美國正式推行「聯邦政府風險與授權管理計畫」
2010年,美國聯邦政府展開「聯邦政府風險與授權管理計畫」(Federal Risk and Authorization Management Program,FedRAMP),在經過2年的研究與整備後,聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據,針對雲端服務的風險評估、授權管理的標準作業規範。
根據FedRAMP,雲端服務業者欲通過該計畫的評估,其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者,都必須達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。
對於雲端服務業者的評估,必須經由FedRAMP認證的第三方機構來進行審查,第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定,來驗證檢驗機構的品質與技術能力。目前為止,聯邦政府總務管理局已經公佈十個獲得授權的機構。
聯邦政府總務管理局同時並期待在2012年的年底之前,能夠有三個雲端服務提供者通過審查,然而,由於制度才剛上路不久,是否能夠跟上產業變遷的腳步並順利達成目標,仍有待進一步觀察。
- The US Government’s Latest Move In Cloud Computing-FedRAMP, Cloud Tweaks
- Computer News
- FedRAMP aims to authorize 3 cloud providers by year’s end,Government Computer News
- GSA Launches Effort to Transition Federal Government to Cloud Computing, PR Newswire
- FedRAMP takes applications for service providers, Federal Computer Week
西班牙政府要求網路搜尋引擎業者Google刪除有關於90位公民之個人資料搜尋結果。西班牙政府主張當事人具有「被遺忘之權利」(the right to be forgotten),但Google認為西班牙政府之要求將衝擊表達自由之權利。目前全案已進入訴訟程序。 該事件之主因為西班牙民眾發現透過網路搜尋引擎,可以搜尋包含地址、犯罪前科等個人資料。經民眾向西班牙隱私權保護機關(Spain Data Protection Agency)提出申訴後,西班牙政府命令Google刪除申訴民眾之個人資料之搜尋結果。 然而,Google的全球隱私顧問Peter Fleischer於個人部落格中提出個人意見,表示目前歐盟並未對於推行之「被遺忘之權利」給予明確定義,此舉將引起資訊科技發展與法律規範間之爭議。 近來歐盟所進行之民意調查指出,多數歐洲人希望能夠隨時要求網路公司刪除於網路上公開之個人資料,也就是希望擁有「被遺忘之權利」。所謂「被遺忘之權利」,係指只要是於網路上流傳且容易被搜尋之個人資訊,例如年代久遠或是令人尷尬的內容,當事人皆有權利要求刪除。 然而,根據1995年歐盟隱私保護指令(EU Data Protection Directive)所制定之各國個人資料保護法,對於「被遺忘之權利」並無著墨。故有些專家認為,為因應資訊科技之發展,應透過個人資料保護法制之修訂,確認此權利之存在,以避免模糊不清之情形。
中國大陸開發資訊系統,加強落實電子出版物書號管理國家新聞出版廣電總局繼2011年底頒布《音像電子出版物專用書號管理辦法》後,歷經3年整備,去(2014)年底終完成「音像電子出版物專用書號實名申領資訊系統」開發,並於今(2015)年一月上線運行。預計透過此資訊系統,將能簡化書號申領、核發許可程序,落實「中國標準書號」(簡稱中國ISBN)及其配套之「書號實名制」推動。 同時,為配合系統運作,亦修訂《音像電子出版物專用書號管理辦法》,明文要求出版單位應安排、訓練專人從事相關書號的申請管理,及賦與出版單位對於申報內容、出版物品質及出版活動嚴格的自審責任。對於違規使用ISBN者,新法亦明文宣示主管部門可以按相關法規給予處罰,除採取警告發出責令改正的行政罰外,並有罰金的適用。 可以預期的是,在音像電子出版物專用書號實名系統的推動執行下,中國大陸關於電子出版物行政管理過程中的統計、查找、選擇、獲取等將建立統一性更透明的單一標準。正面而言,將促成電子書有秩序的發展環境,改善過去一號多書、買賣書號等亂象。另一方面而言,也表示電子書之出版,將趨於嚴格、減少模糊空間。
美國提出個人資料安全及外洩通報法草案華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉,其旨趣,在於統一美國各州不同個資外洩通報法,並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 Pryor法案曾於2007年提出,惟當時未能通過,其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容,在要求處理及儲存消費者私人資訊,諸如「社會安全碼」〈social security numbers〉之企業,一旦發生資料外洩事件,需對國家提出通報,如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險,則應於發現個資外洩六十日內通知受影響之消費者。 Pryor法案之適用對象甚廣,故有認為,該法一旦通過,其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act,簡稱GLBA〉後的模範法典,其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉,但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度,因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報,但對「損害門檻」並無明確定義。此外,受影響之企業似無實行適當風險評估之誘因,除需耗費大量成本評估外洩事件是否超過損害門檻外,尚需面臨企業名譽受損與客戶不滿之損失,在個資外洩要素風險指導原則付之闕如之情形下,企業恐無法客觀地評估自身個資外洩之風險。故有建議,解決之道,應明定損害門檻,並聘請外部專家或使用市場新工具,訂定客觀的指導原則,使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 就資訊安全部分,此法案揭櫫於其通過一年內,美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定,要求擁有或處理含有個人資料或契約之企業,必須建立並執行蒐集、使用、出售,及其他傳播、維持個人資訊之資訊安全政策,以達保護個人資料之目的。
政府採購電腦 強制採雙作業系統過去中信局的標案,大多以提供兩種不同的作業系統,供政府機關及學校等公務單位選購,但因大多數的政府機關不瞭解辦公室的電腦是否與 Linux 相容,加上缺乏資訊專業人員,最後絕大多數仍以採購視窗作業系統為主。 由於今年立法院在審查預算時,加了附帶決議,要政府機關採購微軟產品的金額要減少 25% ,故中信局最近在執行政府資訊產品採購時,首度強制投標的個人電腦業者,要通過「 Linux 軟硬體相容性基本驗證規範」,從第 11 標開始(案號 LP5 940025 ),明訂投標的廠商要提供符合「基本中文化實用性測試應用規範」(具備瀏覽器、電子郵件、文書處理等功能)的 Linux 作業系統,並通過「 Linux 軟硬體相容性基本驗證規範」。換言之,未來桌上型電腦出貨都必須採雙作業系統( Linux 與 Windows 並存),可望有效帶動 Linux 相關軟硬體的商機。 中信局指出,第 11 標從 5 月 25 日 公告後,到 9 月底結束,交貨期從 6 月中旬開始,總計今年要採購的 10 萬台到 12 萬台桌上型電腦,都必須是雙作業系統。也就是使用者一打開電腦,會出現 Linux 或 window 作業系統,若要讓使用者選擇 Linux 作業系統,業者得強化教育訓練,同時在後續維修服務也要相當用心。預料各公務單位將因此提高桌上型電腦採用 Linux 的意願,對 Linux 作業系統及相關應用軟體的商機,起相當大的帶動作用。