美國擬推聯邦私密隱私保護法案，防治情色報復將邁向聯邦法位階

新興網路運輸業的異軍崛起-UBER風潮 科技法律研究所 2014年09月06日 壹、前言 　　分享經濟（sharing economy）的概念，伴隨科技技術的進步和社群媒體的活絡，逐漸成為新興商業模式的關鍵元素，並創造出巨大的利潤。Uber便是成功媒合閒置車輛、司機與消費者的新興科技產業典範，然而破壞式創新的成功，反面而來的是全球各地的傳統產業-計程車業的激烈抗爭，政府也隨之發現現有交通監管法規無法妥適因應該新興產業的崛起，而可能對於社會秩序維護、市場公平競爭、爭議處理、人民生命、身體安全之保護有所欠缺。 　　Uber由卡拉尼克（Travis Kalanick）創立於2009年，起源於舊金山這個難以叫車的城市，目前已進駐超過42個國家，2012年被富比士雜誌評選為全球前十大科技公司，2013年7月引進臺灣[1]。Uber本身不擁有車輛和司機，而是利用先進的app軟體，扮演媒合閒置車輛與消費者的角色，該app軟體同時具有計算費率、顯示出車資訊及預估抵達時間、信用卡付費和車資平分服務等多重功能。由於Uber對司機的服務品質設有嚴格控管和淘汰機制，深受消費者信賴與好評。 　　Uber的商業模式不斷更新，從原本主打的賓士高級轎車外，開始提供一般的小轎車和休旅車的平價車款服務，並吸引計程車司機的加入、淡化計程車業抗議的問題。在紐約，與Uber聯手的計程車司機，平均收入從300美元提高至700美元[2]。 　　原本Uber主攻客群是高消費的商務人士，起跳費用和費率比計程車高[3]，約莫貴五成到一倍左右[4]，故對計程車業影響較小，但Uber隨後推出的平價「菁英優步」方案起跳價是50元，使得臺灣的計程車業者產生激烈的反彈浪潮[5]。透過科技創新研發而誕生的新興網路運輸業，不僅模糊了租車業與計程車業的界線，甚至可能會無「法」可管，惟在鼓勵創新創業的政策推動下，對於新興科技產業的管制，是否真能確保市場之公平競爭與維護社會秩序，抑或會過度偏袒傳統產業而扼殺了新型態商業模式的活絡和成長，殊值探究。在美國，已經有許多城市因計程車業的抗議而開始正視該新興產業的異軍崛起，並逐步發展出相應合理之管理制度，殊值我國參考[6]。 貳、Uber在美國 一、緣起 　　Uber發跡於舊金山，在瞬間擄獲美國各大城市消費者的芳心，但也直接衝擊傳統交通運輸業的生意而造成反彈[7]，2012年10月，芝加哥計程車業及汽車服務業提起訴訟，認Uber商業模式違反芝加哥對計程車營運管理交通法規[8]，隨後，舊金山、華盛頓等地區也有大規模計程車業的街頭抗議行動，認為Uber這種以應用程式為工具的車輛共乘服務 (app-based ride sharing)造成不公平競爭[9]，各州政府，最初為因應抗爭和可能無法管理等問題，採取保守的反對態度。 　　擁有嚴格交通法規的紐約市首先禁止Uber停業，接著是芝加哥、麻薩諸塞州[10]和維吉尼亞州[11]等地陸續跟進，華盛頓特區和波士頓也引發一系列訴訟[12]，提出uber等共乘車輛服務的科技公司是不合法的計程車業等控訴。 　　從Uber營運模式觀之，由於其本身未擁有司機和車輛，而是和租車公司和私人合作，最初被歸類為車輛租賃業（hire-a-car business），然而，在其營運模式下卻又與計程車業相似卻不同類，因而處於交通法規管制之灰色地帶之中。備受爭議之處如：對於不同地區的收費採動態定價、利用具GPS定位功能的app作為哩程計費器（meter）、而未遵循當地交通運輸業主管機關訂定的收費基準；違反當地地交通法規有關不允許計程車利用電子裝置提供駕駛服務或預約的極短程（少於半小時）搭乘服務（prearranged rides）；不接受路邊隨機接客；不接受現金付款（如奧克拉荷馬州塔爾薩市（Tulsa）法規規定計程車業必須以現金的方式向乘客收費）；透過自動化機器直接將小費包含在服務費用裡（美國約定俗成的慣例是，乘客須付司機1～2塊美元或車費10％的小費）以及某些地區如維吉尼亞州僅允許非營利的共乘行為、對費率過高的不滿及Uber有阻礙合法計程車使用app叫車的試驗計畫進展之虞等[13]。 　　2013年的最後一天，加州舊金山發生一起交通事故，Uber司機撞死一名人行道上的6歲女童，但Uber聲稱當時車內沒有乘客亦非在接客途中，非屬執行職務，依加州公共事業委員會（Claifornia Public Utilities Commission, CPUC）之規定，並不在商業保險理賠的範圍內。女童家屬提起民事訴訟，指控司機依賴手機應用程式作為接客平台違反交通法規、保險責任存有漏洞等（該車輛屬於司機自有車，並沒有投保商業責任保險）；若換成是計程車業，計程車司機縱使是已下班在返家途中、或在接客途中，都受到商業責任保險範圍的保障[14]。這件事情激起引發了各界劇烈討論。新興網路運輸業的崛起，除了影響計程車業市場行情和工作機會之外，相關的交通監管規範、司機對乘客或行人造成傷害及交通事故發生時的責任歸屬及商業保險範疇等，從各地交通法規觀之，產生許多模糊或三不管地帶；在各地主管機關提出因應之道前，Uber自行在 2014年2月宣布將擴大保險範圍，以涵蓋司機個人保險範圍不足部份[15]。 二、發展近況 　　2014年初，美國各地行政機關開始著手規範此類藉由科技技術進入交通運輸業的新興產業，此類新興產業在各地稱呼不同，諸如「網路運輸業（Transportation Network Company,下稱TNC）」或「車輛共乘服務業（ride-sharing service）」[16]，多數的共識是，政策上應開放、鼓勵Uber等新興網路運輸產業活絡發展，以帶動當地就業市場和刺激消費，也能提供消費者更多選擇機會；但新興網路運輸產業不適合被直接歸入計程車業或汽車租賃業的法規下去管制，而應按其特性重新設立另一套監管機制。同時；也宜逐步緩慢放寬對計程車業的管制（relenting pressure from the taxi industry），緩和其在營運上所遭受的衝擊。不過也有地區仍處於觀望中，以下僅列舉數州及城市之發展狀況： （一）加州是最早針對TNC立法的地區，加州公共事業委員會（California Public Utilities Commission, CPUC）新增「網路運輸業（TNC）」產業類別，針對 Uber、Sidecar、Lyft等車輛共乘服務業（ride-sharing services）等新興租車服務業，在2013年9月通過監管規定，內容包括：必須取得CPUC核發的營業許可、司機前科背景調查、建立司機職業訓練計畫、執行禁止吸毒與酗酒政策、19項車輛檢查項目以及針對每件交通事故至少要投保100萬美元以上金額的商業責任保險，使乘客、司機和第三人於遭遇意外事故時均能獲得合理賠償，該保險金額的要求高於對于豪華轎車之規範[17]。CPUC的立意在使新興和傳統的交通運輸業能在合理的基礎上公平競爭，並確保提供消費者更多元且安全的叫車服務，同時不阻礙新興產業之發展。 （二）科羅拉多州參議院下屬商業、勞動力及技術委員會（Senate business labor and technology committee）亦將Uber此類新興服務歸類為「網路運輸業（Transportation Network Company）」並訂定「規範機動車輛交通運輸規則-網路運輸業規則」（Transportation Network Company Rules of the Rules Regulating Transportation By Motor Vehicle），於2014年7月8日正式施行[18]，主管機關為州政府公用事業委員會（Public Utilities Commission），規範對象範圍包括網路運輸業者、網路運輸業者的雇員和司機。網路運輸業被認定為一獨立業別，有專屬的申請許可程序及要件；網路運輸業者應投保強制汽車責任保險，賠償範圍包括人身健康與財產損害；在安全維護責任部份，則參酌聯邦法規訂定，當司機一旦加入Uber並使用其app執業，則需要通過背景調查、健康檢查和車輛檢查[19]，司機的工作時數也受到限制，以登入網路運輸業數位網路（digital network）起算，連續工作12小時候便應登出至少8小時、連續8天工作累計80小時者亦同，網路運輸業者有義務管理並保存六個月內司機的使用記錄，並保證記錄的真實性[20]。 （三）維吉尼亞州在2014年8月和Uber、Lyft等網路運輸業者達成協議，在相關業者遵守州法、擴大對司機的背景調查並淘汰有重罪、詐欺、性騷擾、暴力犯罪和曾有藥物濫用經驗者、持續監督司機工作狀況並嚴格化投保要求等條件下，撤銷先前的停業禁止命令（cease and desist order），允許他們繼續執業，同時間維吉尼亞州也開始擬具相關法規草案，希望能因應此類提供共乘服務（ride-sharing service）的新興產業之特性、同時考量到傳統計程車業之衝擊影響，發展合宜、長久性的管理規範[21]。 （四）華盛頓州西雅圖市議會原本為了保障傳統計程車業，在2014年3月立法，首創三家新興網路運輸業Uber、Lyft、Sidecar在同一時間執業的司機數量之規定，每家門檻為150名，比業者自行估計出來的2000名執業數量差了不止一星半點；又原本西雅圖的計程車職業執照自1990年就不再核發，但為平息傳統計程車業的抗議，將再加發200張執照[22]。不過，網路運輸業者旋即在4月時推動公投運動（referendum campaign）阻止法令生效，同年7月市議會妥協並通過修正案，取消網路運輸業執業人數的門檻，但提高網路運輸業的投保責任，至核發200張執照給傳統計程車業部份不變，並就所有新取得許可營運的運輸業抽取10美分的費用，作為採購身障人士專用車輛的預算[23]。 （五）德州休斯頓市早在2013年年初便提出新興汽車運輸服務條例（new vehicle-for-hire ordinance）草案[24]，市議會歷經16個月的討論，終於同年8月6日通過市政府法規第46章修正案[25]，肯認網路運輸業（TNCs）的合法性，並將其和所有機動車輛派遣服務業（mobile dispatch services）納入交通監管規範，修正重點在如何落實消費者保護、相類似產業公平競爭、身心障礙者使用權益及商業責任保險，以建立良好的商業環境，找到鼓勵創新商業模式、支持自由市場和建立公平公正商業環境的平衡點[26]。 （六）德州聖安東尼奧市（San Antonio）市議會公共安全委員會（City Council Public Safety Committee）在2014年8月13日拒絕同意汽車運輸服務業（vehicle-for-hire）修正草案，認為應持續研議相關議題，預計11月時再次會商討論。修正草案係為使Uber等TNCs合法化，而預計在城市法令第33章（Code of Ordinances Chapter 33）新增條文，其規範類似對計程車業與汽車租賃業之規定，要求需申請許可、司機背景調查、提交年度及隨機抽查之汽車檢驗報告及強制投保等。但反對者認為網路運輸業對於當地觀光產業以及公共安全是有害的，且修正草案欠缺公平性。舉例而言，網路運輸業同特定共乘服務公司（ride-share companies）僅被要求承擔100萬美元的商業責任保險，但其保險責任應更重；計程車及禮車服務公司，每一車輛的年許可費為440美元，但網路運輸業卻只要160美元；又現行修正案並未限制網路運輸業的營運車輛數目，以及允許網路運輸業自行設定動態費率等，這些都將嚴重打擊計程車業的營運[27]。 參、Uber在臺灣 一、Uber之亂：台北市計程車業者包圍交通部抗議 　　2013年7月引進臺灣時並沒有未引起太多關注，但2014年5月平價車款服務「菁英優步」的推動，其跳表價為50元，費率比計程車便宜，因此引爆計程車業的恐懼[28]，在計程車業眼中，Uber雖然主張所配合的是合法租車公司，但營運模式並非一般的日租或月租，而是同計程車班以距離來計算收費，卻又不受計程車客運業相關法規限制，明晃晃就是非法計程車，違反租賃業營業規範，不僅定價未經費率制訂委員會核定，司機也不需要有執業登記證，影響乘客安全[29]。我國交通部初步認定，Uber是提供預約租車並代僱駕駛的服務，需遵守小客車租賃業相關規定；若要與計程車客運業或個人計程車合作，則需符合計程車客運服務業申請核准經營辦法，收費也需要依照各縣市核定的計程車費率[30]。 　　政府到底應該如何看待與用什麼樣的思維管理創新服務？科技進步速度必然快過法規修訂速度，政府應該要保持彈性的態度，開闊的胸襟。臺灣15年來沒有改變的計程車費表，如今在Uber所提供的便利、有效率、高品質司機、立即的客訴處理的叫車服務下，計程車業者還希望能調高費率實是值得思考，是否傳統計程車業的載客服務和品質，已不符合消費者的需求[31]。 二、新興網路運輸業在法律關係上之定位 　　Uber所提供的服務其實是一個媒合閒置車輛及駕駛和消費者的叫車平台，在臺灣受限於法令規範，目前合作對象是小客車租賃業，交通部目前肯認其並無違法事由，但由於其商業模式-提供類似卻品質更好的乘車服務，因而對傳統計程車產業產生強大的衝擊，使得主管機關不得不正式回應計程車業者要求公平競爭、放寬駕駛年齡上限及推動新式計費表等訴求[32]。 　　若逕就Uber本身商業模式觀之，實際上較類似為我國的「計程車客運服務業」，依交通部依據公路法第56條第1項授權訂定之計程車客運服務業申請核准經營辦法第2條及第3條，計程車客運服務業得接受委託辦理「車輛派遣」服務業務，所稱派遣，係指接受消費者提出之乘車需求後，指派消費者搭車所在地同一營業區域內特定計程車前往載客之營運方式。至與Uber合作之小客車租賃業是否有違反法規之虞？ 　　我國計程車客運業和小客車租賃業均屬汽車運輸業，依公路法第79條第5項由交通部訂定申請資格、程序、營運許可內容與限制等事項之規則。兩者行業性質相近，均屬特許行業，但小客車租賃業進入門檻並不嚴苛，屬完全競爭市場，業務來源包括短期個人商務市場、家庭短期旅遊市場及公務機關長租等，尚未出現營運困難的聲浪；而Uber所提供的媒合服務，進一步地減少小客車租賃業的車輛閒置時間、給予代僱司機額外工作收入和提高業者獲利空間[33]。依現行法規，並未禁止小客車租賃業利用類似計程車的營運模式。 　　而計程車業因立法者預設為維護消費者隨機叫車伴隨而來的安全考量，對計程車業有較多管制規範，計程車駕駛人除了職業小客車執照外尚須申請營運小客車執業登記證[34]，對於車輛數量則係用牌照予以限制數量[35]。計程車費率則由公(工)會提案送交各該交通主管機關，再由費率審議委員會審議[36]；計費表之設定標準和檢驗之主管機關為經濟部標準檢驗局[37]。然而計程車業一直有許多問題存在，如對於駕駛人資格限制、品質和服務態度的規範、工時與勞動條件管理等[38]，此次以Uber而起的抗議活動，可發現計程車司機們的訴求，主要是來自於收入過低[39]。 計程車司機的生計困境，或許可藉由放寬進入門檻與降低成本作為手段，但不應以限制競爭、排斥提供更好服務的對手做為解決之道-當計程車業要求提高計程車費率卻又抗議Uber的平價服務，已經顯現出傳統運輸業缺乏競爭力卻又不願改革的陳舊思想。 肆、評析 　　根據Uber內部的數據統計，Uber每個月可以創造出2萬個工作機會，並且能有效改善交通狀況和減少酒駕事故[40]。在美國，與Uber合作的司機，年薪水高出一般計程車司機的三倍，且因媒合機率極高，司機可享有工時上的彈性，將提供乘車服務當作業餘工作，Uber則透過車牌號碼和司機的手機號碼對他們進行監督，一旦表現不好將剔除之，這樣的規範在新興的點對點科技服務（peer-to-peer tech service）是非常受歡迎且成功的營運模式，相同的商業模式也使用於e-Bay和Airbnb等公司[41]。 　　Uber利用成本更低廉的科技技術，所提供的方便叫車系統、便利的信用卡付費、確實的司機評鑑制度及極佳的媒合率，來自於創新的新興商業模式，並受到消費者的信賴與肯定。反觀我國計程車的現行市場生態，反映政府的政策決定及管制措施上，並無法提升計程車司機的收入和良好的載客品質，國內計程車市場並不乏已轉用科技技術平台的車隊，如台灣大車隊、Easy Taxi等，但整體的服務素質顯然欠缺足夠的競爭力，新興網路運輸業的誕生，實有助於計程車業加速開拓進取。我國政府確實應查核新興網路運輸業的商業模式，是否符合相關法規的管理要求，但管制目的上應係為兼顧消費者權益、公共安全、公平競爭及創新鼓勵，但絕不宜為了鞏固傳統產業的利益，而以法規扼殺新興網路運輸業的成長，犧牲消費者的使用需求和選擇權。 [1] UBER，https://www.uber.com/ （最後瀏覽日：2014/08/10）。 [2] 呂元鐘，〈uber.com-無照營業卻投資滿滿的新創叫車公司〉，數位時代，2012/11/22，http://www.bnext.com.tw/article/view/id/25504 （最後瀏覽日：2014/07/25）。 [3] Liz Chen，〈高檔轎車服務Uber初體驗〉，Inside硬塞的網路趨勢觀察，2013/07/05，http://www.inside.com.tw/2013/07/05/uber-experience ；〈Uber-不是有錢人也搭的起的高檔專車接送服務，註冊送300搭乘金〉，電腦王阿達的3C胡言亂語，http://www.kocpc.com.tw/archives/3064 （最後瀏覽日：2014/07/25）。 [4] 〈破天荒！Uber App 8/23起將調降價錢更貼近大眾市場〉，UBER，http://blog.uber.com/2013/08/22/%E7%A0%B4%E5%A4%A9%E8%8D%92-uber-app-823-%E8%B5%B7%E5%B0%87%E8%AA%BF%E9%99%8D%E5%83%B9%E9%8C%A2-%E6%9B%B4%E8%B2%BC%E8%BF%91%E5%A4%A7%E7%9C%BE%E5%B8%82%E5%A0%B4/ ；Liz Chen，〈高貴不貴，奢華叫車服務Uber 明天起大降價〉，2013/8/22，http://www.inside.com.tw/2013/08/22/uber-lower-price （最後瀏覽日：2014/07/25）。 [5] 〈為挺計程車司機，打擊Uber-交通部放棄的是格局和消費者權益〉，有物報告，2014/07/09，http://yowureport.com/?p=12833 ；Editor_Wye，〈反Uber?臺灣計程車司機們請記取歐洲同行的教訓〉，2014/06/25，http://www.inside.com.tw/2014/06/25/uber-taxi-war （最後瀏覽日：2014/08/15）。 [6] Can Uber taxi protests stop technology’s advance?, 4 News, July.1, 2014, http://www.channel4.com/news/uber-app-taxi-cab-drivers-protests-washington-dc-technology （last visited Aug.8,2014） . [7] UBER, https://www.uber.com/cities （last visited Oct 23,2013）. [8] Jacob Huebert, So, What Really Happened With the Government vs. Uber?, http://technori.com/2013/02/3289-startup-innovation-government-vs-uber/ （last visited July 23,2014）. [9] Nick Gillespie, The Government Is a Hit Man: Uber, Tesla and Airbnb are in its Crosshair, Mar. 20, 2014,TIME, http://time.com/31828/the-government-is-a-hitman-uber-tesla-and-airbnb-are-in-its-crosshairs/ ; Can Uber taxi protests stop technology’s advance?,4 News, July.1, 2014, http://www.channel4.com/news/uber-app-taxi-cab-drivers-protests-washington-dc-technology （last visited Aug 10,2014）. [10] Adam Clark Estes , Uber Faces Down Legal Trouble Pretty Much Everywhere, Reuters ,Dec 3, 2012, http://www.theatlanticwire.com/technology/2012/12/uber-legal-trouble/59539/ （last visited July 23,2014）. [11] Adam Clark Estes , Uber Faces Down Legal Trouble Pretty Much Everywhere, Reuters ,Dec 3, 2012, http://www.theatlanticwire.com/technology/2012/12/uber-legal-trouble/59539/ ; Alex Hern, Uber’s Londn trouble is just the latest squabble over the sharing economy, theguardian, June.11, 2014, http://www.washingtonpost.com/blogs/dr-gridlock/wp/2014/08/06/virginia-reaches-deal-with-uber-lyft-to-allow-services-to-operate-in-the-state/ （last visited July 23,2014）. [12] Nick Gillespie, The Government Is a Hit Man: Uber, Tesla and Airbnb are in its Crosshair, Mar. 20, 2014,TIME, http://time.com/31828/the-government-is-a-hitman-uber-tesla-and-airbnb-are-in-its-crosshairs/ （last visited July.23,2014）. [13] Alex Hern, Uber’s Londn trouble is just the latest squabble over the sharing economy, theguardian, June.11, 2014, http://www.washingtonpost.com/blogs/dr-gridlock/wp/2014/08/06/virginia-reaches-deal-with-uber-lyft-to-allow-services-to-operate-in-the-state/ ; Kyle Arnold, Uber ride service faces questions about drivers, insurance, lack of regulation, Tulsa World, Apr.2, 2014（last visited July.23,2014）. [14]Don Jergler, Transportation Network Companies, Uber Gap Worries Insurers, Jan.10, 2014, http://www.insurancejournal.com/news/west/2014/01/10/316839.htm ; Jacob Huebert, So, What Really Happened With the Government vs. Uber?, http://technori.com/2013/02/3289-startup-innovation-government-vs-uber/ ；TechOrange，〈純屬個人行為，Uber拒絕理賠旗下司機造成的車禍事件〉，香港矽谷，2014/01/14， http://www.hksilicon.com/kb/articles/356328/Uber; 姚善衍，〈控告案中司機及相關汽車共享公司，劉家怡家屬提出民事訴訟〉，sina全球新聞，2014/01/28， http://dailynews.sina.com/bg/news/usa/uslocal/singtao/20140128/09095414709.html （最後瀏覽日：2014/07/25）。 [15] Kyle Arnold, Uber ride service faces questions about drivers, insurance, lack of regulation, TULSA World, April. 2, 2014, http://www.tulsaworld.com/business/technology/uber-ride-service-faces-questions-about-drivers-insurance-lack-of/article_d3198fde-d426-5f45-935f-7b4a6415c5a5.html； Carmel Deamicis , Lyft announces insurance coalition members and Uber has agreed to take part , Pandodaily , Feb.10, 2014, http://pando.com/2014/02/10/lyft-announces-insurance-coalition-members-and-surprise-uber-has-agreed-to-take-part/ （last visited July 23,2013）. [16] Jon Brooks, City by City, Lyft and Uber Take on Taxis Regulators, Mar. 3,2014,http://blogs.kqed.org/newsfix/2014/03/03/lyft-uber-regulation/ （last visited Aug.13,2014）. [17] COM/MPI/avs. Date of Issuance 9/23/2013. Decision 13-09-045(2013)；Transportation Network Companies, California Public Utilities Commission, http://www.cpuc.ca.gov/PUC/Enforcement/TNC/ , CPCU establishes rules for transportation network companies, AutoRental, Sep. 2, 2013, http://www.autorentalnews.com/channel/legislative/news/story/2013/09/cpuc-establishes-rules-for-transportation-network-companies.aspx （最後瀏覽日：2014/07/25）。 [18] Transportation Network Company Rules of the Rules Regulating Transportation By Motor Vehicle, CCR 723-6-6700 (2014), http://cdn.colorado.gov/cs/Satellite?blobcol=urldata&blobheadername1=Content-Disposition&blobheadername2=Content-Type&blobheadervalue1=inline%3B+filename%3D%22723-6-6700%2C+Transportation+Network+Company.pdf%22&blobheadervalue2=application%2Fpdf&blobkey=id&blobtable=MungoBlobs&blobwhere=1252008331942&ssbinary=true （last visited Aug.14,2014）. [19] 49 C.F.R.§391.41, 391.43. [20] 49 C.F.R.§391, 393, 396. [21] Luz Lazo, Virginia reaches deal with Uber, Lyft, to allow service to operate in the state, Aug.6, 2014, http://www.washingtonpost.com/blogs/dr-gridlock/wp/2014/08/06/virginia-reaches-deal-with-uber-lyft-to-allow-services-to-operate-in-the-state/ （last visited Aug.14,2014）. [22] Reid Wilson, Seattle becomes first city to cap Uber, Lyft vehicles, March.18, 2014, http://www.washingtonpost.com/blogs/govbeat/wp/2014/03/18/seattle-becomes-first-city-to-cap-uber-lyft-vehicles/ （last visited Aug.14,2014）. [23] Lynn Thompson, Seattle council gives nod to compromise rules for ride services, July.14, 2014, http://seattletimes.com/html/localnews/2024071072_tncscouncilxml.html ; Seattle city council approves new ordinance, UBER, July.14, 2014, http://blog.uber.com/uberonseattle （last visited Aug.14,2014）. [24] Jon Brooks, City by City, Lyft and Uber Take on Taxis Regulators, Mar.3,2014 , http://blogs.kqed.org/newsfix/2014/03/03/lyft-uber-regulation/ （last visited Aug.13,2014）. [25] Transportation, The City of Houston-Administration& Regulatory Affairs, http://www.houstontx.gov/ara/regaffairs/transportation.html ;The Code of Ordinances city of Houston, Texas, the City of Houston, http://www.houstontx.gov/codes/ （last visited Aug.13,2014）. [26] Dug Begley, Houston approves new regulations, allowing Uber and Lyft, Aug.6, 2014, http://blog.chron.com/thehighwayman/2014/08/houston-approves-new-regulations-allowing-uber-and-lyft/#25524103=0&25694101=0 ; The city of Houston, Final Chapter 46 Vehicles for Hire Ordinance, http://www.houstontx.gov/ara/2014-754.pdf （last visited Aug.14,2014）. [27] Cory Smith, Council delays changes to vehicle-for-hire ordinance, KSAT, Aug.13, 2014, http://www.ksat.com/content/pns/ksat/news/2014/08/13/council-delays-changes-to-vehicle-for-hire-ordinance.html （last visited Aug 14,2014）. [28] 郭芝蓉，〈uber引戰計程車，只有破壞沒有創新？〉，數位時代，2014/07/11，http://www.bnext.com.tw/article/view/id/33003 ；甘芝萁、林嘉琪，〈叫車App搶生意，計程車公會怒控非法〉，自由時報，2014/06/25，http://news.ltn.com.tw/news/life/paper/790343/print（最後瀏覽日：2014/08/15）。 [29] 甘芝萁、林嘉琪，〈北北基費率15年未調，Ube 又搶客/千輛小黃後天交通部抗議〉，自由時報，2014/07/05，http://news.ltn.com.tw/news/life/paper/793243 ；蘇文彬，〈交通部將調查Uber是否有違法〉，iThome，2014/07/09，http://www.ithome.com.tw/news/89285 （最後瀏覽日：2014/08/15）。 [30] 〈各界對於UBER進軍臺灣市場相關疑問回應說明〉，中華民國交通部，http://www.motc.gov.tw/ch/home.jsp?id=15&parentpath=0,2&mcustomize=multimessages_view.jsp&dataserno=201407250001&toolsflag=Y （最後瀏覽日：2014/08/15）。 [31] 董福興，〈小黃為何不試著超越Uber？〉，聯合新聞網，2014/07/23，http://mag.udn.com/mag/digital/storypage.jsp?f_ART_ID=525933 ；經濟日報，〈擁抱新科技，化危機為商機〉，2014/07/25，http://udn.com/NEWS/OPINION/OPI1/8826676.shtml ；許子謙，〈uber的行銷秘密〉，數位時代，2014/07/21，http://www.bnext.com.tw/article/view/id/33101 （最後瀏覽日：2014/08/15）。 [32] 蘇文彬，〈交通部將調查Uber是否違法〉，iThome，2014/07/09，http://www.ithome.com.tw/news/89285 （最後瀏覽日：2014/08/15）。 [33] 周茂林，〈全力打拼爭權益，成果與業界共享-專訪中華民國小客車租賃商業同業公會全國聯合會〉，《工商會務季刊》，(2011)，http://198.55.121.69/cgi-bin/big5/k/37a2?q1=dp1&time=17:24:42&q27=20110719141556&q35=&q65=2006003&q22=20 （最後瀏覽日：2014/08/15）。 [34] 計程車駕駛人職業登記管理辦法。 [35] 汽車運輸管理規則第91條之2。 [36] 汽車管理運輸規則第10條。 [37] 度量衡法第3條，度量衡器形式認證管理辦法第2條，度量衡器檢定檢查辦法第3條。 [38] 相關文獻如：交通部運輸研究所，計程車共乘試辦計畫（2009），http://www.iot.gov.tw/public/data/96414235571.pdf；張學孔，〈九十七年度台北地區計程車營運情形調查期末報告〉，台北市政府交通局與台北縣政府交通局共同委託研究，（2008）；張學孔，〈計程車在臺北市大眾運輸政策中的角色與定位之研究〉，臺北市政府研考會委託研究，（2008）；周文生，〈計程車駕駛職前與在職教育訓練制度之規劃與建立(I)〉，交通部運輸研究所委託研究，（2008）；周文生、王穆衡、王晉元，「計程車客運業營業區域檢討調整之研究」，（2002 年）（最後瀏覽日：2013/10/25）。 [39] 計程車業者主要訴求為：放寬計程車駕駛年齡限制；放寬一輛計程車只能加入一家計程車客運服務業的限制（計程車客運服務業申請核准經營辦法第16條）；取締白牌計程車；提高費率。請參〈北市計程車公會建請持續摧生新式計費器制度與規劃各方費率攤提問題〉，台北市商業會，http://www.tpecoc.com.tw/cgi-bin/big5/k/174m?q1=dp1&q27=174m&q35&q65=a019759&q22=20140730175343&q13=x ；台北市計程車客運商業同業公會臉書社團，https://www.facebook.com/notes/%E5%8F%B0%E5%8C%97%E5%B8%82%E8%A8%88%E7%A8%8B%E8%BB%8A%E5%AE%A2%E9%81%8B%E5%95%86%E6%A5%AD%E5%90%8C%E6%A5%AD%E5%85%AC%E6%9C%83/%E8%B7%AF%E6%94%BF%E5%8F%B8%E5%B0%8D103%E5%B9%B47%E6%9C%887%E6%97%A5%E5%85%A8%E8%81%AF%E6%9C%83%E9%99%B3%E6%83%85%E6%9B%B8%E5%9B%9E%E8%A6%86/432941536845711 ；交通部路政司路臺營字第1030408497號函；台北市公共運輸處北市運般字第10332038400號函；交通部交路字第1030405420號函。 [40] Uber, http://blog.uber.com/davidplouffe （last visited Aug.8,2014） . [41] Can Uber taxi protests stop technology’s advance?, 4 News, July.1, 2014, http://www.channel4.com/news/uber-app-taxi-cab-drivers-protests-washington-dc-technology ; Christopher Mathias, Half of NYC UberX Make More Than $90000, Uber Claims, May.27, 2014, http://www.huffingtonpost.com/2014/05/27/uberx-new-york-city-drivers-salaries_n_5397387.html （last visited Aug.8,2014） .

　　芬蘭科學院(Academy of Finland, AOF)是隸屬於芬蘭教育、科學及文化部的專業研究資助機構，旨在促進芬蘭科學研究的多樣化及國際化，資助前端突破性科學研究，提供科學技術及科學政策的專業知識，並加強科學研究的地位。芬蘭科學院最高決策單位為七人委員會，委員會主席由科學院院長出任。 　　底下設有：文化與社會、自然科學與工程、健康醫學以及環境與自然資源四個研究委員會。每一委員會設主席一人委員十人，任期三年。行政單位由大約一百位專家組成，主要工作為準備及執行七人委員會及各研究委員會的各項工作與決策，並撰寫科學報告和研究計畫。 　　其任務包括獎助大學與研究機構內的科學研究工作與團隊、參與多邊研究計畫的規劃與獎助、資助芬蘭研究人員參與國際研究計畫、評估科研計畫的品質及水準，以及科技政策專業諮詢等。研究範圍涵蓋建築、太空研究、細胞生物和心理學到電子和環境科學研究。

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

英國國會於2023年7月上旬通過《電子貿易文件法》（Electronic Trade Documents Act 2023, ETDA），經國王於7月20日正式批准，該法於2023年9月20日正式生效，未來英國的電子貿易文件將與紙本貿易文件具有相同效力。 一直以來，英國僅承認紙本貿易文件的法律上效力，因此英國企業在進行國際貿易的各環節上，必須處理上百頁的紙本文件，造成英國企業及其交易對象必須花費相當高的時間和金錢成本，不僅效率低且造成環境破壞，同時紙本文件也較難驗證其真實性。在數位轉型趨勢下，此類陳舊的法律早已不合時宜，因此美國、新加坡、德國等國家也正在進行類似立法，而英國是七大工業國組織（Group of Seven, G7）中第一個完成立法的國家。 該法正式施行後，可大幅降低英國企業的成本，提升國貿及融資的效率；根據英國政府估計，未來十年，該法將可為英國經濟創造11.4億英鎊的淨效益（net benefit），同時每年可減少10%以上的碳排放量，有助於落實ESG。更重要的是，相對於紙本，貿易文件的數位化，可提升安全性和透明性。 根據該法第2條第2項規定，電子貿易文件必須是由「可信賴系統」（reliable system）所產生，所謂「可信賴系統」必須具備以下特徵： 1.能清楚識別文件，與其他副本加以區分； 2.能防止文件遭到未經授權的修改； 3.確保任何時點僅有一人能對該文件行使控制權； 4.允許能夠對該文件行使控制之人，能向他人「證明」其控制權； 5.確保電子貿易文件移轉後，使前手立即喪失控制權。 此外，第2條第5項列出在判斷一個系統是否可信賴時，可考量的7點因素，其中第5點指出可考量該系統是否經獨立機構定期稽核（包含稽核頻率和範圍），以及第6點為該系統是否經監管機關進行任何可信賴性的評估。 雖然該法基於技術中立（technological neutrality），並未明定何種技術符合「可信賴系統」的要求。然而，起草該法的法律委員會（Law Commission of England and Wales, LCEW）於2022年3月的草案報告中花了相當大的篇幅說明「分散式帳本」（Distributed Ledger Technology, DLT）的技術，並認為DLT在透明性、安全性、不可竄改等面向有較好的表現，因此指出這是「目前」產生可信賴電子貿易文件的重要技術之一。英國政府表示，承認電子貿易文件的法律效力後，國際貿易各環節的參與者可以透過如DLT等技術，更有效地追踪相關紀錄，進而提高國際貿易的安全性和合規性。 本文同步刊登於TIPS網站（https://www.tips.org.tw）