computing for scalable and loss-tolerant satellite operations），將資料處理分析能力直接部署於衛星或軌道平台上，使其即時篩選、分類與判讀資訊，並支援自主決策，可用於深空任務、地球觀測、太空碎片管理；用於特殊太空環境之石墨烯塗層與複合材料（Graphene-based coatings and composites for performance-critical space systems），將石墨烯整合為薄膜、塗層、填充材料，提升太空機械之強度、阻隔能力及輻射防護效果，並廣泛應用於太空領域；用於軌道基礎設施維護與再利用之先進太空維修機器人技術（Advanced in-space servicing robotics for orbital infrastructure maintenance and reuse），使機器人於太空環境下進行機械操作、檢查、維修、對接等複雜性任務。 （二）清潔和資源效率技術（Clean and resource-efficient technologies） 1. 技術重點 此領域共7項技術，此類重點在於資源回收、水汙染處理與資源再利用、提升能源效率及綠色建築技術等，反映歐盟將淨零轉型與關鍵原物料供應安全一併納入政策目標。 2. 技術簡介 7項技術包含：用於再生金屬回收與生物復育之微生物採礦技術（Microbial biomining for secondary metal recovery and bioremediation），運用微生物與金屬間的交互作用，實現金屬回收，並同時修復重金屬污染之生物技術；用於低耗能海水淡化與水處理之電容去離子技術（Capacitive deionization systems for low-energy water desalination and treatment），新穎、低用電之新型水處理技術，用於海水淡化、工業及都市廢水處理、重金屬或養分去除，以及分散式水資源處理與回收；去除污染物之電化學水處理技術（Electrochemical treatment systems for destruction of persistent contaminants in water），利用電化學反應在水中直接化學轉化或礦化分解全氟及多氟烷基物質（PFASs）、微塑膠及奈米塑膠等高度持久性污染物之水處理技術；用於低溫及中溫廢熱回收之先進熱電發電材料技術（Advanced thermoelectric materials for low- and mid-temperature waste heat recovery），將交通建築系統與回收產業中之低溫及中溫廢熱能，轉為電力的材料技術，可提升能源效率，並降低對外部能源與關鍵材料的依賴；用於固態熱電轉換與感測之熱激發自旋電子材料技術（Spin-caloritronic materials for solid-state heat-to-electricity conversion and sensing），利用熱梯度引發之自旋電流與磁性激發產生電能的材料技術；用於預測材料製造之結合數位孿生之反算設計技術（Inverse design with digital twins for predictive materials manufacturing），運用AI驅動之逆向設計方法，以目標性能反推材料配方與結構，並透過數位孿生模擬真實環境表現，建立快速、可預測且貼近實際應用情境的新材料設計與製造流程；被動冷卻與重力儲能之能源建築技術（Passive cooling and gravity-based storage for energy-active buildings），利用建築表面的先進材料於不耗電情況下降溫，並將多餘再生能源以重力位能方式儲存於建築內，藉以降低建築冷卻用電需求、儲存局部多餘再生能源等。 （三）生物科技與健康技術（Biotechnologies and health） 1. 技術重點 此領域共9項技術，橫跨食品、生物製造、精準醫療、智慧醫療設備及分散式醫療應用，顯見歐盟關注的不只是單一生技或醫療技術突破，而是期望建立從生物研發、生產製造、臨床治療到醫療設備部署的完整體系，藉此強化歐盟下一代健康科技與高價值生技產業的競爭力與自主能力。 2. 技術簡介 9項技術包含：用於原形食物製造之菌絲體混合發酵技術（Mycelium-based hybrid fermentation for whole-food production），結合菌絲體生長與精準發酵，生產接近原型食物型態的新型蛋白食品原料；用於再生農業系統之生物技術多年生作物（Biotech-enabled perennial crops for regenerative agricultural systems）以生物技術改良多年生作物，使其兼具較佳產量與土壤保育效益，支撐再生農業與更永續的糧食生產系統；用於預防與個人化治療之新型微生物體療法（Novel microbiome therapeutics for preventive and personalised health），利用人體微生物群的組成、功能及其代謝產物，來預防、管理及治療疾病的新一代醫療技術；加速藥物與酵素探索之AI驅動蛋白質設計技術（Computational protein design for accelerated drug and enzyme discovery），透過AI預測蛋白質結構與功能，加速藥物與酵素探索，縮短新藥研發時程；可量產之嵌合抗原受體免疫細胞療法之自動化製造技術（Automated manufacturing technologies for scalable CAR immune cell therapies），以自動化、標準化製程提升嵌合抗原受體（Chimeric Antigen Receptor, CAR）免疫細胞療法的穩定量產能力，降低細胞治療製造門檻；可於細胞尺度介入治療之生物混合微型機器人（Biohybrid microrobots for cellular-scale therapeutic interventions），結合生物組件和人工材料的微型機器人，形成可於細胞或微小組織尺度中移動與作用的治療工具，可用於精準遞藥、微創介入與局部治療；整合手術流程之自主機器人系統（Autonomous robotic systems for integrated surgical workflows），將AI、計算機視覺、感測技術及機器人技術，整合進手術流程中，並於無人或少人參與下，執行部分自主或高階輔助手術任務，可提升手術精準度、效率與流程整合；用於神經疾病治療之非侵入式微創腦機介面技術（Noninvasive and minimally invasive brain interfaces for adaptive therapeutic modulation），透過非侵入或低侵入方式讀取與調控腦神經訊號，以實現持續、可調適的治療介入，可用於神經疾病治療與復健；提供分散式臨床場域應用之可攜式超低場磁振造影（Portable and ultra-low field magnetic resonance imaging for distributed clinical uses），使磁振造影（Magnetic Resonance Imaging, MRI）設備朝攜帶式、低磁場化發展，降低設施與操作門檻，利於偏鄉、急診與分散式臨床試驗之醫學影像診斷應用。 參、事件評析 EIC報告辨識出25項新興技術訊號，並將其歸納為數位與太空技術、清潔和資源效率技術，以及生物科技與健康技術三大領域。該報告不僅有助於歐盟及早掌握具發展潛力之新興深科技方向，亦可作為研發政策制定、創新支持措施規劃及投資判斷之重要參考依據。 此外，EIC報告以「技術訊號」作為分析單位，顯示歐盟有意於新興技術尚未成熟前，提前進行辨識、評估與布局，除保障創新競爭力外，亦可避免在未來關鍵技術競爭中受制於人。 就政策意涵而言，EIC報告不僅有助提升歐盟對前瞻科技治理的能力，亦有助於串聯創新支持工具、產業政策與戰略技術平台，進而形塑較為完整的科技治理體系。對我國而言，EIC採取資料探勘與專家判讀並行之新興技術訊號偵測機制，對我國科研成果運用、前瞻技術治理及國家科技政策規劃，均具有相當參考價值。

美國財政部投資安全辦公室發布有關對外投資審查議題的法規預告 資訊工業策進會科技法律研究所 2024年09月16日 隨著地緣政治局勢升溫，國際主要國家為強化技術保護，並防止資源持續流入國族國家敵對勢力（Nation-state adversaries），有研議新增「對外投資審查」為監管工具的趨勢，例如歐盟執委會（European Commission）於2024年1月發布「對外投資白皮書」（White Paper on Outbound Investments），以及美國總統拜登於2023年8月9日發布《第14105號行政命令》（Executive Order 14105，以下簡稱《對外投資命令》），確立美國應增設對外投資審查制度之目標。 壹、事件摘要 為了落實《對外投資命令》，美國財政部（Department of the Treasury）投資安全辦公室（Office of Investment Security）於2024年7月5日發布「有關美國於關切國家投資特定國家安全技術與產品」的法規預告（Notice of Proposed Rulemaking：Provisions Pertaining to U.S. Investments in Certain National Security Technologies and Products in Countries of Concern，以下簡稱法規預告），將半導體與微電子、量子資訊技術以及人工智慧列為三大目標監控領域。 依據法規預告，未來「美國人」（U.S. Person）若從事涉及「特定外國人」（Covered Foreign Person）的三大「特定領域活動」（Covered Activity）投資交易，除合乎例外交易（Excepted Transactions）情形外，皆屬未來對外投資審查法規的管轄範圍。 貳、重點說明 以下簡介法規預告的重點規範內容： 一、三大特定領域活動：包含半導體與微電子、量子資訊技術以及人工智慧三個領域。 二、美國人：指美國公民、美國法定永久居留權人、任何依照美國法律設立或受美國管轄的法人實體（Entity），及任何在美國境內的自然人。 三、關切國家：指中國大陸，並包含香港及澳門地區。 四、特定外國人：指「屬於關切國家的個人或法人實體，並從事三大特定領域活動者」，具體而言包含關切國家公民或法定永久居留權人、政府單位或人員、依關切國家法律設立的法人實體、總部位於關切國家的法人實體等。 五、雙軌制：法規預告將對外投資分為兩大交易類別，即「禁止交易」（Prohibited Transactions）及「通報交易」（Notifiable Transactions）。原則上投資若涉及三大特定領域活動且屬於法規預告指定之「先進技術項目」者，為禁止交易；未涉及先進技術項目，則屬通報交易。 六、半導體領域之禁止交易： 鑒於半導體產業對於我國影響重大，且亦為我國管制重點項目，以下簡要說明半導體領域之禁止交易： （一）先進設計：禁止任何涉及超出美國《出口管制規則》（Export Administration Regulation, EAR）的「出口管制分類代碼」（Export Control Classification Number, ECCN）3A090.a技術參數，或可於4.5克耳文（Kelvin）以下溫度運作的半導體先進設計相關投資。ECCN 3A090.a技術參數係指半導體「總處理效能」（Total Processing Performance, TPP）為4800以上；或TPP為1600以上且「性能密度」（Performance Density, PD）為5.92以上者。 （二）先進製造： 禁止涉及以下項目的先進半導體製造相關投資： 1.使用非平面晶體管架構（non-planar transistor architecture）或16奈米、14奈米或以下製程技術的邏輯晶片。 2.具有128層以上的快閃（NOT-AND）記憶半導體。 3.使用18奈米以下半週距製程技術的動態隨機存取記憶體（dynamic random-access memory）晶片。 4.使用鎵化合物（gallium-based compound）的化合物半導體。 5.使用石墨稀電晶體（graphene transistors）或奈米碳管（carbon nanotubes）的半導體。 6.能於4.5克耳文以下溫度運行的半導體。 （三） 先進封裝：法規預告禁止任何使用先進封裝技術的半導體封裝相關投資。先進封裝係指「以2.5D及3D進行半導體封裝」，例如透過矽穿孔（through-silicon vias）、黏晶或鍵合技術（die or wafer bonding）、異質整合等先進技術進行半導體封裝。 （四） 電子設計自動化軟體（electronic design automation software，以下簡稱EDA軟體）：禁止開發、生產用於先進半導體設計或先進封裝的任何EDA軟體。 七、不採取逐案審查模式：法規預告不採取逐案審查模式，而係由美國人自行判斷投資類型為禁止或通報交易。 八、通報程序：原則採取「事後通報」模式，美國人應於通報交易完成日（completion date）後的30個日曆天（calendars day）內，透過財政部對外投資安全計畫（Department of the Treasury’s Outbound Investment Security Program）網站進行通報，並應將相關需求文件提供予財政部，如投資交易雙方的交易後組織結構圖（post-transaction organizational chart）、交易總價值及其計算方式、交易對價描述、交易後對特定外國人的控制狀況等。 九、例外交易： 法規預告的例外交易主要包含兩大類別，分述如下： （一） 技術不當外流風險較低的例外交易：某些交易類型的技術不當移轉風險較低，若實質上亦未賦予美國人超出「標準少數股東保護範圍之權限」（rights beyond standard minority shareholder protections），則此種投資即可排除於法規預告外，例如於公開交易市場的證券買賣、買斷關切國家法人實體的所有權，以及不取得管理決策權或出資金額低於100萬美元的有限合夥投資等。 （二） 基於其他外交、政治因素的例外交易：若交易發生於美國境外，且經財政部部長認為該國或地區已具備足以應對國安威脅的措施，或經財政部認定為對國家安全有利的交易，皆可排除於法規預告的管轄之外。 參、事件評析 美國財政部發布對外投資的法規預告，顯示出美國政府認為既有技術管制措施，如出口管制、營業秘密及對內投資審查等，已不足以涵蓋對外投資所生之技術外流風險，且對外投資若涉及關鍵領域的先進技術，所帶來的無形技術移轉利益，可能遠大於投資資金本身。 我國基於兩岸情勢及國安考量，自1992年以來即透過《臺灣地區與大陸地區人民關係條例》第35條，就赴中國大陸之投資進行審查。隨著地緣政治複雜化，加諸我國處於半導體等關鍵產業供應鏈的重要地位，我國應持續關注及研析美國等國家之對外投資審查制度發展，以利定期檢視相關機制的妥適性，並達到維護產業競爭力及防範先進技術遭到不當外流之目標。

　　美國聯邦第六巡迴上訴法院於2016年4月13日就U.S. v. Timothy Ivory Carpenter & Timothy Michael Sanders案作出判決，裁定執法機關在未取得搜索令的情況下要求出示或取得手機位置記錄，並不違反憲法增修條文第4條。美國憲法增修條文第4條規定：「人人具有保障人身、住所、文件及財物的安全，不受無理之搜索和拘捕的權利；此項權利，不得侵犯；除非有可成立的理由，加上宣誓或誓願保證，並具體指明必須搜索的地點，必須拘捕的人，或必須扣押的物品，否則一概不得頒發搜索令。」 　　本案事實係聯邦調查局取得兩名涉及多起搶劫案之嫌疑人的手機位置，而根據手機位置之相關資料顯示，於相關搶案發生之時間前後，該二名嫌疑人均位於事發地半英哩至兩英哩的範圍內，故該二名嫌疑人隨後被控多項罪名。在肯認與個人通訊相關之隱私法益的重要性的同時，聯邦第六巡迴上訴法院認為，「縱使個人通訊之內容落於私領域，但是為了將該些通訊內容自A地至B地所必須之資訊，則非屬私領域之範疇。」聯邦第六巡迴上訴法院拒絕將憲法增修條文第4條的保護延伸至像是個人通訊或IP位址等之後設資料(metadata)，其原因在於，蒐集此等資訊或記錄並不會揭露通訊的內容，因此本案之嫌疑人就聯邦調查局所取得之資訊並無隱私權之期待。法院認定，此等行為不同於自智慧型手機取得資訊，因為後者「通常而言儲存了大量有關於特定使用人之資訊。」 　　2015年11月9日，美國聯邦最高法院拒絕審理Davis v. United States案，該案係爭執搜索令於執法部門要求近用手機位置資料時之必要性。加州州長Jerry Brown於2015年10月亦簽署加州電子通訊法(California Electronic Communications Act, CECA)，該法禁止任何州政府的執法機關或其他調查單位，在未出示搜索令的情況下，要求個人或公司提供具敏感性之後設資料。

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).