資訊發展與安全管理立法之觀察與建議/Vincent Chen

近日相關資通安全管理法及資訊基本法立法等議題,引起諸多討論與質疑。本文擬檢視幾個最近資訊相關立法背景及現況,並嘗試提出一些觀察建議。

資通安全管理法

2015年12月30日,立法院通過《國家資通安全科技中心設置條例》,設立目的為提升國家資通安全防護能力、推動資通安全科技發展及應用,特設國家資通安全科技中心,該中心為行政法人,監督機關為科技部。

2016年5月3日,立法院通過時代力量提案廢止《國家資通安全科技中心設置條例》,讓2016月4月1日掛牌的資安科技中心,回復到原本國發會委由資策會技服中心負責政府資安委外的作法。一般說法是想讓新政府有機會可以釐清,到底臺灣國家級的資安架構應該要如何設立?是否要成立一個專職獨立的資安部門?由哪個單位擔任資安的主管機關等等。而設定為臺灣資安的上位法《資安管理法》,更應該加快立法的步調等等。

2016年7月28日,隸屬總統府國安會,負責國家整體資安方向的諮詢委員李德財,為了讓下設的資通安全辦公室(簡稱國安辦)和同年8月1日正式成立的行政院資通安全處(簡稱資安處)發揮相輔相成的效果,指派國發會管制考核處處長何全德兼任國安辦主任一職。國安辦、資安處以及NCC(監督電信網路安全),形成政府資安鐵三角。

今年8月28日,國發會科技政委吳政忠表示,為了打造數位經濟時代所需的生態系統,將力推《資通安全管理法》在年底前完成三讀。

資訊基本法

從「資訊立法策進聯盟」網站可以看出,由軟協、電腦稽核協會、資訊經理人協會等資訊相關社團成員(成員以學者專家、政府資訊人員為主,包括退休人員)組成,主要訴求為政府整體資訊架構與共用系統、資訊主管機關、政府資訊人力比、資訊機關之定位、政府機關資訊預算比、資訊維護費用編列、資訊安全防護(含研發機關)、資訊安全管理、資訊影響評估等。

資訊立法策進聯盟旨在推動資訊基本法之建立,解決政府資訊統合權責不明、資訊規劃能力無法有效提升等問題。

鑒於政府資訊統合權責不明、資訊部門長期人力不足、資訊規劃能力無法有效提升、跨機關政府資訊系統成效不彰等,遂成立聯盟,擬推動資訊基本法之建立。聯盟多位理事長或秘書長為代表,採拜會相關立法委員、相關主管機關首長及辦理座談會、發動學者專家及產業界人士聯署等方式來推動。

今年5月18日,聯盟以「小尖兵」為提議者代表,向國發會公共政策網路參與平台(join)提點子,並經過提議、檢核、覆議階段,於6月13日以5,418人附議,通過覆議階段。8月12日國發會回覆:

  1. 立法方式保障資訊預算經費額度、規範資訊人力比例及提供資訊產業財政優惠措施等議題,經相關權責機關(人事行政總處、主計總處、財政部)表示,皆有實際執行面之窒礙,爰建議本案擬不推動。

  2. 行政院於105.08.01成立之資通安全處亦已積極辦理資通安全立法作業。

  3. 評估制定「數位經濟法」之可行性與必要性,並以公開徵集群眾智慧方式,規劃透過vTaiwan虛擬世界法規調適交流平臺公共政策網路參與平臺,廣徵各界意見,凝聚推動共識。

草案中所建議之設置政府資訊總管理機關、設置專責資訊長等事宜,將適時一併納入討論。

電信匯流五法

現行廣電三法《衛星廣播電視法》、《有線廣播電視法》、以及《廣播電視法》及《電信法》,在NCC石世豪主委時代彙整成所謂的電信匯流五法修正版,即《電信基礎設施與資源管理法〉、《有線多頻道平臺服務管理條例》及《無線廣播電視事業與頻道事業管理條例》、《電信事業法》、《電子通訊傳播法》送行政院審議,惟新政府上台後,詹婷宜主委預計將《電子通訊傳播法》改成《數位通訊傳播法》,並採「抓大放小、鼓勵創新」為修法原則,「新匯流五法」預定年底之前重新送交行政院審議。

資訊法規制定之觀察建議

資訊技術發展快速到超乎想像,制定相關規範性、僵化性之法規,應特別謹慎為之。如需要法律規範,速度要非常快速,如2–3年內無法制定完成,則往往大環境已經變化,可能原法規已經不再適用;如持續制定,反而會造成推動阻礙。

陳舊法規之修正,亦甚為迫切,譬如過去傳統紙本公文、會計流程之規定,都亟需有新的數位思維的流程制度配合。

另外陳舊法規之修正,亦甚為迫切,譬如過去傳統紙本公文、會計流程之規定,都亟需有新的數位思維的流程制度配合。例如電子報稅制度是一大革新,可是傳統報帳流程,還在黏貼一堆單據之人工作業,類似資訊化之推動,如無法大刀闊斧改革,再怎麼樣都無法稱為數位先進國家。

強化明確當責(Accountability)架構,就是關鍵事情發生時,明確定義哪些人應該負起責任,並盡速解決問題及提供發展規劃。目前國家資通訊發展推動小組(NICI)為行政院資通訊最高決策單位,其設置要點規定召集人由院長指派副院長、政務委員或相關部會首長兼任。

另行政院資通安全會報設置要點推定召集人為行政院副院長、一位國家資訊長(CIO)、一位國家資安長(CISO)。過去張善政當副院長時,同時身兼國家CIO及CISO,可是目前卻由非資訊背景之科技政委兼任;最近唐鳳以「數位政委」身分加入,未來國家資通訊發展與安全政策分工可能更形混亂。無法持續穩定的政策組織架構,是建構信任領導機制的最大危機。

國家資訊法規、人力及資源調整,仍受傳統思維牽制,無數位新思維,致無法因應快速環境變化。譬如資訊基本法草案提出後,建議增設行政院資訊總處,專責統合國家資訊事宜; 但牽涉到可能新增人力、預算事宜,第一個表示反對的即是人事、主計單位。惟人事總處、主計總處各約二、三百人編制,在數位網路化時代,人力仍無法精簡。在政府總員額管制及預算精簡原則下,彈性調整組織及預算資源之運用效率,譬如調整部分單位之精簡人力至新興業務上面,攸關政府機器成效甚鉅,否則其他改革勢必就都無法進行。

新政府感受國家資通安全重要性,加上一銀ATM事件催化,雖然廢止《資通安全科技中心設置條例》後,隨即於行政院設立資安處,並研擬《資通安全管理法》希望於年底通過;其中將規範延伸至民間企業。雖政府或民間,都不能單獨置外於整體資安和資訊環境之外,包括政府和民間都必須意識到:唯有政府(Public)和民間(Private)建立良好的夥伴關係(Partnership),才能夠全面打造真正的資安防護網。

資安導入有不同廣度、深度、導入成本與稽核成本。不同利益關係人團體因應產業需求,定義產業自律規範,也是常見並具高度成效的治理機制。另一方面,如果政府本身資安管理不佳,但要求私部門遵循政府訂定之規範,即易產生本末倒置的感受。法規如缺乏多元利益關係人支持,政府強制通過並實施行政檢查權,對於經濟投資、人權都將造成影響,例如允許主管機關可對私部門行使行政檢查權,非同小事,尤要慎重。

政府部門如無資(通)訊發展之數位化政府推動為前提,組織沒有健全的資通訊發展規劃與人力資源,談資通安全猶如空中樓閣。

資訊基本法遭國發會擱置,資通安全管理法獲國發會重視,盡速立法看起來勢在必行;但政府部門如無資(通)訊發展之數位化政府推動為前提,組織沒有健全的資通訊發展規劃與人力資源,談資通安全猶如空中樓閣。

或許將資訊基法草案中之資訊整體規劃、組織、人力及中央與地方資訊發展權限劃分等,整合至資通安全管理法草案中,將其範圍擴及國家資通訊發展,或可將此法案名稱修正為《資通訊發展與安全管理法》,畢其功於一役,或許是值得一試的想法。目前負責研訂《資通安全管理法》之組織為新成立之資安處,建議國發會能以更宏觀方式,思考此一合併立法之可行性。

政策制定思考過程,立法僅是選項之一,且通常耗時甚久;如能多一些政策解決方案選項(政策、標準、指南、管理流程等),多一些資源挹注、少一些法令限制,凝聚共識的資訊相關政策,仍可即時進行。

國外通常有很多NGO,協助政府訂定一些行業或技術規範、標準、指引等文件,供業界自律或採用;譬如電信產業,為保障通信安全,過去監理機關制定很多電信設備檢驗規定;但諸如IoT設備、電腦硬體設備、軟體演算法程式碼、PKI加解密設備等多種使用新興技術的設備,對國家安全、消費者保護之影響,可能都遠高於電信設備安全檢驗規定。類似諸如此類之標準、指引、自律規範,雖未必馬上有明確立法要求,但及時之標準、指引等規範出爐,對引導創新產業之發展甚為重要,將可彌補法規之不足。

採用多方利益關係人模式進行複雜公共政策之制定,包括相關立法之研議,於立法過程以基於共識決策(Consensus_Based Decision Making)的精神,讓各利害關係人充分參與,並以公開、透明和當責(Open, Transparent and Accountable)的方式運作,將會是更好的立法選擇。

目前包括資通安全管理法草案、資訊基本法草案、電信匯流五法草案之進行,都已邀集相關人員進行座談,甚至全程採網路直播方式進行諮商及公聽程序。但透明及當責度仍嫌不足:包括邀集相關利益關係人代表性不夠、全程資料公開品質不佳、諮商及公聽次數不足等。或許可以引進採用vTaiwan中之包括直播、即時線上討論、線上逐字稿、聽打共筆、線上問卷等諸多開放技術工具,以提升諮詢及參與品質。

另建議攸關最後立法的立法委員及相關社群成員,如能一開始即參與制定討論,對後續共識及時程會很有幫助。