對資通安全管理法草案的疑問

行政院 2017-04-27 第 3546 次會議,通過行政院資通安全處所擬具的「資通安全管理法」草案(以下簡稱該法或該草案,PDF檔案,參考連結 https://www.ithome.com.tw/news/109828 ),將送請立法院審議。國家資通安全政策與環境,政府本就該積極作為處理,此議題在網際網路及各種資通訊科技的快速發展與普及下,已然牽涉攸關國家與社會各層面的安全,本文是我對於該草案研讀後,產生的一些看法與不明之處:

  1. 為何要立一部資通安全管理法?
  2. 這是一部管理法,還是產業發展法?
  3. 資通安全是否屬於國家安全等級?
  4. 非公務機關劃定的範圍到底有多廣?劃定的準則依據為何?
  5. 一個條文就授予行政檢查權?可以外包給第三方嗎?
  6. 為何只罰非公務機關?

為何要立一部資通安全管理法?

該草案的總說明中所述:(擷取整理)

適用於公務機關者:

  • 刑法 妨害電腦使用罪
  • 個人資料保護法
  • 行政院及所屬各機關資訊安全管理要點
  • 行政院及所屬各機關資訊安全管理規範
  • 國家資通安全通報應變作業綱要等規定

上述規定中,屬法律者,其規範目的各異,而適用時或僅就實害之結果進行處罰,或其保護客體僅以特定類型之資料為限,並非針對資通安全管理為整體考量而制定;其餘規定對資通安全管理雖定有較細節之規範,但其位階較低,且規定分散,適用上難免不足。

適用於非公務機關之規定,因其立法目的不同,其適用範圍、保護客體與規範對象亦有差異,無法作為各非公務機關共通遵循之標準,難以帶動其整體資通安全能量。

據總說明所述,在擬定這個草案時,行政院認為上述的法律「刑法 妨害電腦使用罪」、「個人資料保護法」,不是針對資安管理而打造的,而其他屬於行政命令的位階太低,所以應該要立定一個新的法律。

該法的名稱與條文內容,大部分主要都在是談「管理」,也就是要規定公務機關與非公務機關,新增哪些所要背負的責任,這算是要求做好預防準備的目的。但假設如果出了事情,除了要面對其他法律如刑法、個資法要處罰以外,再加上一個「資安法」要進行處罰。如果是這樣,都以處罰為手段,有多少單位會自主說:「Help~ Help~ 我出事了!請來幫幫我!」,我想會很少吧,因為他要面臨的是法律的處罰,而不是一整個系統性的協助。

以下針對條文內容,分條列出一些看法與疑惑:

立法目的:這是一部管理法,還是產業發展法?

第一條 立法目的

為積極推動國家資通安全政策,加速建構國家資通安全環境,帶動資通安全產業發展,以保障國家安全,維護社會公共利益,特制定本法。

該法名為「管理法」的法律,卻寫入「帶動資通安全產業發展」文字,這樣的立法目的,是非常令人難以理解,以該法的本質而言,應該是要為了國家安全,維護公共利益而立法後進行管理,但絕對非為了帶動特定產業發展而立法。

我舉現有的一些其他管理法規的第一條,也都是立法目的,來比較看看,就可以知道將「帶動產業發展」文字寫入立法目的,是令人費解的。

「消防法」第一條 :「為預防火災、搶救災害及緊急救護,以維護公共安全,確保人民生命財產,特制定本法。」

沒寫要促進消防產業發展。

「食品安全衛生管理法」第一條:「為管理食品衛生安全及品質,維護國民健康,特制定本法。」

沒寫要促進食品安全的產業發展。

「菸酒管理法」第一條:「為健全菸酒管理,特制定本法。」

沒寫要進促進菸酒產業發展。

「健康食品管理法」第一條:「為加強健康食品之管理與監督,維護國民健康,並保障消費者之權益,特制定本法」

沒寫要要促進健康食品的產業發展。

各種現有的管理法規,族繁不及備載,許多管理法的第一條,都是立法目的,真的很難找到把商業利益包裹進去的文字。

其實真要找,是有類似的文字,例如「農藥管理法」第一條:「…健全農藥產業發展…」,他的用字是「健全」,不是「帶動」,兩個字義上的目的是差很多的。

還有一個,也仍是草案的「電信管理法」 第一條:「…為健全電信產業發展…」,他的用字也是「健全」,不是「帶動」,目前電信法中所規定的一些電信產業,是屬於特許行業,資安產業是否為特許產業,需要以政府之力帶動發展?或是壟斷行業,需要政府之力介入,以利健全發展呢?

「健全」的字義是要主管機關,讓該產業良善的發展。而「帶動」字義則變成主管機關有責任把產業做起來,角色完全不同,任務也不同,而且該法明列行政院應作為之事項,位階極高,其他的產業未見有如此好的待遇。

由此可見許多管理法規,都沒有明文寫出要帶動該產業發產當成立法目的,因為他是「管理法」啊,而在這個資通訊發達的社會中,以維護國家安全,與公共利益所要立的「資通安全管理法」,卻直接將帶動產業發展的文字放入立法目的,令人難以理解。

在此有個疑問:「把資通安全以管理法為名與手段,實將資通安全產業帶入」,這是行政院立此法的本意否?如果是,其他產業是否可以比照辦理,而不是獨愛資通安全產業?如果不是,這是誰提供這樣的建議,將產業發展包裹進去一部管理法中呢?但不管是與不是,也都已經交給行政院背書要送入立法院了。

一個是國家安全與公共利益,一個是商業利益,是否可包裹放入一部管理法規中?如真要帶動資通安全產業,另訂法規是否會比較好呢?例如,另訂一部「資通安全產業發展法」,也可讓國民理解國家帶動資通安全產業的苦心與決心,而資通安全產業也可以名正言順在這樣的法律下,努力的發展。

現有的法律類似的,例如「文化創意產業發展法」,他的第一條就寫明了「…促進文化創意產業之發展…」,但是他是寫「促進」也不是「帶動」。

但此時,其他產業也大概都會跳出來問:「我們的產業發展法呢?」

資通安全產業在這個時代,不可以諱言是一個很重要的產業,但絕對不是發展資通安全產業,來提升國家整體的資通安全,這是本末倒置的。

另為何我如此擔心該法包裹了商業利益在裡面,實是我國一直有特定法人在承接政府委託案,目前看得出是成效不彰,個人憂心資通安全產業,是否也會變成特定法人綁架的產業,對於立法後所要達到的國家安全目標,卻難以達成,這實在不是全民之福,因為刻意扶植的需求,通常只有單一面向的成效。

如能在各階段,引入民間各層面的關係人參與,不侷限在產業的發展上,畢竟有正確的資安願景,才會有真正的資安政策,而後才可能附屬產生真正的資安產業,如此才更能全面的達成國家資通訊安全的目標。

資通安全是否屬於國家安全等級?

本法用詞,定義如下:

一、資通系統:指用以蒐集、控制、 傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享 之系統。

二、資通服務:指與資訊之蒐集、 控制、傳輸、儲存、流通、刪除、 其他處理、使用或分享相關之服 務。

三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使 用、控制、洩漏、破壞、竄改、 銷毀或其他侵害,以確保其機密 性、完整性及可用性。

四、公務機關:指依法行使公權力之中央、地方機關(構)或公法 人。但不包括軍事機關及情報機 關。

五、非公務機關:指關鍵基礎設施 提供者、公營事業及政府捐助之 財團法人。

六、關鍵基礎設施:指實體或虛擬 資產、系統或網路,其功能一旦 停止運作或效能降低,對國家安全、社會公共利益、國民生活或 經濟活動有重大影響之虞,並經行政院公告者。

七、關鍵基礎設施提供者:指維運 或提供關鍵基礎設施之全部或 一部,依第十五條第一項規定經 中央目的事業主管機關或直轄 市、縣(市)政府指定,並報行政院核定之非公務機關。

前項第五款所稱政府捐助之財團法人,其範圍於施行細則中定之。

這邊看到公務機關是排除軍事機關及情報機關,但軍事與情報機關,以維護國家安全為目的,在資通訊的安全上,是如何跟民間一起防護、通報、應變、預警呢?在該法排除掉相關機關後,則會適用哪個法規與在哪個平台上進行介接?處理單位是哪些呢?如何與民間一起合作?畢竟國安是所有單位一起合作下才可能有所謂的安全。

這個問題其實是要問,該法著重於公務機關、以及關鍵基礎設施的資通安全管理,但應該要看的是整體的國土安全,一旦沒有跟其他國土安全相關單位界接,該法所能達到的效益有限。以目前行政院本部的組織架構中,有三個單位:國土安全辦公室、災害防救辦公室、資通安全處,這三個單位務必得有密切的聯繫與合作,除此之外,與國安、軍事、情報機關、其他各二級部會、地方政府、商業公司、甚至個人的合作也是非常重要。該法中沒看到相關的訊息,只有出現「關鍵基礎設施」文字,這是取自行政院訂定之「國家關鍵基礎設施安全防護指導綱要」,而這個綱要中的防護目標有寫道:

…關鍵基礎設施防護目標在於確保攸關國家安全、政府治理、公共安全、經濟與民眾信心之基礎設施與資產的安全。為達成此目標,我國關鍵基礎設施防護應採用風險管理架構,確實降低風險,發揮最佳防護功能,以確保投入之資源得到最大之效益。各關鍵基礎設施次部門主管機關,應遵循行政院國土安全辦公室規範之風險管理架構,推動所屬關鍵基礎設施之防護規劃,藉實際運作結果,不斷檢討改進。…

由此看來我國已經有在運作關鍵基礎設施的防護,這本來就應該是拉高層級來看這個領域,而不是僅僅立一部管理法,並且侷限在單點的資通安全上,我更想要看到的是國家整體的安全戰略所佈建出來的網絡是什麼樣貌?

非公務機關劃定的範圍到底有多廣?劃定的準則依據為何?

我最有疑惑的,就是不太清楚非公務機關劃定的範圍有多大,這牽涉對民間各行各業的影響有多深。

該法第二條中的非公務機關列了三種:

  1. 關鍵基礎設施提供者
  2. 公營事業
  3. 政府捐助之財團法人

第二條的第六、七款「關鍵基礎設施」與「關鍵基礎設施提供者」,只要經政府指定核定後,就算是被劃定在「關鍵基礎設施提供者」了,那政府依據什麼準則來劃定呢?我想或許可能是依據行政院訂定之「國家關鍵基礎設施安全防護指導綱要」中的「關鍵基礎設施分類」。目前定義關鍵基礎設施,範圍包括水資源、能源、緊急醫療、交通運輸、資通訊、高科技園區、政府、金融經濟等八大領域。

故,所謂的「關鍵基礎設施提供者」是否依照「國家關鍵基礎設施安全防護指導綱要」所列為準,或是另有準則?這是我有疑慮的地方。

第十五條 中央目的事業主管機關 或直轄市、縣(市)政府應指定關鍵基礎設施提供者,並報請行政院核定之。

假設「關鍵基礎設施提供者」不是依照「國家關鍵基礎設施安全防護指導綱要」所列為準,而是照第十五條,由政府就可以指定,那非公務機關的範圍將會更大。

或「國家關鍵基礎設施安全防護指導綱要」,每兩年定期檢視調整關鍵基礎設施之範圍,則該法的「關鍵基礎設施提供者」也會跟著調整,相對的該法的權限範圍也會跟著增減。

非公務機關到底還包括誰?

第十六條 關鍵基礎設施提供者以外之非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條 件,訂定、修正及實施資通安全維護計畫。

第二條 已經劃定出哪些非公務機關是受該法管理的範圍,但第十六條的意思有些模糊,文字解讀有兩種情況:

  1. 是第二條所指的關鍵基礎設施提供者以外之非公務機關,那只剩下公營事業與政府捐助之財團法人。
  2. 或是指其他所有的關鍵基礎設施提供者以外之非公務機關,那就包含所有的商業公司、非營利組織了。

第十六條的非公務機關的範圍到底是誰?在 2017/04/27 行政院會後記者會(第3546次會議)簡報 中的第 7 頁:資通安全世界情資分享機制,最右邊那塊,非屬第二條中所列的其他「所有非公務機關」,對於資通安全事件通報是自願通報,未來該法通過後,是否有可能進行修法,進而擴大適用範圍呢?

會這麼問的原因是,在簡報中的第 10 頁顯示了這個可能性:「108年06月 檢討適用範圍」

授予行政機關檢查權。是否外包給第三方?

第五條 行政院得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其 他資通安全相關事務。

第十八條 中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要 時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。 對於前項之檢查,非公務機關 及其相關人員無正當理由不得規避、妨礙或拒絕。 參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。

假設貴公司被劃入「非公務機關」的「關鍵基礎設施提供者」,那政府認定有必要時,就可以派員攜帶證件,就可以進去你公司環境或是機房進行資安檢查,他會查看你的電腦與資通訊設備,而且你得相信他,絕對不會外洩你公司中的任何資料,他也不會把程式碼拷貝出去,他也不會告知你的競爭對手你用哪些技術或是營業秘密,因為政府賦予他這個權力,並且跟你說他有保密義務。

這個行政檢查過程,是否可以外包給第三方?不一定是具備公務人員資格。

如果可以授權第三方進行檢查,你就得放行讓他進去你的公司。為什麼有可能不具備公務人員資格呢?因為如果真要做好日常的稽查成效,猜想這需要多少人力啊,這個業務是可能外包出去的,或是訂出檢查員的資格,用約聘的方式來聘請足夠的檢查員人數。

如果不可以授權第三方進行檢查,那需要了解行政院會,用什麼方式來作稽核的行為,畢竟人數與資格是一個大問題。

舉個例子,假設目前貴公司並沒有被劃入「關鍵基礎設施提供者」,但你卻跟「關鍵基礎設施提供者」有業務往來。例如是下游承包商,未來可能也會被相關的契約給限制住,承擔相關的責任與罰則,或是得放行檢查員進入你公司進行檢查,但你只是接了一個10萬元的小案子而已,就可能整間公司被稽查。也就是說,這樣的法條的效力,是否會向下、向外感染?

試問如此情況,你覺得合理嗎?你願意承擔這樣的風險漏洞嗎?

如果真要授予行政單位檢查權,應該另立他法,明定相關事項,例如「勞動檢查法」、「勞動檢查法施行細則」,不該在一個「管理法」裡面的一個條文就授予行政單位,權力位階這麼高的檢查權,有可能授權外包出去,這是非常危險的。因為這反倒可能會是造成威脅資通訊安全、洩漏個人資料、竊取營業秘密的一個漏洞,而且是法定授權的。

就以剛提到的「勞動檢查」,授權給行政單位,對於勞動單位進行勞動檢查的成效如何,大家可以想像如果資通訊安全以類似的方式稽查,是否有效?

稽查是否真的有用?如果稽查只是檢查一些文件跟固定的流程,對於防範未知的威脅難以有太大的效果,這跟消防或是防救災類似,應該是多作演練、演習才是,尤其是想像力才是面對未知威脅的重要能力,而想像力的涵蓋範圍多寡,就賴引入多少各層面的人們參與了。雖然政府執法會有比例原則,該法之後如有相關子法或計畫,建議提早提出,可供大眾討論,看是否能在盡量不侵犯民間單位的權利下,也能將整體國家整體公眾的資安目標達成。

只罰非公務機關

第十四條:公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。公務機關所屬人員未遵守本規定者,應按其情節輕重,依相關規定予以懲戒或懲處。

第四章  第十九條到第二十一條,屬於罰則章節,但全部都是對非公務機關處以罰鍰,並可按次處罰,每次至少十萬起跳。

相對之下,未見對「非公務機關」的鼓勵只有處罰而已,這有點脫離了「國家關鍵基礎設施安全防護指導綱要」中的建議,是要鼓勵民間參與的。

對公務機關的罰則,在公務人員的懲戒是可以執行的,但公務單位假設資安沒有做好,或許會想盡辦法,最好都不要通報,避免因此受到懲戒或懲處。

當「非公務機關」被列入後「關鍵基礎設施提供者」後,只有義務跟罰則,沒有鼓勵與輔導,絕大部分的單位都不會願被劃入被管理的範圍內。但屆時就是被主管機關以強迫方式列入,然而就因為是這樣,就算發生資安威脅事件,可能也會大事化小,小事化無,最好都不要通報,免得被罰鍰,還要一直被檢查。

管內不管外?

在「國家關鍵基礎設施安全防護指導綱要」中的關鍵基礎設施(Critical Infrastructure,CI)定義:

「國家公有或私有、實體或虛擬的資產、生產系統以及網絡,因人為破壞或自然災害受損,進而影響政府及社會功能運作,造成人民傷亡或財產損失,引起經濟衰退,以及造成環境改變或其他足使國家安全或利益遭受損害之虞者。」

以這個定義,我舉幾個情境來問,未來新列「關鍵基礎設施提供者」標準可能為何?外國業者如何規範與管理?如何稽查?

1.本國+電商

假設台灣幾大電商發展迅速,其市佔率加總達全國人口40%,約有一千萬國民使用,他們的系統同時遭受攻擊,系統無法運作、資料嚴重外洩、交易無法進行,時間長達數十天,之後使用者信心減失,不願繼續在網路平台繼續交易,並造成許多線上商家財產損失,運輸業受到波及遭受影響,原本依賴網路取得物品的人們,轉而到實體賣場採購,社會功能運作起了變化。在還沒發生這樣的事件前,電商是否該列入「關鍵基礎設施提供者」?

2.外國+社交

某社交網站為國外業者開發,其市佔率在台號稱有2000萬人使用,因遭受攻擊或不明資安問題,無法完善的提供服務,進而影響社會功能運作。在未發生這樣的事件之前,該業者是否列入「關鍵基礎設施提供者」。但該業者非我國登記之公司,機房也都沒有在國內,該不該列入「關鍵基礎設施提供者」?該如何進行管理?如何進行「稽核」?如何讓行政院依照第十五條「得派員攜帶執行職務證明文件,進入非公務機關場所檢查」呢?

3. 外國+通訊

某通訊軟體為國外業者開發,其市佔率在台號稱有1000萬人使用,甚至連我國政府官方人員、公務體系運作,均喜愛依賴該通訊軟體溝通與決策,因遭受攻擊或不明資安問題,無法完善的提供服務,進而影響社會功能運作。同2.的範例,該業者是否列入「關鍵基礎設施提供者」。但該業者非我國登記之公司,機房也都沒有在國內,該不該列入「關鍵基礎設施提供者」?該如何進行管理?如何進行「稽核」?如何讓行政院依照第十五條「得派員攜帶執行職務證明文件,進入非公務機關場所檢查」呢?

4.本國+媒體

某國內網路媒體,其每日到訪人數達300萬人次,因被植入木馬而不自知,每日感染上站人數逐日增加,國民大量的電腦逐漸被綁架,可能造成國家安全威脅。在未發生這樣的事件之前,是否該將的媒體列入「關鍵基礎設施提供者」?

由於法條中沒有明說,是依照什麼準則來劃定範圍,只留下政府應指定關鍵基礎設施提供者,這可能會留下很大的空間,給予行政單位很大的權力進行劃定。

這邊建議應該明定出,是參照那個準則來劃定範圍,讓行政單位有框架可以遵循,並且應納入多方利益關係人來參與,討論劃定的準則以及名單,避免該納入而不納入,不該納入而納入,徒增擾民,或是毫無效益。

有趣的是在「國家關鍵基礎設施安全防護指導綱要」中的 壹拾肆,民營企業與民間組織(非政府組織)之參與,寫道:

有關民間參與配合部分,宜先以各部會鼓勵參與為主,惟可考慮藉監理與輔導政策進一步要求落實」、「長程目標應建立私部門關鍵基礎設施安全規範和標準,甚至採取必要措施來監督並確保公共利益不受損害;短程內可考慮藉行政命令等方式以解決當務之急。

不知該法是否為該綱要的「監理與輔導政策進一步要求落實」以及「採取必要措施來監督」的實體展現?

但是鼓勵民間參與配合的部分呢?反倒是未見鼓勵,但罰則已經先入法。

而因應層出不窮的資安問題,短期可以先用的行政命令是否已經發出?

而更長期該建立的安全規範和標準在哪裡呢?現在有誰在做呢?

另外,對商業公司而言,如果僅用「管制」的方式,卻只能管到國內業者,那是否又落入「把公司跟機房」都設在國外,反而比較容易營運?

如果有意進入台灣的外資服務商,見此法條規範如此,是否願意將公司投資、機房新設在國內呢?

這樣循環下去,會產生一個好的資通訊安全的環境嗎?

資通訊安全議題在目前網際網路發展下,以及各種資通訊科技產品的快速發展與普及,變得極為重要,國內許多關鍵基礎建設的軟硬體設備與系統,可能都有採用外國產品與系統,這塊的確是有可能被外商給掌控著,我們對自身的資通安全、國安、外交籌碼等,是到了該一併思考的時候了。

行政院希望資通安全管理法可以在本會期六月份的時候通過,雖然時間目前來說相對緊湊,但如果可以在此時一併提出施行細則,相關的子法,以及之後可能相對的各種行政命令或資安計畫的推動內容,讓多方利益關係人來提早參與討論,國民有更多資訊理解,如此,是否能讓國內的資安產業發展起來,成為國家安全的支柱,甚至外交的籌碼,是值得我們持續關注的。

形成資安產業絕對不是資安議題的真正目標,那是一個願景與戰略實施過程中,相對會出現的商業模式而已,我們應該儘快制定整體的國家資安政策,公部門與民間分工合作,討論與承擔各自的責任,並以聯防、互助、分享的方式來取代處罰,如此面對資安威脅或發生資安事情,我們才能逐步累積經驗,並提升整體的防範能力。


附件:

  1. 資通安全管理法草案_行政院資安處版本_2017_04_27 PDF
  2. 資通安全管理法草案_時代力量版本_委員提案第19537號 PDF
  3. 資通安全管理法草案_陳亭妃_陳歐珀_蘇震清_委員提案第19694號 PDF
  4. 行政院即時新聞 :「行政院會通過「資通安全管理法」草案」2017-04-27 WEBSITE
  5. 20170427行政院會後記者會(第3546次會議) 簡報 WEBSITE

2017-05-04  行政院 即時新聞 :「回應風傳媒報導有關資通安全管理法草案之澄清說明

日期:106-05-04    資料來源:新聞傳播處

針對2日及3日風傳媒有關資通安全管理法草案恐違憲擴權等報導,行政院資通安全處特澄清說明如下:

行政院通過的資通安全管理法草案並無擴權,亦不存在違憲的疑慮,本草案的立法精神在輔導及協助受規範對象,絕非管制或處罰。

資通安全管理法草案規範對象除公務機關外,非公務機關則以關鍵基礎設施提供者、公營事業及政府捐助的財團法人三類為主,主要是以對於人民生活、經濟活動及公眾或國家安全有重大影響者為主要規範對象。其中關鍵基礎設施包含能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院等實體或虛擬資產、系統或網路等。

為明確賦予政府機關善盡資安管理與防護責任,展現政府防護國家資通安全的決心,期透過本草案之要求,協助公務機關及受規範之非公務機關認知自身資通安全風險並加以因應,訂定及實施資通安全維護計畫以確保其資通安全、逐步提升自身資通安全能量。

行政檢查目的在協助組織釐清資通安全事件,或是阻止資通安全事件進一步擴大。為避免影響民間業者正常運作,對此訂定二項要件,因查核資通安全維護情形發現重大缺失,或發生重大資通安全事件時,必須符合二項要件之一,方可進入非公務機關執行檢查,同時,參與檢查人員也應負保密義務。倘若涉及犯罪並經報案,即由警調單位執行調查進入司法程序。

在罰則部分,大致區分為未訂定資通安全維護計畫、通報應變機制,或知道發生資通安全事件而未通報及拒絕行政檢查。為避免民間業者存有疑慮,特別針對未訂定資通安全維護計畫、通報應變機制部分,訂有限期改正的規定,即遲未改正時才會受罰。另關於並無針對公務機關訂定罰則,則考量因已有公務人員考績法及相關懲戒規定,因此不需要重覆訂定。

面對網際網路及其他資通科技之快速發展與普及,本草案的立法宗旨即加速建構完善的國家資通安全環境,亦期盼外界給予支持,以讓本草案儘速完成立法程序。

2017-05-08  行政院 即時新聞 :「回應風傳媒報導有關資通安全管理法草案之澄清說明

日期:106-05-08 資料來源:新聞傳播處
針對今(8)日風傳媒有關「資通安全管理法草案」相關報導,行政院資通安全處特澄清說明如下:

行政院通過的「資通安全管理法草案」並無違背整體立法精神及基本原則,亦無刻意排除公務機關罰則及增加執法人員濫權風險的疑慮。

「資通安全管理法草案」主要是以對於民眾生活、經濟活動及公眾或國家安全有重大影響者為規範對象,包括公務機關、關鍵基礎設施提供者、公營事業及政府捐助的財團法人。為明確賦予政府機關善盡資安管理與防護責任,展現政府防護國家資通安全決心,期透過本草案的要求,協助受規範對象訂定及實施資通安全維護計畫,以確保其資通安全,逐步提升自身資通安全能量。

本草案第15條及第16條部分,係規範非公務機關應符合其所屬資通安全責任等級之要求及相關條件,訂定、修正及實施資通安全維護計畫。本草案所稱非公務機關包括關鍵基礎設施提供者、公營事業及政府捐助的財團法人,但並非所有非公務機關均須符合資通安全責任等級的要求,而是受本草案規範對象者才應考量。

本草案第17條部分,有關機關知悉重大資通安全事件時,於適當時機得公告與事件相關的必要內容及因應措施,並得提供相關協助。主要係考量該事件相關內容倘涉及個人資料或營業秘密,則不應強制公開;另考量當發生重大資通安全事件時所涉範圍及程度,仍應衡酌機關實際資源,方可由該機關提供所需協助。惟為協助釐清資通安全事件並阻止進一步擴大,當發生重大資通安全事件時,行政院仍將極力協調有關機關,以提供必要協助為原則。

行政檢查目的在協助組織釐清資通安全事件,或是阻止資通安全事件進一步擴大。為避免影響民間業者正常運作,對此訂定二項要件,因查核資通安全維護情形發現重大缺失,或發生重大資通安全事件時,必須符合二項要件之一,方可進入非公務機關執行檢查,此目的即在限制機關擴權,並無存有增加執法人員濫權風險的疑慮,此外,參與檢查人員也應負保密義務。倘若涉及犯罪並經報案,即由警調單位執行調查進入司法程序。

本草案對非公務機關係以輔導及協助為主要目的,並非以處罰為目的。罰則包括未訂定資通安全維護計畫、通報應變機制,或知道發生資通安全事件而未通報及拒絕行政檢查,始課予相關罰鍰。另為避免民間業者存有疑慮,特別針對未訂定資通安全維護計畫、通報應變機制,訂有限期改正的規定,即遲未改正時才會受罰。

為加速建構完善國家資通安全環境,亦期盼外界給予支持,以讓本草案儘速完成立法程序。