《資通安全管理法》草案的各項問題
行政院2017–04–27第3546次會議,通過行政院資通安全處所擬具的「資通安全管理法」草案(以下簡稱該法或該草案),將送請立法院審議。
國家資通安全政策與環境,政府本就該積極作為處理;此議題在網際網路及各種資通訊科技的快速發展與普及下,已然攸關國家與社會各層面的安全。本文是我研讀該草案後的一些看法,與對草案內容不明之處:
為何要立一部資通安全管理法?
這是一部管理法,還是產業發展法?
資通安全是否屬於國家安全等級?
非公務機關的定義到底有多廣?準則依據為何?
一個條文就授予行政檢查權?可以外包給第三方嗎?
為何只罰非公務機關?
為何要立一部資通安全管理法?
該草案的總說明有以下文字:
適用於公務機關者:
刑法 妨害電腦使用罪
個人資料保護法
行政院及所屬各機關資訊安全管理要點
行政院及所屬各機關資訊安全管理規範
國家資通安全通報應變作業綱要等規定
上述規定中,屬法律者,其規範目的各異,而適用時或僅就實害之結果進行處罰,或其保護客體僅以特定類型之資料為限,並非針對資通安全管理為整體考量而制定;其餘規定對資通安全管理雖定有較細節之規範,但其位階較低,且規定分散,適用上難免不足。
適用於非公務機關之規定,因其立法目的不同,其適用範圍、保護客體與規範對象亦有差異,無法作為各非公務機關共通遵循之標準,難以帶動其整體資通安全能量。
據總說明所述,在擬定這個草案時,行政院認為上述的法律「刑法 妨害電腦使用罪」、「個人資料保護法」,不是針對資安管理而打造的;而其他屬於行政命令的位階太低,所以應該要立定一個新的法律。
該法的名稱與條文內容,大部分都在談「管理」,也就是規定公務機關與非公務機關新增哪些責任;可以看做以本法要求各單位做好資安預防準備。但如果發生資安問題,各單位除了要面對刑法、個資法等法律處罰以外,現在又多加一個「資安法」。
如果這麼多法律都以處罰為手段,可以想見有多少單位會在發生資安事件時主動求助;筆者猜想應該會很少,因為適用單位面臨的是法律裁罰,而非系統性的協助。
以下筆者針對條文內容,分條列出一些看法與疑惑。
立法目的:這是管理法,還是產業發展法?
第一條 立法目的
為積極推動國家資通安全政策,加速建構國家資通安全環境,帶動資通安全產業發展,以保障國家安全,維護社會公共利益,特制定本法。
本法名為「管理法」,立法目的卻有「帶動資通安全產業發展」這樣的文字;這樣的立法目的非常難以理解。以該法的本質而言,其立法目的應是為了國家安全、維護公共利益而進行管理,絕非帶動特定產業發展。
筆者試舉現有一些其他管理法規,這些管理法的第一條也都是立法目的。拿這些同類型法律的立法目的相互比較,就可以知道將「帶動產業發展」寫入立法目的,是令人費解的。
「消防法」第一條 :「為預防火災、搶救災害及緊急救護,以維護公共安全,確保人民生命財產,特制定本法。」
沒寫要促進消防產業發展。
「食品安全衛生管理法」第一條:「為管理食品衛生安全及品質,維護國民健康,特制定本法。」
沒寫要促進食品安全的產業發展。
「菸酒管理法」第一條:「為健全菸酒管理,特制定本法。」
沒寫要進促進菸酒產業發展。
「健康食品管理法」第一條:「為加強健康食品之管理與監督,維護國民健康,並保障消費者之權益,特制定本法」
沒寫要促進健康食品的產業發展。
由此可見,各種管理法規第一條的立法目的,真的很難找到把商業利益包裹進去的文字。
其實真要找,還是可以找到類似的規定,例如「農藥管理法」第一條:「⋯⋯健全農藥產業發展」,在此的用字是「健全」,不是「帶動」,字義上的目的差很多。
還有一個,也仍是草案的「電信管理法」 第一條:「⋯⋯為健全電信產業發展」,用字也是「健全」,不是「帶動」。電信法中所規範的電信產業是屬於特許行業;資安產業是否為特許產業,需要以政府之力帶動發展?或是壟斷行業,需要政府之力介入,以利健全發展呢?
「健全」的字義,是指主管機關有責任讓該產業發展良善,而「帶動」則變成主管機關有責任把產業做起來;主管機關的角色在這兩種情形下完全不同,任務也不同。而且該法明列行政院應作為之事項,位階極高,其他的產業未見有如此好的待遇。
公共利益與商業利益的錯亂
上面舉出許多管理法規,在立法目的中都沒有明文寫出「帶動該產業發展」;因為這些是「管理法」。而在資通訊發達的社會中,為了維護國家安全與公共利益而訂定的「資通安全管理法」,卻直接將帶動產業發展的文字放入立法目的,令人難以理解。
把資通安全以管理法為名與手段,實將資通安全產業帶入,這是行政院的立法本意嗎?如果是,其他產業是否可以比照辦理,而不是獨愛資通安全產業?如果不是,是誰提供這樣的建議,將產業發展包進管理法中?
國家安全、公共利益,以及商業利益,是兩種完全不同的立法目的,為何並存於同一部管理法規中?
但不管答案是什麼,本法草案已經由行政院背書,要送入立法院審議了。
一個是國家安全與公共利益,一個是商業利益,這兩種完全不同的立法目的,是否可包裹放入一部管理法規中?如真要帶動資通安全產業,另訂一部「資通安全產業發展法」是否會比較好呢?這樣也許更能讓國民理解國家帶動資通安全產業的苦心與決心,而資通安全產業也可以名正言順在這樣的法律下努力發展。
類似法律如「文化創意產業發展法」,第一條就寫明了「⋯⋯促進文化創意產業之發展」,但是法條內文寫的是「促進」,也不是「帶動」。
其他產業也大概都會跳出來問:「我們的產業發展法呢?」
資通安全產業不可諱言,是一個很重要的產業,但想要提升國家整體的資通安全,絕對不是靠發展資通安全產業來達成;這是本末倒置的。
另一個我如此擔心該法包裹商業利益的原因,實是我國一直有特定法人在承接政府委託的資安相關專案;而且到目前為止成效不彰,也是有目共睹的事實。筆者憂心此法一通過,整個資通安全產業可能就會直接變成被特定法人綁架的產業,對於立法目的揭櫫的國家安全目標,反而難以達成。
這實在不是全民之福。刻意扶植的需求,通常只有單一面向的成效;過去已經看到太多這樣的案例。
筆者建議,政府應在整個資安的各個層面,引入不同的民間關係人參與,不應僅僅侷限在產業的發展上。畢竟有正確的資安願景,才會有真正有效的資安政策,而後才可能附屬產生真正活絡的資安產業,如此才更能全面的達成國家資通訊安全的目標。
資通安全是否屬於國家安全等級?
本法用詞,定義如下:
一、資通系統:指用以蒐集、控制、 傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
二、資通服務:指與資訊之蒐集、 控制、傳輸、儲存、流通、刪除、 其他處理、使用或分享相關之服務。
三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密 性、完整性及可用性。
四、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。
五、非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。
六、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或 經濟活動有重大影響之虞,並經行政院公告者。
七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,依第十五條第一項規定經中央目的事業主管機關或直轄市、縣(市)政府指定,並報行政院核定之非公務機關。
前項第五款所稱政府捐助之財團法人,其範圍於施行細則中定之。
這一大段的規定中,公務機關排除了軍事機關及情報機關之適用;但軍事與情報機關以維護國家安全為目的,在資通訊的安全上,要如何跟民間一起防護、通報、應變、預警?這兩種機關要適用哪個法規,與在哪個平台上進行介接?處理單位是哪些?如何與民間一起合作?畢竟所謂國家安全,應該是所有單位一起合作才有可能。
這個問題其實是要問:該法著重於公務機關與關鍵基礎設施的資通安全管理,但應該要看的是整體的國土安全;一旦沒有跟其他國土安全相關單位界接,該法所能達到的效益就十分有限。以目前行政院本部的組織架構中,有三個單位:國土安全辦公室、災害防救辦公室、資通安全處,這三個單位務必密切聯繫合作。
除此之外,各相關單位與國安、軍事、情報機關、其他各二級部會、地方政府、商業公司、甚至個人的合作也非常重要;然而在該法中沒看到相關的訊息,只有出現「關鍵基礎設施」文字。這是取自行政院訂定之「國家關鍵基礎設施安全防護指導綱要」,而這個綱要中的防護目標如下:
⋯⋯關鍵基礎設施防護目標在於確保攸關國家安全、政府治理、公共安全、經濟與民眾信心之基礎設施與資產的安全。為達成此目標,我國關鍵基礎設施防護應採用風險管理架構,確實降低風險,發揮最佳防護功能,以確保投入之資源得到最大之效益。各關鍵基礎設施次部門主管機關,應遵循行政院國土安全辦公室規範之風險管理架構,推動所屬關鍵基礎設施之防護規劃,藉實際運作結果,不斷檢討改進。
由此看來,我國已經擁有關鍵基礎設施運作的防護,這本來就應該是拉高層級來看,而不是僅僅立一部管理法,還侷限在單點的資通安全上。筆者認為,國家整體的安全戰略,所佈建出來的網絡樣貌,是更加根本而且重要的問題。
「非公務機關」的定義到底有多廣?準則依據為何?
整部草案中,筆者最疑惑的就是「非公務機關」的定義非常不明確。本法中定義的「非公務機關」範圍,牽涉對民間各行各業的影響,如果不明確定義清楚,會造成很多不好的影響。
該法第二條中列了三種「非公務機關」:
關鍵基礎設施提供者
公營事業
政府捐助之財團法人
誰會是「關鍵基礎設施提供者」?
第二條的第六、七款「關鍵基礎設施」與「關鍵基礎設施提供者」中規定,只要經政府指定核定後,就算是「關鍵基礎設施提供者」;然而政府依據什麼準則來認定你是「關鍵基礎設施提供者」呢?
我想或許可能是依據行政院訂定之「國家關鍵基礎設施安全防護指導綱要」中的「關鍵基礎設施分類」;在這部綱要中定義的「關鍵基礎設施」,範圍包括水資源、能源、緊急醫療、交通運輸、資通訊、高科技園區、政府、金融經濟等八大領域。
然而,在草案中所謂「關鍵基礎設施提供者」,是否如筆者所推想,是依照「國家關鍵基礎設施安全防護指導綱要」所列為準,或是另有準則?這是有疑慮的地方。
第十五條 中央目的事業主管機關 或直轄市、縣(市)政府應指定關鍵基礎設施提供者,並報請行政院核定之。
假設「關鍵基礎設施提供者」不是依照「國家關鍵基礎設施安全防護指導綱要」所列為準,而是照第十五條,由中央或地方政府指定,那「非公務機關」的範圍將會更大。
另一種情形,「國家關鍵基礎設施安全防護指導綱要」,每兩年定期檢視調整關鍵基礎設施之範圍;影響所及,本法的「關鍵基礎設施提供者」定義也會跟著調整。相對的,該法的權限範圍也會跟著有所變化。
非公務機關到底還包括誰?
第十六條 關鍵基礎設施提供者以外之非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條 件,訂定、修正及實施資通安全維護計畫。
在草案第二條中已經劃定出哪些非公務機關是受本法管理的範圍;但第十六條的意思有些模糊,文字解讀可以有兩種情況:
第二條所指的關鍵基礎設施提供者以外之非公務機關,那只剩下公營事業與政府捐助之財團法人。
或是指其他所有的關鍵基礎設施提供者以外之非公務機關,那就包含所有的商業公司、非營利組織了。
第十六條中提到的非公務機關到底是指誰?在2017/04/27 行政院會後記者會(第3546次會議)簡報中的第7頁:「資通安全世界情資分享機制」,最右邊那塊,非屬第二條中所列的其他「所有非公務機關」,對於資通安全事件通報是自願通報,未來該法通過後,是否有可能進行修法,進而擴大適用範圍呢?
會這麼問的原因是,在簡報中的第10頁顯示了這個可能性:「108年06月檢討適用範圍」
由於法條中沒有明說是依照什麼準則來劃定範圍,只說政府應指定關鍵基礎設施提供者,這可能會留下很大的空間,給予行政單位很大的權力進行劃定。
筆者建議,法條應該明定是參照那個準則來劃定「關鍵基礎設施提供者」的範圍,讓行政單位有框架可以遵循,並且應納入多方利益關係人來參與討論,讓劃定的準則以及名單更加清楚正確,避免發生該納入而不納入,不該納入而納入的問題,不但擾民,更可能毫無效益。
有趣的是在「國家關鍵基礎設施安全防護指導綱要」中的 「壹拾肆,民營企業與民間組織(非政府組織)之參與」,法條如下:
有關民間參與配合部分,宜先以各部會鼓勵參與為主,惟可考慮藉監理與輔導政策進一步要求落實」、「長程目標應建立私部門關鍵基礎設施安全規範和標準,甚至採取必要措施來監督並確保公共利益不受損害;短程內可考慮藉行政命令等方式以解決當務之急。
不知該法是否為該綱要的「監理與輔導政策進一步要求落實」以及「採取必要措施來監督」的實體展現?
但是鼓勵民間參與配合的部分呢?反倒是未見鼓勵,但罰則已經先入法。而因應層出不窮的資安問題,短期可以先用的行政命令是否已經發出?
而更長期該建立的安全規範和標準在哪裡呢?現在有誰在做呢?
授予行政機關檢查權。是否可以外包給第三方?
第五條 行政院得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其 他資通安全相關事務。
第十八條 中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。
假設貴公司被劃入「非公務機關」的「關鍵基礎設施提供者」,那政府認定有必要時,就可以派員攜帶證件,進入貴公司辦公區或是機房進行資安檢查;檢查人員會查看你的電腦與資通訊設備,而且你得相信他絕對不會外洩你公司中的任何資料,也不會把程式碼拷貝出去,更不會告知你的競爭對手你用哪些技術或是營業秘密;只因為政府賦予他這個權力,並且跟你說他有保密義務。
這個行政檢查過程,是否可以外包給不一定具備公務人員資格的第三方?
如果可以授權第三方進行檢查,你就得放行讓他進去你的公司。為什麼可能會有不具備公務人員資格的人來進行行政檢查?因為如果真要做好日常稽查成效,人力需求將會相當龐大;所以這項業務極可能必須外包出去,或是訂出檢查員資格,以約聘方式滿足檢查員人數的需求。
一條條文就授予行政單位極大檢查權力,但關於檢查人員的資格認定,卻沒有明確定義。
如果不可以授權第三方進行檢查,那就要弄清楚行政院打算如何稽核約聘檢查人員;畢竟人數與資格是一大問題。
舉個例子,假設貴公司未被劃入「關鍵基礎設施提供者」,但你卻跟「關鍵基礎設施提供者」有業務往來,例如是其下游承包商,未來你可能也會被相關的契約涵蓋在內,也須承擔相關的責任與罰則,或是得讓檢查員進入你公司進行檢查;如果你只是接了一個十萬元的小案子,整間公司還是可能會被稽查。也就是說,法條的效力,是否會向下、向外擴張?試問如此情況,你覺得合理嗎?你願意承擔這樣的風險嗎?
如果真要授予行政單位檢查權,應該另立他法,明定相關事項;「勞動檢查法」、「勞動檢查法施行細則」就是如此。不該在「管理法」裡面的一條條文就授予行政單位,權力位階這麼高的檢查權力;更何況檢查工作極有可能外包出去,這是非常危險的。因為這反倒可能造成資通訊安全、洩漏個人資料、竊取營業秘密威脅和漏洞。
就以剛提到的「勞動檢查」來看,法律授權給行政單位進行勞動檢查的成效如何,大家心知肚明。可想而知,如果資通訊安全以類似的方式稽查,是否真能有效執行?
另一個問題是類似的稽查是否真的有用?如果只是檢查一些文件跟固定流程,相信對於防範未知的威脅,難以有太大的效果。這跟消防或是防救災類似,應該是多作演練、演習才是,尤其在資通安全領域,想像力往往才是面對未知威脅的重要能力。
而想像力的涵蓋範圍多寡,就要看整個過程中引入多少不同層面的人來參與。雖然政府執法會有比例原則,該法之後如有相關子法或計畫,筆者建議提早提出供大眾討論,看是否能在盡量不侵犯民間單位的權利下,也能達成提升整體國家整體公眾資安的目標。
只罰非公務機關?
第十四條:公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。公務機關所屬人員未遵守本規定者,應按其情節輕重,依相關規定予以懲戒或懲處。
此外,草案第四章第十九條到第二十一條,屬於罰則章節,但全部都是對非公務機關處以罰鍰;並可按次處罰,每次至少十萬起跳。相對之下,整個草案未見對「非公務機關」的鼓勵,只有處罰而已;這有點脫離了「國家關鍵基礎設施安全防護指導綱要」中的建議,是要鼓勵民間參與的。
對公務機關的罰則,在公務人員的懲戒是可以執行的;但公務單位資安沒有做好,通常會想盡辦法不要通報,避免因此受到懲戒或懲處。
當「非公務機關」被列入「關鍵基礎設施提供者」後,只有義務跟罰則,沒有鼓勵與輔導;這樣一來,絕大部分單位都不會願意被劃入管理範圍內,但可以想見,某些單位一定會被主管機關強迫列入。這樣一來,真的發生資安威脅事件,為了避免遭罰,當事單位很可能會大事化小,小事化無,最好都不要通報,免得被罰鍰,還要一直遭到檢查。
這樣豈不成為惡性循環?好的資通訊安全環境,有可能產生嗎?
結語:制定整體國家資安政策,廣徵各界意見
網際網路以及各種資通訊科技的快速發展與普及,讓資通訊安全議題愈來愈重要。國內許多關鍵基礎建設的軟硬體設備與系統,可能都採用外國產品與系統,被外商掌控的可能性是存在的。台灣自身的資通安全,已經到了該與國安、外交籌碼等一併思考的時候了。
行政院方面希望「資通安全管理法」可以在本會期六月時通過,以目前的時間點來說是很緊湊的;但筆者認為,如果可以在此時一併提出施行細則與相關的子法,以及之後各種相關行政命令或資安計畫的推動內容,讓多方利益關係人提早參與討論,也讓全體國民有更多資訊能夠理解討論,才能讓國內的資安產業真正發展起來,成為國家安全的支柱,甚至外交的籌碼。
發展資安產業絕對不該是資安管理的真正目標,因為只要提出正確的願景與戰略,產業在實踐過程中自然就會成長茁壯。所以重點應該是儘快制定整體的國家資安政策,讓公部門與民間分工合作,討論與承擔各自的責任;並以聯防、互助、分享的方式來取代處罰,如此面對未知的資安威脅或發生資安事件時,產官學界才能逐步累積經驗,並提升整體的資安防範能力。