盧映潔觀點:「資通安全管理法草案」之修正建議

現代社會對於資訊通訊之依賴鉅大一事甚為明顯,進而資訊通訊之安全必然足以影響國家社會之穩定與安定,但是,現在社會對於網路的安全性真的足夠嗎?(資料照,BBC中文網)

現代社會對於資訊通訊之依賴鉅大一事甚為明顯,進而資訊通訊之安全必然足以影響國家社會之穩定與安定,但是,現在社會對於網路的安全性真的足夠嗎?(資料照,BBC中文網)

現代社會對於資訊通訊之依賴鉅大一事甚為明顯,進而資訊通訊之安全必然足以影響國家社會之穩定與安定,可謂之為國家安全之重要一環亦不為過;同時,消基會日前相關民意調查顯示,有近八成民眾認為國家應以完整法律加強網路安全,可見對於資訊通訊安全之要求及規制確為我國社會當務之急;據此,行政院於4月27日亦通過「資通安全管理法(下簡稱資安法)草案」,作為我國管理資通安全之基本架構。然此草案通過公佈後,卻引發相關資訊業界人士部分疑慮,本文茲就就法律之觀點,對此等疑慮提出相關回應並就本草案提出相關修正雛議。

首先,就本法定為爭議而言。資安法草案之法規名稱揭諸「管理」二字,綜觀法條全文亦以對於資訊通訊安全之架構與管理作為主要規範對象,然草案第1條內容卻謂之「帶動資通安全產業發展」,有論者稱此草案有定位不明之疑慮。

對於此等疑慮之回應在於:資通安全於我國現行法律中並未有完整的法規管理架構,散見於電信法、電子簽章法、國家機密保護法、個人資料保護法甚而至刑法第36章中,對於資通安全之保障及相關產業之發展並非長遠之計,故因此特立本法企以作為我國資通安全之基本法規。就此一觀點而言,對於資通安全之管理固為本法主要目的,但對於資通安全相關產業之發展,亦可謂之為健全環境的根本;據此,以「帶動產業發展」作為本法之立法目的,實難謂其有定位不明之情。

第二,該論者認為以「帶動產業發展」作為立法目的之一,可能致有以管理之名而行帶動產業發展之實,除有可能圖利特定廠商以外,更對於其他產業可能產生不公之虞。對於此點應該細分二方面觀之,其一是否有圖利特定廠商之虞,其二才是對於其他產業之公平性疑慮。就第一點而言,任何的政策對於該產業中的所有廠商而言,就制訂層面應該都是公平的,但在執行過程中均有可能因為執行者的故意過失產生圖利特定人之結果,但這是在執行層面應該予以避免者;倘為避免造成圖利特定廠商之結果,進而放棄對於資訊安全產業帶動、促進之可能,無異於因噎廢食而甚為不智。就第二點而言,資通安全做為國家安全之一環已於前揭說明,固然資通安全產業之發達不等於國家資通安全之發達,然國家資通安全之發達卻要建立在資通產業之發達上,對於資通安全產業之發產實為提升國家資通安全必要之事。至於其他產業部分,倘若有涉及國家安全之虞,當然亦要有國家政策之支持,若無涉於國家安全而無法獲得國家以特定政策支持,亦不能認為其有所不公,蓋提升國家資通安全作為目的而發展資通產業僅為手段,在欠缺合理目的下手段自然無所附麗。

此外,參照日本「網路安全基本法」(サイバーセキュリティ基本法)第1條目的中提及「以及經濟社會的活力提升及持續發展,實現國民可安全居住的社會,國際社會和平及安全之確保」等目的,本法以「帶動資通安全產業發展」作為目的之一環並無任何可非議之處。

2017-05-02-資訊科技電腦教室-取自強恕高中網站
對於民間單位加以稽核或派員檢查,究竟在維護資通安全此等目的下,是否合乎於憲法比例原則之要求?(資料照,取自強恕高中網站)

其次,就本法第2條第4款公務機關排除軍事、情報機關而言,是否真能有效提升資通安全發展之疑慮。

就本項疑慮而言,軍事、情報機關固然亦需對於其資訊通訊安全加以保障,此理甚明;更甚者,軍事、情報機關之資訊通訊安全要求,可謂遠超過一般國家機關以及民間產業之要求無疑;據此,軍事、情報機關之資通安全規範必然應該較本草案之規範更為嚴格為是,自無法於對一般公務機關及民間資通安全規範之資通法中一體規範;本草案說明中對此亦提及,此等機關之資通安全應由該等機關另行規定為宜。

最後,對於最有疑慮者在於,資安法草案中規範對於非公務機關(包含關鍵基礎設施提供者及非關鍵基礎設施提供者)所進行的資通安全稽核及派員檢查二者,亦即草案中第6條第2項、第15條第4項、第16條第3項以及第18條之規定。

就此一疑慮而言,亦應該區分二個面向加以討論,其一在於應否對於非公務機關加以行政干預(稽核或派員檢查),其二在於行政干預之手段是否合乎憲法比例原則之要求或是否適當。

就第一個問題而言,倘若首先肯任資通安全在現今高度資訊化社會之中是屬於國家安全之一環,則對於影響資通安全之相關民間單位,要求其必要符合於國家相關規定,以促進國家整體資通安全一事並無爭議。亦即無論民間廠商是否因為自身商譽問題而在資通安全上努力,國家要求其要符合一定標準以合乎整體國家資通安全之要求一事,本身並無有法律上之爭議。蓋憲法第23條明文表示,在防止妨礙他人自由、避免緊急危難、維持社會秩序,或增進公共利益所必要者,國家即可以法律對於國民自由加以限制,而國家資通安全之維護涉及國家安全與國民生活,自合乎憲法所明文列舉之目的無疑。

有疑慮者在於第二層環節,對於民間單位加以稽核或派員檢查,究竟在維護資通安全此等目的下,是否合乎於憲法比例原則之要求。有論者主張此等派員檢查制度形同於刑事訴訟法中搜索扣押,此等規定有違憲之虞。又有論者主張此等稽核或派員檢查手段,對於民間業者之營業秘密保障有所侵害。對此等問題官方的回應方式如下:

一、刑事訴訟制度中的搜索與行政檢查有所不同,對於國民基本權之侵害有差異。現行法規中亦有如漁業法第49條、動物保護法第23條、職業安全衛生法第36條、電業法第67條、稅捐稽徵法第30條、個資法第22條等行政檢查之規定。

二、資安法草案中第18條規定,僅有於重大資通安全事件或因稽核發生重大缺失時,且認為有必要時方才派員檢查。

對於上揭反對理由及官方回應,可以細部來觀察其究竟應該如何規定方為妥適。首先就行政檢查與刑事訴訟中搜索之要件規定有別一事觀察,固然行政檢查與搜索扣押之要件程序有別,且二者產生侵害之程度固然可能有異,但並無差異者在於其均對國民之基本權利產生侵害,因而其程序均應該依據法律明文規定為是,方合於憲法法治國原則之基本要求。

是以刑事訴訟法之規定中,限制刑事偵查機關,除有不得以之例外情形外,原則上應得法院令狀後方得對國民進行搜索扣押。則關於行政檢查其所要踐行之法律程序究竟為何?參酌行政程序法之規定,並未有「行政檢查」之相關規定,依據同法第36條以下之規定,所謂「行政檢查」一詞,應該理解為行政程序法中的「行政調查」為宜,亦即為作成相關行政處份行政機關所為之調查證據行為;復依據同法40條及42條規定,行政機關可要求相對人提出相關資訊並到場實施勘驗。據此,爭議中草案相關稽核與派員檢查之舉,即應屬於行政程序法第40條與第42條所規定作成行政處分之調查行為,同時行政院所指上揭各種法律中所謂之行政檢查,均應屬行政程序法中行政調查行為為是。若此,依據行政程序法之相關精神,授權行政機關於必要時為行政調查行為固合於憲法比例原則,然有疑慮者即產生於下一環節,亦即實施行政調查行為之授權與程序。

依據行政程序法第36條之規定,行政機關應依據職權調查證據。此處之職權係指法定職權,亦即行政機關進行此等調查時,應依據法律之規定程序為之。據此,復觀察資通法草案上開相關法條,即可發現此爭議之所在,亦即對於此等稽核或派員檢查之相關規定其究竟應如何,並未有法律相關明確規範。

查資通法草案第6條2項之規定,行政院稽核非公務機關之資通安全維護計畫實施情形時,其方法、內容、頻率等相關事項均授權行政院定之;同草案第15條第4項中央目的事業主管機關或直轄市縣市政府稽核關鍵基礎設施提供者,或同法第16條3項稽核非關鍵基礎設施提供者時,其稽核方法、頻率、內容等規定依第15條5項及16條4項規定,係由中央目的事業主管機關提出而報請行政院核定。在此等規範體制下,無論行政院對於民間單位的稽核,或中央目的事業主管機關、地方政府對於民間單位之稽核,均是由行政機關來決定其稽核之方式而無有法律明確規範。然必須知道的是,對於此等資訊通訊產業而言,其資通安全之設計,例如程式碼設計或硬體配置等,與業者之智慧財產權與及營業方式具有高度相關,對於業者之財產權、隱私權以及營業自由等權利具有密切之關連,而行政單位要求其提出相關資訊時,對於業者之權利侵害不可謂之不巨大,而卻僅有法規命令加以規範,不能謂之於法治國原則無違背之虞。

再者關於派員檢查一事亦復如是。按資通法草案第18條規定,中央目的事業主管機關於必要時得派員進行檢查,然對於所謂「重大資通安全事件」、「重大缺失」的定義均無明確範圍,且派員檢查之檢查人員資格亦無有明確限制,檢查方法、範圍也無明文規範;復參酌第5條、第8條規定,行政機關派員檢查的狀態下似有委託行政之可能,倘委託檢查時受託單位之資格又應如何規範限制,於本法中亦欠缺明文。在派員檢查的狀態下,檢查員可能進入民間單謂之營業核心取得其相關資訊,對於國民基本權具有重大影響下,卻無有法律完整的規範授權,亦有違背法治國原則之虞。

第三,上揭的疑慮是以稽核屬於要求非公務機關提出文書並說明,而派員檢查係屬進入現場會勘、勘驗為前提而生。倘稽核程序即涉及有進入非公務機關內部查核之舉,則產生的疑慮就更為重大。亦即稽核的相關規定均無法律明文規範,係屬於概括授權的方式授權行政機關訂定,相較於派員檢查是有規範但不完整,此更是嚴重的違背法治國原則。且倘稽核程序即有派員進入非公務機關內部查核之舉,而後又有派員進入內部查核的派員檢查程序,二者在制度上更明顯是疊床架屋的重複程序。

明文訂定稽核程序與派員檢查程序,甚至另立專法規定為宜。

綜上所述,資通安全管理法確為我國國家安全及民生發展重要法律無疑,亦為民眾所期盼的法律,其立法程序勢必應加速進行。但對於相關單位,尤其是民間單位的監督機制上,卻必須要謹慎為之。固然行政檢查或行政調查一事於面對國家安全此等至為重要之目的係屬必然,且亦必須透過行政調查程序方能有效維護資通安全,縱或對於國民之基本權利有部分侵害亦不得不為,諸如勞動檢查亦對營業者之營業機密具有重大影響,但為維護勞工之權益亦必要為之一般,資安的相關稽核與檢查程序可謂維持資諳必要之手段。

然必須考慮者在於,資安的專業性以及其中涉及業者的營業秘密與相關智慧財產權等,其稽核的方法、手段、頻率乃至於派員檢查之相關程序究竟應如何規定,亦為政府所必要多加考量者。現行草案中關於稽核程序均由行政機關加以規定,而派員檢查之相關規定亦僅有一條文規範,顯然不足以保障業者於此可能受到的損害。

據此,管見以為雖資通安全管理法應加速其立法進程,然對於稽核程序與派員檢查之檢查程序,亦應多加考慮為是。若以資通安全法做為國家資通安全政策之基本架構觀察,關於稽核、檢查程序等規定倘無法於本法中為細部規範,亦應另訂法律明文規範之為宜,而非全面授權行政機關以法規命令決定,方合於法治國原則之基本要求。

*作者盧映潔為中正大學法律系教授,共同作者林伯樺為中正大學法學博士                        

關鍵字:

我要發風

風傳媒歡迎各界分享發聲,來稿請寄至 opinion@storm.mg

並請附上姓名、聯絡方式、自我簡介,謝謝!