政院版資安法 國民黨立委顏寬恆看完直說:「他也醉了」!


為維護國家的資訊安全,行政院提出《資通安全管理法》草案。(圖片來源/unsplash)

為了維護國家資訊安全,行政院提出「資通安全管理法」草案,但因為授權政府管控相關業者,甚至還可要求提供資料,並搜索民間機關,引起現代版「老大哥」疑慮,讓許多業者如Google、Facebook與Line都受到影響,也引起反彈,將可能對台灣投資環境造成衝擊。甚至連蘋果電腦在台灣的資料中心興建計畫都可能喊停。

「資通安全管理法草案」現在正在立法院司法法制委員審查中,目前共有行政院、時代力量黨團、親民黨團、民進黨立委陳亭妃、余宛如、國民黨立委許毓仁等6個版本,幾乎皆以美國「聯邦資訊安全現代化法(FISMA)」為藍本。

政院版草案規範三種對象,除了公務機關,還包括公營事業、政府捐補助之財團法人,以及關鍵基礎設施提供者;其中「關鍵基礎設施提供者」最包羅萬象,內容涵蓋能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大領域,等於公私立機關、機構都涵蓋在內。

根據草案規定,這些單位都應訂定資安維護計畫、資安事件通報及應變機制,並負重大資安事件之通報義務,且應接受主管機關的資安檢查,如果違反,可按次處罰10萬至100萬元。

不過,相關規定因為範圍太廣,又牽涉到民間機構,被外界質疑是擴權,甚至「警備總部再現」的批評都出現。

從最受爭議的政院版第18條規定為例:「主管機關在稽核民間機構時,如果認為有重大缺失,或遇重大資通安全事件,有必要予以調查時,得派員攜帶證明文件進行檢查,並得命相關人員做說明、配合措施與提供資料,且不得規避、妨礙或拒絕檢查。」

因為其中「重大缺失」、「重大資安事件」、「必要性」、「配合措施」等概念都沒有清楚定義,而主管機關裁量權也沒有制衡的標準與限制,引起立委不滿。國民黨立委顏寬恒說,一個條文裡可發現好幾個不確定法律概念,「他也是醉了」。

而且,在最特別的「關鍵基礎設施提供者」項目中,雖然行政院資安處已歸類出能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大領域,但卻並未明定在條文中,也造成讓主管機關權責過大、空白授權的疑慮。

Google、Facebook、美國議員都關切

國民黨立委許毓仁認為,若相關法案通過立法,將對民間機構的基本權利、通訊隱私,甚至營業秘密都造成威脅,這是政府過度濫權的行為。而且業者如果因為受到駭客入侵被竊取資料,本應是受害者的身分,卻要因此受到裁罰,也有不公平之處,因此他反對這樣的立法。

許毓仁提出對案,參考2014年的「美國聯邦資訊安全現代化法」,只對公務機關有所管制,非公務機關則不予管制,採信賴原則而不立罰則。他也透露,已接到包括Google、facebook、Line的業者的反映,因為他們的資通提供服務也在法規管控範圍中,憂慮未來可能損害商業利益,他們都派專人來台表達關切。

許毓仁說,他也接到美國國會議員,以及人權倡議團體的反映,都對這個修法非常不滿,也有許多美商揚言將考慮撤出台灣,就連傳出可能在彰化興建資料中心的蘋果電腦,未來都可能因此喊停,情況已經非常嚴重。

入侵搜索人民財產 現代版白色恐怖?

因為行政機關只要認定有犯罪嫌疑或缺失,即可逕自查扣業者設備與罰款,搜索範圍擴及非公營機構,等同於在司法調查機關以外的準司法機關,有侵犯司法獨立之嫌。

藍委林為洲說,加強維護資安是合理的,重點是政府要介入多深的問題,一旦這些介入行為將侵入民間機構,有侵犯隱私、財產的疑慮,且這部法律等於讓行政院在司法調查機關以外,成為另一個準司法機關,恐有侵犯司法獨立之嫌。

藍委顏寬恒則說,現行刑事訴訟法規定,除了「緊急搜索」可不必事前向法官聲請搜索票,其他搜索行為還是必須聲請搜索票。且緊急搜索也是必須是後陳報法院,他批評行政院官員可能是「太忙了」,才忘記進入私人領域是一件侵害相當嚴重的事情,不需要經過法院,就可以進入私人領域。

另外,實務上要如何執行的問題也令人懷疑,因為政府單位中沒有足夠能量去檢核所有的公民營機構,所以到時候很可能就是委外承包處理,也就是讓一個民營機構去檢核另一個民營機構,掌握權力與其他業者的業務機密,將使問題更複雜化。

目前草案已經完成相關詢答,立法院司法法制委員會將再安排時間進行實質審查。許毓仁說,他已經接到許多業者與民眾的反映,將會在適當時機舉辦公聽會,讓政府部門聽聽各界意見,再審慎做決定。