歐洲理事會提出糧食安全年度策略研究議程以整合歐盟研究能量

淺析侵害智慧財產權與定暫時狀態假處分－以智財法院102年度民暫字第3號裁定為例 資策會科技法律研究所 法律研究員 盧藝汎 106年03月22日 壹、背景說明 　　數位經濟的進步，智慧財產權受侵害的方式日趨多樣，從過去以實體面對面交易，到電視購物提供平台供買賣兩方遠端交易，再走到網路購物，網路已成為最便利的交易平台。為此，我國智慧財產局（下稱智財局）於2013年曾計畫修法，針對伺服器設置於境外的網站，如其網站大量專從進行網路侵權行為、或其內容有重大明顯侵害著作權者，智財局得經一定法定程序，令網路服務提供者（即ISP）以封鎖網際網路位址(Internet Protocol Address)或網域名稱系統(Domain Name System，簡稱 DNS)進行封鎖，使該等侵權內容無法透過連結進入我國境內[1]，惟各界反對聲浪頗多，經漫長討論後仍回歸由司法程序處理之方向，而停止推動由行政機關封鎖境外侵權網站修法[2]。 　　惟回歸到司法認定後，針對智慧財產權於境外網站受侵害之情況，如有意向法院提起訴訟，即面臨到須先確認境外網站為何者之問題。為避免在曠日費時的調查期間，侵權行為仍持續進行，對權利人造成損害，即有必要探討向法院提起定暫時狀態之假處分以封鎖該境外網站，避免損害持續擴大。爰此，本文以下便以被侵害人針對境外網站侵害智慧財產權之情形，提起定暫時狀態假處分時所面臨之問題，以智財法院102年度民暫字第3號裁定為例進行討論。 貳、境外網站與平台提供者之侵權關係 　　有關智慧財產權侵害類型可分為「直接侵害」及「間接侵害」。前者係指完全符合構成智慧財產權侵害之法定要件；後者則係相對於前者而言，雖未構成直接侵害，惟其行為可認為對侵害智慧財產權之行為構成誘引或幫助[3]，如提供場所、工具、服務、系統等[4]。 　　然而，網路服務提供者是否應就其使用者之侵權行為負擔法律責任，存有不同見解。有認為因其提供使用者平台，自應負擔共同侵權責任[5]；亦有認為，其服務提供性質上為民法上居間[6]，既未直接參與交易且獨立於當事人外，如有侵害智慧財產權，應僅負擔間接侵權責任；另有認為其概念與土地出租人同，故亦僅係負擔間接侵權責任[7]。 　　查民法第185條有關共同侵權責任之成立不以犯意聯絡為必要，其個別過失行為所生損害之共同原因如關聯共同，亦足成立共同侵權行為[8]。從而，共同侵權行為之成立，仍以個別行為具有故意或過失而成立侵權行為為必要，縱為幫助犯亦須有幫助之意思，尚無法遽認網路服務提供者提供平台必然應負共同侵權責任。而仍需就電視購物平台或網路服務提供者是否對侵害智慧財產權有主觀上的認識，進行個案事實判斷。綜上，網路服務提供者就使用者侵害智慧財產權，尚無從直接逕認屬直接侵權或間接侵權，應就具體個案認定是否構成民法上共同侵權，如成立共同侵權，性質上應屬直接侵權；反之，則為間接侵權。 　　是我國著作權法第3條第1項第19款，無論是提供搜尋服務的Google、提供二手交易平台的露天、Yahoo奇摩等拍賣網站、提供我國網域登記的財團法人台灣網路資訊中心或是管理境外網際網路位址網域名稱系統之中華電信等，均屬網路服務提供者。依前開說明，如使用者僅係利用其等而侵害他人智慧財產權，網路服務提供者並非共同侵權之行為人，其侵權行為僅係「間接侵害」。 參、定暫時狀態假處分之定義 　　於智慧財產權民事案件中，雖專利法、商標法、著作權法未有規定訴訟前應提起何程序，以保全其權利。然核其性質究屬民事爭議，是我國智慧財產權遭到侵害或有被侵害之虞時，權利人尚未向法院提請排除該侵害之訴訟前，就雙方爭執之法律關係，為防止發生重大之損害或避免急迫之危險或有其他相類似之情形而有必要時，自得按民事訴訟法第538條第1項規定，向法院聲請定暫時狀態假處分。復按智慧財產案件審理法第22條第2項規定，聲請定暫時狀態之處分時，聲請人就其爭執之法律關係，為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要之事實，應釋明之；其釋明有不足者，法院應駁回聲請。 　　從而，法院審理智財權案件之定暫時狀態假處分須符合以下要件：㈠有爭執法律關係存在；㈡聲請人釋明[9]有定暫時狀態之必要性[10]。 肆、司法實務間接侵權與定暫時狀態假處分之運用 　　統一製藥股份有限公司（下稱統一製藥）主張其為「我的美麗日記及圖」商標權人，並於其官網設有「我的美麗日記」面膜之防衛查詢。然「Tenghoo」竟以統一製藥官網之「beautydiary」ㄧ字之差改為「beautydairy」向財團法人台灣網路資訊中心（下稱資訊中心）註冊網域名稱，且其網頁內容與統一製藥官網幾乎相同，並使用「我的美麗日記」註冊商標。為此，統一製藥以「Tenghoo」及「資訊中心」為相對人向智財法院聲請定暫時狀態假處分，請求「Tenghoo」停止使用網域名稱及網頁內容，及「資訊中心」停止使用「Tenghoo」網域名稱。法院最終認定，「Tenghoo」應停止其於「資訊中心」註冊之網域名稱[11]；然「資訊中心」因依法僅形式審查是否符合申請條件，統一製藥未積極「釋明」[12]該中心與「Tenghoo」有何共同或幫助侵權之情事，且該中心亦陳明如經法院裁定「Tenghoo」禁止使用命令後，亦會停止「Tenghoo」之使用，聲請人目的亦可達成而欠缺聲請必要性，是對該中心聲請部分予以駁回[13]。 　　由上裁定可知，網路服務使用者（即直接侵權人）如有侵害智慧財產權之行為，且符合前揭定暫時狀態假處分之要件，法院得裁定命使用者暫停使用。至於相關之網路服務提供者是否有間接侵權，則需由被害人「釋明」與其是否有「爭執之法律關係」，且如法院已命使用者暫停使用，則對間接侵權人聲請亦欠缺「必要性」之要件。換言之，權利人對間接侵權人聲請定暫時狀態假處分必要性之有無，與對網路服務使用者有無定暫時狀態假處分具有程度上的依從關係；此外，權利人尚需就「爭執法律關係」及「必要性」雙重要件為「釋明」。 　　舉例言之，被害人如發現境外網站侵害其智慧財產權，因需費時查知該網站為何人所有，於得知前先向我國法院聲請中華電信暫停該境外網際網路位址，此際固可認有提起必要性，惟爭執之法律關係，依前開法院裁定尚需釋明間接侵權人有「幫助」使用者之情事，於我國網域聲請公司或搜尋網站連結至境外網站均採形式審查之情形下，尚難認構成該項要件，故權利人對間接侵權人聲請定暫時狀態假處分將十分困難。 伍、代結論 　　　目前司法實務對平台或網路服務提供者是否構成間接侵權，係由個案事實中具體判斷是否對網路服務使用者（直接侵權人）有「共同」或「幫助」侵權之主觀意思。又因智慧財產案件審理法有關定暫時狀態假處分之規定與民事訴訟法幾無二致，故被害人於聲請人需釋明與間接侵權人有何爭執之法律關係，以及有何必要性。 　　必要性之審理，如網路服務使用者已受法院命令而須暫停使用，此際對間接侵權人提起定暫時狀態假處分當無必要性；然若無法知悉網路服務使用者為何人，實務上雖可能認有提起必要性，惟爭執之法律關係因我國網域聲請公司或連結至境外網站之搜尋平台均採形式審查之情形下，尚難認已釋明間接侵權人有「共同」或「幫助」使用者之意思，實務未考量間接侵權與直接侵權不同性質，逕認間接侵權人未有「共同」或「幫助」情形，未盡釋明爭執法律關係為由駁回聲請，對於權利人受間接侵權之程序保障恐怕有所不足。 　　考量科技發展使智慧財產權侵害型態有所變更，現行規定對間接侵權提起定暫時狀態假處分需釋明間接侵權人有「共同」或「幫助」使用者，此將放任無法確悉使用者為何人之情形擴大損害，故宜就間接侵權部分修正智慧財產案件審理法，使被侵害者在無法知悉使用者為何之情形，仍得藉定暫時狀態假處分制度避免其損害擴大。 [1] 境外侵權影音網站 將修法封鎖／智慧局增訂條文 立院下會期審查，http://news.ltn.com.tw/news/life/paper/681280（最後瀏覽日：2017/3/22）。 [2] 歡呼吧！智財局封侵權網政策急轉彎，決定罷手不封了，http://www.techbang.com/posts/13534-give-it-up-chi-choi-tort-net-policies-threw-it-back（最後瀏覽日：2017/3/22）。 [3] 楊宏暉，＜論專利權之間接侵害與競爭秩序之維護＞，《公平交易季刊》，第16卷第1期，頁99至頁100(2009)。 [4] 李揚，＜日本著作權間接侵害的典型案例、學說及其評析＞，《法学家》，第6期，頁53(2010)。 [5] 民法第185條：「數人共同不法侵害他人之權利者，連帶負損害賠償責任﹔不能知其中孰為加害人者，亦同。造意人及幫助人，視為共同行為人。」可資參照。 [6] 民法第565條：「稱居間者，謂當事人約定，一方為他方報告訂約之機會，或為訂約之媒介，他方給付報酬之契約。」可資參照。 [7] 馮震宇，＜網路服務提供者商標間接侵權責任之研究＞，《智慧財產權月刊》，第175期，頁10至頁11(2013)。 [8] 參司法院六十六年六月一日例變字第一號。 [9] 釋明則係指當事人提出證據，使法院產生較薄弱之心證，相信其主張之事實大致可信之行為，最高法院99年度台抗字第768號、98年台抗字第913號裁定參照。 [10] 必要之有無實務上以利益衡量原則為判准，最高法院98年度台抗字第359 號裁定意旨參照。另可參智慧財產案件審理細則第37條第3項規定「法院審理定暫時狀態處分之聲請時，就保全之必要性，應審酌聲請人將來勝訴可能性、聲請之准駁對於聲請人或相對人是否將造成無法彌補之損害，並應權衡雙方損害之程度，及對公眾利益之影響。」 [11] 對使用網域侵害智慧財產權之使用者聲請定暫時狀態假處分，另可參智財法院105年度民暫抗字第9號裁定及105年度民暫抗字第4號裁定，iTutor Group及英美語言訓練股份有限公司爭議案。 [12] 對網路服務提供者提起定暫時狀態假處分，實務上另有智財法院105年度民暫字第11號裁定，聲請人向法院聲請臉書、google、露天等公司應將其廣告放置網路上，然經法院認因聲請人未釋明與該等公司有何法律關係之爭執而駁回聲請。 [13] 參智慧財產法院102年度民暫字第3號裁定。

　　美國聯邦第二上訴巡迴法院於去年12月9日做出判決，維持先前佛羅里達州南區地方法院對於 Perfect Web Tech. 公司之專利第6,631,400號(以下簡稱專利400號)做出該專利無效之簡易裁決。第二上訴巡迴法院在 Perfect Web Technologies Inc. v. InfoUSA Inc. 一案中對於判斷一項專利的顯而易見性 (obviousness) 上，“常識”(common sense)所代表的意義做出解釋。 　　此案最初係由 Perfect Web Tech 控訴InfoUSA 侵害其所持專利400號，該專利為 “一種管理大批 (bulk) 電子郵件傳送到各不同鎖定目標的方法”。專利400號包含了4道程序，第一至第三道程序包含將大批的電子郵件寄送到一鎖定目標對象的群組，並計算當中寄送成功的數量。第四道程序則為重覆程序一至三，直到寄送成功的數量超過原設定的最低成功數量。對此InfoUSA向法院提出裁定專利400號無效的簡易裁決，而地方法院以 “程序一至三為先前技術 (prior art)，程序四則僅為合乎邏輯的常識做法”而准予該請求並裁定專利400號無效。 　　第二上訴巡迴法院維持原判的理由在於專利400號不符合於KSR案中關於 “顯而易見性”的判斷原則。訴訟雙方皆同意程序一至三為先前技術，而法院認為程序四是 “常識”下的產物， “是一般人都顯然會去嘗試的結果”。Linn 法官更進一步指出像這樣的案子根本不需要專家證詞，只需用一般人的常識判斷即可。但是判決中亦同時聲明，若要援用 “常識”來判斷一項專利的顯而易見性，地院或專利審查官必須要能將判斷的依據解釋清楚以受公評。此判決結果意味著如果係爭的專利技術較為複雜，被告將必須要依賴有利的專家證詞以成功證實爭論的要點僅止於常識運用且具有顯而易見性。

　　世界經濟論壇（World Economic Forum, WEF）於2020年11月10日發表「2020年十大新興科技報告」（Top 10 Emerging Technologies 2020），報告中提出10個近年出現，且被認為在未來5年內最具有正面改變社會潛力的新興科技，並說明除了關注這些科技帶來的改變外，也應關注其引發的風險。 　　2020年全球最密切關注的議題為健康與氣候變遷，也因此2020年被認為具有發展潛力的新興技術均與這兩個議題有關，包含：（1）無痛注射與測試用的微針技術（Microneedles）；（2）太陽能化學（Sun-Powered Chemistry）利用可見光將二氧化碳轉換為普通材料，可作為合成藥物、清潔劑、化學肥料和紡織品的材料；（3）虛擬患者（Virtual Patients），替代人類做人體臨床試驗，比一般試驗更快更安全；（4）空間計算（Spatial Computing）以強化虛擬生活和現實的連結；（5）數位醫療（Digital Medicine）應用程式之發展可以診斷甚至治癒疾病；（6）電動飛航（Electric Aviation）裝置，例如電動推進器可以清除直接碳排放（direct carbon emissions），減少九成的燃料成本、五成維護成本和七成噪音汙染，降低整體航空旅程環境污染並提高效率；（7）低碳水泥（Lower-Carbon Cement）的發展作為氣候變遷下的新興建築材料；（8）量子感測（Quantum Sensing）做為高精準度計算方式，將於未來三到五年進入市場，並首重用於醫療和國防應用產業上；（9）新興零碳能源如綠氫（Green Hydrogen），可補充風力和太陽能；（10）全基因合成（Whole-Genome Synthesis）作為下一代細胞工程（cell engineering）尖端科技，使未來醫學得以治癒更多遺傳疾病。 　　報告中指出，雖然這些新興技術具有改變社會和產業的潛力，但卻無法確保技術本身是否能被妥善使用（Good is not guaranteed）。首先，這些技術仍需要龐大資金以達到成熟度和可利用的價格點（price point），才能與相關產業達成整合化、規模化。此外面對這些新興科技，決策者必須迅速針對可能引發的風險提出對應策略，例如數位醫療在手機應用程式上會引發政府許可、資料利用、隱私等問題。因此，政策與產業如何協作，使用相關科技、限制濫用並控制技術中風險等，是面對是類新興科技應積極考量的方向。

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).