行政院院會於4月27日通過「資通安全管理法」草案(下稱「資安法草案」),因資安法草案乃是我國資安法制化的基礎,所規範內容又涉及對國家安全、社會公益、國民生活或經濟活動有重大影響的關鍵基礎設施(依行政院訂定之「國家關鍵基礎設施安全防護指導綱要」,關鍵基礎設施之範圍共分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大功能領域)。為求周延謹慎,行政院資通安全處曾於去年9月間分別邀請政府機關、民間團體及學者專家,一共舉辦6場座談會,對於草案相關內容進行廣泛討論。但仔細觀察資安法草案,卻可發現相關規定仍然充滿許多顯不合理且令人憂心之處。
舉例而言,依資安法草案的分類,「非公務機關」同時包含關鍵基礎設施提供者及非關鍵基礎設施提供者(例如公營事業及政府捐助之財團法人,資安法草案第2條第1項第5款規定參照)。姑不論政府捐助之財團法人一律成為非公務機關是否具有合理性及正當性,依資安法草案第15條及第16條規定,無論是否為關鍵基礎設施提供者,只要是非公務機關,均須符合「資通安全責任等級之要求」(分級標準由行政院定之,資安法草案第6條第1項規定參照)及「實施資通安全維護計畫」,並受中央目的事業主管機關或直轄市、縣(市)政府之稽核,違反者可處新臺幣十萬元以上一百萬元以下之罰鍰(未於期限內改善可按次處罰,資安法草案第19條規定參照),可謂負擔極重之法律責任。
不僅如此,依資安法草案第17條第2項規定,非公務機關於知悉發生資通安全事件時,依法並負有通報之義務。然而,一旦發生可能影響多數人民之生命、身體或財產安全的「重大資通安全事件」時,行政院、中央目的事業主管機關或直轄市、縣(市)政府,業經通報而「明知」事態嚴重,法條卻僅規定有關機關「得」公告與事件相關之必要內容及因應措施,及「得」提供相關協助(資安法草案第17條第5項規定參照)。資安法草案於立法說明中不斷強調維護資安之重要性,及一旦遭受惡意攻擊,恐造成難以回復之損害,並以此為管制基礎,要求非公務機關須負擔相關之法律責任,但當重大資通安全事件發生時,法條卻不用「應」而刻意使用「得」字,明顯是對機關放水,不僅顯不合理,更與資安法草案的整體立法精神及基本原則背道而馳。
此外,中央或地方機關違法時,本可成為行政罰處罰制裁之對象(行政罰法第3條規定參照),資安法草案同時規定「公務機關」及「非公務機關」所應遵循之事項及相關程序,但第四章的罰則(第19條至第21條)卻刻意排除公務機關,而僅適用於非公務機關,此種區分亦顯不合理。雖然,依資安法草案第14規定,公務機關所屬人員未遵守規定者,應按情節輕重予以懲戒或懲處,但此種方式無異是將公務機關原應負擔的責任,轉嫁由公務員個人承擔,更遑論我國機關之資訊人力約僅佔全國機關員額的1.5%,在人力極為吃緊之情況下,豁免公務機關之罰則,而由公務員個人承擔相關之行政責任,亦顯然有失公允。
再者,依資安法草案第18條第1項規定,中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。本條規定賦予行政機關得強制進入私人處所,並有強制檢查及調查之權力,對於人民之隱私權、資訊自主權、營業秘密及營業自由等受憲法保障之基本權利,均造成極為強烈之干預,但法條於此卻僅使用「必要」二字作為構成要件。參照司法院大法官釋字第636號解釋理由書,大法官曾明確指出:「基於法治國原則,以法律限制人民權利,其構成要件應符合法律明確性原則,使受規範者可能預見其行為之法律效果,以確保法律預先告知之功能,並使執法之準據明確,以保障規範目的之實現。」
如進一步對照本條之立法理由,資安法草案第18條第1項賦予機關強制調查及處分權之目的,乃係為「取締犯罪」及「防止傷害之擴大」,但條文中卻刻意不將立法理由所預設之情形明確規定,而選擇使用最簡單的「必要」二字為判斷準據,不僅大幅增加執法人員濫權之風險,亦不符合法律明確性原則之要求。實則,現行法下並不乏可供參考之明確立法方式,例如行政執行法第40條亦規定,行政機關得於緊急情況下進入人民之住宅、建築物或其他處所,實施「即時強制」,但法條構成要件明定須以「人民之生命、身體、財產有迫切之危害,非進入不能救護者為限」,顯見明確之立法方式絕非不能達成,而是資安法草案第18條第1項並未遵守。
近年來不斷發生資通安全事件,個人資料外洩或遭竊取之新聞亦時有所聞,國內外駭客亦不斷更新攻擊手法,根據行政院國家資通安全辦公室104年1月22日會報統計資料顯示,我國於101年至103年,僅是政府機關即有244、401、293起的通報資安事件數(資安事件係指業務系統遭影響或竄改,或業務資料遭洩漏或竄改),顯示資通安全之保護確有其重要性。美國、日本、歐盟亦均透過相關法令規範,協助公務機關及關鍵基礎設施提供者等非公務機關,認知自身資通安全責任、進而理解並因應資通安全風險,增進自身資通安全能力。但無論如何,良善之立法目的仍須透過周延之立法方能實現,資安法草案的若干制度設計確有未盡妥適之處,有關機關及立法院於日後審議時實應仔細思考,以求兼顧資通安全之保護及人民基本權利之保障。
*作者為理律法律事務所律師
