行政院最近完成《資通安全管理法》草案公告,這個在第一銀行ATM盜領事件後,希望將金融、水電等基礎設施資通安全納入管理的法案,卻暗藏擴權疑慮!財團法人國家資訊基本建設產業發展協會(NII)前執行長吳國維表示,《資通安全管理法》授權主管機關,得在遭遇重大資安事件時,進入「非公務機關」場所檢查,非公務機關「不得規避、妨礙或拒絕」,有嚴重擴權、侵害民眾個資之虞,社會各界一定要把這個有危害人權之虞的法案擋下來。
《資通安全管理法》是行政院資通安全處8月掛牌成立後首要工作,行政院方面期許資通安全處,除了資安管理法外,同時還要擬定《資訊基本法》,希望未來能夠與總統府國安會、國防部推動第四軍種與通訊傳播委員會(NCC)擬定電信法電信基礎設施介接,形成資訊安全鐵三角。
八大設施產業 設為關鍵基礎設施
不過,資安處日前公佈《資通安全管理法》,卻充滿行政擴權的痕跡,吳國維表示,該法將能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等八大設施的實體或虛擬資產、系統或網路,設定為關鍵基礎設施,並且對於公務機關與非公務機關,訂定資安要求規範,「這麼包山包海,卻沒有對上述八大設施規管範圍,有明確訂定。」
「資安管理法,最惡劣地方在於行政擴權」,以通訊傳播為例,不僅涵蓋一類電信、二類電信,傳播部分包括網路媒體也在通訊傳播範疇,「今天政府可以主張,《風傳媒》的電腦主機被駭客入侵,進入電腦機房檢查,並且要求出具資安防護演練報告,拒絕配合者可以處以罰款,有這樣的道理嗎?」
《資安管理法》草案 與《個資法》衝突
吳國維說,《資安管理法》草案,目前處處與《個資法》衝突,今天資安管理法沒有對交通、金融等事業定義進行嚴格規範,未來政府是不是可以主張,對台灣大車隊、當鋪等業者資安設施進行檢查?
吳國維說,現在世界各國雖然強調網路安全重要性,但美國有另訂資安法嗎?美國有哪一條法律,授權行政機關可以對公務機關與非公務機關,進行資安蒐證、查核?如果資安法的立法背景,是在一銀ATM盜領事件後擬定,但對於金融等8大基礎設施資安要求,可以直接訂在相關法案,例如銀行法。
「有了《資安法》,第一銀行資安就會更好?騙肖!」
況且,第一銀行在出事以前,該做的資安認證,沒有一項沒有不符合標準,例如ISO20000、ISO27001、PIMS個資管理制度,也有聘請資安稽核顧問公司,結果照樣發生資安狀況,「有了《資安法》,第一銀行資安就會更好?騙肖!」
另外,《資安法》很多法律名詞東抄西抄,很多概念是抄《個資法》(例如公務機關與非公務機關),但也因此有《個資法》最大缺點,首先,資安法主管機關雖然是行政院資通安全處,但資安處僅負責全國政策擬定,一旦發生資安事件,又回歸到各目的事業主管機關善後,「國家對於個人資料保護,必須有統一標準,丟到個別主管機關訂定,就會發生標準不統一情況,包括德國、韓國、港星等地,都有一個專責個資保護委員會,編制至少幾十個人,台灣個資法主管機關法務部,竟然只有1個科長、1個科員,共兩個人負責!」
政府得進入非公務機關檢查資安 不得規避、妨礙或拒絕
吳國維說,歐盟資安指導方針只有六條,民間機構只要符合六條指令,即便發生駭客入侵事件,除非第三方利益遭受損害,否則不會有相關責任,台灣的資安法第18條,竟然規定政府得進入非公務機關檢查資安設施,非公務機關不得規避、妨礙或拒絕!連法院傳票都不用,等於賦予政府準司法調查限,「現在不管是政府或民間企業,哪個單位可以保證不會被駭客入侵?資安法憑什麼對民間企業資安規範這麼嚴格?」 (相關報導: 荒謬資安管理法》政府人力不足只能外包 資安認證恐圖利廠商 | 更多文章 )
更恐怖的是,資安法第20條要求非公務機關,對於重大資安事件,須主動回報政府主管機關,違反者可處罰10萬到200萬元,吳國維說,駭客入侵24小時都可能發生,有些被駭的機構甚至不知道自己被駭,企業資訊系統被駭已經夠倒霉了,現在政府竟然還在法案中,對於未主動回報的企業課以罰款,等於讓全台130萬企業隨時暴露在被罰款的風險。
