便利臺灣政府機關採購雲端服務，工程會公布「資訊雲端服務採購契約範本」供參

當金管會開放金融業者上雲後，政府也已經正視這股趨勢，體認到雲端服務已經是政府資訊服務採購的某一種主流。為了便利招標的政府機關單位，以及預計投標的資訊服務業者，行政院公共工程委員會（簡稱工程會）協同數位發展部，在彙整產業意見後，於日前（5月17日）正式公布「資訊雲端服務採購契約範本」（業界簡稱雲端採購範本）（檔案下載處）。

時任行政院公共工程委員會副主委葉哲良表示，因應資訊雲端化及循環經濟的趨勢，政府以取得雲端服務代替傳統購買的模式，將成為資訊採購的主流，但不論是採購人員的心態、與會計制度、採購契約的內容，都必須有新思維、新轉變；因此，工程會協同數位部透過凝聚各方的專業及共識，建立雲端服務專用的契約範本，引導機關邁向雲端。

「雲端採購範本」是依照政府採購法第63條第1項規定，要求政府各類採購契約以採用公共工程委員會訂定的範本為原則，且該採購範本內容，是工程會與相關公協會、廠商討論後一起訂定的，適用範圍為提供既有軟體系統轉換 至雲端服務、雲端服務（SaaS）及雲端平臺（PaaS/IaaS）公有雲與私有雲的線上服務。

另外，葉哲良也說，在資安部分，也將統計各部會年度資安經費佔IT的占比，並與全球相關領域數據做比對，以作為政府施政時的參考，達到資安與國安同時兼顧的目標。

不過，此次雲端採購範本正式版本公告後，我們可以發現有些意外的變化。原本工程會和產業界討論時，有設立一條希望可以透過「保險」來轉嫁機關和資服業者風險的條文，但最後在正式版本中該保險條文則被刪除，不論是保護自己的專業責任險、防範駭客入侵的第三責任險，或者是以數據保護為核心的資安險等，都從正式版本中被拿掉。

雲端採購範本屬於服務採購，不適用於設備類的租賃轉移合約

葉哲良指出，這個「資訊雲端服務採購契約範本」是由甲方的機關擬好所需要的內容，再提供給乙方的資服業者看內容是否合適，這主要提供給機關編列採購雲端服務時的契約範本參考，包括各種SaaS、PaaS或IaaS等公雲或私雲的雲端服務的採購，並不適用於租賃到期後將財產轉移給機關的作法，這種租賃轉移大多為資本門為主的設備採購案。

他進一步解釋，這份「資訊雲端服務採購契約範本」是參考原本的資訊手冊修改而來，過去太過重視硬體採購，現在應該改成服務採購的概念，若是機關在採購雲端服務之餘仍需要額外的硬體設備，就應該另外採購硬體設備，不應該將硬體和服務採購混在一起。

葉哲良指出，以目前政府採購的預算編列方式，硬體採購多以資本門的編列為主，但資訊或資安服務採購則多以經常門科目進行編列，預算法對於資本門有專屬的定義，立法院進行預算審查時，有時候會採取統一刪除經常門多少百分比的方式，造成政府資訊或資安服務採購預算編列不足。但他認為，在現在資訊和資安服務比重逐漸增加時，機關應該妥善編列預算，取得所需的資訊或資安服務，也是一大考驗。

明列禁用陸籍人士和產品，禁在中港澳跨境資料傳輸

這個雲端採購範本總計有21條條文，在這次訂定雲端採購範本中，有幾項重要條文值得關注。葉哲良指出，第8條「履約管理」的條文中，第8-3-1條中，明確規定「廠商執行本案之團隊成員（含分包廠商）不得為陸籍人士（係指接觸本採購案資料之人員）」。

但這中間可能會遇到一些雲端服務業者在境外提供相關雲端服務，此時該如何限制陸籍人士不得參與該專案呢？葉哲良回答：「境內採用國籍管理，境外則採用資料流管理的方式，確保資料流經的節點，都不會有陸籍人士。」

第19條「保密及安全需求」條文中，在第19-5條中也明確規範，提供服務的業者，不可以使用大陸廠牌的資通訊軟體、硬體或雲端服務等；第19-6條更清楚規定，雲端資料儲存地點不得位於大陸（含香港及澳門）境內，並不得在中港澳地區做跨境資料傳輸。

明訂業者需提供6個月以上日誌檔，契約結束後保留日誌檔6個月

雖然《資通安全管理法》主要是規範公務機關以及特定非公務機關，但根據雲端採購範本中的第15條「權利及責任」條文中，第15-14條「資通安全責任」的規定，在第15-14-1條便明確要求投標的廠商，必須遵守《資通安全管理法》以及相關子法與行政院頒訂各項資通安全規範及標準，也必須遵守機關資通安全管理及保密的相關規定。若以供應鏈的概念來看，提供公務機關資訊、資安和雲端服務的業者，一旦順利得標，都會受到《資通安全管理法》的規範。

其中，提供和保留雲端服務系統的各種日誌檔（Log），也是此次雲端採購範本中，有詳細規範的項目。例如，第15-14-2條明定：廠商要提供雲端服務與履約標的的相關日誌，包括：應用程式日誌（AP Log）、登入日誌（Logon Log）、網站日誌（Web Log，若無法提供，廠商提出證明，經機關同意後得免提供）、作業系統日誌（OS Event Log）和其他保存期限至少6個月的相關日誌。

第15-15條明定：廠商於終止或解除雲端服務採購契約或履約完成後，應該要提供前6個月雲端服務與履約標的相關的日誌記錄，否則機關得依比率，不發還保證金。

第17條「契約終止、解除及暫停執行」條文中，其中第17-11-6條明確規範「廠商提供之雲端服務與履約標的相關之日誌，應於契約終止或解除或期滿後保存6個月。」

根據這份雲端採購範本的規定，清楚訂定業者必須要提供機關6個月以上的各種日誌檔案（Log），契約結束後也必須保留日誌6個月。葉哲良表示，未來保留各種日誌檔至少6個月以上，契約結束後也必須保留日誌檔6個月的規範，將會成為臺灣各行各業的低標。

不可歸責廠商事由造成的違約金計算，以契約價金總額20％為上限

在政府各種採購契約中，以往對於違約金的估算，都由機關依照往例或參考其他機關標準制定，此次在雲端採購範本中，也在第14條「違約金」的條文中明定違約金的上限。例如，根據第14-3條規定，如果是不可抗力或不可歸責於廠商的事由導致違約時，屬於行政違約，違約金的計算以契約價金總額的20％為上限。

但如果是因為廠商的內部過失，導致可歸責於廠商事由，致使無法提供保存期限內的存取記錄和日誌檔時，就可依照第14-4條規定，依照契約價金總額的2％計算違約金，若計算出的違約金不滿一萬元者，仍以一萬元計算；如果未能限期改善者，則可以按次處罰，且不受20％違約金上限的規範。

廠商如果違反資安相關法令，或者是知道機關或廠商發生資安事件時，依照雲端採購範本第15-14-3條規定，廠商必須在知道發生資安事件的1小時內通報機關，並提出緊急應變處置且配合機關做後續處理。

如果廠商無法配合上述規定的話，依照第14-5條違約金的規定，可以以契約價金總額的10％作為違約金，不受契約價金總額20％的違約金上限規定。

葉哲良表示，雲端採購範本也將資安事件的通報正式明文化，避免以往曾經發生過，機關發生資安事件後，廠商或機關就刪除Log來隱瞞資安事件的發生。

資安是未來政府所有資服採購或是雲端服務採購時的重要項目，根據第2條「履約標的」條文中第2-4條規定，在雲端採購範本涉及的資通系統，都必須在招標時，就確定其資安防護需求等級是普級、中級還是高級，如果招標時沒有清楚載明防護等級，都以普級視之。

而且，機關對於資安防護等級需求的應該搭配何種資安作為，則必須參考「各類資訊（服務）採購之共通性資通安全基本要求參考一覽表」中，針對：雲端服務（SaaS）套裝型、雲端微服務（SaaS）辦公室生產力工具、既有雲端微服務（SaaS）客製化需求更版、雲端平臺（PaaS或IaaS）、應用軟體或系統維運服務的類型，依據所需要的資安防護等級，執行並落實所需要的防護項目內容。

資料來源：行政院公共工程委員會，2024年5月