資通安全法,歐盟要,台灣能不要嗎?/ 李鑄海
日前看到媒體發表評論,認為行政院草擬的《資通安全管理法》草案,對關鍵基礎設施及關鍵基礎設施提供者的定義太寬鬆,會造成國家不當侵入私人領域,並建議行政院應把法案收回,以免丟人現眼。
雖然對政府採取嚴格的檢視態度,是所有媒體應盡的責任,但從第四權在幫助民眾了解實情並據以判斷的角度來說,理解事實及平衡報導/評論,其實和批判政府一樣重要。如果真的有細看資通安全管理法草案,以及各條的立法說明,或是至少有向幾個資訊及法律學者或行政院進行平衡訪問報導,又或是已檢視行政院早已公布在國發會join平台的多場座談會紀錄的話,應該可以發現:這部法雖然一定有待改善之處,但與評論所稱應收回以免丟人,還有一段距離。
資通安全法的立法過程與關鍵基礎設施的規定
首先,通常這種針對機關、組織的資訊立法,在草擬過程中很少會邀請民權團體與會;但據悉在行政院為此法召開的六場座談會中,包括台權會此一捍衛人權立場鮮明的民權團體,以及長年努力保護民眾權益的消基會都在受邀之列。此外,除了資訊學者以外,亦有多位長期研究隱私和科技的法律學者受邀。
從內容面來看,以最近前述媒體大加撻伐的「關鍵基礎設施」相關規定為例,在資安法草案中,對「關鍵基礎設施」之定義,與國際一致,都是指「其功能喪失或降低對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞者」才納入,也因此會含括能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院等領域。
資安法草案中,對關鍵基礎設施的定義與管理,與國際一致。
且由於所謂關鍵基礎設施,其實不會是單一的設備或資產;而多是多種設備、資產或網路、系統之集合體。名稱雖然叫設施,但其實更像功能的概念,因此國際上在每一領域,均會再區分為數個次領域及重要元件設施。例如能源這個主領域下,會再區分為電力、石油、天然氣、化學與核能材料等次領域,每一領域也都會有各自的重要元件設施。
為了避免在納管時也納入規模較小的機構,造成其不必要的負擔,資安法草案又另定:關鍵基礎設施提供者,應該由中央目的事業主管機關提請行政院核定,而不是凡在關鍵基礎設施領域內就一律納管。
關鍵基礎設施對國計民生影響重大,其資通安全在現今這個萬物聯網的資訊時代,其實涉及的已經不只是資料的保密,也可能會影響到實體的安全。紀錄片《ZERO Days》講述的就是伊朗核電廠的資通系統被駭客植入惡意程式以後,利用程式去破壞它的核電設備的運作。因此,各國對關鍵基礎設施的資通安全管理都日漸重視。
例如,歐盟不久前才通過了「網路與資訊系統安全指令」(The Directive on security of network and information systems);指令中除了要求各會員國必須就關鍵基礎設施的資通安全加以管理,也規定各會員國必須制訂有效的罰則,處罰未遵守相關規範的關鍵基礎設施提供者。這些規定為的就是避免在資訊戰發生時,對國家人民的安全與生活造成重創。
因此,國家透過資安法納管關鍵基礎設施提供者,其實不只是國際趨勢,更是勢在必行;即使這些關鍵基礎設施提供者是私人企業,也不應該豁免於資安法的規範。否則為了國家安全,豈非又要走回所有關鍵基礎設施均要國有或國營的老路?
批判政府作為是媒體天職,但批判也應基於事實。
因此,重點應該放在到底何等規模、何種性質的關鍵基礎設施提供者應該納管,而非其是公立或私人單位。以緊急救援與醫院體系此一關鍵基礎設施領域為例,個別的醫療院所雖會被視為是關鍵基礎設施的一部分,但其影響力與重要性,則依醫療院所的規模與任務而有差異。因此需要中央目的事業主管機關,指定其中較具重要性的醫療院所,做為關鍵基礎設施提供者,納入資安法規範;一般診所等小型醫療機構則不必納管。以捉大放小的比例原則,藉以平衡國家安全與對私領域的涉入。
媒體評論應有所本
雖然拿放大鏡檢視、批判政府作為,絕對是媒體的天職,但如果沒有平衡報導/評論,或是不明究理,連基本名詞都沒搞清楚,就開始批評,似乎對人民知的權益也頗有不周。現在應該做的,是真的去檢視法的內容,去了解其真正的影響,而不要為了批判而批判。畢竟資通安全法,連歐盟這樣具有強大力量的國際組織都要,台灣能夠不要嗎?