況且,Google資通安全絕對比台灣政府好,《資通安全管理法》賦予技術能力較差的政府或委外機構,稽核技術能力較好的業者,外商怎麼可能不擔心商業機密外洩,「政府官員不見得都是好人,也有可能是壞人,假設台灣要學中國那一套,就得在招商前跟網路業者說清楚。否則,相關法條只會把外商給嚇走。」
除了公務機關檢查的行政擴權條款外,吳國維對於《資通安全管理法》資安事件,「只罰企業,不罰政府」,也認為不合理。
吳國維表示,去年美國一家協助企業維運域位(domain name)的DYN,遭到駭客以DDos(阻斷服務攻擊)攻擊,DDos是全球最普遍的駭客攻擊模式,只要花五到十美元就,可以聘請駭客攻擊任何目標,全球企業對於這樣駭客目前仍然無解,美國政府不但沒有處罰DNY,事件發生後還詢問DNY,是否需要官方協助?美國政府透過「官民合作」方式,鼓勵業者分享資安事件處理經驗,建立官民聯防、分工、互助、分享與學習能力,DNY因為這次攻擊事件,後來甚是被甲骨文以高價買下。
資安出問題竟罰受害人,專家斥荒謬
相較之下,台灣的《資通安全管理法》卻只是賦予政府在資安事件,處以10萬到100萬元罰款的權利,並且得連續罰,「業者被駭商譽受損,已經夠倒楣了,中華民國政府居然還要罰錢,就好像家裡被竊,警察跑來說,『門沒鎖好要罰錢』一樣莫名其妙!」
非公務機關資安事件,政府動輒開罰,政府機構內部發生資安事件,卻沒有類似的罰款條文,吳國維表示,《資通安全管理法》草案,針對公務機關資安績效優良給予獎勵,發生資安事件的機構,則按情節懲戒與懲處,卻沒有相關罰款,「《個資法》針對公務機關違法部分,有加重1/2以上刑責,但《資通安全管理法》對發生資安事件公務機關卻沒有任何罰則,根本是在逃避責任。」
吳國維表示,全球所有網路攻擊大約有七成以上是DDos,目前沒有預防方案,罰錢不能解決問題,所有的攻擊都是國外進來的,國外駭客罰不到,只針對發生資安事件企業罰款,這樣公平嗎?《資通安全管理法》如果永遠抱持著處罰的思維,所有關鍵基礎設施被駭的第一時間,業者只會主動掩蓋,這對資通安全提升一點幫助都沒有。」
