由於雲端應用快速普及，資料與技術的安全性開始受到國家重視，如何設立保護機制，同時又不過度扼殺創新，是各國政府目前積極思考的事情。

圖片來源 : shutterstock、達志影像

全球雲端安全機制重要性更勝以往

自從雲端服務被使用以來，社會對雲端可信度的擔憂就一直存在，無論是日益加劇的地緣政治緊張局勢，如評估雲端公司地緣政治風險的關鍵負面地緣政治標準是它們的雲端是否受到外國政府的直接影響和控制（透過法律或其他手段），導致雲端直接或間接受到國家控制，或是雲端在資料隱私以及網路和國家安全方面的角色，正在促使全球關鍵決策者應對雲端服務帶來的眾多挑戰。

然而，許多政策制定者依賴誤導性的、下意識的評估，例如僅關注公司的國籍而不考慮公司或其母國如何促進或損害雲端可信度，對於增強雲端網路安全和資料隱私以及建立開放和競爭的雲端市場幾乎沒有幫助，更甚者，它還影響「志同道合」國家之間的貿易、資訊安全和國家安全合作，例如七國集團（G7）成員國、澳洲、新加坡、日本、韓國和印度等國家不信任貿易夥伴的雲端公司，則彼此之間在數位貿易的緊密度就容易受影響，如果志同道合的國家之間沒有共同努力解決雲端可信度問題，建立可信賴的資料流和治理將是一項挑戰。

政策制定者長期以來一直擔心他國政府強迫雲端公司出於監視、執法和政治鎮壓等各種目的交出數據，並將注意力轉向外國對手對雲端公司向政府和關鍵基礎設施部門提供的營運工作負載施加的潛在控制，特別是在發生重大網路事件或衝突的情況下。

例如，美國網路和國家安全部門擔心，一旦發生戰爭，中國可能會「按下開關」，關閉或中斷與中國連接的政府和商業服務的雲端和資訊技術服務。這意味著美國選擇以技術主權來推動建立一個不受中國影響的生態系統，而不是採用基於單純避險的方法，使用有針對性的行動來解決根本問題，例如建立一個安全的環境來管理風險。如果美國和其他國家都各自建立自己的技術體系，那麼容易因為它對貿易、創新、資安合作以及建立可信任資料和技術治理的努力產生負面影響而遭受損失，開展同盟合作有其必要。

不少志同道合的國家正積極推動部門雲端安全制度，舉例而言，愛沙尼亞正在推動「可信任的連結」模式，目標是根據共同利益、民主價值觀以及嚴格的監管和社會標準與合作夥伴開展業務。美國、德國、澳洲等28個國家採納了《布拉格5G倡議》，這是一套關於全球規劃、建造、啟動和營運5G基礎設施時風險的技術和非技術建議。同時，通用標準認可協議（CCRA，涉及超過31 個國家）是用於評估IT 設備和服務安全性的少數全球認可的相互認可計劃之一。而大型業者如亞馬遜、Google、微軟、SAP、思科等主要雲端供應商針對資料、向客戶索取資料、跨境資料流、解決法律衝突等問題制定了「可信任雲端原則」，OECD成員國透過談判達成《政府獲取私部門實體持有的個人資料宣言》（也稱為「可信任政府資料取得倡議」），以提高對跨國資料流動的信任澄清國家安全和執法機構如何在現有法律框架下存取個人資料，各種雲端安全合作機制正在成形。

各國做法案例分析

一、歐盟的雲端網路安全制度及其主權要求
歐盟網路安全局 (ENISA) 正在製定歐洲雲端服務網路安全認證計畫 (EUCS)，EUCS 類似於FedRAMP 為美國聯邦政府所做的事情：它提供一種統一的雲端網路安全認證方法，以確保完善的保護水平，並降低簽訂雲端服務的公司和政府機構的成本和複雜性。然而，與FedRAMP 不同的是，法國和其他歐盟成員國主張歧視性EUCS 要求，這些要求使本地公司的所有權和控制權成為確定雲端服務提供者是否可以被視為雲端服務提供者的決定性因素。

最初的 EUCS 提案還包括資料本地化，無論是在中國、法國或美國，資料在地化都是一項誤導性政策——即使是在政府資料和服務方面也是如此。在地化不會提高資料隱私或安全，資料的安全性並不取決於其儲存位置。組織無法透過將資料傳輸到國外來逃避遵守國家法律，因此，資料本地化並不是強制組織遵守國內數據法所必需的，資料的安全性主要取決於用於保護資料的技術和實體控制，例如設備上的強加密和資料中心的外圍安全。

二、德國與丹麥的雲端安全要求
2023 年 5 月，德國頒布了新的《IT 安全法案 2.0》，其中包括多項有用的條款，用於定義評估雲端和 IT 公司可信度的技術和非技術標準，丹麥於2021 年頒布電信立法，賦予其情報官員權力，阻止任何涉及丹麥未與其簽訂安全協議的國家/地區供應商的國內電信交易，其中排除瑞典（愛立信）和芬蘭（愛立信）和芬蘭（愛立信）以外的所有國家的供應商，公司必須提供有保證的聲明，以證明其產品不具有可被用於惡意目的的功能，企業還需要向政府提交有關其在過去兩年中實施的網路安全認證、審計和技術措施的報告，政府可以根據企業的報告向企業提供有關組織和技術預防措施的指導和回饋。

三、印度積極建立安全圍牆
印度新興的雲端網路安全制度既有好的一面，也有壞的一面。印度的做法很重要，因為它是印太地區成長最快的公共​​雲市場之一。政府和私營部門一直在努力採用和使用雲端，例如透過政府的「GI Cloud」（也稱為「Meghraj」），然而，印度經常使用未具體說明的擔憂和模糊的信任標準作為其雲端和 IT 供應鏈和進口制度的一部分。中國是許多限制的目標，但它也經常限制其他國家的公司和產品，部分原因是為支持本地公司並迫使它們在印度設立本地業務。

印度不斷發展的「信任」方法涵蓋了對數位經濟至關重要的商品和服務，印度的信任和雲端運算方法因行業和機構而異；有些包括資料本地化等歧視性要求，而有些則沒有，印度證券交易委員會有自己的、有時相互衝突的雲端法規。

印度儲備銀行發布 IT 服務外包指南（包括雲端運算服務），也包括企業必須採用的技術控制和風險管理策略，2023年6月，印度使用印度特定標準和測試（而不是國際標準和測試）對電信產品實施強制性測試和認證，包括5G基地台、5G核心產品設備，2023年10月，印度要求ICT硬體公司提供國際認證，以證明其產品來自「可信任」來源，然後才允許免許可進口。

印度使用政府營運的審計機構—標準化測試和品質認證 (STQC) 理事會—對資料中心和雲端供應商進行認證，STQC是CCRA的簽約機構，負責對IT產品進行安全評估和認證，這代表著獲得STQC認證的產品可以在其他成員國接受，無需重新認證。

四、韓國公布前所未有的公共部門雲端限制
韓國針對公共部門雲端服務採購的安全認證，稱為雲端安全保證計畫 (CSAP)，包括多項嚴格限制性要求，由於韓國雲端公司使用當地資料中心和人員在韓國建置系統，因此這些要求不會對當地供應商造成過度負擔，然而，它們確實構成了對外國供應商的一種歧視，因為即使在 CSAP 的「低風險」級別，也沒有一家外國雲端供應商獲得認證。

韓國的CSAP不允許企業使用資料中心的「多租戶」架構，以便他們可以使用同一個資料中心，韓國國家情報院必須對CSAP 中使用的所有設備和本地加密演算法（韓國本地加密演算法，稱為ARIA，不被韓國以外的任何人使用）進行認證，雲端供應商必須將所有資料儲存在韓國，並且僅使用位於該國的設備、資源和人員，不僅如此，韓國最近提出的一項修正案將這些限制擴大到中風險和高風險數據，說明該國對於雲端資料的使用已經展開限制，特別在韓國近幾年出現不少營業秘密遭竊的案例之後。

【本文僅反映專家作者意見，不代表本報立場。】

Facebook 在北美智權報粉絲團上追踪我們