37.有關雲端運算的隱私安全問題，不包括下列哪個選項？
(A)未經授權下，他人以不正當方式侵入系統取得資料
(B)政府或其他權利機構為達監理與控制目的，對雲端運算平台上資訊檢查
(C)在軟體即服務模式下，雲端廠商須維運所有系統架構，完全負責資訊安全問題，以達安全即服務
(D)雲端運算提供商為商業利益，對存放在雲端的客戶資料進行收集與處理

雲端運算的隱私與安全問題，主要包括以下幾點：

• (A) 未經授權存取資料是常見的資安風險，屬於資料外洩與非法存取問題。

• (B) 政府機構進行資料存取與監控也屬於隱私疑慮與資料主權問題。

• (D) 雲端服務商蒐集與處理使用者資料，牽涉到資料隱私與合規問題（如 GDPR）。

❌ (C) 是錯誤敘述的原因：

在 SaaS（Software as a Service）模式 下，雲端廠商雖負責基礎設施與應用層面的維運，但資訊安全是採「共享責任模式」：

• 廠商負責基礎設施安全（例如伺服器、資料儲存、應用維護）

• 使用者仍須負責帳號安全、資料存取權限設定、合法使用等

因此，不能說「完全由雲端廠商負責資訊安全問題」。

第 37 題考的是 雲端運算的隱私安全問題。

? 題目重點

雲端運算常見的隱私安全問題包括：

• 未經授權存取：駭客或他人以不正當方式侵入系統取得資料。

• 政府或機構監管：政府或其他權利機構可能為了監理與控制目的，檢查雲端平台上的資訊。

• 雲端服務商的商業利用：雲端提供商可能基於商業利益，收集或處理客戶資料。

相對地，在 SaaS（軟體即服務）模式下，雲端廠商完全負責所有資訊安全問題的說法是不正確的。實際上，雲端安全採取的是 共享責任模式：

• 雲端廠商負責基礎設施安全（伺服器、網路、平台）。

• 使用者仍需負責帳號管理、資料存取權限、合法使用等。

? 選項解析

• (A) 未經授權下，他人以不正當方式侵入系統取得資料 → 屬於隱私安全問題。

• (B) 政府或其他權利機構為達監理與控制目的，對雲端運算平台上資訊檢查 → 屬於隱私安全問題。

• (C) 在 SaaS 模式下，雲端廠商完全負責資訊安全 → 不正確，因為安全是共享責任。

• (D) 雲端運算提供商為商業利益，對存放在雲端的客戶資料進行收集與處理 → 屬於隱私安全問題。

? 結論

正確答案是 (C) 在軟體即服務模式下，雲端廠商須維運所有系統架構，完全負責資訊安全問題，以達安全即服務，因為這並非雲端隱私安全問題的正確描述。

解析：

這題考的是雲端運算中非常重要的「責任分擔模型（Shared Responsibility Model）」觀念。

• (C) 為什麼非屬雲端隱私安全問題（敘述錯誤）： 在雲端運算的「軟體即服務（SaaS）」模式下，雖然雲端廠商負責底層基礎設施、網路與應用程式的維運，但資安責任絕對不是由雲端廠商「完全負責」。 客戶（使用者）仍然必須負責帳號密碼管理、權限控管、資料本身的存取政策等。如果客戶自己密碼設定太簡單或外洩，導致資料被看光，這不屬於雲端廠商的責任。因此，(C) 的「完全負責」敘述在雲端安全理論中是錯誤的。

其他選項為什麼屬於雲端隱私安全問題？

• (A) 正確（屬於安全問題）：這就是傳統定義上的「駭客入侵」或資料外洩，是雲端運算最主要的資安威脅之一。

• (B) 正確（屬於隱私問題）：當資料完全託管在雲端（可能在國外伺服器），政府、法院或監理機構可能基於國家安全或司法調查，依法要求雲端廠商配合檢查、調閱客戶資料，這會衍生使用者隱私被監控的疑慮。

• (D) 正確（屬於隱私問題）：雲端大廠（如 Google, Microsoft, AWS）如果未經使用者明確同意，私下分析、收集用戶存放在雲端的資料來做廣告精準投放或其他商業大數據分析，會嚴重侵犯用戶的隱私權。