政府採購雲端服務新興模式暨資安一體考量之研析

　　美國聯邦政府於2013年12月啟動「挑戰智慧美國」(the SmartAmerica Challenge)計畫，目標是匯集產官學研以呈現網實整合系統(Cyber-Physical System, CPS)與智慧聯網如何能夠創造就業機會、新的商業機會、以及為美國帶來社經上之利益。2014年6月，24個技術團隊及超過100個組織機構共同於華府進行智慧聯網應用展示，藉此展現智慧聯網如何促進運輸、緊急服務、健康照護、安全、節能、以及製造。於整合性之解決套案上，「挑戰智慧美國」計畫選定加州的聖荷西市(The City of San Jose)，由聖荷西市政府與Intel公司共同建立「智慧聯網智慧城市示範平台」(IoT Smart City Demonstration Platform)。研究團隊於城市各處廣泛裝置感測器，蒐集空氣品質、噪音、交通流量、能源效率等相關資料，藉此試驗城市如何利用智慧聯網技術來改善在地市民的整體生活。在我國，2014年則可稱為智慧城市發展元年，經濟部技術處與工業局等中央政府機關與新北市、桃園縣、新竹市、台中市等地方政府皆相繼投入並推動智慧城市計畫。搭配軟硬體之技術整合與相關產業之參與、以及法人與學術機構之投入，我國透過智慧聯網與網實整合系統以發展智慧城市之未來值得期待。

　　美國之政府管考辦公室（ Government Accountability Office ）針對聯邦政府推動醫療產業導入資訊應用之相關措施及作為，九月初向參議院政府再造委員會（ Committee on Government Reform, House of Representatives ）下轄之聯邦人事暨組織次委員會（ the Subcommittee on Federal Workforce and Agency Organization ）提出報告，綜合回顧 2004 以來之各項政策宣示及執行規劃，指出目前猶有未足之處以及今後適宜更加留意之方向。 　　簡言之，醫療產業導入資訊應用，可望帶來降低營運成本，提升經營效率，防免發生過誤，維護病患安全等諸多實益，已為各界所共認。另由於聯邦政府介入醫療產業之程度與影響層面既深且廣，不僅本諸規制角度主管產業，更推動諸多施政，投入大量資金，提供老人、傷殘、兒童、低收入戶、原住民、退伍軍人、退休公職人員等不同社會族群各式相關服務，從而責成聯邦政府領銜推動醫療產業導入資訊應用，藉此提升醫療之品質及效率，應屬妥適。 　　自 2004 年提出行動綱領以降，聯邦政府即已陸續接櫫各項目標及其實施策略，並區分病歷資料格式、傳輸互通標準、網路基礎架構、隱私安全議題、公衛服務整合等面向分別開展，獲致相當成效。惟據管考辦公室之分析，既有之政策措施及各項作為，似乏詳盡之細部規劃及具體之實踐要項可資遵循，亦無妥善之績效評比指標以利參考。由是觀之，迄今之努力及其成果固值稱許，然就 2014 年普遍採用電子病歷並且得以交流互通之願景而言，還有很多需要努力的地方。

　　美國參議院以95對0票通過了「2008年基因資訊平等法」（Genetic Information Nondiscrimination Act of 2008），該法案主要是為了增補「2007年基因資訊平等法」（The Genetic Information Nondiscrimination Act of 2007）所制定。 　　「2008年基因資訊平等法」的內容主要為：1.保險業者不得基於被保險人的基因資訊，拒保或是提高保費，也不得要求被保險人提供其基因資訊以供保險用途，除非符合該法的例外規定。2.雇主不得以員工的基因資訊來限制、隔離、分級員工的工作，更不可據此來剝奪員工的工作機會。但是，本法所稱的基因資訊不包含個人的性別與年齡。 　　在本法通過之前，美國已有41個州立法保護個人的基因資訊被保險公司使用，並且進行不平等的對待；另有32個州立法保護員工因為基因資訊，兒在工作場合受到歧視。美國並於2000年發佈行政命令（Executive Order 13145），禁止利用基因資訊歧視聯邦單位的員工；另外，「1996年醫療保險可攜與責任法」（Health Insurance Portability and Accountability Act of 1996, HIPAA）也針對歧視做了若干的保護，但是仍有許多漏洞，諸如沒有限制保險公司收集被保險人的基因資訊，或是沒有禁止保險公司要求被保險人進行基因檢測等，所以觀察家認為本法的通過對於個人權利保護是一項進步，但是遺傳病醫藥業者與研究者卻憂慮本法阻礙了醫療研究的發展。

　　隨著網路技術的進步，資安事件亦日益加增，為了因應日趨頻繁的網路攻擊，美國總統歐巴馬於2016年7月26日發布了對於美國資安事件發生時聯邦部門間協調之指令（PRESIDENTIAL POLICY DIRECTIVE/PPD-41），該指令不僅提出聯邦政府對於資安事件回應的處理原則，並建立了聯邦政府各部門間對於發生重大資安事件時之協調指引。 　　指令中就資安事件及重大資安事件進行了定義：資安事件包含資訊系統漏洞、系統安全程序、內部控制、利用電腦漏洞的執行；而重大資安事件則指可能對國家安全利益、外交關係、美國經濟、人民信心、民眾自由或大眾健康與安全發生明顯危害的有關攻擊。 此外，就遭遇資安事件時，列舉出下列幾點作為聯邦政府因應資安事件時之原則：（A）責任分擔；（B）基於風險的回應；（C）尊重受影響者；（D）政府力量之聯合；（E）促進重建及恢復。 　　聯邦政府機關於因應資安事件時，需同時在威脅、資產及情報支援三方面上做相關之因應。其中司法部透過轄下聯邦調查局(Federal Bureau of Investigation, FBI)、國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force, NCIJTF)負責威脅之回應；國土安全部(Department of Homeland Security, DHS)則透過轄下的國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)負責保護資產之部分，而情報支援部分，則由國家情報總監辦公室(Office of the Director of National Intelligence)下之網路威脅情報整合中心(Cyber Threat Intelligence Integration Center)負責相關事宜。如係政府機關本身遭受影響，則機關應處理該資安事件對其業務運作、客戶及員工之影響。另在遭遇重大資安事件時，為使聯邦政府能有效率因應，指令指出聯邦政府應就國家政策、全國業務及機關間為協調。此外，指令中亦指示國土安全部及司法部應建立當個人或組織遭遇資安事件時得以聯繫相關聯邦機關之管道。 　　該指令加強了現有政策的執行，並就美國機構組織上於資安事件與現行政策之互動做了進一步之解釋。