美國明尼蘇達州制定《明尼蘇達消費者個人資料保護法》（Minnesota Consumer Data Privacy Act, MNCDPA)，將於2025年7月31日生效

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

　　我國藥廠普遍以產製學名藥為主，而新藥研發風險高且非一蹴可及，故當前藥品科專的研發重點以發展類新藥（redesign drugs）主軸，希冀透過類新藥研發的「成功經驗」，引導業界走出學名藥，投入更高層次藥品領域，推動產業發展。鑑於製藥產業乃是高度規管的產業，除了技術研發以外，也必須切實掌握相關的法規議題，避免因不諳法規致使研發投資錯置或浪費。 　　觀察國際新藥研發成果保護法制之發展趨勢，藥品查驗登記程序與專利有效性相互扣合的機制（patent-registration linkage），極可能在可預見的未來成為國際間討論的重要議題，鑑於藥品科專之研發補助方向已由學名藥延伸至新藥技術能量，實有必要瞭解政府投入資源鼓勵研發的類新藥，未來由業界承接後是否可能受到此一機制的影響。 　　藥品查驗登記程序與專利有效性相互扣合機制一般被簡稱為「專利連結」（patent linkage），「專利連結」亦有稱為「專利扣合」，概念上係指將學名藥（generic drug）的上市審查程序，與原開發藥廠之參考藥品（the originator reference product）的專利權利狀態連結在一起；進一步而言，一旦新藥通過主管機關的審查上市後，只要在該新藥相關的專利有效期間，主管機關即不應核准該新藥之仿製藥品上市。 　　專利連結乃是美國藥品法規與專利法交錯下特有之產物，然美國透過不斷地對其貿易伙伴訴求專利連結的重要性，在美國以外，已有多個國家於其藥品審查程序中建立與專利之連結關係，例如：加拿大、新加坡、澳洲等國。在藥品上市審查之過程中予以專利連結之目的，係為透過機制設計，確保主管機關不得在原開發藥廠之專利到期前核准學名藥上市。在美國法制下，專利連結的運作植基於四大核心概念：（一）新藥相關之專利資訊應於上市後系統化公開；（二）新藥專利有效期間內，主管機關不應核可後續申請者之上市申請；（三）盡可能於許可學名藥上市前解決專利有效性爭議；（四）鼓勵未涉及專利侵權之學名藥及早上市。 　　值得注意的是，美國專利連結法制所講的學名藥，包括狹義及廣義的學名藥，前者是指具有相同的活性成分、相同的劑型、治療相同適應症的藥品；後者則是指對已上市新藥的改良藥品，可見其概念上涵蓋我國當前鼓勵研發的類新藥。專利連結對於類新藥之影響，需視其如何上市而定，若類新藥是以NDA方式申請上市，雖然上市成本高，但其研發成果卻可以因為實施專利連結制度，享有更進一步的保護；另一方面，若廠商基於成本考量不願自行或委託他人進行臨床試驗，因而無法提出完整之NDA申請資料者，則專利連結將會對其產生衝擊。 　　綜上所述，雖然專利連結制度具有鼓勵新藥研發的作用，但由於我國當前製藥產業結構仍以中小型規模的學名藥為主，加上我國藥品專利之申請及取得者，90％以上為外國藥廠，故若實施專利連結，短期內勢將衝擊我國製藥產業，且美國、加拿大的實務運作經驗顯示，專利連結制度容易被藥廠濫用，因此我國在考慮是否建立此一制度之前，必須先就我國製藥產業的競爭情勢有所瞭解，並充分掌握我國產業結構與先進國家製藥產業之根本性差異，始能根據我國國情制訂權衡原開發藥廠與學名藥廠雙方利益，並保障公眾健康權益之法制。 　　當前最重要者仍是要提醒廠商尊重智慧財產之重要性，既然學名藥是要在專利到期後上市，則學名藥廠商在進行其新藥開發時，自應有完整規劃與佈局。開發狹義學名藥，其幾乎等同原開發藥廠的品牌藥，對於我國廠商技術能力之提升有限，故應鼓勵廠商投入廣義之學名藥（類新藥）之研發，如此不但有迴避專利之可能，亦可逐步累積我國產業之研發能量，則專利連結將不會成為其研發與競爭之阻力。

　　聯合國國家安全組織(U.N. National Security Agency)計畫於一項名為Q6/17之「網路使用者身份管理計畫」提案中，討論如何以修改網路架構之方式，確保網路通訊來源之真實性與可追溯性。此項計畫被認為可能對網路匿名性產生極大衝擊。 　　目前網路所賴以溝通訊息之TCP/IP通訊架構，仍允許使用者於一定範圍內保有於網路上匿名發言或活動之可能，例如Tor線上匿名軟體(Tor: anonymity online)之運作即是。然而，此種匿名式的運作架構，被抨擊可能威脅網路安全，例如駭客可利用大量偽造來源地址(spoofed source IP addresses)，發動分散式阻斷服務(DDoS)攻擊。 　　有鑑於此，Q6/17提案乃嘗試藉由網路連線技術架構的調整，確保未來任何網路上之活動皆可追蹤出原始網路通訊來源(“IP Trackback”)。然而，此種作法被批評為將摧毀網路匿名特性，並對個人隱私造成侵害，或成為各國政府打擊政治異議人士的工具。發表匿名言論權利曾受許多國家憲法或國際條約的肯認，例如1995年美國最高法院於McIntyre v. Ohio Elections Commission一案，做出「匿名發表權乃受憲法保護之人民基本權」見解，歐盟亦有「網路通訊自由宣言(Declaration on Freedom of Communication on the Internet)」。故Q6/17嘗試消弭發表網路匿名言論之技術突破，是否能通過世界各國憲法之嚴格檢驗，仍值得後續關注研究。

　　日本經濟產業省所屬「研究開發與創新附屬委員會」於2020年5月29日統整了有關2020年創新願景的期中建言並作成報告。本次的願景建言，係著眼於日本於IT等領域無法推動新興產業的現狀，且在原本具有競爭優勢的領域上，又因新興國家崛起導致實質獲益降低，加之新型冠狀病毒疫情使經濟活動停滯等結構性變化，產生全球性的典範轉移等問題。故認為應自長遠觀點出發，視「從未來需求中發掘創新價值」的途徑為創新關鍵，化危機為轉機，並同步觀察國內外的動向，針對企業、大學、政府各界應採取的行動，綜整出2020年的期中建言。 　　本次期中建言以產業為核心，主要包含以下幾個面向：（1）政策：例如，為積極參與新創事業的企業規劃認證制度；透過修正產學合作指引、簡化〈技術研究組合（為成員針對產業技術，提供人力、資金或設備進行共同研究，並為成果管理運用，且具法人格的非營利組織型態）〉設立與經營程序、擇定地區開放式創新據點等手段深化與落實開放式創新；以「創造社會問題解決方案」與「保護關鍵技術」的研發活動為重心，鬆綁相關管制，並調整計畫管理方式等以協助技術投入市場應用；以2025年與2050年為期，就次世代運算（computing）技術、生化、材料與能源領域提出科技與產業發展的願景；藉由改善人才制度、數位轉型等方式，強化企業研發能量；（2）「從未來需求中發掘創新價值」概念：現行研發與導向商品化的模式，主要以既有的技術、設備等資源為基底，進行線性且單向的創新研發，重視短期收益與效率化，使成果應用未能貼近社會的實際需要，故未來應在此種模式之外，另從創造社會議題解決方案與切合未來需求的觀點出發，結合既有技術資源來擬定長期性的研發創新戰略並加以實踐；（3）產官學研各界角色定位與任務：大學與國立研發法人應強化其研發成果之商轉合作，調整課程內容以削減知識與人才產出不符合社會議題需要的問題；企業的創新經營模式，則應透過ISO56002創新治理系統標準、日本企業價值創造治理行動指針（日本企業における価値創造 マネジメントに関する行動指針）等標準實踐，擴大開放式創新的應用；政府則應採取調整稅制、建置活動據點等方式，建構並提供有利於開放式創新的環境，並針對產業發展願景中的關鍵領域（如感測器等AI應用關聯技術、後摩爾時代（post moore's law）運算技術、生化技術、材料技術、環境與能源技術等）進行投資。