國家通訊傳播委員會第545次委員會議審議通過「因應數位匯流調整有線電視收費模式規劃」案

　　美國司法部（United States Department of Justice）與11個州檢察總長2020年10月20日於哥倫比亞特區地方法院聯合向Google提起反托拉斯民事訴訟，依據《休曼法》（Sherman Act）第2條，以「非法利用優勢地位進行排他行為，強化自身市場力量」為由起訴 Google。美國司法部認為，Google利用自身在電子數位設備提供搜尋服務和搜尋廣告市場（search advertising markets）的壟斷地位，損害競爭對手和消費者利益，並利用特殊協議和商業慣例，佔據美國九成以上的搜尋市場，在網頁瀏覽器和手機搜索領域建立難以被超越的商業優勢。Google的反競爭策略（anticompetitive tactics）讓它能維持甚或擴大壟斷地位，削弱競爭並扼殺創新。 　　美國司法部與阿肯色州、佛羅里達州、喬治亞州等11個州聯合提出訴訟，指稱Google達成一系列的排他性協議（exclusionary agreements），要求將Google設置為數十億用戶之手持行動裝置或電腦的預設搜尋引擎，並且在許多情況下禁止預先安裝（preinstallation）競爭對手軟體。起訴書指稱Google透過以下方式違法維護搜尋和搜尋廣告的壟斷地位：（1）簽訂排他性協議，禁止預先安裝任何競爭對手的搜尋服務；（2）無視消費者意願，包裹式（tying）安排強迫Google搜尋軟體APP需預先安裝在行動設備的主要位置，且不可刪除；（3）與Apple達成長期協議，將Google作為Safari瀏覽器或其他搜尋工具的預設搜尋引擎（但實際上是獨家搜尋引擎）；（4）利用自身獨占優勢和利潤，給予設備商、網頁瀏覽器業者和其他搜尋工具業者更多的優惠待遇，創造無間斷的強化獨占循環。 　　司法部認為，Google的反競爭措施阻止其它競爭對手達到經營規模，進而消除美國大多數搜尋查詢的競爭。也因為限制競爭，Google得以降低搜尋品質（例如引起隱私、資料保護、和消費者利用爭議等），從而損害消費者並阻礙創新；此外Google可以向廣告客戶收取高於市場價格之費用，並降低客戶服務品質。 　　而面對美國司法部控訴，Google表示這些指控具有「嚴重瑕疵」（deeply flawed），消費者選擇Google並非被強迫，而是因為Google是最優秀的搜尋工具。蘋果的Safari瀏覽器預設使用Google搜尋，是因為蘋果公司認可Google搜尋的品質，且競爭對手（Bing和Yahoo!）亦以付費方式出現在Safari介面可供消費者選擇。而微軟在Windows設備上預載之Edge瀏覽器，是以Bing為預設搜尋工具。此外，Google和Android營運商和設備商簽訂促銷協議以推廣Google，該協議可以直接降低手機價格；但即使簽署協議，Android仍會預載其他競爭者的APP和APP Store。是故，Google認為司法部若勝訴，將讓消費者只能用品質較差的搜尋工具以及支付更高的手機價格。

2025年8月6日，行動支付技術開發公司Fintiv向喬治亞州北區聯邦地方法院亞特蘭大分院控訴Apple科技公司以詐欺手段竊取Fintiv公司的前身公司CorFire的專屬行動支付技術，違反《保護營業秘密法》（Defend Trade Secrets Act，DTSA）及《喬治亞州營業秘密法》（Georgia Trade Secrets Act，GTSA）等規定，向法院尋求賠償。 Fintiv公司主張Apple公司在2011年至2012年間，以行動支付技術之業務合作為由，與CorFire公司進行多次技術性洽談。Apple公司利用雙方簽訂之保密契約，取得CorFire公司的行動支付技術的詳細實施方案之接觸權限，並要求CorFire公司上傳部分機密資料至Apple公司管理的共享平臺，以促進合作交流關係，最終Apple公司放棄與CorFire公司的合作計畫，Apple公司卻將協商期間所獲技術內容整合，並應用於其在2014年推出的Apple Pay行動支付服務。Fintiv公司進一步主張Apple公司為將Apple Pay商業化，與信用卡處理商及銀行組成企業聯盟，並隱瞞其非法取得技術的真相，宣稱Apple公司自主研發Apple Pay。Fintiv公司指出，Apple公司此舉不僅損害Fintiv公司的合法權益，也嚴重破壞市場競爭秩序。此外，Fintiv公司表示，Apple公司多年來有系統地採取類似策略，如以合作名義獲取其他企業之機密，進而不當使用多項機密以進行商業化使用。 觀察前述實務案例可得知，即使雙方基於保密契約交換機密資料，仍存在終止合作衍生的機密外洩糾紛，如：機密資料歸屬不清、逾越授權範圍使用機密資料等風險。建議企業在「資料提供前」，應先透過「盤點」營業秘密與機密「分級」，確認合適揭露的機密資料，再藉由「審查」機制確認必要揭露的內容；在「資料提供後」，要求他方提供機密資料之「收受證明」以明確歸屬，並在合作關係結束後，要求他方「聲明返還或銷毀機密資料」，以降低他方不當使用機密資料的風險。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋，企業如欲精進系統化的營業秘密管理作法，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

研析經濟部智慧財產局因應TPP所提商標法修法草案 資策會科技法律研究所 法律研究員　林昭如 105年06月20日 壹、前言 　　我國智慧財產相關法規與時俱進，順應國際法規趨勢及實務發展，不定期檢視、修正相關法規內容，以期完善智慧財產法制，健全產業競爭環境。今更因應跨太平洋夥伴協定(Trans-Pacific Partnership Agreement，以下簡稱TPP)智慧財產章(以下簡稱IP章)全面化、高標準、細緻化的規範，重新檢視我國智慧財產相關法規。其中，商標法現行條文大部分符合TPP IP章的規範，如：商標法有關非傳統商標、著名商標保護、地理標示等等[1]。惟有關製造、進口仿冒標籤、包裝等行為之侵權責任，與TPP IP章的規定，尚有落差，即有調整必要。我國TPP/RCEP專案小組第16次會議，已就智慧財產法規相關議題，確認修法方向及內容，向國際社會展現我國爭取加入TPP第二輪談判的決心[2]。 　　經濟部智慧財產局於105年5月10日將因應TPP規定的商標法修正草案送交行政院，其修正重點包括：1.擴大仿冒商標標籤等行為的民事責任，以故意或過失為主觀要件(不限於明知)；2.新增仿冒商標或團體商標標籤等行為的刑罰規定；3.擴大仿冒證明標章標籤等行為之刑事責任主觀要件，以故意(不限於明知)為限，並增訂處罰「輸出或輸入」前述仿冒證明標章標籤的行為；4.擴大販賣及意圖販賣他人所為侵權商品等行為之刑責，以故意(不限於明知)為主觀要件。本文將分析我國商標法現行條文(以下簡稱現行條文)及因應TPP規定的修正條文內容，並提出對於我國產業可能造成之影響。 貳、因應TPP修法重點內容 一、擴大仿冒商標標籤等行為的民事責任，以故意或過失為主觀要件(不限於明知) 　　因應TPP IP章第18‧74條第三項規定，商標侵權民事責任以明知或可得而知(knowing, or with reasonable grounds to know)為主觀要件，負擔損害賠償責任。考量我國現行條文第七十條第三款規定：「…三、明知有第六十八條侵害商標權之虞，而製造、持有、陳列、販賣、輸出或輸入尚未與商品或服務結合之標籤、吊牌、包裝容器或與服務有關之物品。」有關侵權之民事責任限於「明知」，不符合前述 TPP規定，故刪除「明知」文字，回歸一般民事侵權責任，以故意過失為主觀歸責條件。 　　此外，亦強化現行條文意旨，明確規範民事賠償責任範圍，包含意圖供自己或他人侵害商標權，而為製造或販賣等尚未與商品或服務結合的標籤、吊牌、包裝容器或與服務有關的物品之準備或輔助行為。 二、新增仿冒商標或團體商標標籤等行為的刑罰規定 　　因應TPP IP章第18‧77條第三項規定，對於具商業規模之仿冒相同或無法相區別商標之標籤或包裝而為用於他人註冊商標同一商品或服務者，應訂有刑事處罰規定。考量現行條文無相關規範，不符合前述TPP規定。故新增修正條文第九十五條第二項：「未得商標權人或團體商標權人同意，為行銷目的而製造、販賣、持有、陳列、輸出或輸入附有相同或近似於註冊商標或團體商標之標籤、吊牌、包裝容器或與服務有關之物品，意圖供自己或他人用於與註冊商標或團體商標同一商品或服務者，處一年以下有期徒刑、拘役或科或併科新臺幣五萬元以下罰金。」並依我國刑罰明確性原則，明定「以行銷目的」而為製造、販賣仿冒商標標籤等行為，始為刑罰範圍。 三、調整仿冒證明標章標籤等行為之刑事主觀要件，以故意(不限於明知)為限，並增訂處罰「輸出或輸入」前述仿冒證明標章標籤的行為 　　因應 TPP IP章第18‧77條第三項刑事處罰「故意」之行為。考量現行條文第九十六條第二項：「明知有前項侵害證明標章權之虞，販賣或意圖販賣而製造、持有、陳列附有相同或近似於他人註冊證明標章標識之標籤、包裝容器或其他物品者，亦同。」有關刑事處罰的主觀要件限於「明知」，依我國實務見解僅限於直接故意，不包含間接故意，不符合前述 TPP規定，故刪除「明知」文字，回歸一般刑事處罰以故意為要件的原則；並依我國刑罰明確性原則，明定「以行銷目的」而為製造、販賣仿冒證明標章標籤等行為，始為刑罰範圍。 　　此外，亦因應TPP IP章第18‧77條第三項刑事處罰包含「輸入」之行為。考量現行條文僅將「販賣、意圖販賣而製造、持有、陳列」仿冒證明標章的標籤等不法行為納入刑罰，不符合前述TPP規定，故調整如修正條文第九十六條第二項：「未得證明標章權人同意，為行銷目的而製造、販賣、持有、陳列、輸出或輸入附有相同或近似於註冊證明標章之標籤、吊牌、包裝容器或與服務有關之物品，意圖供自己或他人用於同一商品或服務者，處三年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。」增訂處罰「輸出或輸入」仿冒證明標章標籤、吊牌等之不法行為。 四、擴大販賣或意圖販賣而持有、陳列、輸出/入他人所為侵權商品等行為之刑責，以故意(不限於明知)為主觀要件 　　因應 TPP IP章第18‧77條第三項刑事處罰「故意」之行為。考量現行條文第九十七條：「明知他人所為之前二條商品而販賣，或意圖販賣而持有、陳列、輸出或輸入者，處一年以下有期徒刑、拘役或科或併科新臺幣五萬元以下罰金…。」有關刑事處罰的主觀要件限於「明知」，依我國實務見解僅限於直接故意，不包含間接故意，不符合前述 TPP規定，故刪除「明知」文字，回歸一般刑事處罰以故意為要件的原則。 參、修法影響 　　由商標法修正草案整體觀之，對於商標、團體商標、證明標章權利人的保障更加明確、完善，將有助於我國品牌企業從仿冒製假鍊源頭防止損害發生，在侵權、不法行為前階段，遏阻仿冒品流入市場，順遂品牌產品的國際拓銷。具體而言包含下列二面向： 一、擴大仿冒商標標籤、吊牌等行為之民事責任主觀要件，有助阻斷劣質仿品 　　擴大商標侵權之準備或輔助行為賠償責任的主觀要件，不以行為人明知(故意)為限，只要可得而知(過失)有侵害商標權的可能，未得商標權人同意，意圖供自己或他人侵害商標權而為之準備或輔助行為，即應負擔損害賠償責任，此將有助於權利人更全面、完整保護註冊商標。並明確現行條文意旨，賠償責任範圍包含製造、販賣、持有、陳列、輸出或輸入附有相同或近似於註冊商標的標籤、吊牌、包裝容器或服務有關的物品。此將有助於權利人從仿冒製假源頭，阻斷仿品流通銷售。 　　相對而言，若企業非商標權人的情況，而是接受其他企業委託製造其產品的商標標籤、吊牌、包裝容器或服務相關的物品，即應在接受委託前，善盡調查義務，確認委託企業是否擁有合法商標權源，避免過失供他人為侵害商標權的準備或輔助行為，而必須負擔民事賠償責任。 二、增訂仿冒商標標籤刑罰、擴大仿冒證明標章標籤刑責範圍，有助打擊犯罪源頭 　　現行條文僅處罰侵害證明標章標籤的準備或輔助行為，並未處罰侵害商標或團體商標權的準備或輔助行為，修正條文增訂處罰意圖供自己或他人侵害商標或團體商標權，而為行銷目的之準備或輔助行為，包含：製造、販賣、持有、陳列、輸出或輸入附有相同或近似於註冊商標的標籤、吊牌、包裝容器或服務有關的物品。此將有助於品牌企業運用國家公權力的手段，從仿冒的源頭切斷相關準備或輔導仿冒之行為，透過刑罰從仿冒前端即抑制此揭不法行為，遏止侵權仿冒，鞏固品牌企業經年累月的品牌知名度及經營效益。 　　擴大仿冒證明標章標籤的刑責，一是將刑事處罰主觀要件，回歸一般刑事處罰以故意為原則，不限於明知。二是擴及處罰「輸入或輸出」仿冒證明標章標籤、吊牌等之不法行為。以國家公權力遏阻仿冒證明標章標籤的輸出入行為，避免濫用於劣質產品或服務。將有助於維護我國食品、農漁畜產品、工業產品、觀光旅宿、商業服務等之商品或服務的優良品質、精密度、製造方法等，如：台灣精品標誌、MIT微笑標章等，以及特定地區產品或服務的品質、聲譽，如：文山包種茶、關山米等，向世界各地推展我國優良產品及服務，促進我國經貿發展。 本文同步刊登於TIPS網站（http://www.tips.org.tw） [1] 經濟部智慧財產局說明會：TPP 智慧財產章https://www.tipo.gov.tw/public/Attachment/5122917315547.pdf(最後瀏覽日：2016/6/14) [2] 政院：展現爭取加入TPP第二輪談判決心 持續進行法規落差盤點及體制調和工作(2016/4/15) https://www.moea.gov.tw/MNS/populace/news/News.aspx?kind=2&menu_id=41&news_id=52423 (最後瀏覽日：2016/6/14)

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).