立委所提《資訊長四法》草案內容評析/李鑄海
去年底,立法委員余宛如及許毓仁分別主導提出所謂「資訊長四法」及「資訊長三法」草案。不管是四法還是三法,這兩項法案的基本出發點其實相當類似,都是希望藉著在行政院內新設「資訊總處」,並調整資訊機關/單位的定位及資訊人員的管考、調用機制,讓資訊機關更能協助政府擘劃國家、社會的前景藍圖。
這些資訊長相關立法,其實已吸引了不少人發表意見;本文則在對相關草案詳加閱讀後,就草案內容的幾項主要效果提出意見:因為余宛如等立委所提的「資訊長四法」,在內容上規定的比許毓仁等委員的「資訊長三法」更詳細,在新設資訊總處的角色與其功能設定方面尤然。因此以下評論主要以余宛如的版本為主。
本文先不談立委所提法律草案的內容、項目在體例上是否不適當;單從這些草案規定內容,推論立委「希望」藉著這些法案所達成的效果觀察,其中最重要或最具影響性的效果,大概可以分為下列幾項:
希望將政府的資訊單位將由現行的原則列輔助單位,改列為業務單位。
希望新設立的資訊總處在其首長,也就是所謂政府資訊長的主持下,負責包山包海的資訊(含資安)相關業務。
欲仿效主計制度,開啟所謂「資訊一條鞭」制度。
重大資訊政策將交由各機關之資訊主管聯席會決議之,但議事規則則由資訊總處研訂。
針對資訊總處包山包海之職掌業務,資訊總處對地方首長有指示、監督之責;且如地方首長之命令有逾越此權限時,資訊總處得提請行政院院會廢止之。
資訊單位是否應改列業務單位?
首先,關於政府之資訊單位,從原則列輔助單位改為列業務單位,當然是因為列業務單位與列輔助單位,在實務上可能會影響人員進用等;另外,從輔助單位與業務單位的性質來看,立委會建議做這個改變,自然也是認為:不管各機關所主責事務為何,均應將所掌事務之資訊化、數位化等列為其要務;因而資訊不再是業務的輔助,而是業務的一環。
這樣的思維在現今時代,當然是無可厚非,不過將資訊單位改列業務單位,其實仍不足以確保業務資訊化;真要做到業務資訊化這一點,最重要的還是要讓所有業務同仁(即使所學不是資訊)都有基本的資訊觀念,如此才能在思考或執行政策時,納入適當的資訊化規劃,並在必要時與資訊單位妥為溝通,完成業務目標。
不管資訊化的角色有多麼重要,資訊化並不永遠是最佳方案。
但不管資訊化的角色有多麼重要,資訊化並不永遠是最佳方案;且資訊化必須要考慮的因素,也不只是資訊效率或效能。人權、法治的因素,在資訊化的同時也不能忽視;此外在某些事務上,資訊化有時甚至不是最有效用或效率的做法,此時採取其他方式仍有必要。
因此在重視資訊化的同時,如何避免政府機關人員產生為資訊化而資訊化的僵固思維模式,可能與資訊化本身同等,甚至更加重要。
資訊總處架構過大,功能過於複雜
其次,根據提案,新設之行政院資訊總處,將綜理國家資訊政策之擬訂,以及資訊業務之指揮與監督,其職權從政府資訊相關法規之訂定與解釋,到國際合作、管制考核、資訊預算、資訊採購統籌、資訊人事管理、民意蒐集、消彌數位落差、資安防護、網路社會跨域事務之調處,洋洋灑灑、包山包海,共計列了二十項。
先不論這樣的權責到底需要一個多大的機關才能辦的到,這樣的業務配置至少有以下幾個問題:
對小型廠商和新創業者不利、資安風險更高
讓單一機關決定資訊預算,又統籌全國資訊採購事務,不但升高了新業者進入市場的門檻,更加深決策偏差和資安風險。
由單一機關來決定資訊預算、統籌資訊採購,可以想見:這個機關必然成為資訊廠商須勤加拜訪的對象;但哪些廠商才能夠進得了行政院的大門?以資訊總處的業務來看,資訊長及其同仁必然日理萬機,在時間有限的狀況下,當然只有知名大廠,才有機會說明自家的絕佳產品與技術。小廠商或新創業者得訴天聽的機會,可能相當渺茫。
過往小廠商或新創業者,可能有機會透過爭取金額較小的資訊採購案,來逐漸茁壯;若由資訊總處一手掌控資訊採購,小廠商或新創業者,大概只能夠撿大廠不想做的,或是去接大廠轉、分包的案子。
此外,資訊採購的規格如由資訊總處統籌,其就同類產品或服務,規劃一致或相近規格的機率相當高。其好處可能是可以解決政府機關間資訊互通的問題,但一致化本身其實也提高了決策錯誤時必須付出的代價;且所採購之資訊系統或服務,一旦出現漏洞或弱點,一處擊破,處處擊破,演變成全面性資安問題的風險更高。
納入資安業務的矛盾
將資安業務包括在資訊業務中,忽視此兩種職責間可能的立場衝突。關於資安與資訊的關係,向來有不同的看法。在實務上,把資安歸在資訊下,可能是過往最常見的做法;但近來也有越來越多意見認為,資訊與資安應該分立,不相隸屬。
資訊、資安不但本質上有所差別,在執行上也易有立場衝突的狀況。
會有資訊、資安應分立的想法,主要應該是考量這兩種任務,不但本質上有所差別,在執行上也易有立場衝突的狀況。而且在經費固定的狀況下,要提高資訊效率或提升資訊配備的等級,可能就必須減少在資安規劃上的開支。
由同一個部門來執掌這兩項工作,雖不是不可能,但在分工上必須有妥善之設計;不然最後可能會衍生出類似銀行法遵人員兼做業務,導致內部監管問題的弊端。這一項,委員在提案時,不知道是否已有周全的想法?還是打算留給資訊總處自己去傷腦筋?
單一主管機關可能造成的弊病
由資訊總處主責調處網路跨領域問題,可能過於輕視不同領域的特色與深度。
立委提案的立法理由提到:「虛擬世界所涉及之事務多為跨部會跨領域事項,事權不一,協調或解決屢遭困難⋯⋯資訊跨領域事務之爭議,須建立政府法定調處機關,以利有效解決爭議⋯⋯」。
過去在劉兆玄當行政院長的時候,其曾經希望找出所謂主管網路犯罪的主管機關,將相關事宜均由該機關主掌;但由於網路犯罪形形色色,可能是侵害智財權,可能是網購詐騙,可能是發言毀人名譽或恐嚇,也可能與其他網路內容有關,方方面面都須有不同的政策考量和執行重點,因此後來也沒見到甚麼網路犯罪主管機關。
委員現在提案由單一機關,主掌虛擬世界的跨領域事務,其實思維與劉兆玄彼時相似。碰到跨領域事務,利害關係人眾多;為利決策形成而設置單一機關負責,這樣的思維可能是一種很容易出現的想法。只是這樣的想法,最後雖然可以在各部會之上,造就一個資訊相關事務的太上皇機關,但是不是真的因此能解決須面對的各式問題,則令人懷疑。
「資訊一條鞭」實務上能否順利運作?
第三,立委提案主張仿主計制度,設計所謂「資訊一條鞭」制度,由資訊總處就政策之執行,對全國資訊機關進行指揮與監督;且各機關主辦資訊人員,雖同時受所在機關首長指揮,但亦須受其上級機關主辦資訊人員監督。
此「資訊一條鞭」之設計,忽視資訊人員與主計人員任務性質上的本質差異,且操作上可能形成愈基層的機關資訊人員,職級愈低或經驗愈不足的狀況。
在事務屬性差異方面:主計人員的任務原屬較為保守的防弊角色,以一條鞭制度來管理,恰符其設立功效;而資訊人員任務有積極協助機關達成政策目標的面向,而機關的政策目標,又與其首長的施政方向息息相關。
將主計與資訊人員同視,認為均可以一條鞭的方式來管理,除了在實務上可能發生上級主辦資訊人員與機關首長不同調的疑慮,而有窒礙難行之處外,在地方機關的部分,甚至可能還須擔心有無因此實質侵害地方自治的副作用。
「資訊一條鞭」之設計,忽視資訊與主計人員的本質差異,更有侵害地方自治權之虞。
在另一方面,雖然經驗的差異,對主計工作的執行也會有影響,但經驗的差異對資訊領域更是影響重大。此次立委提案,既規定機關主辦資訊人員受上級主辦資訊人員之指揮與監督,推論上必然是上級主辦資訊人員更為富於經驗,或資訊功力更加深厚。然而實務上,基層機關的資訊事務卻未必較為簡單易解。故立委提案之資訊人員間指揮、監督的安排,在部分情形下可能並不妥當。
不利多元意見陳述
第四,由全國各機關的資訊主管組成資訊主管聯席會,並依據資訊總處所訂之議事規則決議重大資訊政策。首先,依照所謂一條鞭制度,由有日常從屬關係的人員(且絕大多數資訊人員為事務人員)齊聚商議政策,並由最上級制定議事規則,某程度上必然限制人員之發言意願。
國外,如美國,雖亦有類似聯席會的機制,但不同機關的資訊人員間,多無指揮監督之關係,故較無一言堂之疑慮。
侵害地方自治權限
最後,立委提案規定:資訊總處對地方首長有指示、監督之責;且如地方首長之命令有逾越此權限時,資訊總處得提請行政院院會廢止之。這很明顯有侵害地方自治之疑慮,不能不就此再詳加考慮與討論。
結語:現有架構是否已經足夠?
總結來說,不論是設立資訊總處,或是如唐鳳政委受訪時所建議,認為在現有架構下強化合作與溝通即足;如希望資訊單位能積極協助政府業務之推展與目標之達成,僅僅是從資訊單位或資訊人員下手都是不夠的。
且即使真要設資訊總處,並催生所謂政府資訊長,就是否有必要配合訂定所謂資訊一條鞭制、資訊總處的權限是否適宜包山包海,且可凌駕其他機關?如何避免預算、採購一把抓的諸多弊病等議題,均仍須詳加討論。