行政院院會上周四通過《資通安全管理法》草案,去年該法草擬過程,外界曾針對草案中「政府得進入非公務機關檢查資安設施,非公務機關不得規避、妨礙或拒絕」,質疑有違憲擴權的疑慮,沒想到上週四政院核定的版本,相關文字竟仍紋風不動,前國家資訊基本建設產業發展協進會執行長吳國維表示,全世界駭客攻擊最常透過DDos(阻斷服務攻擊),多數駭客來自海外,根本無法預防,就連美國針對類似資安事件,也不會處罰業者,台灣的《資通安全管理法》竟然訂定10萬到100萬元的罰款,「就好像家中遭竊,警察以大門沒鎖好為由罰受害人」一樣荒謬。
重大資安事件得賦予相關單位「派員攜帶執行職務證明文件」進入檢查
行政院資通安全處去年研擬《資通安全管理法》草案,當時草案規定,政府針對重大資安事件,「得進入非公務機關檢查資安設施,非公務機關不得規避、妨礙或拒絕」,上述規定引發違憲侵權疑慮,資安處過去半年徵詢各界意見,針對《資通安全管理法》納管的關鍵基礎設施,進行較為嚴謹的定義,相關設施係指「停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者」,不過,對於重大資安事件,仍賦予相關單位「派員攜帶執行職務證明文件」進入檢查。
吳國維表示,《資通安全管理法》草案第6條規定,「行政院得稽核非公務機關之資通安全維護計畫實施情形」,第18條除了要求非公務機關,就重大資安事件主動通報外,主管機關認有必要時,「得派員攜帶執行職務證明文件,進入非公務機關場所檢查,非公務機關無正當理由不得規避、妨礙或拒絕。」
「非公務機關電腦機房屬人民財產」
吳國維表示,先前在召開專家諮詢會議時,即有公法學者表示,上述條文有違憲之虞,因為非公務機關的電腦機房,屬人民財產,具高度營業機密,《資通安全管理法》卻賦予相關機關(包括地方政府),無須向法院申請搜索票,即可進入機房檢查資通安全設備,
「先前美國聯邦調查局以調查毒販為由,要求蘋果公司配合將毒販iPhone予以解密,蘋果公司拒絕配合,一狀告到法院,現在台灣居然透過立法方式,讓政府資安相關人員,僅憑一張公務證明文件,不用法院搜索票,就要進入企業電腦機房!」
吳國維說,上述條文雖然規定,參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務,商業機密不是政府說負起法律責任,就說得過去。」
「擔心中國藉故檢查,Google將所有伺服器搬到香港」
吳國維表示,台灣的整體網路流量,6-7成掌握在Google、Facebook等外商,現在《資通安全管理法》賦予政府資安人員進入非公務機關電腦機房的權利,當初Google之所以將所有伺服器,從中國境內搬到香港等地,就是因為中國官員對於網路業者以資安檢查為名,直接進入非公務機關電腦機房「檢查」。
況且,Google資通安全絕對比台灣政府好,《資通安全管理法》賦予技術能力較差的政府或委外機構,稽核技術能力較好的業者,外商怎麼可能不擔心商業機密外洩,「政府官員不見得都是好人,也有可能是壞人,假設台灣要學中國那一套,就得在招商前跟網路業者說清楚。否則,相關法條只會把外商給嚇走。」
除了公務機關檢查的行政擴權條款外,吳國維對於《資通安全管理法》資安事件,「只罰企業,不罰政府」,也認為不合理。
吳國維表示,去年美國一家協助企業維運域位(domain name)的DYN,遭到駭客以DDos(阻斷服務攻擊)攻擊,DDos是全球最普遍的駭客攻擊模式,只要花五到十美元就,可以聘請駭客攻擊任何目標,全球企業對於這樣駭客目前仍然無解,美國政府不但沒有處罰DNY,事件發生後還詢問DNY,是否需要官方協助?美國政府透過「官民合作」方式,鼓勵業者分享資安事件處理經驗,建立官民聯防、分工、互助、分享與學習能力,DNY因為這次攻擊事件,後來甚是被甲骨文以高價買下。
資安出問題竟罰受害人,專家斥荒謬
相較之下,台灣的《資通安全管理法》卻只是賦予政府在資安事件,處以10萬到100萬元罰款的權利,並且得連續罰,「業者被駭商譽受損,已經夠倒楣了,中華民國政府居然還要罰錢,就好像家裡被竊,警察跑來說,『門沒鎖好要罰錢』一樣莫名其妙!」
非公務機關資安事件,政府動輒開罰,政府機構內部發生資安事件,卻沒有類似的罰款條文,吳國維表示,《資通安全管理法》草案,針對公務機關資安績效優良給予獎勵,發生資安事件的機構,則按情節懲戒與懲處,卻沒有相關罰款,「《個資法》針對公務機關違法部分,有加重1/2以上刑責,但《資通安全管理法》對發生資安事件公務機關卻沒有任何罰則,根本是在逃避責任。」
吳國維表示,全球所有網路攻擊大約有七成以上是DDos,目前沒有預防方案,罰錢不能解決問題,所有的攻擊都是國外進來的,國外駭客罰不到,只針對發生資安事件企業罰款,這樣公平嗎?《資通安全管理法》如果永遠抱持著處罰的思維,所有關鍵基礎設施被駭的第一時間,業者只會主動掩蓋,這對資通安全提升一點幫助都沒有。」
