紐西蘭IT專家組織2012年5月發布雲端運算實務準則

  紐西蘭最為歷史悠久的IT專家組織(Institute of IT Professionals NZ)於2012年5月發布雲端運算實務準則(Cloud Computing Code of Practice),藉此彌補實務上缺乏雲端運算標準與實務指針的問題;本準則為自願性遵循規範,以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之,並可向公眾宣示其已遵行此準則,然倘若未遵行而為遵行之宣示,則屬誤導或詐欺行為而觸犯公平交易法(Fair Trading Act 1986)。本準則有四個主要目標:1. 促進紐西蘭雲端產業的服務標準;2. 確立應揭露(disclosure)的標準;3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示;4.強化紐西蘭雲端運算產業的整合性。

 

  依據此準則,雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面,業者應表明是否對所上載的資料或資訊主張所有權;而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時,業者應確認其資料所有權之歸屬。

 

  在資料管理與保障層面,業者應表明遵從何種資訊安全標準或實務,其已向美國雲端產業聯盟(Cloud Security Alliance)進行STAR登記,或者已通過其他標準的驗證;此外應表明儲存資料伺服器之一處或多處所在地。再者,業者亦須表明服務關係繼續中或終止後,業者或客戶對於客戶所擁有資料之存取權限。

 

  在服務提供的適當管理措施上,包含業者的備份(Backup)程序及維護措施,皆應為揭露,使用戶得據以評估是否採取進一步的資料保護措施;此外包括服務的繼續性要求,如備援措施…等,亦應為揭露;又鑒於雲端服務有地理多樣性(Geographic Diversity)的特質,業者應使用戶知悉其提供服務、或營業活動的地點,以判斷此等服務可能適用的法權(Legal Jurisdiction)。

 

  依據此準則,雲端業者亦可例如透過服務水準協議(Service Level Agreement)對個別用戶承諾特別的服務支援方案,以提供更好的服務品質。

本文為「經濟部產業技術司科技專案成果」

相關連結
相關附件
※ 紐西蘭IT專家組織2012年5月發布雲端運算實務準則, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=5797&no=0&tp=1 (最後瀏覽日:2026/07/17)
引註此篇文章
你可能還會想看
從歐盟、新加坡固網法規檢視台灣高速寬頻環境發展困境

歐盟個資保護委員會對英國個資傳輸適足性認定之意見

  英國自2020年1月31日正式脫離歐盟後,即成為歐盟跨境傳輸的「第三國」。能否持續和歐盟國家進行個資傳輸,就須視歐盟對英國跨境資料保護方式和《一般資料保護規範》(General Data Protection Regulation,GDPR)有無認定雙方具有本質上相同的保護程度,又稱為「適足性」(adequacy)的認定。目前,歐盟給予英國跨境傳輸過渡期到2021年7月,在此之後若希望持續不受限制的交流,就須經歐盟執委會(European Commission, EC)通過適足性認定後才得以進行。   2021年2月19日,歐盟執委會提出草案,認為英國的個資保護標準與歐盟的「GDPR」、「執法機關資料保護指令」(Law Enforcement Directive,LED)有適足性之適用。又在4月14日,歐盟個資保護委員會(European Data Protection Board, EDPB)針對歐盟執委會於2月19日所做的認定草案提出兩項意見: 一、肯認英國現行國內資料保護的核心架構中有關個資保護、處理及控制者的要件及處理方式和GDPR的保護程度並駕其驅。另,肯定英國「2018年資料保護法」(Data Protection Act 2018)中有關GDPR及LED的適用及對「英國資訊委員辦公室」(Information Commissioner’s Office, ICO)所賦予的權利及義務。   但同時,EDPB也向歐盟執委會提出以下幾點注意事項: 英國政府若發展獨立的個資保護政策,將可能與歐盟的保護架構分歧,造成個資保護程度降低。 「2018年資料保護法」中的「移民豁免」政策,讓資料控制者在處理移民相關資料時有廣泛的例外,得免於遵循GDPR之義務。 從英國將歐盟成員的資料傳給「第三國」時,該「第三國」本身需要具有基本上等同於GDPR的資料保護程度,才得允許傳輸。 針對英國政府出於國家安全目的,將個人資料傳輸到英國境內,而有義務免除或特殊情狀時,歐盟執委會應進一步了解或審核。 二、 認為英國法律框架中的核心要件實質上與LED的基礎原則具有高度一致性。因此建議歐盟執委會引入四年的日落條款(four-year sunset clause)方式,並密切觀察英國資料保護的發展,在必要時得以要求修改或終止LED適足性的決定。   針對以上問題,歐盟執委會希望能在6月底前廣納各國意見並做出決定。屆時,若通過適足性認定,其效期將延續4年,之後再進行適足性評估。並可能在英國開始制定相關的適足性及資料保護架構時,歐盟執委會得將其納入定期審查的項目中,以確保歐盟的個資跨境傳輸進入英國後,仍受適當的保護。

美國法院暫時禁止聯邦政府資助所有胚胎幹細胞研究

  美國哥倫比亞特區聯邦地方法院於今(2010)年8月23日作出暫時禁制令(preliminary injunction)的裁定,要求聯邦政府不得資助胚胎幹細胞(embryonic stem cell)之研究。本案是源自於2009年歐巴馬總統以行政命令(Executive Order 13505號)將小布希政府時代對胚胎幹細胞研究之限制予以放寬,讓科學家使用民間經費所製造之胚胎幹細胞株進行研究時,可申請聯邦經費的支持,美國國家衛生研究院隨後並提出人類幹細胞研究指導方針。   不過,對於此項新政策,部分保守團體及宗教團體也紛紛表示不滿,並進而支持成體幹細胞(adult stem cell)研究者James Sherley在內的原告,以衛生部違反聯邦法規,並且影響其申請經費為由,向法院提出訴訟。本案承審法官Royce Lamberth認為,1996年國會通過「Dickey-Wicker修正案」已禁止以聯邦經費資助毀壞人類胚胎的所有研究活動,而胚胎幹細胞研究必然伴隨著人類胚胎的毀壞,因此本案有違反Dickey-Wicker修正案之虞。在原告具有聲請暫時禁制令的要件下,包括勝訴可能性、無法彌補之損害、利害權衡以及公共利益等,裁定發出暫時禁制令。   這項裁定震撼了美國行政部門及科學界,過往對於Dickey-Wicker修正案,自柯林頓政府以降,行政部門均理解為聯邦政府不得資助毀壞人類胚胎之研究,但對於使用民間經費所製造之胚胎幹細胞株,則不在此限。因此本案法官之看法實已挑戰行政部門十多年來之共識,本案後續將如何判決,以及是否將促使行政部門提出法律修正案直接規範,將是後續觀察重點。

創投業景氣欠佳,政府扮演助力角色

  在網路泡沫化之後,曾經在九○年代紅極一時的資金投資機構 -- 創業投資 (Venture Capital) 也歷經了前所未有的低潮。創業意願的低落、股市的低迷,使得創投在投資目標的選擇與投資的回收上,都面臨很大的瓶頸。   然而近期以來,在美國,一股對創投支撐的力道,正逐漸成形。這股力量正是來自於各州的政府。目前在美國,除了六個州之外,各州的政府均積極投入創投產業,希望透過創投的中介功能,發展產業。各州政府經由創投發展的產業,主要有生技、醫療設備、軟體、電信、能源、半導體與網路等。   各州政府希望透過創投,發展當地的產業,並提供就業機會。在這波的潮流之下,四十四個州所支持的 151 支創投基金,已為創投業者帶來一股新的希望。

TOP