立院三讀《資通安全管理法》　未通報資安事件最重罰500萬

立法院院會今（11）日三讀通過《資通安全管理法》，明定未來各公務機關，應設置資安長；經行政院核定的關鍵基礎設施提供者，應訂定資安計畫，若遇資安事件未通報，可罰30萬至500萬元。

立法院司法及法制委員會在106（2017）年12月20日，初審《資通安全管理法》草案。政院版草案中，原規範對象除了公務機關、公營事業及政府捐補助的財團法人之外，還依行政院訂定的「國家關鍵基礎建設安全防護指導綱要」，包括還包括能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等8大領域。

但有立委認為範圍過於廣泛，三讀通過條文中，將「關鍵基礎設施」定義為實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，「經行政院定期檢視並公告之領域」。

關鍵基礎設施提供者　負資安維護義務

三讀條文明定，中央目的事業主管機關應徵詢相關公務機關、民間團體、專家學者意見後，報請行政院核定。那些關鍵基礎設施提供者，需負資安維護義務，並以書面通知受核定者，相關受委託人員須負保密義務。

而關鍵基礎設施提供者、公營事業與政府捐補助之財團法人，都應訂定資安維護計畫、資安事件通報及應變機制，並有重大資安事件之通報義務。如果特定非公務機關沒有因應資通安全事件訂定通報及應變機制，可按次處罰30萬至500萬元。

民進黨立委蔡易餘表示，原本授權行政機關在發生重大資通安全事件時，得派員進入非公務機關檢查，但因擔心未來行政機關會有擴權式發動檢查，因此刪除該條文，將檢查義務回歸到目的事業主管機關，如高鐵的資通安全管理，就由交通部來檢查。 （相關報導： 不但動作慢，而且不進反退！這個政黨獲頒人權金龜獎 ｜ 更多文章 ）

親民黨立院黨團總召李鴻鈞則表示，《資安法》的立法有其必要性，但要避免行政院過度擴權、便宜行事，像是民間關鍵基礎設施的指定，要力求程序透明，並有明確的遊戲規則來遵守，減少不必要的爭議。