再者,依資安法草案第18條第1項規定,中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。本條規定賦予行政機關得強制進入私人處所,並有強制檢查及調查之權力,對於人民之隱私權、資訊自主權、營業秘密及營業自由等受憲法保障之基本權利,均造成極為強烈之干預,但法條於此卻僅使用「必要」二字作為構成要件。參照司法院大法官釋字第636號解釋理由書,大法官曾明確指出:「基於法治國原則,以法律限制人民權利,其構成要件應符合法律明確性原則,使受規範者可能預見其行為之法律效果,以確保法律預先告知之功能,並使執法之準據明確,以保障規範目的之實現。」
如進一步對照本條之立法理由,資安法草案第18條第1項賦予機關強制調查及處分權之目的,乃係為「取締犯罪」及「防止傷害之擴大」,但條文中卻刻意不將立法理由所預設之情形明確規定,而選擇使用最簡單的「必要」二字為判斷準據,不僅大幅增加執法人員濫權之風險,亦不符合法律明確性原則之要求。實則,現行法下並不乏可供參考之明確立法方式,例如行政執行法第40條亦規定,行政機關得於緊急情況下進入人民之住宅、建築物或其他處所,實施「即時強制」,但法條構成要件明定須以「人民之生命、身體、財產有迫切之危害,非進入不能救護者為限」,顯見明確之立法方式絕非不能達成,而是資安法草案第18條第1項並未遵守。
近年來不斷發生資通安全事件,個人資料外洩或遭竊取之新聞亦時有所聞,國內外駭客亦不斷更新攻擊手法,根據行政院國家資通安全辦公室104年1月22日會報統計資料顯示,我國於101年至103年,僅是政府機關即有244、401、293起的通報資安事件數(資安事件係指業務系統遭影響或竄改,或業務資料遭洩漏或竄改),顯示資通安全之保護確有其重要性。美國、日本、歐盟亦均透過相關法令規範,協助公務機關及關鍵基礎設施提供者等非公務機關,認知自身資通安全責任、進而理解並因應資通安全風險,增進自身資通安全能力。但無論如何,良善之立法目的仍須透過周延之立法方能實現,資安法草案的若干制度設計確有未盡妥適之處,有關機關及立法院於日後審議時實應仔細思考,以求兼顧資通安全之保護及人民基本權利之保障。
*作者為理律法律事務所律師
