風評：擴權、濫權又侵權，讓人「不寒而慄」的資安法！

行政院最近完成《資通安全管理法》草案公告，細看這個法案，包山包海，把所有民間單位都涵蓋在內，且任由行政單位認定即可，政府能以此為令箭長驅直入民間機房、電訊系統。這不僅是行政單位的擴權、甚至是侵權，同時又流於官僚文書作業。這種不合格的法令，行政院應收回修訂，別拿出來丟人現眼。

在資安法第2條中規定，納入法令規範範圍者的所謂「關鍵基礎設施」包括「能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞。」

政府似乎嫌這樣畫定大範圍管轄還不夠，同時又規定「關鍵基礎設施提供者：指維運或提供關鍵基礎設施之全部或一部，並經中央目的事業主管機關指定之非公務機關。」

這裡面規範者除了中央與地方機關與水資源、能源等項目外，大部份是屬民間企業。至於那些倒楣的民間企業要被列入，就由政府決定─依資安法規定「中央目的事業主管機關應指定關鍵基礎設施提供者，並將其清單報請行政院核定之。」

而「關鍵基礎設施提供者」原本應該只指關鍵基礎設施負責的法人主體而已，但卻也可能進一步拉大範圍的風險。依照其「維運或提供關鍵基礎設施之全部或一部」者，如果主管機關擴大解釋，那是不是要把賣設備給這些「關鍵基礎設施」的公司，也可以列入其中─所以那些科技廠商、不論是賣伺服器或提供雲端服務者，都可能「中標」？

而有擴權與侵權問題者是資安法授權主管機關，只要他認為有必要，就可以派員進入非公務機關場所檢查。所謂認為有必要，除了發生重大資安事件以外，連「資通安全維護計畫發現重大缺失」都可以；也就是說如果你的「文書作業」作得不夠漂亮，主管單位不認可、不喜歡，就可長驅直入作檢查，「並得命相關人員為必要之說明、配合措施或提供相關證明資料」，而且「非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕」。

這不是擴權、濫權又侵權，什麼才是擴權、濫權又侵權？立法之惡劣、行政權之無限擴張，莫甚於此。

此外，整個資安法看不到政府要負什麼責任，全部規範別人，而且祭出多項罰則，這個要罰「10萬到200萬」、那個要罰「5萬到50萬」；對許多民間企業（那些倒楣被列入者）要求一堆官僚的「文書作業」；這些倒楣鬼未來要定期向主管機關報告資安計劃，第15條規定「關鍵基礎設施提供者應就其資通安全維護計畫之實施情形，向中央目的事業主管機關提出報告。」如果未通過就要再提計劃一直到政府核准為止（同一條規定：關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者，應完成矯正、預防報告或提出矯正、預防計畫，送交中央目的事業主管機關。） （相關報導： 荒謬資安管理法》老大哥擴權法案來了！《資安管理法》引發侵權疑慮 ｜ 更多文章 ）

而且，政府可以一直要你改─第16條規定「中央目的事業主管機關得視公共利益、保護人民生命及財產安全之需要，指定前項以外之非公務機關，就其所提供特定類型或性質之產品或服務，訂定、修正及實施資通安全維護計畫。」這些官僚文書作業真的就是能達到資安的作法嗎？

政府顯然完全搞錯自己的責任了；外界對政府在資安方面的期待與要求，其實第一優先就是政府應先搞好自己公務機關又與國家安全有關的資安，而不是以國安與資安為名把手伸長長的跑到民間企業中，如果我們允許、接受這種作法，其實就是把全民的隱私權奉送給政府。

以一銀發生ATM盜領事件為例，顯然一銀資安不合格；或是網路公司（如雅虎）被駭了4億個帳戶，也是資安出問題；或是某媒體被駭（最常見的是僵屍綁架的分散式阻斷攻擊）。這些事件倒楣的是這些企業，也不影響國安，政府卻要以保障資安為名無限擴權，不僅要這些企業定期向其呈報資安計劃，主管單位還可長驅直入進機房、進系統。如果台灣社會接受授予政府這種「合法權力」，民眾基本的隱私權、企業的商業機密都將蕩然無存。

民間企業對本身的資安重視程度遠高於政府，因為資安出現破洞是可以毀掉整個企業；如果出事，民間一定是不惜重金儘快解決。坦白說，真正的高手是在民間，不會是在政府部門；結果政府部門搞了一群官僚拿文書作業來整民間企業，就以為能作好資安，豈不荒謬？

美國的科技業者就不斷與美國政府之間一直上演「隱私權戰爭」；美國政府以反恐、國安為理由，一直私下要科技大廠交出某些個人的資料，甚至交出系統的「後門」，科技廠商則一直拒絕接受。近期最著名的事件當然是FBI要蘋果解鎖一名恐怖槍擊犯iPhone5手機，但蘋果拒絕，因為這無異是交出一個「後門」，讓全部用戶隱私權暴露。

蘋果的執行長庫克為此發表一封致用戶的信說明其立場，信中直斥責「FBI 其實是在以一種前所未有的方式，繞開國會，利用 1789 年《全令法案》來為自己實際上的濫用權力正名。」

他還說：「政府的這一要求讓人不寒而慄。如果政府可以利用《全令法案》輕易解鎖你的 iPhone，那麼政府也就有了獲取任何設備上數據的權力。政府對隱私的侵犯或許將不止於此，…………..」

美國政府對解鎖罪犯手機的要求，已被庫克斥為「濫用權力」，讓他覺得「不寒而慄」如果，我們接受這個資安法，讓一個行政單位就能合法且擁有如此大的權力，對所有包含在其認定範圍內的企業長驅直入、侵門踏戶，那就是接受把全民的隱私權交給政府予取予求。 （相關報導： 荒謬資安管理法》老大哥擴權法案來了！《資安管理法》引發侵權疑慮 ｜ 更多文章 ）

這是一個號稱最尊重人權（隱私權是最基本的人權）的政府的行事方式嗎？行政院千萬別這樣就送出資安法，以免丟人現眼。