隨著IT （Information Technology）技術的迅速成熟發展，雲端運算（Cloud Computing）與其概念風靡於科技業並成為新興寵兒，原因在於雲端運算只需透過網路連結到第三方的雲端服務商，就可取得包羅萬象的資料處理技術服務（Foster,2010）。因為雲端運算有著強大處理能力、使用彈性高及成本優勢的使用特色，逐漸成為全球新興發展趨勢。
此外，「雲端運算」讓民眾頭頂上雲朵的規模更大、關聯性更高、可利用性更高。由這種網路使用者早已騰雲駕霧的觀點來看，網際網路資訊安全的重要性，迫在眉睫。不論企業或大眾，只要曾經用過網際網路，都會面臨資料被不當紀錄、盜拷、資訊外洩、或意外刪除，甚至被第三方不當利用等風險；企業的相關人，包括客戶、合夥伙伴、員工與供應商，私人資料與商業機密都有可能曝露在資訊不安全狀態下。
因此，政府、企業、社會大眾對於雲端運算的產業，當前所需要的是資訊安全的避風港，而不是個人資料會暴露無遺的網路使用環境。Cavoukin（2010）認為，關於雲端使用的資訊安全問題，是關於公共領域的議題。因為雲端管理數位化的資料數據，而資料牽涉的人數龐大，以致全民都需要去關心政府的政策與法律等相關議題（Lee,2010）。
本文將利用量化分析，進行雲端運算風險管理(Risk Management)分析並套用Freeman的利害關係人理論(Stakeholder Theory)，深入探討雲端產業風險管理機制。

With the rapid development of Information Technology, “Cloud Computing” is becoming increasingly popular in the industry as it is accessible to various data processing services just by connecting to third-party cloud service providers via network. A new global technological trend has thus been ushered as a result of powerful processing, elastic usage and low cost of the cloud computing.
Although “Cloud Computing” provides a cloud which is more large-scaled, relevant and beneficial, most practical cloud patrons are aware that what matters is its corresponding security. Any who has ever used the Internet, whether an enterprise or an individual, will inevitably run the risks of information recorded, copied, leaked, deleted inappropriately or accidently or even used for inappropriate purposes by third-parties. The private data and business secrets of the stakeholders of an enterprise, including its customers, partners, employees or suppliers, will also suffer from the information vulnerability.
Therefore, as for the cloud computing industry, what matters for the government, enterprise or individual is to provide an information security shelter rather than a network environment in which the personal data is highly exposed. Cavoukin (2010) argues that the issue of information security related to the cloud computing is one of issues in the public domain. The data generated from the digital cloud computing management and the people involved are so large that each citizen is drawn to be concerned with the government policies and laws (Lee, 2010).
In this paper, we make a risk management for the cloud computing and discuss the risk management mechanisms for the cloud computing industry with the Freeman’s stakeholder theory.

論文審定書 I
誌謝 II
摘要 III
ABSTRACT IV
第一章 緒論 1
第一節 研究背景與動機 1
第二節 研究目的 6
第三節 研究流程 8
第二章 文獻探討 9
第一節 雲端運算的架構 9
壹、雲端運算的定義 9
貳、雲端運算的五項基本特色 10
參、雲端運算的三種服務模式 11
肆、雲端運算的四種雲端模式 16
第二節　利害關係人之風險管理 18
壹、利害關係人理論(Stakeholder Theory)之定義 18
貳、風險管理(Risk Management)之定義 21
參、個人資料保護法 22
第三節　雲端運算風險之利害關係 27
壹、雲端運算內個人資料之利害關係人 27
貳、雲端運算的風險管理 29
參、雲端運算內個資風險牽扯之利害關係 29
肆、數據安全風險牽扯之利害關係 31
伍、財務安全風險牽扯之利害關係 34
陸、法律風險牽扯之利害關係 36
柒、雲端運算風險的衝擊層面 40
第三章 研究方法 42
第一節　研究架構 43
第二節　研究假設 44
第三節　問卷設計 45
壹、問卷設計步驟 45
貳、問卷設計內容 46
參、專家效度程序 47
第四節 問卷前測 52
壹、問卷預試 52
貳、問卷預試之方法 52
參、問卷預試-項目分析 53
肆、問卷預試-「因素分析」和「信度分析」 57
第六節　正式問卷 65
壹、前測問卷形成正式問卷 65
貳、正式問卷之【第一部分】 網路使用狀況 67
參、正式問卷之【第二部分】雲端使用者風險評分計分卡 68
肆、正式問卷之【第三部分】個人背景資料 69
第四章 實證分析與結果 70
第一節 分析工具及方法 70
壹、 敘述性統計分析 70
貳、 卡方分析 70
參、 獨立樣本Ｔ檢定 71
肆、 單因子變異數分析 (Oneway ANOVA) 71
第二節 問卷抽樣與基本資料 72
壹、 抽樣範圍和方式 72
貳、 問卷回收情形 72
參、 背景資料之樣本結構 72
第三節 描述性統計之分析 75
壹、 民眾對雲端運算認知狀況之描述性統計 75
貳、 個人資料侵害的經驗之描述術性統計 76
參、 使用連接雲端運算之工具之描述術性統計 77
肆、 使用網路服務狀況之描述性統計 78
伍、 個人資料認知態度之描述性統計 80
陸、 網路購物付款方式之描述性統計 83
柒、 數據安全風險量表之描述性統計 84
捌、 財務風險量表之描述性統計 86
玖、 法律風險量表之描述性統計 87
第四節 雲端運算認知狀況之卡方分析 88
壹、 「聽過雲端運算」對「知道雲端運算服務」之卡方分析 88
貳、 「使用雲端運算」對「知道雲端運算服務」之卡方分析 89
第五節 背景資料變項(假設一、二、三)和各構面間之差異性分析 90
壹、 背景資料變項對雲端運算數據安全風險知覺之差異性分析 90
貳、 背景資料變項對雲端運算財務風險知覺之差異性分析 100
參、 背景資料變項對雲端運算法律風險知覺之差異性分析 105
第六節 假設(假設四、五、六)之驗證 114
壹、 假設驗證(假設四、五、六)之方式 114
貳、 「個人資料受損經驗」與雲端運算「數據安全風險之知覺」之差異性分析 114
參、 「個人資料受損經驗」與雲端運算「財務風險之知覺」之差異性分析 115
肆、 「個人資料受損經驗」與雲端運算「法律風險之知覺」知覺之差異性分析說 116
第七節 假設驗證結果彙整表 118
壹、 假設一驗證結果彙整表 118
貳、 假設二驗證結果彙整表 121
參、 假設三驗證結果彙整表 122
肆、 假設四驗證結果彙整表 126
伍、 假設五驗證結果彙整表 126
陸、 假設六驗證結果彙整表 127
第五章 研究發現與建議 129
第一節 雲端運算風險矩陣圖 129
壹、 受試者評分方式 129
貳、 雲端運算風險矩陣計算說明 129
第二節 利害關係人風險管理機制之建議 133
壹、 利害關係人之數據安全風險管理機制 133
貳、 利害關係人之財務風險管理機制 144
參、 利害關係人之法律風險管理機制 146
第三節 研究限制 153
壹、 研究內容的限制 153
貳、 研究方法的限制 153
參、 抽樣對象的限制 153
參考文獻 154
附錄一 專家問卷 162
附錄二 預試問卷 170
附錄三 正式問卷 174

英文參考文獻

Ahmed, A. (2011). Using COBIT to manage the benefits, risks and security of outsourcing cloud computing. COBIT Focus, 2011(2), 13-16.

AIRMIC&ALARM,&IRM:（2002）A Risk Management Standard. Retrieved from http://www.theirm.org/publications/PUstandard.html

Anthes, G. (2010). Security in the cloud. Communications of the ACM, 53(11), 16-18. doi:10.1145/1839676.1839683

Bensaou, M., & Venkatraman, N. (1995). Configurations of interorganizational relationships: A comparison between US and japanese automakers. Management Science, 1471-1492.

Cavoukian, A. (2008). Privacy in the clouds. Identity in the Information Society, 1(1), 89-108.

Chow, R., Golle, P., Jakobsson, M., Shi, E., Staddon, J., Masuoka, R., & Molina, J. (2009). Controlling data in the cloud: Outsourcing computation without outsourcing control. Proceedings of the 2009 ACM Workshop on Cloud Computing Security, 85-90.

Clarke, R. (2010). User requirements for cloud computing architecture. Cluster, Cloud and Grid Computing (CCGrid), 2010 10th IEEE/ACM International Conference on, 625-630.

CSA. (2010,Mar).Top Threats to Cloud Computing V1.0. Cloud Security Alliance. Retrieved fromhttps://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf

Cloud Security Alliance（2011, March）. Top Threats to Cloud Computing. （V1.0）. Retrieved From https://cloudsecurityalliance.org/research/top-threats/



Cooter(2010,July). Cloud Computing :Today’s Four Favorite Flavors. CIO. Retrieved from http://www.cio.com/article/600524/More_Businesses_Turn_to_Cloud

David Binning. (2009, April 24). Computerweekly.Com, Retrieved from http://www.computerweekly.com/news/2240089111/Top-five-cloud-computing-security-issues

Determann, L. (2011). Data privacy in the cloud: A dozen myths and facts. Computer & Internet Lawyer, 28(11), 1-8.

Dlodlo, N. (2011). Legal, privacy, security, access and regulatory issues in cloud computing. Proceedings of the European Conference on Information Management & Evaluation, , 161-168.

ENISA(2009,Nov).Survey- An SME Perspective on Cloud Conuting.European Network and Information Security Agency. Retrieved from http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-sme-survey

ENISA（2009）Cloud Computing Risk Assessment. Retrieved from http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment

European Commission. (1995, October). EU Data Protection Directive. European Commission. （Directive 95/46/EC）. Retrieved fromhttp://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:NOT

European Commission. (1998, October). U.S.-EU Safe Harbor. European Commission. Retrieved fromhttp://export.gov/safeharbor/

European Commission. （2010, February）. Online as soon as it happens. European Commission. Retrieved from http://www.enisa.europa.eu/act/ar/deliverables/2010/onlineasithappens/at_download/fullReport


European Commission. （2011, August）.Protecting your personal data. European Commission. Retrieved from http://ec.europa.eu/justice/data-protection/index_en.htm

Fogarty. K.Cloud Computing: Today’s Four Favorite Flavors,. (2010, 8 July). CIO., Retrieved from http://www.cio.com/article/598918/Cloud_Computing_Today_s_Four_Favorite_Flavors_Explained

Foster, I., Zhao, Y., Raicu, I., & Lu, S. (2008). Cloud computing and grid computing 360-degree compared. Grid Computing Environments Workshop, 2008. GCE'08, 1-10.

Goodman, J. (2009). The CIO's Guide To Cloud Computing. GlassHouse Technologies White paper.GlassHouse Technologies site Retrieved fromhttp://www.glasshouse.com/whitepapers.php

Gurav, U., Shaikh, R. (2010)., Virtualisation – a key feature of cloud computing, International Conference and Workshop on Emerging Trends in Technology (ICWET 2010), 227-229, TCET, Mumbai, India.

Harris, J. G., & Alter, A. E. (2010). Six questions every executive should ask about cloud computing. Accenture Institute for High Performance, 12-15.

Hon, W. K., Millard, C., & Walden, I. (2011). The problem of ‘personal data’in cloud computing—what information is regulated. Queen Mary School of Law Legal Studies Research Paper, (75)

IBM（2009）. Cloud Security Guidance IBM Recommendations for the Implementation of Cloud Security. Retrieved fromhttp://www.redbooks.ibm.com/abstracts/redp4614.html

IBM. (2010). Capitalizing on Complexity. Retrieved from http://www-935.ibm.com/services/us/ceo/ceostudy2010/index.html

Katzan Jr., H. (2010). On an ontological view of cloud computing. Journal of Service Science (19414722), 3(1), 1-6.

Kuner, C. (2009, August 30). Internet Jurisdiction and Data Protection Law: An International Legal Analysis. International Journal of Law and Information
Technology. (Document ID: 1911624271).

Lee, C. A. (2010). A perspective on scientific cloud computing. Proceedings of the 19th ACM International Symposium on High Performance Distributed Computing, 451-459.

Mankotia, V. (2011). Five tips for secure cloud computing. NetworkWorld Asia, 8(2), 16-16.

McAfee, A. (2011). What every CEO needs to know about the cloud. Harvard Business Review, 89(11), 124-132.

McAlpine, C. (2010).Consider the Legal Risks of Cloud. Baseline, 32.

National Institute of Standards and Technology（2011, July）. NIST Cloud Computing Standards Roadmap. （Special Publication 500‐291.）. Retrieved From http://collaborate.nist.gov/twiki-cloud-computing/pub/CloudComputing/StandardsRoadmap/NIST_SP_500-291_Jul5A.pdf

National Institute of Standards and Technology（2011, September）. The NIST Definition of Cloud computing. （NIST Special Publication 800-145.）. Retrieved From http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

Neelie Kroes. (2010, November). Cloud computing and data protection (SPEECH/10/686). Les Assises du Numérique conference: EUROPA. (2010). Retrieved from http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/686

Organisation for Economic Co-operation and Development. EU Data Protection Directive.Directive (95/46/EC) Retrieved from http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:NOT


Organisation for Economic Co-operation and Development. （2009, October）. Briefing Paper for the ICCP Technology Foresight Forum -Cloud Computing and Public Policy. OECD. （DSTI/ICCP(2009)）Retrieved from http://www.oecd.org/dataoecd/39/47/43933771.pdf

Pearson, S. (2009). Taking account of privacy when designing cloud computing services. Software Engineering Challenges of Cloud Computing, 2009. CLOUD'09. ICSE Workshop on, 44-52.

Rosenoer, J., & Scherlis, W. (2009). Risk gone wild. Harvard Business Review, 23-26.

Sotto, L. J., Treacy, B. C., & McLellan, M. L. (2010). Privacy and data security risks in cloud computing. Electronic Commerce & Law Report, 15, 186.
Staff. (2004). American Bar Association survey focuses on internet jurisdiction.Daily Record. Rochester, p. 1.

Svantesson, D., & Clarke, R. (2010). Privacy and consumer risks in cloud computing. Computer Law & Security Review, 26(4), 391-397. doi:10.1016/j.clsr.2010.05.005

Ward, B. T., & Sipior, J. C. (2010). The internet jurisdiction risk of cloud computing. Information Systems Management, 27(4), 334-339. (doi:10.1080/10580530.2010.514248)

W. Kuan Hon &Christopher Millard & Ian Walden（2011, March）The Problem of 'Personal Data' in Cloud Computing - What Information is Regulated. （Queen Mary University of London, School of Law Legal Studies Research Paper No. 75/2011）. Retrieved from http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1783577

Welsh Assembly Government. (2006. Oct.). Risk Essentials A Risk anagement Framework(ISBN: 07504 8960 X G/318/06-07). Retrieved from http://www.rdec.gov.tw/public/Data/851414173971.pdf

Zhang, Q., Cheng, L., & Boutaba, R. (2010). Cloud computing: State-of-the-art and research challenges. Journal of Internet Services and Applications, 1(1), 7-18.

中文參考文獻

吳明隆(2010) 。SPSS統計應用學習實務：問卷分析與應用統計。臺北: 易習圖書，修定三版。

雷葆華、饒少陽、江峰、王峰、張潔、蔡永順與趙慧玲（民一○○年十月十三）。雲端大實踐：透視運算架構與產業營運。電腦人PCUSER。

法務部（民99年5月26日）。本部新聞稿「電腦處理個人資料保護法施行細則」修正重點之QA。法務部。取自http://www.moj.gov.tw/public/Attachment/110279504542.pdf

法務部。個人資料保護法完整內容。全國法規資料庫入口網站。取自http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

法務部（民99年5月26日）。法務部預告「電腦處理個人資料保護法施行細則」修正草案。法務部。取自http://www.moj.gov.tw/ct.asp?xItem=247205&ctNode=27518

法務部。中華民國憲法。全國法規資料庫入口網站。取自http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=A0000001

法務部。中華民國憲法第 22 條 相關司法解釋。全國法規資料庫入口網站。取自http://law.moj.gov.tw/LawClass/LawRelaFCourt.aspx?PCode=A0000001&FLNO=22

《世界人權宣言》聯合國大會第217217A(III)號決議（A/RES/217）。（December, 1948）。法務部。取自http://www.humanrights.moj.gov.tw/ct.asp?xItem=233066&ctNode=30749&mp=200

蕭元哲(民98年12月)。利害關係人對互動管理的瞭解與應用。文官制度季刊。考試院八十周年慶特刊。145-158。

蕭宏金（民9912月）。公共政策發展研究與利害關係者觀念應用之探討。
行政院人事行政局地方行政研習中心。研習論壇精選。4。321-340。

廖婉鈞、林月雲、虞邦祥(民98年)。知覺組織利害關係人重要程度與組織績效之關係：企業責任作為之中介效果。管理學報。26 卷。2 期。213-232。

黃英忠、蔡正飛(民98年)。企業人力精簡時員工的因應策略：利害關係人理論觀點。人力資源管理學報。5 卷。1 期。111-134。

王瑋（民九十九年二月五日）。雲端運算介紹與發展趨勢。資訊工業策進會。取自 http://opm.twnic.net.tw/cloud/doc/1.pdf

洪聖敏（民九十九年）。台灣大型企業雲端服務採用意向調查。資訊工業策進會。取自http://mic.iii.org.tw/intelligence/reports/pop_Doc_promote.asp?docid=CDOC20100702002

顏婉旬（民九十九年一月二十八日）。歐盟公布資料保護相關指令適用意見書。資策會法律研究所。取自http://stli.iii.org.tw/ContentPage.aspx?i=5394

童啟晟、陳昭文 （民九十九年八月三十一五日）。雲端資料中心發展現況與趨勢。資訊工業策進會。取自http://mic.iii.org.tw/aisp/reports/reportdetail.asp?docid=CDOC20100831013&pag=people

Gartner 表示2009年起雲端運算市場將急速成長(民98年四月)。HP VIP獨享電子月刊。取自http://h20427.www2.hp.com/solutions/service/tw/zh/eNL/0904/topic03.asp

翁偉修、王義智、林信亨、李震華、黃正傑和洪聖敏（2009）。雲端運算趨勢下灣資訊產業之機會與策略。資訊工業策進會。取自
http:// lms.ctl.cyut.edu.tw/blog/lib/read_attach.php?id=10405

商業週刊（民98年11月）。雲端運算是什麼？它讓微軟跳起來，追著 Google跑！。商業週刊。第1146期。

沈柏村。（民九十八年十一月）ISO 27001資訊安全標準及驗證流程簡介。金融聯合徵信雙月刊。第十一期。取自www.jcic.org.tw/publish/2010m02-04.pdf

Karan Girotra & Serguei Netessine（民一百年五月）。風險商業模式。哈佛商業評論。

網頁

張維君（民一○○年四月二十五日）。個資法施行細則 定義12項適當安全維護措施。資安人科技網。取自http://www.isecutech.com.tw/article/article_detail.aspx?aid=6108#ixzz1gao2lVKh

書聿（民100年7月18號）。國聯邦政府CIO抱怨政府IT開支分配不公。新浪網。取自http://finance.sina.com/bg/tech/sinacn/20110718/1939321779.html

謝孟珊（2011年4月25日）。Google於2011年3月與美國FTC達成初步和解，消費者團體呼籲FTC採取更嚴厲的手段。資訊社會法制－法律要聞。取自http://stli.iii.org.tw/ContentPage.aspx?i=5451

星島日報（民100年11月30號）。聯邦貿委會指Facebook蒙騙用戶。星島日報。取自http://dailynews.sina.com/bg/news/usa/uslocal/singtao/20111130/09292958241.html

張朝輝（民100年12月2號）。克伯格為“隱私門”致歉：我們犯了一堆錯誤。中國企業家網。取自http://finance.jwb.com.cn/art/2011/12/2/art_525_375375.html

Myspace。（民九十八年二月二十八日）Myspace的隱私政策。取自http://www.myspace.com/index.cfm?fuseaction=misc.privacy

Dropbox檔案儲存位置（2011）。取自http://www.dropbox.com/help/7

Facebook的隱私政策。取自http://www.facebook.com/about/privacy/other

Google。（民一百年十月二十日）Google的隱私政策。取自http://www.google.com.tw/intl/zh-TW/privacy/privacy-policy.html