資訊公開法為推動資安事件資訊分享機制之阻力？

張耀中／資策會科技法律中心法律研究員

為完整維護資訊系統的安全，避免資安事件對社會帶來重大危害，單就行政體系或是政府機關（構）進行資安事件之通報與資訊分享並不足夠。目前各國均已發現此問題的重要性，開始將資訊通報的配合義務衍生到一般民間企業與機構，希望建立一套公部門與私部門間的資訊分享機制。依據行政院國家資通安全會報所公布之「建立我國資通訊基礎建設安全機制計畫」第2期之目標，資通安全事件通報之建立與資訊分享之強化亦為我國之重點，希冀透過與各政府單位及民間機構之合作，共同建立與維護國家資通訊系統之安全。

資訊公開法甫於2005年12月通過，雖讓我國朝向更民主透明的國家行列邁進，但在資訊公開法實施後，負責國家重要基礎建設之企業團體與政府機關進行資安事件之資訊分享時，恐會擔心資訊是否會因資訊公開法之實施而公開，而影響上述團體企業進行資訊分享之意願。

依據美國審計局（General Accounting Office，GAO）的報告分析，目前美國試圖透過國土安全部與資訊分享及分析中心（Information Sharing and Analysis Center，ISAC）間進行資訊分享，共同維護基礎建設的方式仍存在許多問題，其中有關政府資訊公開法對資訊分享之影響，成為民間企業考量是否與政府單位進行資訊分享之重要因素。企業擔心當其與政府單位進行資安事件之資訊分享時，該資料可能會因為政府資訊公開法之規定而成為應公開或得申請公開之事項，使得競爭對手能透過政府單位獲取該訊息作為攻擊之武器。

為避免資訊公開法成為推動資訊分享工作的最大阻力，美國、日本等國無不積極採取措施，以增加民間企業團體配合進行自願性資訊分享之意願。以美國為例，美國除在資訊公開法中訂立對於涉及營業秘密或是自私人取得之商業或財政資訊，依據豁免條款第4項之規定不予公開外，於1992年作成之Critical Mass Energy Project v. NRC判決中，更修正先前在National Parks & Conservation Ass’n v. Morton判決中要求「當商業或財政資料的公開，將損害政府單位未來在獲取相關資料之能力，或是其他企業或個人在獲取相關資料後，將對資料提供者的競爭地位造成實質損害時，此類資料應視為機密而不予公開」之見解，認為只要「對於企業或個人任意提供（政府）之資訊，若為當事人通常不對外公開之資訊時，適用免除條款之規定」而不予公開。2003年時，更有國會議員建議修正國土安全法，要求所有民間企業團體自願性提供之資訊，均應排除資訊公開法適用之列。

日本情報公開法則明確於第5條明訂排除條款，若法人等以不公開為條件，任意向行政機關所提出之資訊，不予公開。透過立法目的可得知，對於民間企業自願性提供資料，但行政機關卻於事後基於情報公開法將資料公開，不但將來可能影響其他本來自願提供資料者之意願與信任外，政府單位亦可能因為違反契約或誠信原則而須負損害賠償之責任。

我國資訊公開法第19條亦有類似之排除規定：「對於個人、法人或團體營業上或經營事業上有關之資訊，若公開或提供有侵害該個人、法人或團體之利益、競爭地位或其他正當利益時，得不予公開」，但本條對於營業上的秘密資訊究竟為何，則未有明確定義。

此外，我國現行資訊公開之規定並未依據資料取得方式為「強制取得」或是「任意取得」，而有差別管制。對於不同取得方式取得之資料，是否均應依同一審查標準進行資料公開，或是應比照美國的方式，放寬對於企業與團體「任意提供」之資料免除公開之條件，或是進一步參考日本之規定，於資訊公開法中明訂以不公開為前提之「任意提供」，應不予公開，亦值得有關單位加以思考。

由於我國資訊公開法初公布，加上資安事件資訊分享機制剛開始推動，為促使資訊公開法與資安事件分享機制在我國能妥適發展，兩者如何取得平衡點，將是政府機關應及早思考解決的問題。