科技政委吳政忠表示,為了打造數位經濟時代所需的生態系統,將力推資通安全管理法在年底前完成三讀。

圖片來源: 

iThome

一度隨著新舊政府交接而停擺的資通安全管理法草案,再度成為行政院的政策焦點。行政院預備在立法院新會期(9~12月)時,提出「資通安全管理法」草案,科技政委吳政忠表示,為了打造數位經濟時代所需的生態系統,將力推資通安全管理法在年底前完成三讀。

吳政忠表示,新政府最重要的政策方向之一,就是要建立數位經濟時代的創新生態系統,為了擺脫過去代工時代的思維,新政府接手後立即盤點不符數位經濟時代的相關法規,資通安全相關法規就是其中一項。「行政院已責成8月剛成立的資安處負責草擬資通安全管理法,這是打造數位時代經濟的關鍵基礎,力求在9月開議的立法院會期通過三讀。」他說。

雖然,資安處還未對外公開草案內容,不過早在2015年,行政院就曾對外揭露了一個資通安全管理法草案版本。

2015年4月時,當時擔任行政院副院長的張善政時提出了資安政策2.0,其中就透露了政府正在草擬一套資訊安全管理法,這是國家資通訊安全發展方案訂定的策略方向之一。行政院資通安全辦公室後來則提出了一套「資通安全管理法」草案(簡稱資安管理法),並在2015年10月前後,舉辦草案座談會向公協會與業界專家說明。

若依科技政委所訴求的年底三讀時程來看,只有短短3個多月,想要完成法案三讀,以舊版資通安全管理法草案版本為基礎來調整,比重新草擬一份截然不同的法條更為可行,也因此,從舊版草案架構,可以一窺未來資安處將端出的新版法案方向。

從舊版資安管理法草案版本來看,這套法案不只是用來規範政府機關,也將適用於民間企業和組織,並有特別針對關鍵基礎設施(如電廠、水廠等設施單位)的管理規範。就像個人資料保護法一樣,政府或非政府機關都得遵循,只是適用條款略有差異。

企業需負起資安維護責任,出事連負責人都要罰鍰

在這個舊版資安管理法草案中,不僅確立了政府機關資安架構,最大變革是對於企業的資安規範,有了一個具有罰則、明訂權利義務的法規要遵循,例如企業必須負起資安維護的責任,就算委外,也由委託機構負責而非承包商。發生重大涉及刑責的資安事件時,企業還得依法通報並保存證據。

另一個重大影響是,舊版資安管理法草案中,法條主管機關是科技部,但搭配分散式管理作法,由各目的事業主管機關接手企業的資安管理之責。該草案也賦予主管機關一項資安事件檢查權力,可以資安維護為由,對所管轄的企業進行行政檢查,甚至必要時率同司法人員進行扣留或複製相關證據。

在罰則上,以未訂定資通安全維護計畫罰鍰最高,可達200萬元,並可要求限期改正,若未改正還能按次處罰。而罰鍰對象也不只是企業,還會包括企業代表人,除非代表人可證明自己已經盡到安全維護之責,否則便如同個資法的作法,特別對企業負責人有罰則。

業界擔憂賦予政府過大資安行政檢查權

在座談會召開當時,與會企業代表對於這些規範企業的相關資安法條,提出諸多爭議和建議。例如有公協會代表認為,直接套用個資法架構,將政府機關和非政府機關分開規範的作法,不盡然適合用於資訊安全的議題上。

另有外商網路公司主管質疑,資安事件是否發生的判斷,不像個資事件可以外洩程度來分辨,但是資通安全管理法賦予主管機關行政檢查權力,甚至能以資安疑慮為由,進入企業機房察看,恐怕會讓外商擔心政府權力過大,而影響來臺投資的意願。

2015年當時這些質疑也導致行政院後續沒有進一步的法規作業,仍停留於草案討論階段。不過,隨著9月立法院新會期即將展開,新版「資通安全管理法」草案預期近日就會對外公布了。

 舊版資通安全管理法企業規範重點 

1.政府機關和民間企業都適用。

2.企業負有資安維護責任,即使資安委外也要負責。

3.採分散管理,由各目的事業主管機關監管所屬產業。

4.最高罰款200萬元,不只企業,連公司負責人都要罰。

5.主管機關具有資安行政檢查權,可用資安維護為由進入企業檢查。

6.必要時,主管機關可率同司法人員查扣或複製證據。

資料來源:iThome整理,2016年8月


Advertisement

更多 iThome相關內容