《資通安全管理法》草案的各項問題

吐納商業評論

16 min readMay 5, 2017

行政院2017–04–27第3546次會議，通過行政院資通安全處所擬具的「資通安全管理法」草案（以下簡稱該法或該草案），將送請立法院審議。

國家資通安全政策與環境，政府本就該積極作為處理；此議題在網際網路及各種資通訊科技的快速發展與普及下，已然攸關國家與社會各層面的安全。本文是我研讀該草案後的一些看法，與對草案內容不明之處：

為何要立一部資通安全管理法？
這是一部管理法，還是產業發展法？
資通安全是否屬於國家安全等級？
非公務機關的定義到底有多廣？準則依據為何？
一個條文就授予行政檢查權？可以外包給第三方嗎？
為何只罰非公務機關？

為何要立一部資通安全管理法？

該草案的總說明有以下文字：

適用於公務機關者：

刑法妨害電腦使用罪
個人資料保護法
行政院及所屬各機關資訊安全管理要點
行政院及所屬各機關資訊安全管理規範
國家資通安全通報應變作業綱要等規定

上述規定中，屬法律者，其規範目的各異，而適用時或僅就實害之結果進行處罰，或其保護客體僅以特定類型之資料為限，並非針對資通安全管理為整體考量而制定；其餘規定對資通安全管理雖定有較細節之規範，但其位階較低，且規定分散，適用上難免不足。
適用於非公務機關之規定，因其立法目的不同，其適用範圍、保護客體與規範對象亦有差異，無法作為各非公務機關共通遵循之標準，難以帶動其整體資通安全能量。

據總說明所述，在擬定這個草案時，行政院認為上述的法律「刑法妨害電腦使用罪」、「個人資料保護法」，不是針對資安管理而打造的；而其他屬於行政命令的位階太低，所以應該要立定一個新的法律。

該法的名稱與條文內容，大部分都在談「管理」，也就是規定公務機關與非公務機關新增哪些責任；可以看做以本法要求各單位做好資安預防準備。但如果發生資安問題，各單位除了要面對刑法、個資法等法律處罰以外，現在又多加一個「資安法」。

如果這麼多法律都以處罰為手段，可以想見有多少單位會在發生資安事件時主動求助；筆者猜想應該會很少，因為適用單位面臨的是法律裁罰，而非系統性的協助。

以下筆者針對條文內容，分條列出一些看法與疑惑。

立法目的：這是管理法，還是產業發展法？

第一條立法目的
為積極推動國家資通安全政策，加速建構國家資通安全環境，帶動資通安全產業發展，以保障國家安全，維護社會公共利益，特制定本法。

本法名為「管理法」，立法目的卻有「帶動資通安全產業發展」這樣的文字；這樣的立法目的非常難以理解。以該法的本質而言，其立法目的應是為了國家安全、維護公共利益而進行管理，絕非帶動特定產業發展。

筆者試舉現有一些其他管理法規，這些管理法的第一條也都是立法目的。拿這些同類型法律的立法目的相互比較，就可以知道將「帶動產業發展」寫入立法目的，是令人費解的。

「消防法」第一條：「為預防火災、搶救災害及緊急救護，以維護公共安全，確保人民生命財產，特制定本法。」

沒寫要促進消防產業發展。

「食品安全衛生管理法」第一條：「為管理食品衛生安全及品質，維護國民健康，特制定本法。」

沒寫要促進食品安全的產業發展。

「菸酒管理法」第一條：「為健全菸酒管理，特制定本法。」

沒寫要進促進菸酒產業發展。

「健康食品管理法」第一條：「為加強健康食品之管理與監督，維護國民健康，並保障消費者之權益，特制定本法」

沒寫要促進健康食品的產業發展。

由此可見，各種管理法規第一條的立法目的，真的很難找到把商業利益包裹進去的文字。

其實真要找，還是可以找到類似的規定，例如「農藥管理法」第一條：「⋯⋯健全農藥產業發展」，在此的用字是「健全」，不是「帶動」，字義上的目的差很多。

還有一個，也仍是草案的「電信管理法」第一條：「⋯⋯為健全電信產業發展」，用字也是「健全」，不是「帶動」。電信法中所規範的電信產業是屬於特許行業；資安產業是否為特許產業，需要以政府之力帶動發展？或是壟斷行業，需要政府之力介入，以利健全發展呢？

「健全」的字義，是指主管機關有責任讓該產業發展良善，而「帶動」則變成主管機關有責任把產業做起來；主管機關的角色在這兩種情形下完全不同，任務也不同。而且該法明列行政院應作為之事項，位階極高，其他的產業未見有如此好的待遇。

公共利益與商業利益的錯亂

上面舉出許多管理法規，在立法目的中都沒有明文寫出「帶動該產業發展」；因為這些是「管理法」。而在資通訊發達的社會中，為了維護國家安全與公共利益而訂定的「資通安全管理法」，卻直接將帶動產業發展的文字放入立法目的，令人難以理解。

把資通安全以管理法為名與手段，實將資通安全產業帶入，這是行政院的立法本意嗎？如果是，其他產業是否可以比照辦理，而不是獨愛資通安全產業？如果不是，是誰提供這樣的建議，將產業發展包進管理法中？

國家安全、公共利益，以及商業利益，是兩種完全不同的立法目的，為何並存於同一部管理法規中？

但不管答案是什麼，本法草案已經由行政院背書，要送入立法院審議了。

一個是國家安全與公共利益，一個是商業利益，這兩種完全不同的立法目的，是否可包裹放入一部管理法規中？如真要帶動資通安全產業，另訂一部「資通安全產業發展法」是否會比較好呢？這樣也許更能讓國民理解國家帶動資通安全產業的苦心與決心，而資通安全產業也可以名正言順在這樣的法律下努力發展。

類似法律如「文化創意產業發展法」，第一條就寫明了「⋯⋯促進文化創意產業之發展」，但是法條內文寫的是「促進」，也不是「帶動」。

其他產業也大概都會跳出來問：「我們的產業發展法呢？」

資通安全產業不可諱言，是一個很重要的產業，但想要提升國家整體的資通安全，絕對不是靠發展資通安全產業來達成；這是本末倒置的。

另一個我如此擔心該法包裹商業利益的原因，實是我國一直有特定法人在承接政府委託的資安相關專案；而且到目前為止成效不彰，也是有目共睹的事實。筆者憂心此法一通過，整個資通安全產業可能就會直接變成被特定法人綁架的產業，對於立法目的揭櫫的國家安全目標，反而難以達成。

這實在不是全民之福。刻意扶植的需求，通常只有單一面向的成效；過去已經看到太多這樣的案例。

筆者建議，政府應在整個資安的各個層面，引入不同的民間關係人參與，不應僅僅侷限在產業的發展上。畢竟有正確的資安願景，才會有真正有效的資安政策，而後才可能附屬產生真正活絡的資安產業，如此才更能全面的達成國家資通訊安全的目標。

資通安全是否屬於國家安全等級？

本法用詞，定義如下：
一、資通系統：指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務：指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
三、資通安全：指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。
四、公務機關：指依法行使公權力之中央、地方機關（構）或公法人。但不包括軍事機關及情報機關。
五、非公務機關：指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
六、關鍵基礎設施：指實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，並經行政院公告者。
七、關鍵基礎設施提供者：指維運或提供關鍵基礎設施之全部或一部，依第十五條第一項規定經中央目的事業主管機關或直轄市、縣（市）政府指定，並報行政院核定之非公務機關。
前項第五款所稱政府捐助之財團法人，其範圍於施行細則中定之。

這一大段的規定中，公務機關排除了軍事機關及情報機關之適用；但軍事與情報機關以維護國家安全為目的，在資通訊的安全上，要如何跟民間一起防護、通報、應變、預警？這兩種機關要適用哪個法規，與在哪個平台上進行介接？處理單位是哪些？如何與民間一起合作？畢竟所謂國家安全，應該是所有單位一起合作才有可能。

這個問題其實是要問：該法著重於公務機關與關鍵基礎設施的資通安全管理，但應該要看的是整體的國土安全；一旦沒有跟其他國土安全相關單位界接，該法所能達到的效益就十分有限。以目前行政院本部的組織架構中，有三個單位：國土安全辦公室、災害防救辦公室、資通安全處，這三個單位務必密切聯繫合作。

除此之外，各相關單位與國安、軍事、情報機關、其他各二級部會、地方政府、商業公司、甚至個人的合作也非常重要；然而在該法中沒看到相關的訊息，只有出現「關鍵基礎設施」文字。這是取自行政院訂定之「國家關鍵基礎設施安全防護指導綱要」，而這個綱要中的防護目標如下：

⋯⋯關鍵基礎設施防護目標在於確保攸關國家安全、政府治理、公共安全、經濟與民眾信心之基礎設施與資產的安全。為達成此目標，我國關鍵基礎設施防護應採用風險管理架構，確實降低風險，發揮最佳防護功能，以確保投入之資源得到最大之效益。各關鍵基礎設施次部門主管機關，應遵循行政院國土安全辦公室規範之風險管理架構，推動所屬關鍵基礎設施之防護規劃，藉實際運作結果，不斷檢討改進。

由此看來，我國已經擁有關鍵基礎設施運作的防護，這本來就應該是拉高層級來看，而不是僅僅立一部管理法，還侷限在單點的資通安全上。筆者認為，國家整體的安全戰略，所佈建出來的網絡樣貌，是更加根本而且重要的問題。

「非公務機關」的定義到底有多廣？準則依據為何？

整部草案中，筆者最疑惑的就是「非公務機關」的定義非常不明確。本法中定義的「非公務機關」範圍，牽涉對民間各行各業的影響，如果不明確定義清楚，會造成很多不好的影響。

該法第二條中列了三種「非公務機關」：

關鍵基礎設施提供者
公營事業
政府捐助之財團法人

誰會是「關鍵基礎設施提供者」？

第二條的第六、七款「關鍵基礎設施」與「關鍵基礎設施提供者」中規定，只要經政府指定核定後，就算是「關鍵基礎設施提供者」；然而政府依據什麼準則來認定你是「關鍵基礎設施提供者」呢？

我想或許可能是依據行政院訂定之「國家關鍵基礎設施安全防護指導綱要」中的「關鍵基礎設施分類」；在這部綱要中定義的「關鍵基礎設施」，範圍包括水資源、能源、緊急醫療、交通運輸、資通訊、高科技園區、政府、金融經濟等八大領域。

然而，在草案中所謂「關鍵基礎設施提供者」，是否如筆者所推想，是依照「國家關鍵基礎設施安全防護指導綱要」所列為準，或是另有準則？這是有疑慮的地方。

第十五條中央目的事業主管機關或直轄市、縣（市）政府應指定關鍵基礎設施提供者，並報請行政院核定之。

假設「關鍵基礎設施提供者」不是依照「國家關鍵基礎設施安全防護指導綱要」所列為準，而是照第十五條，由中央或地方政府指定，那「非公務機關」的範圍將會更大。

另一種情形，「國家關鍵基礎設施安全防護指導綱要」，每兩年定期檢視調整關鍵基礎設施之範圍；影響所及，本法的「關鍵基礎設施提供者」定義也會跟著調整。相對的，該法的權限範圍也會跟著有所變化。

非公務機關到底還包括誰？

第十六條關鍵基礎設施提供者以外之非公務機關，應符合其所屬資通安全責任等級之要求，並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件，訂定、修正及實施資通安全維護計畫。

在草案第二條中已經劃定出哪些非公務機關是受本法管理的範圍；但第十六條的意思有些模糊，文字解讀可以有兩種情況：

第二條所指的關鍵基礎設施提供者以外之非公務機關，那只剩下公營事業與政府捐助之財團法人。
或是指其他所有的關鍵基礎設施提供者以外之非公務機關，那就包含所有的商業公司、非營利組織了。

第十六條中提到的非公務機關到底是指誰？在2017/04/27 行政院會後記者會（第3546次會議）簡報中的第7頁：「資通安全世界情資分享機制」，最右邊那塊，非屬第二條中所列的其他「所有非公務機關」，對於資通安全事件通報是自願通報，未來該法通過後，是否有可能進行修法，進而擴大適用範圍呢？

會這麼問的原因是，在簡報中的第10頁顯示了這個可能性：「108年06月檢討適用範圍」

由於法條中沒有明說是依照什麼準則來劃定範圍，只說政府應指定關鍵基礎設施提供者，這可能會留下很大的空間，給予行政單位很大的權力進行劃定。

筆者建議，法條應該明定是參照那個準則來劃定「關鍵基礎設施提供者」的範圍，讓行政單位有框架可以遵循，並且應納入多方利益關係人來參與討論，讓劃定的準則以及名單更加清楚正確，避免發生該納入而不納入，不該納入而納入的問題，不但擾民，更可能毫無效益。

有趣的是在「國家關鍵基礎設施安全防護指導綱要」中的「壹拾肆，民營企業與民間組織(非政府組織)之參與」，法條如下：

有關民間參與配合部分，宜先以各部會鼓勵參與為主，惟可考慮藉監理與輔導政策進一步要求落實」、「長程目標應建立私部門關鍵基礎設施安全規範和標準，甚至採取必要措施來監督並確保公共利益不受損害；短程內可考慮藉行政命令等方式以解決當務之急。

不知該法是否為該綱要的「監理與輔導政策進一步要求落實」以及「採取必要措施來監督」的實體展現？

但是鼓勵民間參與配合的部分呢？反倒是未見鼓勵，但罰則已經先入法。而因應層出不窮的資安問題，短期可以先用的行政命令是否已經發出？

而更長期該建立的安全規範和標準在哪裡呢？現在有誰在做呢？

授予行政機關檢查權。是否可以外包給第三方？

第五條行政院得委任或委託其他公務機關、法人或團體，辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。
第十八條中央目的事業主管機關或直轄市、縣（市）政府因稽核資通安全維護情形發現重大缺失，或遇重大資通安全事件，而認有必要時，得派員攜帶執行職務證明文件，進入非公務機關場所檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料。
對於前項之檢查，非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。參與檢查之人員，對於因檢查而知悉之他人應秘密之資訊，負保密義務。

假設貴公司被劃入「非公務機關」的「關鍵基礎設施提供者」，那政府認定有必要時，就可以派員攜帶證件，進入貴公司辦公區或是機房進行資安檢查；檢查人員會查看你的電腦與資通訊設備，而且你得相信他絕對不會外洩你公司中的任何資料，也不會把程式碼拷貝出去，更不會告知你的競爭對手你用哪些技術或是營業秘密；只因為政府賦予他這個權力，並且跟你說他有保密義務。

這個行政檢查過程，是否可以外包給不一定具備公務人員資格的第三方？

如果可以授權第三方進行檢查，你就得放行讓他進去你的公司。為什麼可能會有不具備公務人員資格的人來進行行政檢查？因為如果真要做好日常稽查成效，人力需求將會相當龐大；所以這項業務極可能必須外包出去，或是訂出檢查員資格，以約聘方式滿足檢查員人數的需求。

一條條文就授予行政單位極大檢查權力，但關於檢查人員的資格認定，卻沒有明確定義。

如果不可以授權第三方進行檢查，那就要弄清楚行政院打算如何稽核約聘檢查人員；畢竟人數與資格是一大問題。

舉個例子，假設貴公司未被劃入「關鍵基礎設施提供者」，但你卻跟「關鍵基礎設施提供者」有業務往來，例如是其下游承包商，未來你可能也會被相關的契約涵蓋在內，也須承擔相關的責任與罰則，或是得讓檢查員進入你公司進行檢查；如果你只是接了一個十萬元的小案子，整間公司還是可能會被稽查。也就是說，法條的效力，是否會向下、向外擴張？試問如此情況，你覺得合理嗎？你願意承擔這樣的風險嗎？

如果真要授予行政單位檢查權，應該另立他法，明定相關事項；「勞動檢查法」、「勞動檢查法施行細則」就是如此。不該在「管理法」裡面的一條條文就授予行政單位，權力位階這麼高的檢查權力；更何況檢查工作極有可能外包出去，這是非常危險的。因為這反倒可能造成資通訊安全、洩漏個人資料、竊取營業秘密威脅和漏洞。

就以剛提到的「勞動檢查」來看，法律授權給行政單位進行勞動檢查的成效如何，大家心知肚明。可想而知，如果資通訊安全以類似的方式稽查，是否真能有效執行？

另一個問題是類似的稽查是否真的有用？如果只是檢查一些文件跟固定流程，相信對於防範未知的威脅，難以有太大的效果。這跟消防或是防救災類似，應該是多作演練、演習才是，尤其在資通安全領域，想像力往往才是面對未知威脅的重要能力。

而想像力的涵蓋範圍多寡，就要看整個過程中引入多少不同層面的人來參與。雖然政府執法會有比例原則，該法之後如有相關子法或計畫，筆者建議提早提出供大眾討論，看是否能在盡量不侵犯民間單位的權利下，也能達成提升整體國家整體公眾資安的目標。

只罰非公務機關？

第十四條：公務機關所屬人員對於機關之資通安全維護績效優良者，應予獎勵。公務機關所屬人員未遵守本規定者，應按其情節輕重，依相關規定予以懲戒或懲處。

此外，草案第四章第十九條到第二十一條，屬於罰則章節，但全部都是對非公務機關處以罰鍰；並可按次處罰，每次至少十萬起跳。相對之下，整個草案未見對「非公務機關」的鼓勵，只有處罰而已；這有點脫離了「國家關鍵基礎設施安全防護指導綱要」中的建議，是要鼓勵民間參與的。

對公務機關的罰則，在公務人員的懲戒是可以執行的；但公務單位資安沒有做好，通常會想盡辦法不要通報，避免因此受到懲戒或懲處。

當「非公務機關」被列入「關鍵基礎設施提供者」後，只有義務跟罰則，沒有鼓勵與輔導；這樣一來，絕大部分單位都不會願意被劃入管理範圍內，但可以想見，某些單位一定會被主管機關強迫列入。這樣一來，真的發生資安威脅事件，為了避免遭罰，當事單位很可能會大事化小，小事化無，最好都不要通報，免得被罰鍰，還要一直遭到檢查。

這樣豈不成為惡性循環？好的資通訊安全環境，有可能產生嗎？

結語：制定整體國家資安政策，廣徵各界意見

網際網路以及各種資通訊科技的快速發展與普及，讓資通訊安全議題愈來愈重要。國內許多關鍵基礎建設的軟硬體設備與系統，可能都採用外國產品與系統，被外商掌控的可能性是存在的。台灣自身的資通安全，已經到了該與國安、外交籌碼等一併思考的時候了。

行政院方面希望「資通安全管理法」可以在本會期六月時通過，以目前的時間點來說是很緊湊的；但筆者認為，如果可以在此時一併提出施行細則與相關的子法，以及之後各種相關行政命令或資安計畫的推動內容，讓多方利益關係人提早參與討論，也讓全體國民有更多資訊能夠理解討論，才能讓國內的資安產業真正發展起來，成為國家安全的支柱，甚至外交的籌碼。

發展資安產業絕對不該是資安管理的真正目標，因為只要提出正確的願景與戰略，產業在實踐過程中自然就會成長茁壯。所以重點應該是儘快制定整體的國家資安政策，讓公部門與民間分工合作，討論與承擔各自的責任；並以聯防、互助、分享的方式來取代處罰，如此面對未知的資安威脅或發生資安事件時，產官學界才能逐步累積經驗，並提升整體的資安防範能力。