淺談創新應用服務（OTT）之創新與規範課題

　　經過一年以上的準備，行政院科技顧問組六日宣布啟動「生醫科技島計畫」計劃。自今年起以五年投入一百五十億元預算，建立「國民健康資訊基礎建設整合建置計畫（ NHII ）」、「台灣人疾病及基因資料庫（ Taiwan Biobank ）」、及「臨床試驗研究體系」三大重點。未來除了減少健保成本一百億元以上，也希望協助業界創造數百億元市場商機。 　　生醫科技島計畫為國內所帶來的效益方面， NHII 將可減少醫療支出三％，共一百億元規模，至於促進民間投資及產業升級方面，預期五年內可帶動民間及政府投資四百億元以上；至於 Taiwan Biobank 方面，除了領先新加坡及中國大陸建立華人特定族群基因資料庫的供給中心，更可帶動國內的新藥開發、基因治療、藥物副作監測，及疾病篩檢及防治等醫藥發展。 　　行政院科技顧問組指出，其中 Taiwan Biobank 計劃因為涉及「科技對倫理、法律及社會（ ELSI ）」等議題有較多社會疑慮，將根據現有的醫事法及立法院正進行三讀的個人資料保護法立法精神，預計今年先進行五千人基因資料蒐集，待兩年後正式的基因資料保護相關法律定出新法後，將會加速完成二十萬人的資料蒐集。

　　專利權人一旦將專利物售出，專利權就耗盡，專利權人不得再行使專利權，稱為權利耗盡原則(the exhaustion doctrine)或第一次銷售原則(the first sale doctrine)。舉例而言，某人取得某種保溫技術專利製造保溫杯，他可以禁止任何人製造相同專利技術的保溫杯，但是一旦他將保溫杯銷售出去，他不可以禁止買受人將保溫杯再銷售出去。 　　我國關於「權利耗盡」之規定見諸於《專利法》第59條第1項第6款： 　　發明專利權之效力，不及於下列各款情事： 　　六、專利權人所製造或經其同意製造之專利物販賣後，使用或再販賣該物者。上述製造、販賣，不以國內為限。 　　耗盡原則又可分為「國內耗盡原則」及「國際耗盡原則」。採「國內耗盡原則」者，專利品在國外銷售，他人不得未經專利權人同意而進口專利品於國內，否則將構成侵權。採「國際耗盡原則」者，專利品雖在國外銷售，專利人不得禁止再度進口轉售至國內。 　　我國專利法採「國際耗盡原則」，故專利權人不得禁止專利品之平行輸入。

中國大陸商業特許經營相關法律法規分析 科技法律研究所 法律研究員　汪奇蕙 2015年03月20日 　　連鎖加盟（中國大陸稱商業特許經營）在台灣或許已經是一種發展成熟的商業模式，對於中國大陸而言，則是上世紀80年代經濟改革之後才始見，相對於台灣市場或世界其他先進經濟體，中國大陸起步較晚，但是發展快速。眼見連鎖加盟行業在中國大陸的發展時機越趨成熟，台商界也掀起連鎖加盟的熱潮。 　　但在秩序相對混亂、競爭相對激烈的中國大陸市場，經營面向的風險也許難以預先掌控，但是複雜的相關政策和規定則是要前往該地投資的台商必須正視並且了解的，本文提供商業特許經營（以下簡稱特許經營）相關法規的分析，期待在發展商業之餘，台資特許人可以更敏銳的維護自身權利。 壹、主管法律法規 　　2007年開始，中國大陸第一部特許經營專門法令《商業特許經營管理條例》（以下簡稱《管理條例》）以及配套的《商業特許經營備案管理辦法》（以下簡稱《備案管理辦法》）、《商業特許經營信息披露管理辦法》（以下簡稱《信息披露管理辦法》）由國務院及其下屬機關陸續頒布施行，讓中國大陸連鎖加盟的法令更加完善。 　　《管理條例》中介紹有關中國大陸政府對特許經營的定義內容，特許經營權的內容是指特許人擁有或有權授予他人使用註冊商標、企業標誌、專利、專有技術等經營資源[1]。註冊商標、企業標誌或商號是表彰該特許經營事業的品牌，具有讓消費者迅速辨識獨特商品或服務的商業利益；專利、專有技術(包含管理系統及特定商業模式)則是支持商品或服務內容具有獨特性、競爭力的特許經營事業技術。 　　《管理條例》對於特許人的資格條件、特許經營事業備案、特許合同內容要件、特許人的信息披露義務以及特許人違反該條例的罰則皆有概括的規範。《備案管理辦法》、《信息披露管理辦法》也是在上位的《管理條例》法規授權下逐步生成，成為具體行政施行的準則。 貳、關於特許人資格 　　依照《管理條例》規定，特許人資格條件有二個方面需要具備。 一、只有企業法人有資格成為特許人。 　　企業以外的單位和個人都不能成為特許人[2]。 二、特許人必須有成熟的經營模式[3]。 　　特許人在發展加盟以前應當至少擁有2個直營超過1年的直營店。而且特許人要具備持續提供被特許人經營指導、技術支持和業務培訓等服務能力，上述各種能力，特許人在備案過程將被要求提供證明文件，比如備案時特許人要提交與經營活動相關的商標權、專利權有效的註冊證書；此外，《信息披露管理辦法》中要求特許人要事先披露擁有的經營資源情況和持續提供被特許人服務的情況[4]。 參、關於特許合同要件[5] 　　以下為《管理條例》所列舉的合同要件及簡要說明： 一、特許人、被特許人的基本資訊 　　如雙方地址、連絡方式、公司註冊號碼等。 二、特許經營的內容、期限 　　特許人持有的特許經營系統、經營範圍介紹，特許人授予被特許人的特許經營權性質（單店特許或區域特許[6]），被特許人的特許經營活動和範圍限制（營業地及加盟店介紹、被授予的特許經營權是否具有獨占性或排他性），特許經營合同的期限[7]以及可續期條件等。 三、特許經營費用的種類、金額及其支付方式 　　加盟費用、保證金、其他約定費用及雙方約定分攤費用的支付比例（如房地產和裝修費用、設備等購置費；管銷費用等），支付方式及收取後的確認方式。 四、經營指導、技術支持以及業務培訓等服務的具體內容和提供方式 　　約定被特許人是否有義務要接受特許人定期或不定期的經營活動指導、檢查，以利整體特許經營事業的統一性發展。 五、產品或服務的質量、標準要求和保證措施 　　特許人可依產品或服務的性質自己建立品管的標準要求。 六、產品或者服務的促銷與廣告宣傳 　　是否允許被特許人自行策劃，以及其可從事推廣或宣傳活動的範圍。 七、特許經營中的消費者權益保護和賠償責任的承擔 　　約定雙方因故意或過失造成消費者權益受損或整體特許經營事業所受損失（包含商譽損失）的責任承擔。 八、特許經營合同的變更、解除和終止 　　被特許人是否可以轉讓特許經營內容及合同義務，及可以轉讓的條件（如事前通知期）。建議特許人要保留因被特許人自行對消費者提供瑕疵產品或服務以至於消費者對特許人求償損失的追索權利，以及因被特許人故意或過失造成整體特許經營事業所受損失（包含商譽損失）的求償權利。 九、違約責任 　　約定雙方違反合同條款約定行為的法律後果。 十、爭議的解決方式 　　雙方有爭議時的調解管道，以及若欲訴訟，約定訴訟管轄地等。 肆、關於特許經營事業備案[8] 　　為加強對特許經營行業的管理，協助潛在被特許人了解該特許事業的基本資訊，《管理條例》設立了事後備案的監管制度。 　　特許人應自首次訂立合同之日15日內向商務主管部門備案。應向特許人所在地的省、自治區、直轄市政府的商務主管部門備案。跨省的特許經營事業應該向國務院商務部備案。 　　中國大陸目前已啟用網路備案方式以加快備案手續及效率，特許人登錄國務院商務部主管的《中國商業特許經營網》[9]註冊後，將註冊完成的特許人信息表和相關紙本文件[10]帶到當地備案管理部門[11]進行審核，審核通過後備案管理部門會發給特許人備案系統登錄帳號和登錄密碼。特許人登錄在《中國商業特許經營網》的特許經營備案系統後，可以在網路上進行《備案管理辦法》中規定的資料填寫或電子檔案的上傳工作。 伍、關於特許經營信息披露 　　除了對特許人資格的具體規定以及建立事後審查制度，中國大陸對於特許經營關係中，授權方特許人應該於特許經營關係成立前應揭露給被特許人知悉的相關資訊也有明確的規範，此種規範除了保障被授權人可在資訊透明的條件下做出商業決策，當特許人的特許資料登錄於信息披露網站，也有助於潛在投資人對於該商業規劃的了解，間接促進了整體特許經營行業的能見度和活躍性。 　　根據《信息披露管理辦法》的規定，特許人在訂立特許經營合同前至少30日應以書面形式向被特許人提供有關資訊和特許經營合同文本。 　　對於違反特許經營信息披露的特許人，除依《管理條例》第27條規定受行政罰則外，依《管理條例》第23條規定，特許人隱瞞有關訊息或提供虛偽不實訊息的，被特許人享有法定解除權。 　　法律實務中，法院會綜合考量特許人所隱瞞的程度或者所提供的虛偽不實訊息的重要性、與事實的差異性來區分是惡意詐欺還是商業話術，盡可能維護特許經營合同的穩定性，避免被特許人一旦經營失敗就把全部責任轉嫁給特許人[12]。 陸、特許經營合同知識產權授權特別注意要點 　　特許經營事業中以知識產權（智慧財產權）的授權為主要內容，應在特許經營合同中一併約定使用條件，特許人應以事前具體約定方式完整保護知識產權及特許經營事業。 一、約定具體的特許經營範圍 　　特許經營權的授予是屬於單店特許或是區域特許，單店特許者應明定單店資訊，區域特許者應界定區域範圍（如城市、省名）。 　　特許經營權的授予是否具有獨占性、排他性、非排他性。被特許人可否自行再設立其他分店或以特許人身分再授予第三方。 二、約定知識產權的使用方式 　　被特許人須依特許人的要求來使用特許經營資源，如商標的使用方式、使用位置，可以用特許人的經營手冊加以細化。 三、約定知識產權授權後被特許人的義務 　　被特許人以特許人授予的知識產權開展經營後，應當盡的品質保證、品質監督義務。特許經營合同中除概括被特許人監督產出責任外，也可以列舉方式約定被特許人的監督義務，例如被特許人應監督其雇用人員按照特許人約定的方式出產商品或服務、定期向特許人提出產品質量檢查報告。 四、約定特許人監督特許經營事業的權利 　　除了被動等待被特許人提交經營報告（可包含營業狀況以及財報），特許合同應保留特許人主動對特許經營事業進行檢查、監督、考核的權利，並要求被特許人在合約期間應執行特許人檢查考核後的跟營業相關的決策。 五、約定合同到期後的被特許人使用特許經營資源的狀況 　　約定特許經營關係結束後，被特許人是否能再以特許人加盟店的形式進行商業活動，包含被特許人是否應向原註冊機關進行註銷登記（如註銷營業執照或變更企業名稱），是否能再使用特許人商標。 　　另外，因特許經營權授予而獲得的商標以外的相關知識產權（如手冊、培訓教案、軟體等）也應約定是否還能繼續使用。 柒、結論 　　特許經營事業的成功，除取決於特許人法律法規的掌控，對各項與特許資源相關的知識產權的保護也是維持特許事業穩定成長的重要策略。中國大陸政府因為特許經營事業的特殊性而制定特別的法律及行政規則，期待本文對特許經營法律法規的介紹以及相關知識產權授權應留意的面向建議能對有意前往對岸投資的台資特許人產生實質幫助。 [1]《商業特許經營管理條例》第3條（中國國務院令第485號2007.02.06）。 [2]《商業特許經營管理條例》第3條（中國國務院令第485號2007.02.06）。 [3]《商業特許經營管理條例》第7條（中國國務院令第485號2007.02.06）。 [4]《商業特許經營信息披露管理辦法》 第5條（中華人民共和國商務部令2012年第2號2012.02.23）。 [5]《商業特許經營管理條例》第11條（中國國務院令第485號2007.02.06）。 [6]指特許人授予的特許經營權是僅限於單一加盟店使用或是某一地理區域內可成立數個加盟店。 [7]《商業特許經營管理條例》第13條 規訂合同約定的特許經營期限應該不少於3年，但雙方如有其他約定，可以在合同中註明，即只需雙方合意就可更改特許經營期限。 [8]《商業特許經營管理條例》第8條（中國國務院令第485號2007.02.06）。 [9]主頁，中國商業特許經營網http://txjy.syggs.mofcom.gov.cn/ 。 [10] 各地方主管機關要求的紙本文件可能不一。 [11] 當地的商務委員會。 [12] 王樹章、吳平平，《關於商業特許經營合同審判實踐若干問題的調研報告》，知識產權庭課題組，頁9。

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).