政府採購雲端服務新興模式暨資安一體考量之研析

　　美國國會於今年（2009）11月18日提出「聯邦檔案安全分享法案（Secure Federal File Sharing Act）」，內容主要是限制所有政府部門員工（包含約聘制人員），在未經官方正式同意之前，不得下載、安裝或使用任何點對點傳輸（Peer to Peer, P2P）軟體。期望藉由該法案的通過實施，徹底防堵政府及相關個人機敏資料的外洩。 　　該法案的制定，最初來自於政府部門對其財務資料保護的要求，早於2004年白宮管理及預算辦公室（The White House Office of Management and Budget）即已建議聯邦政府的各個單位應禁止其職員使用P2P軟體，以防止資料外洩。而於將近一個月前，國會道德委員會取得多位國會議員的財務狀況、經歷及競選贊助金額，並作成調查報告，未料一位新進職員將該份未經加密保護的報告存於自家裝有前述P2P軟體的電腦硬碟中，從而導致該份報告內容全部外洩。此一事件立即對向來注重政府及個人資料保護的美國投下了震撼彈，也促使該法案正式浮出檯面。 　　歐此項法案的提出毫無意外地得到視聽娛樂產業界的正面支持。主因來自多數人藉由此種軟體在網際網路上分享音樂、影片或其他應用軟體，時常侵害他人的智慧財產權，而法案的內容則是要求政府部門員工無論是在工作或是家中使用P2P軟體都須取得官方授權，無疑是直接限制了上述的分享行為。娛樂業者更進一步指出，P2P軟體對資訊安全的危害在於多數人無法明確知道該軟體的運作方式，而無法對其做正確的設定，使得軟體一旦被啟動，電腦內的所有資料：包含個人的社會安全卡號碼、醫療及退稅紀錄等，就立即暴露於網際網路之中！對此，除了推動此項法案的官員大聲疾呼：「用個人自律的方式防止資料外洩已經失敗，證明國會應該有所行動。 　　美國錄音產業協會（Recording Industry Association of America）則是預測前述國會調查報告的外洩，將會是資安法案重整的強力催化劑。

　　美國白宮為避免由聯邦補助的生物科技研究案，因研究涉及具危險性生物，而不經意製造出生化武器，繼此於2014年9月24日由國家衛生研究院（National Institutes of Health，NIH）和白宮科技政策辦公室（White House Office of Science and Technology）共同提出新規範，即「美國政府對生物科學雙重用途研究與考量的機構監督政策」（United States Government Policy for Institutional Oversight of Life Sciences Dual Use Research of Concern），旨在加強由聯邦預算補助的生物雙重用途研究（Dual Use of Research）安全性。 　　前述生物科技研究中的生物雙重用途研究，意指以增進公共衛生、國家安全、農業、環境等為主旨的生命科學研究之外，尚有其他具殺傷力或致命性的合法研究，例如合成病毒、除草劑等。早於2013年，美國白宮即已開始實施「美國政府對生物科學雙重用途研究與考量的監督政策」（United States Government Policy for Oversight of Life Sciences Dual Use Research of Concern），惟本次另以機構為主要規範對象。而作成新規範之重點分述為三如下： 1.原先以補助單位（通常為國家衛生研究院），為具危險性生物研究案為監督、責成單位，現將該監督責任歸屬移轉至取得相關補助的科學家、大學或研究機構。 2.從事相關具危險性生物研究之科學家，必須通報其所屬機構，並且須召開審查委員會評估相關風險，亦須通知聯邦層級的補助單位。此外，該科學家與其機構必須提交一份風險防範之計畫書，例如建立生物安全等級（biosafety rating）較高的實驗室等。 3.違反相關規範之受補助對象，將面臨中止、限制或終止補助之處分，甚至失去申請未來聯邦補助單位所補助一切與生命科學相關研究補助的機會。

　　美國運輸部（Department of Transportation）於2018年10月4日公布「自駕車3.0政策文件」（Preparing for the Future of Transportation: Automated Vehicles 3.0）」，提出聯邦政府六項自駕車策略原則： 安全優先：運輸部將致力於確認可能之安全風險，並促進自駕車可帶來之益處，並加強公眾信心。 技術中立：運輸部將會依彈性且技術中立之策略，促進自駕車競爭與創新。 法令的與時俱進：運輸部將會檢討並修正無法因應自駕車發展之交通法令，以避免對自駕車發展產生不必要之阻礙。 法令與基礎環境的一致性：運輸部將致力於讓法規環境與自駕車運作環境於全國具備一致性。 主動積極：運輸部將主動提供各種協助，以建構動態且具彈性之自駕車未來，亦將針對車聯網等相關補充性技術進行準備。 保障並促進自由：運輸部將確保美國民眾之駕駛自由，並支持透過自駕科技來增進安全與弱勢族群之移動便利，進而促進個人自由。 　　「自駕車3.0政策文件」並建立五個策略，包括利益相關人參與、典範實務（best practice）、自願性標準、目標研究（Targeted research）與規範現代化等，配合以上原則進行。美國運輸部並肯認其先前提出之「安全願景2.0（A Vision for Safety）」中之安全性架構，並鼓勵技術與服務開發商持續遵循自願性之安全評估，並重申將依循自我認證（self-certification）而非特定認證管制途徑，以促進規範之彈性。