資通安全管理法年底拼三讀

一度隨著新舊政府交接而停擺的資通安全管理法草案，再度成為行政院的政策焦點。行政院預備在立法院新會期（9～12月）時，提出「資通安全管理法」草案，科技政委吳政忠表示，為了打造數位經濟時代所需的生態系統，將力推資通安全管理法在年底前完成三讀。

吳政忠表示，新政府最重要的政策方向之一，就是要建立數位經濟時代的創新生態系統，為了擺脫過去代工時代的思維，新政府接手後立即盤點不符數位經濟時代的相關法規，資通安全相關法規就是其中一項。「行政院已責成8月剛成立的資安處負責草擬資通安全管理法，這是打造數位時代經濟的關鍵基礎，力求在9月開議的立法院會期通過三讀。」他說。

雖然，資安處還未對外公開草案內容，不過早在2015年，行政院就曾對外揭露了一個資通安全管理法草案版本。

2015年4月時，當時擔任行政院副院長的張善政時提出了資安政策2.0，其中就透露了政府正在草擬一套資訊安全管理法，這是國家資通訊安全發展方案訂定的策略方向之一。行政院資通安全辦公室後來則提出了一套「資通安全管理法」草案（簡稱資安管理法），並在2015年10月前後，舉辦草案座談會向公協會與業界專家說明。

若依科技政委所訴求的年底三讀時程來看，只有短短3個多月，想要完成法案三讀，以舊版資通安全管理法草案版本為基礎來調整，比重新草擬一份截然不同的法條更為可行，也因此，從舊版草案架構，可以一窺未來資安處將端出的新版法案方向。

從舊版資安管理法草案版本來看，這套法案不只是用來規範政府機關，也將適用於民間企業和組織，並有特別針對關鍵基礎設施（如電廠、水廠等設施單位）的管理規範。就像個人資料保護法一樣，政府或非政府機關都得遵循，只是適用條款略有差異。

企業需負起資安維護責任，出事連負責人都要罰鍰

在這個舊版資安管理法草案中，不僅確立了政府機關資安架構，最大變革是對於企業的資安規範，有了一個具有罰則、明訂權利義務的法規要遵循，例如企業必須負起資安維護的責任，就算委外，也由委託機構負責而非承包商。發生重大涉及刑責的資安事件時，企業還得依法通報並保存證據。

另一個重大影響是，舊版資安管理法草案中，法條主管機關是科技部，但搭配分散式管理作法，由各目的事業主管機關接手企業的資安管理之責。該草案也賦予主管機關一項資安事件檢查權力，可以資安維護為由，對所管轄的企業進行行政檢查，甚至必要時率同司法人員進行扣留或複製相關證據。

在罰則上，以未訂定資通安全維護計畫罰鍰最高，可達200萬元，並可要求限期改正，若未改正還能按次處罰。而罰鍰對象也不只是企業，還會包括企業代表人，除非代表人可證明自己已經盡到安全維護之責，否則便如同個資法的作法，特別對企業負責人有罰則。

業界擔憂賦予政府過大資安行政檢查權

在座談會召開當時，與會企業代表對於這些規範企業的相關資安法條，提出諸多爭議和建議。例如有公協會代表認為，直接套用個資法架構，將政府機關和非政府機關分開規範的作法，不盡然適合用於資訊安全的議題上。

另有外商網路公司主管質疑，資安事件是否發生的判斷，不像個資事件可以外洩程度來分辨，但是資通安全管理法賦予主管機關行政檢查權力，甚至能以資安疑慮為由，進入企業機房察看，恐怕會讓外商擔心政府權力過大，而影響來臺投資的意願。

2015年當時這些質疑也導致行政院後續沒有進一步的法規作業，仍停留於草案討論階段。不過，隨著9月立法院新會期即將展開，新版「資通安全管理法」草案預期近日就會對外公布了。