行政院院會上周四通過《資通安全管理法》草案,去年該法草擬過程,外界曾針對草案中「政府得進入非公務機關檢查資安設施,非公務機關不得規避、妨礙或拒絕」,質疑有違憲擴權的疑慮,沒想到上週四政院核定的版本,相關文字竟仍紋風不動,前國家資訊基本建設產業發展協進會執行長吳國維表示,全世界駭客攻擊最常透過DDos(阻斷服務攻擊),多數駭客來自海外,根本無法預防,就連美國針對類似資安事件,也不會處罰業者,台灣的《資通安全管理法》竟然訂定10萬到100萬元的罰款,「就好像家中遭竊,警察以大門沒鎖好為由罰受害人」一樣荒謬。
重大資安事件得賦予相關單位「派員攜帶執行職務證明文件」進入檢查
行政院資通安全處去年研擬《資通安全管理法》草案,當時草案規定,政府針對重大資安事件,「得進入非公務機關檢查資安設施,非公務機關不得規避、妨礙或拒絕」,上述規定引發違憲侵權疑慮,資安處過去半年徵詢各界意見,針對《資通安全管理法》納管的關鍵基礎設施,進行較為嚴謹的定義,相關設施係指「停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者」,不過,對於重大資安事件,仍賦予相關單位「派員攜帶執行職務證明文件」進入檢查。
吳國維表示,《資通安全管理法》草案第6條規定,「行政院得稽核非公務機關之資通安全維護計畫實施情形」,第18條除了要求非公務機關,就重大資安事件主動通報外,主管機關認有必要時,「得派員攜帶執行職務證明文件,進入非公務機關場所檢查,非公務機關無正當理由不得規避、妨礙或拒絕。」
「非公務機關電腦機房屬人民財產」
吳國維表示,先前在召開專家諮詢會議時,即有公法學者表示,上述條文有違憲之虞,因為非公務機關的電腦機房,屬人民財產,具高度營業機密,《資通安全管理法》卻賦予相關機關(包括地方政府),無須向法院申請搜索票,即可進入機房檢查資通安全設備,
「先前美國聯邦調查局以調查毒販為由,要求蘋果公司配合將毒販iPhone予以解密,蘋果公司拒絕配合,一狀告到法院,現在台灣居然透過立法方式,讓政府資安相關人員,僅憑一張公務證明文件,不用法院搜索票,就要進入企業電腦機房!」
吳國維說,上述條文雖然規定,參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務,商業機密不是政府說負起法律責任,就說得過去。」
「擔心中國藉故檢查,Google將所有伺服器搬到香港」
吳國維表示,台灣的整體網路流量,6-7成掌握在Google、Facebook等外商,現在《資通安全管理法》賦予政府資安人員進入非公務機關電腦機房的權利,當初Google之所以將所有伺服器,從中國境內搬到香港等地,就是因為中國官員對於網路業者以資安檢查為名,直接進入非公務機關電腦機房「檢查」。 (相關報導: 法源、業務職掌迄今未定 行政院資通安全處恐成「黑機關」? | 更多文章 )
況且,Google資通安全絕對比台灣政府好,《資通安全管理法》賦予技術能力較差的政府或委外機構,稽核技術能力較好的業者,外商怎麼可能不擔心商業機密外洩,「政府官員不見得都是好人,也有可能是壞人,假設台灣要學中國那一套,就得在招商前跟網路業者說清楚。否則,相關法條只會把外商給嚇走。」
