# 資通安全管理法  

隨著AI技術快速發展，資安風險樣態不斷演變，台中市政府數位發展局攜手國立中興大學資通訊暨個人資訊安全技術服務產學聯盟、精誠軟體服務公司，23日在中山醫學大學附設醫院共同舉辦「智御未來 驅動新局」資訊安全治理研習，吸引近160位產官學界資安決策者與專家齊聚一堂，聚焦「AI驅動的雲端防禦與治理新挑戰」，共同探討AI時代下的資安治理新趨勢與防禦思維，攜手推動台灣邁......

為提升其整體供應鏈資安防護強度，台積電不僅加強公司內部資安防護機制及管理制度，並主動訂定「供應商資安評鑑標準」，於2021年先要求供應廠商以問卷形式檢視12類潛在資安風險與弱點，執行自我資安評鑑；到2022年2月更進一步要求供應商作第三方資安評鑑。根據這兩類評鑑結果，台積電協助供應商擬定資安改善計畫並定期追蹤其執行成效。截至2022年11月底，在639家供應商中有418家獲得最優級，而277家於6個月內提升了1到2個資安等級。

《公視》片庫傳出重大災情，近5年42萬筆新聞資料傳遭維護廠商全數刪除。對此，時代力量立委王婉諭今（15日）批評，許多珍貴影像因此一低級疏失統統消失，公視若要剪輯相關畫面，只能使用公帑向外購買。王婉諭也指，之前教育部才因為工程師手滑讓學生的學習歷程檔案一夕消失，怎麼公視又出現問題，沒有異地備份？

想像未來的某一天，當我們要預購成人展的票券，售票網站可能會要求我們透過內政部的數位服務認證機制購票；而一旦有人登錄網路彼端的身分證資料庫，就會知道誰參加了成人展……。

故事得從去年12月新北歡樂耶誕城的吉祥物講起。當時新北市政府大樓上放了一隻取名為桑塔熊（SantaBear）的大型玩偶，身旁擺著華為斗大的LOGO。民進黨立委蘇巧慧在臉書發文指稱，華為有「竊取情資、資安外洩的重大國安疑慮」，質疑新北市政府豈可連續三年接受華為贊助，「已不是荒謬二字可以形容」。

立法院院會今（11）日三讀通過《資通安全管理法》，明定未來各公務機關，應設置資安長；經行政院核定的關鍵基礎設施提供者，應訂定資安計畫，若遇資安事件未通報，可罰30萬至500萬元。

這年頭，看新聞不能只看標題，不然很可能被誤導有偏見或者什麼都看不懂。同樣的道理，這年頭，看法案不能只看法案名稱，否則你根本不知道這個法案的條文是不是太超過或者掛羊頭賣狗肉。最近輿論談論很熱門的資通安全管理法似乎就是如此。

日前政院所提《資通安全管理法》草案第18條規定，中央目的事業主管機關或直轄市、縣（市）政府因稽核資通安全維護情形發現「重大缺失」，或遇「重大資通安全事件」，而「認有必要」時，得派員攜帶執行職務證明文件，進入非公務機關場所檢查，並得命相關人員為「必要之說明」、「配合措施」或提供相關證明資料。此條一出立刻引發重大爭議，明顯違反《憲法》所保障之人身相關自由，亦牴觸法律所揭示之諸多例如法明確性、平等原則、比例原則等，亦出現相當多不確定法律概念，留有相當大的爭議空間，實有重大爭議。

現代社會對於資訊通訊之依賴鉅大一事甚為明顯，進而資訊通訊之安全必然足以影響國家社會之穩定與安定，可謂之為國家安全之重要一環亦不為過；同時，消基會日前相關民意調查顯示，有近八成民眾認為國家應以完整法律加強網路安全，可見對於資訊通訊安全之要求及規制確為我國社會當務之急；據此，行政院於4月27日亦通過「資通安全管理法（下簡稱資安法）草案」，作為我國管理資通安全之基本架構。然此草案通過公佈後，卻引發相關資訊業界人士部分疑慮，本文茲就就法律之觀點，對此等疑慮提出相關回應並就本草案提出相關修正雛議。

行政院院會於4月27日通過「資通安全管理法」草案（下稱「資安法草案」），因資安法草案乃是我國資安法制化的基礎，所規範內容又涉及對國家安全、社會公益、國民生活或經濟活動有重大影響的關鍵基礎設施（依行政院訂定之｢國家關鍵基礎設施安全防護指導綱要｣，關鍵基礎設施之範圍共分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大功能領域）。為求周延謹慎，行政院資通安全處曾於去年9月間分別邀請政府機關、民間團體及學者專家，一共舉辦6場座談會，對於草案相關內容進行廣泛討論。但仔細觀察資安法草案，卻可發現相關規定仍然充滿許多顯不合理且令人憂心之處。

行政院院會上周四通過《資通安全管理法》草案，去年該法草擬過程，外界曾針對草案中「政府得進入非公務機關檢查資安設施，非公務機關不得規避、妨礙或拒絕」，質疑有違憲擴權的疑慮，沒想到上週四政院核定的版本，相關文字竟仍紋風不動，前國家資訊基本建設產業發展協進會執行長吳國維表示，全世界駭客攻擊最常透過DDos（阻斷服務攻擊），多數駭客來自海外，根本無法預防，就連美國針對類似資安事件，也不會處罰業者，台灣的《資通安全管理法》竟然訂定10萬到100萬元的罰款，「就好像家中遭竊，警察以大門沒鎖好為由罰受害人」一樣荒謬。

《資通安全管理法》草案日前經行政院院會通過，行政院方面預計未來新法上路後，先從公務機關先行實施，半年後再適用到水電、電信、醫院等「八大關鍵基礎設施」，公營事業實施時間，則在八大關鍵基礎設施半年後才適用，據了解，目前除了政院版外，民進黨立委陳亭妃與時代力量都有分別提出各自版本，陳亭妃版與政院版類似，仍維持政府得進入非公務機關「檢查」條文，時代力量版本則採用美國資訊安全法精神，以「獎勵、協同、演練為基礎」，沒有政府機關強制「檢查」的擴權條文。

行政院會今（27）日拍板通過資通安全處的《資通安全管理法》草案，以防止駭客進行國際性的網路攻擊，行政院長林全表示，資通安全在維護國家安全和公共利益上是不可或缺的課題，希望能早日完成立法程序。

已由行政院草擬完成的《資通安全管理法》草案，因資安專責人員嚴重不足問題，將草案內容原本所盼建置的資安「專職人員」，改成「專責人員」。行政院官員表示，目前即使是被列為資安等級較高的行政院各部會，大部分資安人力都是兼職。

《風傳媒》昨（13日）報導，行政院甫完成的《資通安全管理法》草案有嚴重擴權、侵害民眾個資之虞，行政院資通安全處今（14日）回應報導，稱非公務機關不得規避、妨礙或拒絕檢查有發生重大資通安全事件等前提，「並無存有政府侵權的疑慮」。

行政院最近完成《資通安全管理法》草案公告，這個在第一銀行ATM盜領事件後，希望將金融、水電等基礎設施資通安全納入管理的法案，卻暗藏擴權疑慮！財團法人國家資訊基本建設產業發展協會（NII）前執行長吳國維表示，《資通安全管理法》授權主管機關，得在遭遇重大資安事件時，進入「非公務機關」場所檢查，非公務機關「不得規避、妨礙或拒絕」，有嚴重擴權、侵害民眾個資之虞，社會各界一定要把這個有危害人權之虞的法案擋下來。

政府長年以來，在資訊安全領域疏於投資，公務機關的資安稽核，過去委託資策會技術服務中心負責，然而，資策會技服中心100多名員工，每年竟然只能稽核50個機構資安業務，財團法人國家資訊基本建設產業發展協會（NII）前執行長吳國維表示，以現階段資策會技服中心資安能力有限情況下，《資通安全管理法》通過後，未來政府在公務機關與非公務機關的資安稽核上，勢必得外包給民間機構負責，《資安法》強制民間企業進行資安認證的規定，根本在圖利資訊外包廠商。