文/周采萱 | 2014.01.01 (月刊)

許多人都有把資料存在USB隨身碟中，卻忘了隨身攜帶，導致臨時沒資料可用的經驗，不過，隨著網路科技越來越發達，現在只要把資料丟到雲端硬碟，連上網路就能存取資料，不必再擔心忘了把隨身碟帶出門。

「雲端運算技術」可說是科技業的一大變革，從最基本的儲存服務，到蒐集巨量資料分析、統合健康以及救災服務等，都能透過雲端架構提供更為便捷、便宜的平台。

三大服務模式，串聯雲端無限可能

雲端運算（Cloud Computing）是一種架構在網路傳輸上的運算方式，在建置架構上可分為基礎建設（如伺服器、主機等）、平台（作業系統）以及應用程式（application）等三個階層，而根據供應商開放存取的階層，雲端服務大致上可以分為SaaS（Software as a Service）、PaaS（Platform as a service）、以及IaaS（Infrastructure as a service）等三種模式，其中又以SaaS使用最廣。

SaaS指的是軟體即服務，PaaS則指平台即服務，IaaS則是基礎架構即服務，這三者所提供的雲端服務，差別在於整個雲端架構中，供應商提供的服務層級，以及使用者可以掌控的範圍。

就如同字義上的解釋，IaaS提供的服務最陽春，只有提供雲端伺服器的基礎架構，作業系統、儲存空間、部署應用程式以及網路元件如防火牆、負載平衡器等都由使用者自行架設與維護；PaaS則是提供使用者一個平台，包含基本的硬體與作業系統，但應用程式的架設與掌控由使用者自訂，主要是需要適當平台開發應用程式者使用。SaaS的供應商則從硬體設備、作業系統到應用程式等都替使用者準備好，使用者只有應用程式的使用權，供應商通常會提供使用者一組帳號密碼，作為使用雲端應用程式的鑰匙。

廣為流行的Facebook、Twitter就屬於SaaS範疇，使用者不需要了解應用程式的架構，或者負擔升級的費用，也不需要在自己的電腦上安裝應用程式，只要純粹使用雲端上的應用程式即可。

對使用者而言，SaaS的建設成本可以說是三種模式最低的，舉例來說，以往Windows作業系統的使用者都必須購買防毒軟體，並安裝在自己的主機上，防止病毒或駭客的攻擊，除了購買軟體的成本外，同時主機的資源也會被防毒軟體佔用，雲端防毒科技出現之後，使用者不必在自己的主機上安裝防毒軟體，只要繳付使用費用，就可以進入雲端平台，利用安裝在雲端平台上的防毒應用程式來為自己的電腦掃毒，可以省去買防毒軟體成本以及節省主機資源，未來若防毒軟體不敷使用，升級的費用也是供應商自行負擔。

雲端供應商可以依據使用者需求設計對應的應用程式，以保險業來說，最需要的就是客戶保單與售後服務管理。

智盟科技公司協理方業溥指出，建置客戶管理系統不只需要龐大的設備，也需要僱用專業網路管理人員，尤其保單資料多牽涉客戶隱私，網管人員必須要有能力維護系統資料不被駭客盜出或因中毒毀損等，一般大型的保險公司或保經代公司或許有足夠的資金應付這些需求，但是對中小型的保經代公司而言，自行建置客戶管理系統所費不貲，利用雲端服務，就能減輕成本負擔。

健康雲，統合國人健康照顧系統

雲端服務能做的不只是提供應用程式、作業平台，它的影響力在於可以廣泛且即時性的蒐集資料，衛生福利部正在積極推動的健康雲發展計畫就是一例。

根據衛生福利部的規劃，健康雲將由醫療、保健、照護以及防疫等四朵雲組成，從健康管理，到疾病發生時的醫療行為，再到疾病發生後的照護問題，都能透過健康雲進行管理，以醫療雲來說，目前已完成初步電子病歷系統建置，有282家醫院、兩千家診所以及兩家署立醫院參與，其中有一四二家可以跨院查詢醫學影像以及報告、血液檢驗、出院病歷摘要以及用藥紀錄，減少醫生因無法看到病患在別家醫院病歷而重複治療、開藥的機率。

另外，健康雲除了統一管理民眾的健康之外，也因為蒐集巨量資料（big data），具有相當高的統計效益，去個資化後能提供政府與民間研究更完整且全面的統計資訊，對國人健康狀態分析甚至是藥物開發等都很有參考價值。

然而雲端掌握了龐大的資料，萬一機房毀損造成資料損壞，或者主機被病毒癱瘓、駭客入侵等，後果也不堪設想。

被駭客攻擊次數，台灣排名世界第四

雲端系統雖然方便，但也引發外界對其資料保護的疑慮，就拿衛生福利部推動的健康雲來說，一旦被駭客攻破，可能造成大量病人醫療隱私的資料外洩。

方業溥坦承「沒有駭客攻不破的系統」，駭客與資料防護是一體兩面，駭客破解系統防護只是遲早的問題，因此雲端系統工程人員的防護技術必須不斷精進，才能確保系統的安全，預防資料外洩。不過，就像把錢放在家裡或放在銀行中，兩者安全性立見高下一樣，比起自建資料庫、網站平台，企業使用集結各種IT專家維護的雲端平台，安全性還是比較高。

根據統計，在全世界180個國家中，台灣受到駭客攻擊的次數，排名第四，僅次於中國、美國及俄羅斯，俗話說「不怕一萬，只怕萬一」，即使有異地備援與各種網路安全專家守護雲端系統，大多數的供應商還是無法百分百保證雲端系統不會「出包」，方業溥表示，透過商業保險來分攤資料毀損或外洩的風險還是有其必要。

企業網路風險，資料保護保險提供保障

美亞產險金融保險部協理鄭智友表示，因為雲端技術平台本身的缺失或被駭客入侵，導致使用者資料外洩或毀損而衍生的賠償責任，可以透過雲端供應商所投保的專業責任險來分攤。

但是不管是雲端平台或自建網路系統出問題，只要客戶資料外洩企業就得負起責任。

鄭智友以日前某大型金控公司因內部系統缺失導致五萬多筆客戶資料外洩、遭金管會處以四百萬元罰鍰為例分析，資料外洩對企業造成最直接的傷害，就是因個人資料保護相關法令而產生的罰鍰。

另外，因系統癱瘓導致網路服務中斷，使企業營收減少，或者駭客以入侵系統盜取資料用以要脅勒索企業，以及因個資外洩後續衍生的律師抗辯費用、賠償費用等，也都是企業ｅ化可能面臨的風險。

實務上，駭客勒索、律師抗辯費用以及個資外洩的賠償費用，都屬資料保護保險的承保範圍，行政罰鍰則受限於台灣地區責任險示範條款規定而無法藉由保險分攤。

依現行個資法規定，即使被害人無法舉證實際蒙受的損害，每人每一事件仍可求償新台幣五百元到兩萬元不等的賠償金，換句話說，企業因為個人資料外洩的損失，基本上是可以計算出來的，不過，企業資訊系統不僅只有儲存客戶個人資料，可能也包含企業專利、智慧財產權、營業秘密等，這些資訊一旦外洩，造成的損失無法量化，因此不在資料保護保險的保障範圍。而網路管理人員或企業負責人故意行為造成企業資料外洩的損失，則是資料保護保險的除外責任。

隱私觀念尚不發達，資料保護保險去年賣7張

在國外，由於隱私權盛行，無論是企業或個人都相當重視個人資料保護，即使企業客戶資料外洩沒有造成實質上的損失，遭到外洩的被害人仍會提出損害隱私權的賠償請求。

相較之下，台灣對個人資料外洩就不那麼重視，例如，日前某知名拍賣網站的賣家網路資料外洩，導致買家受到詐騙集團騷擾，但並沒有人真正依據個資法向賣家以及拍賣網站求償。這也反映在台灣資料保護保險的銷售上，根據統計，2012年資料保護保險僅賣出七張。

雲端發展成趨勢，個資保護日益重要

單一企業發生客戶資料外洩，對其被害者的影響或許還不那麼明顯，但是，從雲端發展的趨勢來看，將來雲端保護的個人資料，可能串聯個人在多家企業、醫院的活動，一旦外洩將毫無隱私可言，對個人造成的損害更是難以想像。鄭智友強調，隨著網路發展、雲端科技的推廣，「企業必須更重視客戶資料保護的責任」。