文/黃彥棻 參考資料/https://reurl.cc/XqkxLE
臺灣目前唯一規範各種資安事件通報、應變及處理的法律,就是《資通安全管理法》(以下簡稱為《資安法》),自從2018年6月6日制定公布,到2019年元旦正式實施以來,至今並未進行修法。
過去五年未能修法,有個很重要的原因在於:修法組織異動。原先負責《資安法》制定的行政院資通安全處,原本是行政院的四級幕僚單位,而在2022年8月27日行政院數位發展部成立後,也同時成立資安專責單位:資安署。因為負責修法單位的組織異動,也讓相關的修法進度無法有進展。
由於《資安法》自實施以來都沒有修過法,為了讓該法更符合實際的運作模式,外界開始有修法的呼聲,數位部也透過舉辦幾次座談會,邀請各界專家學者,彙整各界意見,後續在國發會「公共政策網路參與平臺—眾開講」中公告,預告修正《資通安全管理法》。
此次,《資安法》修正草案中,明訂《資安法》主管機關和資安執行機關,也另外新增六條法條,多數都是為了將現行對資安的實務作為法制化,包括資安會報入法、禁用危害國家資安產品入法、特定非公務機關設資安長入法、行政檢查入法外,也增訂拒絕行政檢查的罰則,以及發生個資外洩的資安事件時,也將適用《個資法》規範。
由於《資安法》適用公務機關以及特定非公務機關,目前臺灣特定非公務機關只有數位部、指定的中央目的事業主管機關,以及被指定的關鍵基礎設施服務提供者知情,目前數位發展部以擔心中共知情為由,不願意公布名單。
主管機關為二級機關數位部,執行單位為三級機關資安署
為了讓《資安法》的運作更符合實務要求並配合行政院的組織運作,所以,此次修法草案中,最重要的一件事,就是配合數位發展部以及資安署的成立,於是,在修正草案第二條中,將原本的主管機關從行政院改為數位發展部,相關的國家資通安全業務,則交由數位發展部資安署辦理。
這個因應行政院組織異動隨之調整的法條內容,會產生什麼影響?原本的行政院資通安全處是行政院四級的幕僚機關,所有發文都會以行政院的名義對外發送,而因為是行政院的發文,所以各機關重視程度相對高。但數位發展部成立後,屬於行政院的二級機關,資安署更是三級機關,因此,當數位發展部發文時,由於其他部會屬於平行單位,重視與否端看該公文是否與部會業務相關。至於三級單位的資安署,處境更尷尬——雖然在修正草案中,已經明訂資安署是國家的資安專責單位,但在組織運作上,卻因為三級位階矮人一等,若是要對外發文給上級單位時,難免也會遇到上下權責難以對應的考量。
資安署收各部會資安稽核報告,金管會對上下權責區分表達意見
最明顯的例子就是,數位發展部在國發會眾開講平臺蒐集各界對《資安法》修正草案的建議,就有金管會發文指出權責問題。
首先,依據修正草案第八條的規定,資安署得定期或不定期稽核公務機關及特定非公務機關的資通安全維護計畫實施情形,金管會認為,當三級機關的資安署可以對一、二級公務機關,以及特定非公務機關(包含關鍵基礎設施提供者)辦理資安稽核相關作業,並要求將稽核結果及改善報告送交資安署時,這樣的作法是否符合相關業法上下權責的劃分、組織職掌等事宜,因此,金管會表示,對於資安署能否據以辦理相關稽核作業的權責妥適性,也應該一併考慮斟酌。
另一個爭議點是修正草案第十九條增訂「關鍵基礎設施提供者的指定基準、廢止條件及程序由中央目的事業主管機關公告,並擬訂指定清單報行政院核定。」金管會提出,如果中央目的事業主管機關依公告的指定基準,指定關鍵基礎設施提供者的清單,與行政院核定結果不符的時候,其所公告指定基準是否具有法規效力。
另外,第十九條中也規定,中央目的事業主管機關會徵詢相關公務機關、民間團體、專家學者的意見後訂定指定清單,金管會表示,指定程序是否具訂定之必要,建議再審酌其必要性及法規位階。
資安會報正式入法,建立跨機關、中央地方聯防機制
除了資安事務的主管機關和執行機關明定在《資安法》修正草案中,另外一個重點就是,將現行運作多年的行政院「國家資通安全會報」,正式納入《資安法》新增的修正草案第五條,並指定數位發展部為幕僚單位。
「資通安全會報」從2011年經行政院院會核定後,通過第一期資通安全機制計畫,便同時成立行政院「國家資通安全會報」。根據《行政院國家資通安全會報設置要點》第一條,設立國家資通安全會報的目的就是為了:積極推動國家資通安全政策,加速建構國家資通安全環境並提升國家競爭力。
資通安全會報由行政院副院長兼任召集人,行政院資安長則由資通安全會報召集人兼任;這是整合跨部會、跨直轄市副首長、專家、學者的資安組織,相關幕僚作業則由數位發展部辦理。
事實上,資安會報運作已經超過十年,除了要因應全球資安威脅和突發的資安事件越來越多之外,最主要的任務就是:協助建立各機關中央和地方的聯防體系,真正強化跨機關的資安應變和協調處理能力,以及落實資安會報的決議事項。
特定非公務機關的指定方式讓人不解
事實上,《資安法》在五年前開始修訂時,當時的法律架構參考《個資法》,法條內容則針對公務機關以及特定非公務機關兩個標的,因此,許多熟悉《個資法》個資的人,看到公務機關以及特定非公務機關的用語,會覺得似曾相識。
不過,《資安法》和《個資法》最大的差異在於,對「非公務機關」的適用範圍定義不同,前者是「特定」非公務機關,後者則是除了公務之關之外都算是非公務機關。
因此,《資安法》適用的特定非公務機關的範圍,其實經過中央目的事業主管機關的再三挑選後,才指定的「特定」非公務機關,數量上一定比《個資法》適用的範圍小。
不過,臺灣指定的特定非公務機關,目前面臨很嚴重的問題,那就是:即便是同一個產業、類似規模,甚至是扮演相似的角色,會因為主管機關的認知不同,而有指定與否的差別。
舉例而言,關鍵基礎設施中的交通運輸領域,中央目的事業主管機關是交通部,針對飛機類的主管機關則是民航局。
據了解,在國籍航空中,只有中華航空公司被指定為關鍵基礎設施中的「特定非公務機關」,但同為國籍航空的長榮航空、立榮航空、華信航空、星宇航空以及臺灣虎航等,都不在關鍵基礎設施領域中的「特定非公務機關」名單中。
若以規模和功能來看,身為國籍航空的華航過去曾經幫忙國家運送疫苗,長榮航空也同樣有幫忙運送疫苗,因此,既然在先前COVID-19全球疫情大爆發的情況下,政府都會要求兩家航空公司協助,如今就國家安全的角度而言,就應該有不同標準嗎?如果只是因為官股成分的不同,所以民航局僅指定中華航空作為關鍵基礎設施中的特定非公務機關,然而,如果不同時指定其他國籍航空公司,恐怕會產生許多爭議,不符合全民的認知與期待。
若回頭看修正草案第三條對關鍵基礎設施的定義,「指行政院公告之關鍵領域中,該領域服務所依賴之系統或網路之實體或虛擬資產,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者。」從上述定義來看,中華航空和長榮航空一旦服務中斷,對臺灣社會造成的衝擊,難道會有差異嗎?
再者,金融業因為營業規模大小而分級,全部納入管理,航空業和其他列為八大關鍵基礎設施領域的服務提供者,也同樣可以透過分級分類的方式,把相同等級的業者,一併納入同樣關鍵基礎設施領域的特定非公務機關名單,才是合理的作為。
就好像,通傳會(NCC)要指定電信業者作為特定非公務機關時,一定是因為該業者對於臺灣通訊服務扮演重要角色,一旦服務中斷,將會嚴重影響社會、民生和經濟活動。
所以,NCC如果因為官股成分,只指定中華電信作為特定非公務機關,而不指定台灣大哥大和遠傳電信的話,是否就會變成政府認定,列為特定非公務機關的中華電信,其服務一旦中斷,對社會國家造成的衝擊,會比其他電信業者大呢?
由此可證,如果中華電信、臺灣大哥大和遠傳電信,因為都是臺灣重要的電信服務提供者,一旦服務中斷,都會對臺灣社會帶來同樣巨大的衝擊,因此,都必須列為特定非公務機關的名單時,難道,長榮航空不應該因為和中華航空具有同樣的重要性,而應該同樣被列入特定非公務機關的名單中嗎?
數位部不願公布關鍵基礎設施清單,引發質疑
另一個資安法修法的爭議點在於,數位發展部目前不願意公布關鍵基礎設施服務提供者的名單,他們對外的說法是:「擔心中共知道後,會攻打這些單位」但平心而論,這樣的理由並無法令人信服,反而會被認為是公務人員「不做不錯」的心態作祟。
對歐盟《資安法》有深入研究的政大法律系兼任助理教授萬幼筠表示,歐盟有一個跨國關鍵基礎設施的清單列表,在每個關鍵基礎設施領域,都可以各自找到歐盟30個會員國各自的關鍵基礎設施清單。另外,在網路上,甚至也可以找到一個Open Infrastructure Map,提供全球各國關鍵基礎設施的電廠地圖。
從上述做法來看,國家關鍵基礎設施的清單並非不能公開,敵對國家與組織仍然可以透過許多方法進行收集和判斷,不會因為政府不公開而能阻止其他人認定,但數位發展部如今卻以關鍵基礎設施的清單被中共知道,會對臺灣不利為由而不願意提供,此舉令人覺得荒謬!
換個角度來看,這些關鍵基礎設施的清單就算不公布,以中共對臺灣的滲透,加上臺灣內部有許多過度親中人士的協助,中共還是可以知道哪些是關鍵基礎設施的名單嗎?數位部不公布清單,只是鴕鳥心態,更嚴重的問題,在於國人如果無法明確知道所要保護的對象,如何進一步提高這方面的心防?
事實上,關鍵不在於能否徹底隱瞞、不洩漏清單,而是被視為關鍵基礎設施服務提供者,是否做好應該有的資安防護措施,這不只是政府的責任,也是民眾的責任;而且,透過資訊公開透明的全民監督方式,也可以作為監督相關關鍵基礎設施精進資安作為的外部動力。
面對外界擴大資安法適用產業呼聲,主管機關可審慎評估可行性
臺灣的《資安法》只規範公務機關及特定非公務機關,但面對其他產業一旦遭遇資安事件都無法可管的情況下,從修法之初迄今,外界一直都有擴大適用《資安法》的呼聲,但這樣的呼聲並未獲得主管機關認同。
事實上,在《資安法》剛開始草擬時,因為當時有許多電商頻繁發生個資外洩的事件,所以有一些有識之士認為,應該也將擁有大量個資的電子商務業者,都納入《資安法》的管轄範圍之內。
只可惜,天不從人願。在當年修法時,在某一些有力人士向有關單位的大力遊說下,以將電子商務業者納入《資安法》規範的話,會造成雖然擁有大量個資但規模較小的電子商務業者,可能會面臨營運上的困難。因為這一波遊說操作下,電子商務業者就沒有被納入《資安法》規範的對象中。
而從日前公布的《資安法》修正草案的內容可以發現,該法依然只有規範公務機關以及特定非公務機關,擁有大量個資的業者,仍然只適用《個資法》對於非公務機關的規範。
實際上,擁有大量個資的電子商務業者,如果沒有做好相關的資安防護,就可能造成客戶個資外洩,《資安法》管的是公務機關和特定非公務機關等對象有沒有做好資安防護,這是資安事件發生的因,而因為個資外洩而適用《個資法》規範則是果。
由此因果關係的推論,不管是哪種受規範的對象,假如可以因為受到《資安法》的規範而可以進一步落實資安的話,也可以大幅降低某些產業個資外洩的可能性,而若能一體適用《資安法》的話,對於臺灣整體資安防護韌性都會有實質的幫助。
只不過,目前絕大多數的臺灣企業都不在《資安法》的規範範圍內,隨著資安威脅越來越高,許多企業也爆發各種資安事件時,面對外界希望擴大《資安法》適用範圍的呼聲,讓一般企業也可以受到《資安法》的規範,相關的主管機關也可以評估其擴大適法的可能性。
⚠免責聲明
轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。