背景圖片來源/Photo by eskay lim on Unsplash

為了強化中央目的事業主管機關對特定非公務機關,發生重大資通安全事件的調查權,《資安法》修正草案新增條文第二十五條,增訂中央目的事業主管機關行政調查的權限,也就是把現在主管機關對所管轄的相關產業,一旦發生重大資安事件甚至是個資外洩事件時,都會由主管機關執行的行政檢查機制。

而這項權限的訂定正式納入《資安法》的法律規範中,可以有效精進資通安全管理。

同時,為了避免特定非公務機關拒絕中央目的事業主管機關的行政檢查,也在修正草案中新增了罰則第二十九條,亦即「拒絕行政檢查者,將處以罰鍰十萬元以上、一百萬元以下」。

發生重大資安事件就是啟動行政檢查的時機

如果中央目的事業主管機關要對特定非公務機關啟動行政檢查,最重要的兩個啟動關鍵時機,一個是在稽核資通安全維護情形,發現重大缺失,另一個是遇到重大資通安全事件。

所謂的「重大缺失」是指:特定非公務機關未能落實其自訂的資通安全維護計畫,因此讓組織的資安維護機制失效,導致發生損害,並且產生不可回復的風險。

至於「重大資通安全事件」則是指:發生了現行國家資通安全通報應變作業綱要所定義的第3、4級資安事件,例如:關鍵或核心資訊基礎設施系統或資料遭到竄改、運作遭影響,或是系統停頓導致無法在可容忍中斷時間內,回復正常運作者等都是。

為了能夠更進一步落實特定非公務機關資通安全的維護,同時,也強化中央目的事業主管機關的監督權責,所以,中央目的事業主管機關針對特定非公務機關發生的重大資安事件進行調查,就是在執行行政檢查。

但公共政策網路參與平臺「眾開講」的網友對此表示質疑,他們提到,如果發生資安事件牽涉的面向很廣,不論誰是當事人或關係人,該條文看似要究責,但該對誰進行究責,卻不清楚交代,實務上有窒礙難行之處。

為免行政檢查濫權,將檢查程序範圍等全部法制化

由於這次修法,將正式賦予中央目的事業主管機關權限,使其針對特定非公務機關發生的重大資安事件進行調查,但是,為了避免行政機關濫權,也必須制定一定的調查程序。

所以在《資安法》新增修正草案第二十五條第一項便規定,進行行政檢查時,除了要通知當事人或關係人到場陳述意見外;也要通知當事人及關係人,提出獨立第三方機構出具的鑑識或調查報告;甚至中央目的事業主管機關也可以派員、委任或委託其他機關(構),前往當事人及關係人的處所實施必要的檢查。

至於所謂的關係人,也在條文中定義,協助特定非公務機關辦理資通系統建置、維運或提供資通服務的受委託者,且與重大資安事件相關者,都可以作為接受調查的特定非公務機關當事人或關係人,到場陳述意見。

此外,為了保護接受調查對象應該有的權益,修正草案中也明訂:執行調查的人員應該出示有關執行職務的證明文件,如果不能出示證明文件者,接受調查的人同樣可以拒絕這些要求。

同時,對於負責執行行政檢查的對象或機關(構),對於接受委託或執行行政檢查時,所得知非特定公務機關的秘密,都負有相關的保密義務。

因為是執行公務,所以,接受調查的對象對於中央目的事業主管機關的行政檢查,不得規避、妨礙或拒絕,否則就須受罰,例如,新增修正草案第二十九條就制定相關罰則,「如果規避、妨礙或拒絕調查者,由中央目的事業主管機關處新臺幣十萬元以上、一百萬元以下罰鍰。」

行政檢查具有行政救濟方式,資安稽核則沒有

行政檢查的範圍就是,檢查機關職掌與受檢查單位是否有依法應辦理事項的內容,並且是以通知陳述意見、要求提供文書及資料等「行政程序法」的規定方式進行。

曾經協助政府執行行政檢查的資安專家表示,行政檢查是有其限制範疇與方法救濟,不僅可以避免檢調濫權、任意進行搜查,受檢查單位若對行政檢查結果不滿,也可以啟動行政訴訟的救濟,不至於像現在的資安稽核,只要稽核人員檢查出來的結果,就必須被迫接受,因為目前接受稽核的單位,本身並沒有申訴救濟的機會。

有資安專家表示,因為是代中央目的事業主管機關行資安檢查之責,不只要具備資安技術能力,最好還具有法律素養,可以將法條作為行政檢查的依據,「至少要開缺失的時候,可以於法有據。」該資安專家笑說。

此次修法雖然加強中央目的事業主管機關的監督權責,但眾開講平臺當中有網友表示,中央目的事業主管機關的資安人力和技術能力,勢必不如資安署理想,因此,資安署應在本條文中扮演重要角色,建議可加入:經中央目的事業主管機關函請資安署協助時,資安署應提供所要求的協助。

由於《資安法》規範的是公務機關,以及特定非公務機關的資通安全管理,但如果涉及個資外洩時,該修正草案也新增第三十一條,必須依照《個人資料保護法》及相關法規辦理。

畢竟「資通安全維護計畫」與「個人資料檔案安全維護計畫」都規定要有適當安全措施,但兩者構成要件不同,也沒有普通法與特別法的差異,為了讓個資外洩資安事件也受《個資法》規範,於是透過新增法律條文來達成目的。

對於行政檢查頗有研究心得的政治大學法律系兼任助理教授萬幼筠表示,一般在執行行政檢查時,他都會追問接受檢查單位,出事後的通報應變程序怎麼設計,這往往也是一般人忽略的地方。

特定非公務機關都負有通報資安事件的責任和義務

在本次資安法修正草案,大家可以發現:只要是針對公務機關的規範,也同樣適用於特定非公務機關,務求《資安法》適用對象的法律規範能夠一致。

舉例而言,像是修正草案第十七條和第二十四條就規定:不論是公務機關或是特定非公務機關,為了因應資安事件,都應該訂定通報及應變機制。

如果公務機關得知發生資安事件時,除了要向上級機關或監督機關及資安署進行資安通報外,也要一併提交該次資安事件的調查、處理及改善報告;如果是特定非公務機關知道發生資安事件時,除了要向中央目的事業主管機關進行通報外,也要提交該次資安事件的調查、處理及改善報告,若該次是重大資安事件的話,相關調查報告則應該同時送交資安署。

不過,關於通報與應變機制的必要事項、通報內容、報告提出、演練作業及其他相關事項辦法等,公務機關是由主管機關訂定相關內容,而特定非公務機關則由中央目的事業主管機關制定。

倘若中央目的事業主管機關或是資安署得知,特定非公務機關發生重大資安事件時,除了得提供該單位相關協助外,也會在適當時機點,得公告與事件相關的必要內容及因應措施。

因為公務機關發生重大資安全事件,極有可能會影響多數民眾的生命、身體或財產安全,所以也明文規定,由接獲資安通報的機關協同受駭的公務機關,分別或共同公告必要的內容,例如:發生原因、影響程度及目前控制的情形等,以及後續的因應措施,並提供相關的協助,以利後續防範、避免損害進一步擴大。

對於上述狀況,「眾開講」平臺的網友認為應加重資安署權責,特定非公務機關若發生重大資通安全事件,並提出協助需求時,資安署「應」提供相關協助,而非「得」提供協助,「資安署不是只負責收報告而已。」該名網友說。

所有的演練作業都要留存記錄,沒通報最高開罰五百萬元

為了增進公務機關及特定非公務機關因應資安事件的處理能力,所以,在修正草案第十七條和第二十四條當中,都增訂「演練作業」的項目,透過實施模擬演練,熟悉應變程序,以便提升處理資安事故的技能。

資安專家建議,不論公務機關或特定非公務機關,平時不只要做好演練作業,也要做好相關記錄,否則一旦不幸爆發資安事件,受駭單位被通知需提交平時的演練記錄給主管機關和資安署,如果平常演練都沒有做好記錄,就算臨時抱佛腳進行趕工作業,恐怕還是無法產出相關報告,屆時只能面臨被主管機關裁罰的命運。

至於裁罰的部份,因為公務機關原本就是依法行政,所以不會對「機關」進行懲處,只會處罰「公務人員」,依照《資安法》的規定,視其情節的輕重程度,會對公務人員進行懲戒或懲處。

至於針對特定非公務機關的處罰,則會以機關單位為主。

像是修正草案第二十七條規定,特定非公務機關如果沒有做到「限期改正」的事項時,會被按次處以罰鍰十萬元以上、一百萬元以下;其他像是沒有制定、實施或違反資通安全維護計畫,或是未依規定,將資安改善計畫送給中央目的事業主管機關及資安署,或是沒有向有關單位提出資安事件調查報告、或違反通報內容或演練作業的規定等,都會受到相同的懲處。

為了強化特定非公務機關向主管機關通報發生資安事件的責任和義務,《資安法》修正草案第二十八條規定:如果沒有按規定通報資安事件,中央目的事業主管機關可以開罰三十萬元以上、五佰萬元以下罰鍰,並下令限期改正,若屆期沒有改正的話,可以按次處罰。

《資安法》這樣按次處罰的方式,其實,也是強迫特定非公務機關必須正視問題,一旦遇到資安事件時,必須要做到相關的通報應變的責任,以外力要求特定非公務機關能夠更重視資安,不會想著因循苟且。

資安通報不等於發布重訊

因為證交所要求上市櫃公司,一旦發生資安事件時,必須即時發布重訊。然而,證交所要求的公司重訊發布,以及《資安法》規定的資安事件通報義務,兩者之間有什麼差異呢?

萬幼筠表示,依照10月19日剛公布的《數位經濟產業個人資料檔案安全維護辦法(安維辦法)》,以及《資安法》修正草案中的規定,特定非公務機關有通報中央目的事業主管機關的義務。

像是上市櫃公司如果發生資安事件,通報義務就是告知投資人(發表重訊),說明資安事件是否會影響業務營運以及可能造成的財物損失,這也是金管會在意的內容。

只不過,要通報《資安法》主管機關數位發展部的話,不只要通知該起資安事件發生的來源、通報和應變等後續流程,連是否有引起個資外洩事件等,也都在通報的範圍之中。

所以,萬幼筠認為,資安通報應該有三種分流,第一種是與營業秘密相關的資安事件,第二種是與個人資料相關的資安事件,最後一種則是影像作業運作、資訊系統中斷的資安事件。

至於,特定非公務機關甚至是一般上市櫃公司,要進行資安事件通報的流程,根據萬幼筠的觀察,首先是資安通報應變或是個資通報應變,必須要通報中央目的事業主管機關,這時候也會確認是否要刑事局或調查局(牽涉國安項目的資安)報案。

接著,如果是上市櫃公司,還必須通報證交所,依照上市櫃合約要求進行重大事件公告,說明該起資安事件是否影響公司的營運、對財務是否造成衝擊,以及相關的應變方式。

最後,就是要通知當事人,如果是個資外洩事件的通知當事人,依照行政命令規定,必須在72小時內通知,但是,以往有許多機構當下雖然表示「查明後要告知」,但一查就查了N年,甚至沒下文,所以改在「安維辦法」要求,出事72小時內要通知主管機關,然後要通知當事人。

但他也說,目前因為法律沒有強制完成通報的限制,只要求必須通報,所以,目前來看,通報和事件發生之間還是存在時間差。

因為資安通報不等於發布重訊,萬幼筠指出,不論《資安法》、《個資安維辦法》、《個人資料檔案安全維護計畫》等,都要求必須查明相關攻擊來源、應變狀況等詳情,畢竟後續還有安排行政檢查的任務,而證交所的通報內容就沒有這麼細緻。

《資安法》修正草案重點之四的條文內容 
【第十七條】
公務機關為因應資通安全事件,應訂定通報及應變機制。
公務機關知悉資通安全事件時,應向第十四條規定收受其實施情形之機關及資安署通報。
公務機關應向前項接獲通報機關提出資通安全事件調查、處理及改善報告。
前三項通報與應變機制之必要事項、通報內容、報告之提出、演練作業及其他相關事項之辦法,由主管機關定之。
第二項接獲通報機關知悉重大資通安全事件時,得提供公務機關相關協助,並於適當時機得公告與事件相關之必要內容及因應措施。
【第二十四條】 
特定非公務機關為因應資通安全事件,應訂定通報及應變機制。
特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。
特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交資安署。
前三項通報與應變機制之必要事項、通報內容、報告之提出、送交、演練作業及其他應遵行事項之辦法,由主管機關定之。
中央目的事業主管機關或資安署知悉重大資通安全事件時,得提供特定非公務機關相關協助,並於適當時機得公告與事件相關之必要內容及因應措施。
【第二十五條】 
 中央目的事業主管機關為辦理特定非公務機關發生重大資通安全事件之調查,得依下列程序辦理: 
一、通知當事人或關係人到場陳述意見。 
二、通知當事人及關係人提出獨立第三方機構出具之鑑識或調查報告。 
三、派員、委任或委託其他機關(構)前往當事人及關係人之處所實施必要之檢查。前項所定關係人,以第一項特定非公務機關委託辦理資通系統之建置、維運或資通服務之提供之受託者,且與重大資通安全事件相關者為限。 
受調查者對於中央目的事業主管機關依第一項所為之調查,不得規避、妨礙或拒絕。 
執行調查之人員應出示有關執行職務之證明文件;其未出示者,受調查者得拒絕之。 
第一項第三款受委任或委託之機關(構)對於辦理受任或受託事務所獲悉特定非公務機關之秘密,不得洩漏。
【第二十七條】
特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 
一、未依第二十條第一項或第二十一條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第二十二條所定辦法中有關資通安全維護計畫必要事項之規定。
二、未依第二十條第二項或第二十一條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第二十二條所定辦法中有關資通安全維護計畫實施情形提出之規定。
三、未依第八條第二項、第二十條第四項或第二十一條第三項規定,提出改善報告送交資安署、中央目的事業主管機關,或違反第二十二條所定辦法中有關改善報告提出之規定。 
四、未依第二十四條第一項規定,訂定資通安全事件之通報及應變機制,或違反第二十四條第四項所定辦法中有關通報及應變機制必要事項之規定。 
五、未依第二十四條第三項規定,向中央目的事業主管機關提出或向資安署送交資通安全事件之調查、處理及改善報告,或違反第二十四條第四項所定辦法中有關報告提出、送交之規定。 
六、違反第二十四條第四項所定辦法中有關通報內容、演練作業之規定。
【第二十八條】
特定非公務機關未依第二十四條第二項規定,通報資通安全事件,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。
【第二十九條】
違反第二十五條第三項規定,規避、妨礙或拒絕調查者,由中央目的事業主管機關處新臺幣十萬元以上一百萬元以下罰鍰。
【第三十一條】
本法所定資通安全事件,涉及個人資料檔案外洩時,公務機關及特定非公務機關應另依個人資料保護法及其相關法令規定辦理

 相關報導 

熱門新聞

Advertisement