促進數位資產流通機制建立之法制初探
促進數位資產流通機制建立之法制初探
資訊工業策進會科技法律研究所
2021年2月3日
現代社會中,數位資產已無處不在,並很大程度地在經濟社會活動中佔有一席之地。舉凡非有體物形式財產[1];或個人有權利或利益之電子形式紀錄[2];抑或所有可儲存在伺服器、電腦或其他電子設備上的事物,包括社群網站帳號、照片、網站、線上銀行帳戶、比特幣、線上音樂、網域和數位財產相關之任何智慧財產權皆可歸為[3]數位資產範疇。在此些數位資產中,除資料、智慧財產等無形資產外,有部分係奠基於網路服務業者所提供服務,進而在使用者利用過程中衍生其價值之數位資產(如社群媒體帳號、線上遊戲寶物、數位代幣等),如能有效就此類數位資產加以流通活用,預料將可促進數位經濟成長並厚植競爭實力。
欲流通、活用前開數位資產,首先面臨的挑戰是如何釐清數位資產[4]內涵。蓋其未必具有實體,似難認其具有民法上物權性質,且亦非法律上已給予明確定位之智慧財產權,或依其性質已由主管機關訂其適用法律之證券型代幣發行(Security Token Offering),實難就該等數位資產之內涵給予法律上評價與定論。是故,網路服務業者與使用者間就該等數位資產的使用,遂回歸私法自治精神,由雙方當事人以契約之私法關係約定。但此作法卻易造成具有優勢地位的網路服務業者慣於藉契約限制或排除使用者轉讓、贈與甚至是繼承數位資產之可能性,對使用者權利的保障似仍無足堪用;其次,相比實體資產,數位資產於交易上,未如動產以占有、不動產以占有加登記、智慧財產權以註冊或法律明文保護方式具體化公示外觀,交易當下難確知數位資產是否真實存在、交易對造是否有權處分等,影響經濟活動信任基礎之建立。
鑒於數位資產已逐漸顯露在經濟活動中的重要性,卻仍無足堪適用之法律促進流通並保障相應權利。是以,實有觀察國際間應對數位資產流通困境措施之必要,以為我國推行數位資產流通機制之借鏡。
壹、事件摘要
誠如前言,數位資產縱已是現代生活不可或缺之一步,但就數位代幣、線上遊戲寶物、社群媒體帳號等數位形式存在之標的,在法律上仍難以明確可茲適用法律,致使使用者在權利保障上未能周全。同時,因數位資產並無公示外觀表彰權源,亦無可形構數位信任基礎之制度,而難活絡數位資產流通市場。
對應於此,美國懷俄明州(State of Wyoming)於2019年7月1日施行《數位資產法》(Digital assets-existing law, NO. SF0125[5]),就數位資產嘗試給予法律定位,並建立銀行提供數位資產託管服務的法律基礎。在數位資產法律定位上,框定以電腦可讀格式存儲具有經濟價值、專有的或存取的權利(economic, proprietary or access rights)為數位資產,並明定數位資產具懷俄明《統一商業法典》(Uniform Commercial Code)所稱財產之性質。同時,也進一步將數位資產劃分為數位消費資產(Digital Consumer Assets)、數位證券(Digital Securities)、虛擬貨幣(Virtual Currencies)三者[6]。數位消費資產是指符合統一商法典中所稱一般無形資產(General Intangibles[7])之個人無形資產,主要用於消費、個人或家庭目的之數位資產譬如開放式區塊鏈代幣(Open Blockchain Token)、如線上遊戲寶物、社群媒體帳號等;而數位證券乃指符合統一商法典所稱證券或投資財產(Investment Property[8])定義之數位資產;至於虛擬貨幣[9],則是指用做交易媒介、帳戶單位或價值儲存的數位資產。另方面,在構築數位資產可信賴性之作為上,懷俄明州授權數位資產具有擔保權益[10],並建立銀行提供數位資產託管服務(Custodial Services)的法律框架[11] ,將被納入懷俄明州統一商法典「財產」範疇下的數位資產,允許銀行為其提供託管服務,同時,根據懷俄明州統一信託法(Uniform Trust Code)進行數位資產的控制和保護。由此觀察,顯見美國個別州已有意識地逐步為數位資產流通環境創設有利發展的監管環境。
無獨有偶,俄羅斯同樣積極地以法律手段回應數位資產活用、流通的需求。俄羅斯在2019年3月提出聯邦民法典修正案-數位權利法案,在民法第128條民事權利客體增設「數位權利」,並於第141.1條指出「數位權利」發生的條件,係當數位標的被存放於符合一定法定標準之資訊系統(即以區塊鏈技術運作之系統),即賦予其民事權利客體地位,將之納入民事權利關係中,擴展數位資產發展的法律空間。換言之,未來,俄羅斯數位資產如欲受到數位權利之保障,必須是在分散式資訊系統(Decentralised Information System)內運作,並且,該系統必須可使有權存取數位資產之人,可以在任何時間知悉該資產的狀態;同時,僅有在資訊系統內才可行使轉讓、擔保和數位權利其他形式之負擔行為,且不需經第三方之介入。除非法律另有規定,否則數位權利持有者(Owners)是唯一有權根據相關資訊系統規則處分(Dispose)此類權利的人,並且,應由他人就數位資產權利歸屬進行驗證。值得注意的是,數位貨幣和加密貨幣已被排除在適用範圍之外[12]。
貳、重點說明
承續觀察美國懷俄明州以及俄羅斯等國際間應對數位資產之見,具有以下特色:
一、嘗試為數位資產明確其適用法律
由於數位資產在法律上未必有特別規定,形成實務上多以私法契約關係約定數位資產使用權現象。當數位資產在當今社經發展下漸顯其重要性時,如仍一概以私法契約關係約定雙方當事人權利義務似有所不足。
因此可發現美國懷俄明州和俄羅斯分別尋思不同路徑,嘗試為數位資產提供明確的法律地位。美國懷俄明州就數位資產類型化為數位消費資產、數位證券、虛擬貨幣三者。藉此敘明,在基於《統一商業法典》擔保交易之目的下,數位消費資產應直接適用統一商法典下的一般無形資產相關規定;數位證券則是適用統一商法典下有關證券及投資財產相關規範;虛擬貨幣則被視為是貨幣,適用與貨幣相關法令,受讓人應擔保相關財產權[13];俄羅斯則是在其既有的民事權利客體體系下,增設數位權利。換言之,當數位資產在符合民法所定義的環境中運作時,俄羅斯將賦與該等數位資產數位權利地位而受民法保障。
二、試圖構築數位資產信任基礎
除上述(權利)定性問題外,數位資產另一困境係缺乏形構數位信任的相應作為,而亟待尋求建立數位信任的解方。
是以,美國懷俄明州利用其銀行體系作為構築數位信任的工具。透過《數位資產法》闡明銀行作為數位資產託管服務提供者的標準及程序[14],擬藉由託管數位資產方式,由銀行負責管理,並受託管人指示進行數位資產交易。經由託管人指示進行數位資產交易後,銀行將代表客戶進行數位資產之購入或售出,讓數位資產交易可以獲得安全且可靠的銀行服務;俄羅斯則直接以民法明文規定數位資產流通環境之標準與規則,並明確指出在該等環境中,數位資產所可主張之權利包含支配權、排他權等,並且,得在不經由第三方協助下,直接執行與管理數位權利,包含轉讓、擔保等。換言之,俄羅斯企以法定標準方式,導引業者共同形塑安全資訊系統環境,在該等環境中,數位資產之狀態得以固化與被驗證,並具有準物權性質和得公示之外觀,突破數位資產流通與活用最根本的信任問題。
參、事件評析
美國懷俄明州、俄羅斯嘗試將法律作為調節數位資產與社會關係的重要工具,客觀地從數位資產內涵以及數位資產交易之信任構築著手,形塑數位資產流通與活用基礎,極具參考價值。
面對數位資產浪潮,我們可觀察到兩類因應取徑。美國懷俄明州採取數位資產與周邊產業關係的再形塑,針對數位資產在特定交易目的下的應用,以《數位資產法》闡明其適用法令,並為當地金融業開展新形態服務建立框架,由此擴大金融業經營業務範圍,藉金融體系作為公正可信賴第三方者促進數位資產流通,促成產業與消費者雙贏,帶動產業生態系的成形;俄羅斯則著眼於數位資產流通環境的建設,企圖以數位基礎建設構築一可固定數位資產狀態,並形成可公示外觀與提供數位資產所有者支配權、排他權之環境,以此促進數位資產在該等環境下的流通與活用,進而預先為未來智慧合約等更新穎的數位資產應用準備。
對照於此,何以擘劃我國數位資產流通與活用政策,或可融鑄美國與俄羅斯之見,為數位資產內涵與適用法律給予明確地位,避免業者藉由私法手段片面限制數位資產的流通。換言之,或許宜進一步思考當數位資產具有經濟效益且已有長期反覆慣行交易行為,被人民確信其法律效力者,是否可認其已有民法第757條所稱之習慣,而具有物權內涵,可為流通與交易而不受業者單以(債權)契約約定;其次,建議考量是否借鏡俄羅斯創設數位權利,法定化數位資產流通環境之資訊系統,或如美國借力具提供數位資產管理、處分能力業者,共構數位資產流通環境基礎建設與驗證標準,通過技術手段具體化數位資產權利外觀,以確實解消流通環境安全問題並建立數位信任。
[1] 盛雅、陳芳鑫,〈數字信號代碼是否可以繼承?〉,《法治天地》,第8期,頁54(2019)。
[2] American Bar Association[ABA], Digital and Digitized Assets: Federal and State Jurisdictional Issues, (2019), https://www.americanbar.org/content/dam/aba/administrative/business_law/buslaw/committees/CL620000pub/digital_assets.pdf (last visited Jan. 1, 2020).
[3] Thomson Reuters/Tax and Accounting Gross Estate, Key Issue 8J: Digital Assets, 706/709 Deskbook Key Iss 8J 1-3 (25th ed, 2019).
[4] 本研究以下所討論之數位資產範圍,僅限於網路服務業者所提供服務,進而在使用者利用過程中衍生其價值之數位資產(如數位代幣、線上遊戲寶物、社群媒體帳號等)。
[5] Digital assets-existing law, SF0125 WY §§34‑29‑101- 13-2-101 (2019), https://www.wyoleg.gov/Legislation/2019/SF0125 (last visited Mar. 24, 2019).
[6] Digital assets-existing law, Section 1, §34‑29‑104, Digital asset custodial services, “(a) A bank may provide custodial services consistent with this section upon providing sixty (60) days written notice to the commissioner. The provisions of this section are cumulative and not exclusive as an optional framework for enhanced supervision of digital asset custody. If a bank elects to provide custodial services under this section, it shall comply with all provisions of this section.”, https://www.wyoleg.gov/Legislation/2019/SF0125 (last visited Mar. 12, 2019).
[7] "General intangible" means any personal property, including things in action, other than accounts, chattel paper, commercial tort claims, deposit accounts, documents, goods, instruments, investment property, letter-of-credit rights, letters of credit, money and oil, gas or other minerals before extraction. The term includes payment intangibles and software.
[8] "Investment property" means a security, whether certificated or uncertificated, security entitlement, securities account, commodity contract or commodity account.
[9] Digital assets-existing law, Section 1, §34‑29‑102 (a), “ (iii) Virtual currency is intangible personal property and shall be considered money, notwithstanding W.S. 34.1‑1‑201(b)(xxiv), only for the purposes of article 9 of the Uniform Commercial Code, title 34.1, Wyoming statutes. ”, https://www.wyoleg.gov/Legislation/2019/SF0125 (last visited Mar. 12, 2019).
[10] Wyo. Stat. § 34-29-103
[11] Wyo. Stat. § 34-29-104
[12] Global Legal Insights, Blockchain & Cryptocurrency Regulation 2020 Russia (2019), https://www.globallegalinsights.com/practice-areas/blockchain-laws-and-regulations/russia (last visited Jan. 16, 2020)
[13] Uniform Commercial Code§ 9-332. TRANSFER OF MONEY; TRANSFER OF FUNDS FROM DEPOSIT ACCOUNT.
[14] Supra note 12.
為試驗導入智慧防救災各項新興技術與機制,英國國民緊急事務秘書處 (Civil Contingencies Secretariat, CCS) 於2013年秋天分別對北約克郡 (North Yorkshire)、格拉斯哥 (Glasgow) 和薩福克郡 (Suffolk) 三地區進行共三次的「公共緊急警報:行動通訊預警試驗」(Public emergency alerts: mobile alerting trial)。由於英國已有92%民眾具有行動電話,並以隨時得接收訊息為出發點,進行有別於傳統預警系統之公共緊急預警系統試驗。此試驗由國民緊急事務秘書處與O2、Vodafone和EE三間行動網路業者 (mobile network operators) 和地方政府應變單位合作,雖係以行動電話為試驗主軸,但試驗重點則以政府或地方政府應變單位「不知道」民眾個人電話,亦不要求民眾簽署才能取得此次試驗訊息為主。 此三次試驗手段有二,包括「小型區域廣播服務」 (cell Broadcast service, CBS),係以單點對多點發送緊急簡訊,以及「以地區為基礎的簡訊」 (location-based SMS messaging),以群組方式發送簡訊至指定地區用戶,二種發佈緊急訊息的方法為試驗。 北約克郡 (North Yorkshire)主要與EE進行發送緊急水災警報系統,對於廣播訊息發送的時間或調整時間長短以供傳送「泡沫警報」(表訊息多寡)到地域寬廣或數個地區而言,是有效的手段。格拉斯哥 (Glasgow)地區為蘇格蘭最大城市,與O2業者進行最大型的試驗,發送數千緊急訊息給民眾。而薩福克郡(Suffolk)則是由於該區不僅於市中心具兩個火車站,遊客也眾多,因此試驗場域以住商混合住宅區及處於該區的人民為主。除小型區域廣播服務和以地區為基礎的簡訊外,薩福克郡也與社交網路Twitter合作,共傳送三種訊息試驗。 透過上述試驗,公共緊急警報:行動通訊預警試驗計畫報告也提出針對隱私與對於電信服務業者於災害發生當下之通訊服務義務未來應制訂相關規範,以及應統一發送訊息之通訊警報協定標準等建議。
大倫敦政府提倡倫敦城市資料市集大倫敦政府(Greater London Authority, GLA)在今(2016)年3月公布「城市資料策略」(City Data Strategy),以發展「城市資料市集」為核心的「數位倫敦」(Data for London) 計畫,希望與合作夥伴共同推展「城市資料市集」,以節省資金、培育創新、推動經濟成長,並迎接可能之挑戰。 「數位倫敦」將城市資料分為開放資料(Open Data)、民間企業資料(Private Data)、商業資料(Commercial Data)、感知資料(Sensory Data),及公眾來源資料(crowded-sourced data)等5個類型。此外,蒐集之資料類型及如何使用該等資料,亦為計畫的執行重點之一。 「數位倫敦」之實施計畫(Implementation Plan)分短、中、長期,以近期發布之短、中期的路徑圖而言,大倫敦政府計劃在2年內分 5個階段,從編制資料目錄,建立資料庫聯盟,利用雲端系統建置一能預測並開發、利用新資料來源之資料庫,並以「引用資料,而不複製資料」之原則,持續與公開來源社群及夥伴合作。 「城市資料市集」作為發展大倫敦基礎設施建設之一環,從資料蒐集、過濾檢測、資料庫平台管理、整合平台及服務,進而建立新商業模式,期將倫敦打造成世界首屈一指的智慧城市。
APPLE iPhone 3G訊號差遭用戶提告具外電報導,美國一阿拉巴馬州居民已向法院提起告訴,控告蘋果公司(APPLE)手機(iPhone 3G)之上網速度緩慢,與其廣告之陳述大相逕庭。 興訟人Jessica Alena Smith於本月19日向美國北阿拉巴馬州地方法院提請訴訟,其於長達十頁之訴訟書中聲稱,APPLE iPhone 3G的速度比宣傳的速度慢,該廣告已有誤導之嫌。Smith要求代表其他用戶使這起訴訟變成一個聯合訴訟。 APPLE廣告聲稱iPhone 3G「一半的價錢,一倍的速度」,能更快地登入網路、上網、收發email、傳送簡訊等,但Smith認為其實際情況卻比廣告所說的緩慢。原告之代表律師表示,APPLE顯然已違背該產品出售時所做出的承諾。同時,更有些許使用者發現iPhone 3G容易發生通話或上網斷訊的情況。 經過幾週的沉默後,APPLE終於體認該產品確實存有訊號接收的問題。APPLE並已發佈「iPhone OS 2.0.2」軟體更新程式並稱能「修正問題」,且已置於iTunes供使用者免費下載,以改善iPhone3G的網絡連接性能。但其是否能修復使用者提出的上述問題,尚不得而知。 該訴訟中要求APPLE提供維修或更換瑕疵產品並負擔損害賠償與律師費用等。目前APPLE尚未對該項請求提出回應或發表評論。
從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制 科技法律研究所 2013年07月03日 資訊科技的發展,從早期「超級電腦/大型電腦」、近期「個人電腦」,到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用,未來電腦運算設施就像是水、電;資料儲存與應用就像是銀行,只要連上網路就可以使用,不必各自投資發展。因此,「雲端運算」未來將成為每個國家的重要基礎建設。 將雲端運算列為重要的產業發展重心,已是各國的趨勢,而運用雲端運算所帶來的效益,如節省經費、提升效率等,亦為普遍地承認,再加上公部門相較於民間,其擁有較多的經費及資源來進行雲端運算的導入,而藉由公部門導入雲端運算,可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此,各國均皆致力於促進公部門導入雲端運算。 然而,在雲端運算帶來龐大經濟效益的同時,伴隨而來的,是新的資訊管理議題,雲端安全防護聯盟(Cloud Security Alliance, CSA)提出了雲端運算可能遭遇的九大安全威脅 : 一、資料外洩(Data Breaches) 二、資料遺失(Data Loss) 三、帳號被駭(Account Hijacking) 四、不安全的APIs程式(Insecure APIs) 五、拒絕服務(Denial of Service) 六、惡意的內部人員(Malicious Insiders) 七、濫用雲端服務(Abuse of Cloud Services) 八、審慎評鑑不足(Insufficient Due Diligence) 九、共享環境議題(Shared Technology Issues) 面對前述的安全威脅,政府部門在考量導入雲端服務時,首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度,以及政府部門要從何尋找符合其需求的業者。 壹、事件摘要 美國政府在2010年12月發表了25項聯邦IT轉型重點政策,其中一項核心的政策便是「雲優先政策」(cloud first policy)。根據「雲優先政策」,聯邦機構必須在三個月內找出三項轉移到雲端的政府服務,並且要在一年內導入其中一項。 然而,此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰,傳統由各機關分頭洽談所導入資訊系統與應用規格之方法,並實施個別的資訊安全需求與政策的作法,對服務商而言,其所提供的相同服務,在各機關導入時,卻必須將受各個機關的審查,造成各機關投入過多的資源在審查程序上,導致政府資源的浪費,不但耗費時間、審查重複,且無法達到建構妥善操作程序的效果。 2012年6月6日,聯邦政府總務管理局(General Service Administration, GSA)宣布「聯邦風險與授權管理計畫」(Federal Risk and Authorization Management Program,以下稱FedRAMP)開始正式運作,GSA並表示,「FedRAMP」的正式運作,將解決美國政府在雲端產品及服務需求上,因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費,並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用,預期效益相當可觀。 「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範,建立一套可遵循之依據。未來所有雲端產品的服務提供者,都必須遵守及達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。 貳、重點說明 「聯邦風險與授權管理計畫」主要由預算與管理辦公室(Office of Management and Budget, OMB)負責組織預算與管理;聯邦資訊長(the Federal Chief Information Officer,CIO)負責跨部門的整合;國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析;總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序,並成立計畫管理辦公室( Program Management Office, PMO)負責FedRAMP之操作與管理;以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準;最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局,組成共同授權委員會(Joint Authorization Board, JAB),負責對服務提供者的授權與定期檢視。 FedRAMP制度的精神在於「作一次並重複使用」(Do once ,Use Many Times),同一內容的雲端服務,透過FedRAMP,僅須經過一次的評估與授權,即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性,造成資源浪費的問題,將可獲得解決。當其他機關欲採用雲端服務時,可透過FedRAMP,免去再一次的評估與驗證。 FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成,簡單介紹如下: 一、第三方評估機構的認證 FedRAMP的特殊之處,在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構(3PAO)來進行審查,而第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下: (一)申請檢視 機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力,並且自行檢視FedRAMP網站上的申請表,自行檢視是否合乎要求,然後決定是否提出申請。 (二)完成要求 機構須分別完成申請表所要求的系統安全計畫(system security plan, SSP)、系統評估計畫(system assessment plan, SAP)、安全評估報告(security assessment report, SAR)。於完成後向計畫管理辦公室提出申請。 (三)審查 在接受申請後,總務管理局會與ISO網路安全專家共同組成「專家審查委員會」(Expert Review Board , ERB),審查該申請。 (四)決議 審查完畢後,FedRAMP計畫管理辦公室(PMO)會檢視ERB的意見,決議是否通過該申請。 於通過申請後,該機構將會被列入FedRAMP官方網站(www.FedRAMP.gov)的第三方評估機構名單,目前為止,陸續已有十五個機構通過共同授權委員會的授權,日後得對雲端服務商進行評估。 二、對雲端服務提供者的評估 在「聯邦風險與授權管理計畫」的機制設計中,政府機關或雲端服務提供者任一方,皆可提出申請(Request)啟動雲端服務的安全性評估(Security Assessment)程序,此程序中共有四個主要階段: (一)提出申請 在申請人將所須文件初步填寫完畢之後,計畫管理辦公室(PMO)即會指派資訊系統安全官(Information Systems Security Officer, ISSO)進行指導,使之得進行安全控制、出具必要文件、並實施安全測試。之後,PMO會與雲端服務提供者簽署協議,並要求相關機關實施對雲端服務系統的安全性測試。 (二)檔案安全控管 雲端服務提供者必須作成系統安全計畫(System Security Plan, SSP),表明安全控制之實施方法,及其相關文件如IT系統永續計畫(IT Contingency Plan)、隱私衝擊調查(Privacy Impact Questionnaire),並送交ISSO進行審查,再由雲端服務提供者就對審查意見予以回覆之後,由ISSO將案件送至共同授權委員會(Joint Authorization Board, JAB)進行審查,以確認所提交的SSP安全措施符合雲端系統所需。 (三)進行安全測試 服務提供者與第三方評估機構(Third Party Assessment Organization, 3PAO)簽約,且由PMO約集雲端服務提供者與3PAO,確認雙方對於安全測試實施的期待與時程,再由3PAO獨立進行該雲端系統測試,並完成安全評估報告(Security Assessment Report, SAR),闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果,作成行動與查核點報告(Plan of Action & Milestones (POA&M)),以提出矯正弱點與殘餘風險(residual risks)的措施、資源與時程規劃。 雲端服務提供者再將前述SAR與POA&M提交予PMO,由JAB決定是否接受該弱點及其修正計畫,或者提出修正建議。倘若JAB可接受該弱點及其他因應措施,則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。 (四)完成安全評估 雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案,並提出證明將確實執行其安全控制措施。由JAB檢視此方案,並作出最終決定是否授予「附條件之授權」(Provisional Authorization)。得到此授權的雲端服務提供者名單,將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權,PMO會指導如何進行重新申請。 三、持續的評估與授權 持續的評估與授權(ongoing Assessment and Authorization, A&A)通常也被稱為持續監控(Continuous Monitoring),在FedRAMP中第三個也是最後一個流程,透過持續的評估與授權機制,來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面: (一)操作的能見度 操作能見度的目標,是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度,而不必政府機構另行要求。 (二)變更控制程序 雲端服務提供者更新她們的系統是常有的事,此處的變更控制程序並非針對例行性的維修或變更,而是要求若有發生影響臨時性授權或的顯著變更時,服務提供者必須提供此種具衝擊性變更的有效資訊,使FedRAMP得以評估此變更的影響與衝擊。 (三)事件回應 事件回應方面聚焦於新風險和漏洞的因應,服務提供者在發現影響授權的新風險或漏洞時,應向機構說明其針對保持系統安全的因應對策與作法。 參、事件評析 在各國紛紛投入雲端運算的推動熱潮中,我國也不能在此項產業推動中缺席。2010年4月,行政院科技顧問組(現已改組為行政院科技會報)責成經濟部,研擬「雲端運算產業發展方案」;2011年5月,行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」,在內部運作管理面向,將運用新興雲端運算技術推動以全國性的政府雲端應用服務,減少機關重複開發成本,並達成節能減碳效果。 雲端的安全問題,無論在私人企業或政府部門,均為選擇導入雲端服務的第一要務,「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點,運用雲端運算技術,創新資安服務價值,確保政府資通安全防護。 然而,在服務提供者的安全性方面,我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此,我國可借鏡各國的作法,適度的以透過公正第三方機構驗證,來消除雲端服務安全性的疑惑,並推動一個公開的平台,將通過驗證的廠商公布出來,提供公部門甚至私人企業作選擇,不僅可免去同一服務廠商不斷重複驗證的麻煩,亦可削減選擇上的難題,並藉此發展雲端資安技術與推動雲端產業,使我國的雲端環境能夠更臻成熟。