歐盟加值稅(EU Value-Added Tax)2015新制簡介

歐盟加值稅(EU Value-Added Tax)
2015新制簡介[1]

資策會科技法律研究所
法律研究員 吳建興
105年01月21日

壹、前言

  在資通訊科技軟硬體發展下,現已邁向數位匯流的時代,傳統的電信、廣播電視業與網路業的界線已經模糊,而高速寬頻網路及行動載具的普及更促成新興數位內容服務業的發展,進而考驗著傳統經濟稅法的體制。由於數位經濟具有超越國界之特質,在數位經濟中跨境傳輸[2]加值稅之徵收造成很大挑戰[3],尤其更是對現代國家財政稅造成加深稅基侵蝕及企業利益移轉(BEPS)[4]之危險[5]。因此,歐盟經濟暨財政理事會於2008年通過[6]及公布[7]歐盟新制加值稅法案(VAT Package[8]),法案中關於電信、廣播及電子服務業服務提供地之規定於2015年1月1日正式生效,其目標便是針對數位服務業的加值稅課徵進行改革,以創造一個公平的數位服務市場,迎接數位經濟時代的來臨。

  本文以下便就歐盟新制加值稅指令[9](Council Directive 2008/8/EC)區分為三個方向討論:首先界定加值稅新制影響標的和適用範圍以釐清影響範圍,其次說明改革的重點和規範效果,最後嘗試分析對服務提供者和納稅義務人的影響。

貳、新制適用對象

  根據歐盟新制加值稅指令(Council Directive 2008/8/EC)第5條規定[10],本次新制規範對象限於數位服務業當中所稱之電信(Telecommunications)、廣播(Broadcasting)及電子(Electronic)服務業三大業別。換言之,「貨物的提供」與「電信、廣播及電子服務業之外其它服務業」則不在本次規範範圍中[11]。而所謂電信,廣播及電子服務,根據定義係指:

一、電信服務定義

  電信服務是指經由有線、無線、光學或電子磁,為信號、文字、影像、聲音傳輸、發射、接收等服務。這些服務包含轉讓如此傳輸、發射、接收能力。此能力亦包含對全球資訊網路之連結[12]。具體實例如:固定與行動電話服務、視訊電話服務(Videophone)、經由廣播所傳輸訊息服務(paging services)、傳真、電報、網路連接服務及全球資訊網服務[13]

二、廣播及電視服務定義

  廣播及電視服務是指關於聲音,影音內容之服務,諸如基於一電視、廣播節目表,經由通訊網路(Communications Networks),在一媒體服務提供者之編輯責任下,所提供給大眾同時收聽或收看電視或無線廣播節目[14]。具體實例如:線上廣播服務、經由廣播及電視網路所傳輸廣播及電視節目[15]

三、電子服務定義

  依2006年11月之歐盟加值稅指令所指稱之電子服務是指透過網際網路(The Internet)或電子網路(An Electronic Network)所提供的服務,且依此方式所提供的服務性質是完全自動化並涉及人為最小的干涉,且無此資訊技術下便不能確保該服務之提供品質[16],具體實例如:VOD(Video on Demand),下載應用軟體(APPs)[17],線上下載音樂、線上遊戲、電子書、防毒軟體、線上拍賣等[18]

貳、新制加值稅規範內容

  歐盟新制加值稅規範主要內容是重新定義了所謂服務供應地(The place of supply),進而影響加值稅課徵地的認定。依新修正歐盟加值稅指令第58條規定,如電信服務、廣播及電視服務或電子服務業,對消費者提供服務,該服務之供應地為該消費者通常居所或永久居所。因此,歐盟新制加值稅最大改變,是將舊制中關於歐盟境內的電信,廣播,電子服務中B2C部分加值稅課徵地,由服務提供者所在地改為顧客所在地。至於B2B商業模式規範之課徵地,原即為顧客所在地,在此次新制則未調整。換言之,自2015年1月1日起,提供顧客如電信、廣播及電子服務業服務時,其課稅地為顧客所在地[19]。在新制下,係依照數位服務提供者之所在地位於歐盟境內或境外,認定納稅義務人及課稅地。可歸納如下[20]

一、數位服務提供者在歐盟境內

  數位服務提供者提供服務對象為歐盟會員國境內企業時,由該會員國徵收加值稅。加值稅納稅義務人即為接受該服務之企業。

  數位服務提供者提供服務對象為歐盟會員國境內消費者時,由消費者所在國徵收加值稅,加值稅納稅義務人為服務提供者。

  數位服務提供者提供服務對象為歐盟會員國境外企業或消費者時,數位服務提供者所在國不能徵收加值稅[21]

二、數位服務提供者在歐盟境外

  數位服務提供者提供服務對象為歐盟會員國境內企業時,由企業所在地會員國徵收加值稅,加值稅納稅義務人為接受該服務之企業。

  數位服務提供者提供服務對象為歐盟會員國境內消費者時,由顧客所在國徵收加值稅,加值稅納稅義務人為服務提供者。

參、推動建立簡易報稅系統

  承上,由於新制將課稅地由服務提供者所在地改為消費者所在地。此使得數位服務業者須向其消費者所在國家進行加值稅註冊登記,並繳納其應繳加值稅稅額。此對於數位內容服務業者而言,將造成龐大行政負擔。舉例而言,如果英國電子服務業者有一位保加利亞顧客在網路上每月支付10歐元作為會員費;根據新制,電子服務提供者需到保加利亞做加值稅登記及繳納,此時除非電子服務提供者學習保加利亞文,親自聯絡稅務當局做登記及繳納,否則繳納上產生相當困難。倘若英國電子服務業之消費者遍及全歐盟會員國,此時該英國電子服務業便須知道歐盟境內各國加值稅稅率及方式,管理成本將成重大負擔。歐盟預見到此不便,故為方便納稅人納稅,便推動建立了簡易型報稅系統(Mini One Stop Shop, MOSS)。歐盟新制加值稅指令[22]允許電信、廣播及電子服務提供業者透過此替代性納稅方式,只需在其企業建立據點之歐盟會員國內,使用MOSS報稅系統此單一線上窗口進行登記、申報及繳納加值稅,經由該MOSS系統即可達到移轉申報金額給相關消費者所在之會員國之功能,免除報稅上之不便。

肆、事件評析

  數位時代的來臨,因為網路傳輸無國境,故以數位服務提供者所在地為課稅地已不能滿足數位時代的超越國界特性,以消費者所在地為提供地應是未來之數位時代稅制發展方向。

  就歐盟新制加值稅改革旨在建立一公平競爭的數位內容服務市場而言,透過加值稅課徵地的調整,將能促使歐盟數位內容服務提供者已不能選擇將公司據點建立於低加值稅之會員國而提高其競爭力。此項改革不只符合歐盟內部之服務加值稅長期政策,且亦與加值稅改革之?國際潮流接軌。

  就臺灣目前之現狀而觀察,在數位內容服務之加值稅徵收上仍有不公平之競爭現象存在於境外數位服務內容提供者與境內的提供者之間。按現行法令,雖加值稅課稅地是以消費者所在地為原則,亦即不論境外及境內之業者所適用之費率均以臺灣的加值稅稅率為主。然而按現行法令,台灣消費者在每一筆交易低於3000元以下得免此納稅義務[23],因數位內容交易存在低價格之特性,形成國家稅收為數不小之缺口。而且由於在境外數位服務的提供上,現行規定是由台灣消費者負擔申報義務[24],其結果造成境外數位服務的加值稅因為難以期待消費者自行申報而課徵困難,反而變相提高境外數位服務業者的價格競爭力,背離稅制之中立性原則。

  在歐盟舊制加值稅改革前,因為歐盟數位服務業者選擇低稅率國去建立據點而造成不公平競爭之問題,已因為新制將課稅地改為消費者所在地而消除。臺灣現制是納稅義務是由消費者負擔,未在臺灣建立據點之境外業者亦無繳納加值稅之義務。對照台歐雙方制度,建議台灣未來之改革方向應將加值稅之納稅義務人改為跨境之數位服務提供者,且取消3000元以下得免繳納之義務,並參考前述MOSS系統提供境外業者便利申報繳納之精神,提供方便境外業者申報繳納之管道,以提高納稅意願,助益國內數位服務產業公平競爭環境之建立。


[1]簡介歐盟加值稅2015新制針對電子服務業,電信業及廣播電視業之規定

[2]特別是在企業提供對消費者之數位內容服務上,暨所謂的B2C(Business to Consumers)服務。

‘The digital economy also creates challenges for value added tax (VAT) collection, particularly where goods, services and intangibles are acquired by private consumers from suppliers abroad’. id. at 7.

[4] 英文原文為: Base Erosion and Profit Shifting

[5] ‘While the digital economy and its business models do not generate unique BEPS issues, some of its key features exacerbate BEPS risks’. OECD, OECD/G20 Base Erosion and Profit Shifting : Project 2015 Final Reports: Executive Summaries, at 6. available at http://www.oecd.org/ctp/beps-reports-2015-executive-summaries.pdf (last visited, Oct. 15, 2015)

[6] VAT package: Commission welcomes adoption by the ECOFIN Council of new rules on the place of supply of services and a new procedure for VAT refunds , European Council:Press Release Database , Feb. 12, 2008 , http://europa.eu/rapid/press-release_IP-08-208_en.htm?locale=en (last visited, Oct. 15, 2015)

[7] Council Directive 2008/8/EC, 2008 O.J. (L44) 11.

[8] The "VAT package" contains:

  1. a Directive on the place of supply of services;
  2. a mini one stop shop for telecom, broadcasting and e-commerce services;
  3. a Directive on procedures for VAT refunds to non-established businesses;
  4. a Regulation on the exchange of information between Member States which is necessary to underpin the new arrangements

[9]歐盟指令2008/8/EC 修正所謂〈歐盟加值稅指令〉Directive 2006/112/EC: Council Directive 2008/8/EC of 12 February 2008 amending Directive 2006/112/EC as regards the place of supply of services,

[10] Council Directive 2008/8/EC, art. 5, 2008 O. J. (L44) 11, 17.

[11] EUROPEAN COMMISSION, Explanatory notes on the EU VAT changes to the place of supply of telecommunications, broadcasting and electronic services that enter into force in 2015 , (2014) , at, 11,  http://ec.europa.eu/taxation_customs/taxation/vat/how_vat_works/telecom/index_en.htm#new_rules (last visited Oct. 20, 2015)

[12] Council Directive 2006/112/EC, art. 24(2) ,2006 O. J. (L347) 1, 14. 條文原文如下:Telecommunications services shall mean services relating to the transmission, emission or reception of signals, words, images and sounds or information of any nature by wire, radio, optical or other electron magnetic systems, including the related transfer or assignment of the right to use capacity for such transmission, emission or reception, with the inclusion of the provision of access to global information networks。

[13] Guichet Unique, Impots.gouv.fr, http://www2.impots.gouv.fr/e_service_pro/tva_miniguichet/moss.html p. 7 (last visited Oct. 14, 2015)

[14] Council Implementing Regulation (EU) No 1042/2013, art. 6b(1) ,2013 O. J. (L284) 1, 3.條文原文如下:
Broadcasting services shall include services consisting of audio and audio-visual content, such as radio or television programmes which are provided to the general public via communications networks by and under the editorial responsibility of a media service provider, for simultaneous listening or viewing, on the basis of a programme schedule

[15] Guichet Unique, Impots.gouv.fr  http://www2.impots.gouv.fr/e_service_pro/tva_miniguichet/moss.html p.7 (last visited Oct. 14, 2015)

[16]Council Implementing Regulation (EU) No 282/2011, art. 7(1) ,2011 O. J. (L77) 1, 5. 條文原文如下:
Electronically supplied services’ as referred to in Directive 2006/112/EC shall include services which are delivered over the Internet or an electronic network and the nature of which renders their supply essentially automated and involving minimal human intervention, and impossible to ensure in the absence of information technology.

[17]"Applications (software)"

[18]Guichet Unique, Impots.gouv.fr, http://www2.impots.gouv.fr/e_service_pro/tva_miniguichet/moss.html p.7 (last visited Oct. 14, 2015)

[19] Council Directive 2008/8/EC, art. 5, 2008 O. J. (L44) 11, 17. 新修正歐盟加值稅第58條文原文如下:The place of supply of the following service to a non-taxable person shall be the place where that person is established, has his permanent address or usually resides:
(a) Telecommunications services; (b) radio and television broadcasting services; (c) electronically supplied services, in particular those referred to in Annex II. Where the supplier of a service and the customer communicate via electronic mail that shall not of itself mean that the service supplied is an electronically supplied service.

[20] Telecommunications, broadcasting & electronic services, European Commission, http://ec.europa.eu/taxation_customs/taxation/vat/how_vat_works/telecom/index_en.htm (last visited, Oct. 15,2015)

[21]但倘若此服務在歐盟內實質被使用及享受,此相關會員國則可徵收。舉例而言,一匈牙利仿毒軟體在其網站提供仿毒軟體下載給澳大利亞之顧客,此服務是不用課徵加值稅。然而若此服務是在一歐盟會員國使用或享用,此歐盟會員國可決定去徵收。Telecommunications, broadcasting & electronic services, European Commission, http://ec.europa.eu/taxation_customs/taxation/vat/how_vat_works/telecom/index_en.htm (last visited, Oct. 15,2015). 此為歐盟執委會官網上的例子:“Example A Hungarian company sells an anti-virus program to be downloaded through its website to businesses or private individuals in Australia. NO VAT But if the service is effectively used & enjoyed in an EU country, that country can decide to levy VAT (option for Member States)”

[22] Council Directive 2008/8/EC, 2008 O.J. (L44) 11.

[23]依民國100年5月6日財政部台財稅字第10004500190號規定, 外國事業團體於中華民國境內無固定營業場所而有銷售勞務者,該買受人同一筆勞務交易應給付報酬總額在新臺幣3千元以下者免繳納營業稅。

[24]營業稅法第二條第三款之規定,外國之事業、機關、團體、組織,在中華民國境內無固定營業場所者,營業稅的納稅義務人為「其所銷售勞務之買受人」。又按照財政部於民國九十四年所頒布「網路交易課徵營業稅及所得稅規範」,其中亦規定「在中華民國境內無固定營業場所之外國事業、機關、團體、組織,其利用網路銷售勞務予我國境內買受人者,應由勞務買受人依營業稅法第36條規定報繳營業稅」。

※ 歐盟加值稅(EU Value-Added Tax)2015新制簡介, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=7137 (最後瀏覽日:2024/10/12)
引註此篇文章
你可能還會想看
新加坡政府推出民眾資料共享平台MyInfo

  新加坡政府在2016年05月05日發表了數位平台「MyInfo」。   新加坡政府推出此一平台的目標是「以數位方式來整合目前的工作,去除現行的不便與散亂,讓民眾與政府打交道時更輕鬆 」。因此,「MyInfo」將每個新加坡公民散在各政府機關間的個人資料整合成單一檔案,使用者也可以自行決定加入額外的資訊,像是年收入、教育程度、就業情況以及家人資料。當民眾需要填寫不同的政府表單時,不需要再一直填寫重複的內容。   新加坡政府表示,每個公民可以自由決定他們要不要註冊MyInfo。當使用者選擇使用這項服務時,相關機關會針對可能被運用的資料先徵詢使用者的同意。   MyInfo計畫是由新加坡財政部與資訊通信發展管理局共同發起。新加坡政府的數位服務團隊在一年前左右開始設計這項服務,目前平台上仍持續在測試並改善使用者經驗。   MyInfo從2016年01月到04月試營運,已經有超過32,000人使用這項服務(佔新加坡總人口0.6%)。在2016年06月之前,MyInfo會提供15項服務,包括註冊公用住宅、更新報稅資料以及求職資訊等。到2018年,所有需要雙認證的數位服務都會整合在MyInfo平台,估計會有200項服務項目。   這個計畫是新加坡「數位政府」(Digital Government)政策的重要拼圖之一。新加坡政府將持續擴大MyInfo的服務項目,希望藉由此服務來蒐整更多資料,並增加可供政府機關間分享的個人資料數目。伴隨愈加豐富的數據資料,各政府部門更能事先了解民眾的需求並提出民眾真正需要的服務。

何謂「阿西洛馬人工智慧原則」?

  所謂「阿西洛馬人工智慧原則」(Asilomar AI Principles),是指在2017年1月5日至8日,於美國加州阿西洛馬(Asilomar)市所舉行的「Beneficial AI」會議中,由與會的2000餘位業界人士,包括844名學者專家所共同簽署的人工智慧發展原則,以幫助人類運用人工智慧為人類服務時,能確保人類的利益。   該原則之內容共分為「研究議題」( Research Issues)、「倫理與價值觀」( Ethics and Values),及「更長期問題」( Longer-term Issues)等三大類。   其條文共有23條,內容包括人工智慧的研究目標是創造有益的智慧、保證研究經費有益地用於研究人工智慧、在人工智慧研究者和政策制定者間應有具建設性並健康的交流、人工智慧系統在其整個運轉周期內應為安全可靠、進階人工智慧系統的設計者及建造者在道德層面上是其使用、誤用以及動作的利害關係人,並應有責任及機會去影響其結果、人工智慧系統應被設計和操作為和人類尊嚴、權利、自由和文化多樣性的理想具一致性、由控制高度進階人工智慧系統所取得的權力應尊重及增進健康社會所需有的社會及公民秩序,而非顛覆之,以及超級智慧應僅能被發展於服務廣泛認同的倫理理想,以及全人類,而非單一國家或組織的利益等等。

Airbnb針對紐約新短期租賃法規進行訴訟

  紐約市政府於2018年8月通過「短期租賃規則」(Regulation of Short-term Residential Rentals)。該規則將於通過後180天生效適用,強制要求平台業者必須定期提供下列數據報告給紐約市政府: 在交易中住房的地址,須包括街道名稱、公寓或單位號碼、鄉鎮及郵遞區號。 短租房東的地址、電話及email、網頁地址、姓名及該平台的房東數量。 廣告的個別名稱及網頁地址。 關於短期租賃的說明:註明出租的是整間公寓還是單一房間。 該建築透過訂房網站提供短期租賃之天數。 短期租賃的所有費用。 若該平台代收租金費用,則需提供費用明細。   若相關平台業者未提交報告,則須面臨1,500美元以下之罰鍰。目前紐約市是Airbnb在美國最大的市場,該項規則的通過及生效勢必會對Airbnb造成相當大的影響及成本負擔。因此Airbnb在該規則通過後不久,旋即向法院提起訴訟,聲稱該規範違反了平台用戶之隱私權及美國憲法第一及第四修正案所保障之權利。   紐約市政府方面則作出回應,這項規則可協助政府取得保護住房安全所需的關鍵資訊,並保證遊客及租賃者之安全,同時並打擊非法的短期出租。而該規則也顯示紐約政府對於短期日租套房之服務將趨向保守的態度。

解析雲端運算有關認驗證機制與資安標準發展

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言   2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。   資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循   雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。   在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3]   歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。   值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。   雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。   在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。   在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。   在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6]   CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。   舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9]   日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。   舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證   CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。 二、CSA雲端安全登錄機制   由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。   (一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。   (二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。   資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。   另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度   由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。   此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成   現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。 [10]日本経済産業省,〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉,頁36(2011)年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。 [12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。 [13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

TOP