【資安周報第78期】資安法草案對行政檢查定義不清，引發諸多疑慮

在立法院躺了半年的《資安管理法草案》，終於在11月6日召開的司法及法制委員會中，展開首度立委詢答，當天登記發言的委員們，普遍疑慮在於，對於政院版草案中的「行政檢查」感到不解與憂心，甚至直指這樣的行政檢查高度違反人權，不具公權力的稽核員到企業現場進行行政檢查，因為企業無法拒絕，也讓立委們懷疑，有企業機敏資料外洩的風險。

「行政檢查」引發立委對人權和企業機敏資料外洩疑慮

行政院版《資安管理法草案》18條行政檢查權條文的爭議最大。直接看資安法草案條文，已囊括行政檢查情境、人員資格，強調企業不能拒絕行政檢查，且要求參與行政檢查稽核員具有保密義務等規定。

不過，立委的質疑多數偏重在：沒有司法警察權力的稽核員如何做行政檢查，是否有侵犯人權的疑慮；也擔心企業機敏資料可能在行政檢查時，遭到稽核員或者其他因素外洩。

國民黨立委許毓仁在臉書質疑：「何謂重大缺失？何謂必要性？在資安管理法草案中完全找不到更詳細的定義，等於主管機關只要一口咬定民間機構有重大缺失且有調查必要，無須經過任何審核許可機制，便得任意調查，那麼民間機構的人權保障、通訊隱私、營業秘密何在？」

民進黨立委余宛如直言反對行政院版草案關於行政檢查的規定，認為政府不應有權進行「行政檢查」外，更認為，所有的資安保護最終應回歸「業者自律」，並規範「私有關鍵基礎設施提供者」只需要在重大資安事件發生時，7天內向主管機關報告即可。

目前民進黨黨團總召柯建銘希望，未來討論能以行政院版內容為主，希望資安處可將各方有疑義條文先修正後，再進行後續審查。余宛如立委辦公室指出，要將政院版草案整合余宛如版的難度頗高，最終仍得在委員會進行條文逐條討論時，由各方做最後角力。

只不過余宛如對業者自律的期待，對多數第一線資安工程師而言，無異是天方夜譚。有資安工程師以他的工作內容為例，要落實資安分析就必須先蒐集各種必要的登錄檔（Log），但要做到快速蒐集與分析，這些登錄檔最好儲存在線上存取的儲存設備上。

該名資安工程師表示，該公司對線上儲存登錄檔最多只保存3個月，若要延長保存期限，「有法令規範且法過了後再說。」也就是說，要企業在資安做更多投資，除了少數非常在意資安對企業營運帶來風險的企業外，多數企業多以符合法令規範作為資安風險管理的「高標」。第一線資安工程師看到的資安實務運作，與立委期待有180度的差異。

行政檢查可以主動也可被動，重點在於有配套措施

行政院資安處處長簡宏偉表示，資安處對於行政檢查的目的，從「預防勝於治療」的角度，或在資安情勢更惡化前，可以進行相關防護和補救措施，「這才是資安處和相關主管機關進行行政檢查的基本態度。」他說。

「資安處對行政檢查的態度是相對開放的，」簡宏偉表示，「行政檢查」可以是主動出擊也可以是被動通知，只要可以在合法的情況下，有相對應的配套措施即可。他認為，行政檢查可以是稽核時發現，或接到通報某單位發生重大資安事件，由主管機關進一步了解事件發生緣由；也可針對某單一重大資安事件，由主管單位到場調查該資安事件發生始末。

他進一步解釋，資安法只針對關鍵基礎設施提供者，這些政府高度監理或特許行業的「非公務機關」進行「行政檢查」，因其服務涉及許多民眾權益，「對攸關民眾權益的關鍵基礎設施做資安檢查，已是一種國際趨勢。」他說。

簡宏偉認為，對這些關鍵基礎設施提供者進行行政檢查，就像是「預防傳染病」一樣，先從改善環境衛生著手；再來就是注意個人衛生習慣；接著要提高人體免疫力；最後就可以施打適合的疫苗或藥物，以避免傳染病危害。

行政檢查會侵犯人民權益，應明定範圍和救濟手段等

就立法角度而言，《資安管理法草案》對行政檢查應具備的要件並不周詳，即便相信公務人員不會踰矩，但就立法技術而言，還是要做到法律本身就可以明定範圍，尤其是，行政檢查本身就會侵犯民眾或企業權益，應在法條中一併規範相對應的行政救濟措施，明定權益一旦遭損害的救濟管道，才不會出現立委擔心的行政權獨大或濫權疑慮。

立法院法制局的〈從重大民生經濟案件論行政檢查與行政搜索法制發〉報告中就清楚提到，行政檢查不僅要基於法律明確性原則、比例原則等，也必須在個別行政法領域的法制基礎上針對個案進行調查，尤其是強制調查的要件、程序、範圍、標的、救濟方式等，都必須明文規定。

「行政檢查」是政府遂行公權力的一種手段，可分成行政檢查和行政搜索，是不得已侵犯或干擾個人或企業權益的方式。因此，所有行政檢查都需基於「法律」授權，不能只是行政命令或行政裁量的授權，須有一定的制約和規範。

當行政機關要執行行政檢查時，首先，必須清楚定義執行該檢查的目的，受檢標的和範圍必須明確，手段則須受到限制與規範，相對應的法律授權應完整，應註明一旦當事人或企業的權益受到損害時，有哪些相對應的救濟措施可彌補。

資安法雖參考個資法，行政檢查規範細節不完善

許多人都知道，《資安管理法草案》參考《個人資料保護法》的立法方式，甚至於，連幕僚單位都來自同樣的單位。

兩個法律條文同樣都有「行政檢查」項目，但《個人資料保護法》對行政檢查應該具備的要件規範完善，包括：行政檢查時要檢查標的、範圍、立法授權，甚至是相對應的救濟手段等。也因此，當年立法委員審查個資法「行政檢查」條文時，就沒有像審查資安法時，有這麼大的質疑。

比對個資法第22條和資安法第18條「行政檢查」條文後可以發現，個資法針對行政檢查的條文規定和資安法幾乎如出一轍，但資安法沒有寫清楚的項目包括：對於持有證物的作為以及相關稽核人員身分等，也沒有如個資法第23條～27條對行政檢查的其他規範。

例如，個資法第23條，界定查扣留證物的處理方式；第24條規定，對行政檢查過程與程序不滿者的救濟手段；第25條寫明查有不法者，主管機關的裁罰方式；第26條規定相對應的救濟措施，如無不法情事，可在當事人或企業同意下公布結果以昭公信；第27條則是明定非公務機關應該遵守的規範等。

行政檢查不能任意翻查受檢單位資料，只能問授權內的問題

行政檢查是一種不得已要侵犯民眾權益的手段，但很多立委和企業對於行政檢查的過程和手段都過度想像，反讓更多人誤解行政檢查。

立委們質疑行政檢查會侵犯人權或外洩機敏資料，若有完整法律授權和範圍與標的設定，不應發生上開情事。行政檢查不同於司法搜索，最常見的行政檢查手段除了要告知和配合外，到場訪視則是最後手段。這些告知和配合，必須針對行政檢查法律授權範圍、標的，透過限制性檢查手段做行政檢查，超出法律授權範圍的部份，不能問也不能查。

個資法通過後，有許多電子商務業者發生個資外洩事件，主管機關經濟部商業司必須進行個資法行政檢查，得先告知受檢單位，請對方配合提供所需資料，但對與個資無關的內容不能查、不能問，連行政檢查範圍都有一個查核表作參考依據。

只要業者配合度過低、不願意提供相關資料時，才須到場訪視。據有行政檢查經驗的專家表示，稽核員不能任意翻查或搜索受檢查單位的資料、文件甚至設備，不能脫離法律授權範圍、標的與手段，「即便是到場訪視做行政檢查，仍只能針對授權檢查的範圍，請受檢單位當場提供所需資料。」專家說道。而且跟據〈從重大民生經濟案件論行政檢查與行政搜索法制發〉報告指出，除非涉及刑事責任，否則接受行政檢查的單位，對於主管機關的提問，不能以刑事訴訟程序的被告所享有的「緘默權」作為不回答問題的搪塞藉口。文⊙黃彥棻

許多立委對於行政檢查有過度的想像，也使得大家對於資安法的「行政檢查」顯得霧裡看花，不知道行政檢查如何進行。事實上，行政檢查因易侵犯民眾和企業的權益，所以相對應的法律授權、範圍、標的甚至是救濟措施，都必須清楚載明。