立法院第9屆第4會期司法及法制委員會第12次全體委員會議紀錄
中華民國106年11月6日(星期一)9時2分至12時 @ 本院紅樓302會議室 (主席::出席委員12人,已足法定人數,現在開始開會。)
  • 立法院第9屆第4會期司法及法制委員會第12次全體委員會議紀錄
    時  間 中華民國106年11月6日(星期一)9時2分至12時
    地  點 本院紅樓302會議室
    主  席 蔡委員易餘
    主席:出席委員12人,已足法定人數,現在開始開會。
    進行報告事項。
  • 報告事項

  • 項目
    一、宣讀上次會議議事錄。
  • 議事錄:立法院第9屆第4會期司法及法制委員會第11次全體委員會議議事錄
    立法院第9屆第4會期司法及法制委員會第11次全體委員會議議事錄
    時 間:中華民國106年11月2日(星期四)上午9時至12時20分、下午1時3分至55分
    地 點:本院紅樓302會議室
    出席委員:葉宜津 吳志揚 廖國棟Sufin.Siluko 李俊俋 鍾孔炤 尤美女 王育敏 林為洲 蔡易餘 段宜康 柯建銘 楊鎮浯 劉櫂豪
    委員出席13人
    列席委員:鍾佳濱 呂玉玲 黃國昌 林德福 蘇巧慧 孔文吉 劉世芳 周春米 陳賴素美 張麗善 徐榛蔚 高金素梅 蔣乃辛 陳明文 顏寬恒 賴士葆 王惠美 王定宇 羅明才 馬文君
    委員列席20人
    主 席:王召集委員育敏
    專門委員:張智為
    主任秘書:楊育純
    紀 錄:簡任秘書 彭定民
    簡任編審 周厚增
    科 長 鄧可容
    專 員 蔡國治
    報 告 事 項
    一、宣讀上次會議議事錄。
    決定:確定。
    二、邀請司法院秘書長、法務部部長列席就「司法量刑資訊系統建置現狀與使用情形」進行專題報告,並備質詢。
    決定:報告及詢答完畢。
    討 論 事 項
    一、繼續併案審查(一)委員徐志榮等18人擬具「中華民國刑法第七十七條及第二百七十二條之一條文修正草案」及(二)委員王育敏等18人擬具「中華民國刑法增訂第二百七十一條之一條文草案」案。
    二、審查委員陳怡潔等17人擬具「中華民國刑法增訂第二百七十一條之一條文草案」案。
    三、審查委員賴士葆等20人擬具「中華民國刑法增訂第二百七十一條之一及第二百八十條之一條文草案」案。
    四、審查委員馬文君等17人擬具「中華民國刑法增訂第二百七十一條之一條文草案」案。
    五、審查委員王定宇等17人擬具「中華民國刑法第七十七條條文修正草案」案。
    六、審查委員顏寬恒等35人擬具「中華民國刑法第七十七條條文修正草案」案。
    (本次會議有委員吳志揚、葉宜津、王育敏、尤美女、林為洲、鍾孔炤、李俊俋、廖國棟、黃國昌、楊鎮浯、蔡易餘、段宜康、劉櫂豪、周春米提出質詢。)
    決議:
    一、報告及詢答完畢。
    二、以上各案均另定期繼續審查。(提案條文及委員周陳秀霞等5人所提修正動議,均已宣讀完畢)
    三、委員質詢時,要求提供相關資料或以書面答復者,請相關機關儘速送交個別委員及本委員會。
    提 案
    有鑑於法務部現已擬具中華民國刑法殺人罪章草案,修法內容包括構成要件及法定刑調整,即將送行政院審議,待司法院會銜後送本院審查。
    建議法務部參酌今日相關草案修法精神,於6個月內將兩院會銜版送至本院後,再予併案審查。
    提案人:鍾孔炤 尤美女 葉宜津
    決議:照案通過。
    散會
    主席:由於在場委員人數不足,議事錄暫時保留。
    進行討論事項。
  • 討論事項

  • 併案審查(一)行政院函請審議「資通安全管理法草案」、(二)時代力量黨團擬具「資通安全管理法草案」、(三)委員陳亭妃等23人擬具「資通安全管理法草案」、(四)委員許毓仁等17人擬具「資通安全管理法草案」、(五)委員余宛如等18人擬具「資通安全法草案」及(六)親民黨黨團擬具「資通安全管理法草案」案。
    主席:今天只進行詢答,暫不處理條文之實質內容。
    現在先進行提案說明,首先請提案人時代力量黨團代表徐委員永明說明提案旨趣,時間5分鐘。
    徐委員永明:主席、各位列席官員、各位同仁。今年5月,勒索病毒WannaCry席捲全球,使得資安又突然成為眾人目光的焦點,因為這類勒索病毒造成民眾的直接損害,社會自然有感,一旦攸關人民生活、商業運作,甚至是國家安全的系統,在遭遇攻擊時無法妥善應變,甚至連日常維護都無法確實運行時,我們又該如何確保這一系統所儲存及運作的資料不會被有心人士或其他國家竊取利用?我們又該如何使人民相信存放在國家系統裡的資料不會被惡意洩漏或竄改?我們又如何在瞬息萬變的國際情勢中確保國家各類基礎建設都能在安全的資安環境下維持正常運作?為了解決上述的問題和關心,時代力量黨團提出資通安全管理法草案。
    時代力量的版本有幾個特色,請容我在此介紹一下。第一,確立權能集中、資源充足、位階夠高的專責機構,以統籌全國的資通安全政策、管理、技術研發和人才培育等各層次的內容。第二,納入民間參與和國會監督的機制。時代力量版本第六條明定,行政院在制訂、檢討、改進國家資通安全政策法令以及國家關鍵基礎設施的定義時,都必須邀請有關機關代表、專家學者、產業部門及相關社會團體參與,且專家學者、產業部門及相關社會團體的代表不能少於二分之一。第三,時代力量黨團版本第七條規定,中央和地方政府必須每年檢討資通安全管理規定的執行成果,做成稽核報告,由行政院資安處彙整後提交國會備查。這些納入實務操作者的意見以及平衡行政立法權的規定,是行政院版本裡並未考量到的。
    另外,本黨版本第四條也明定,政府應該協助學校、研究機關、法人或團體在資安相關研究與應用上所需的人才、設備及技術,並且於推動相關的研發與應用時,應在技術、法律、倫理等各方面取得平衡。同時,時代力量也認同民間提出的需求,在第十條明定,政府得提供租稅、金融等優惠措施,以更多的誘因從正面鼓勵資安技術的發展及普及。我們認為資安即國安,政府應該帶頭建構全方位高能量的資安系統,時代力量相信,資通安全管理法只是資安的第一步,也是基本功,但唯有做好基本功,台灣才可能在確保國內資通安全的情況下,將優秀的技術能量及資安意識深化,如此自然會出現更多具有出口競爭力的資安企業以及具有規模的產業,也更可能確保國民的實體及虛擬財產不被侵害,個人生活也不被資安漏洞或攻擊危害,而扼殺了自由的空間。
    面對資訊安全管理法在立法院即將進入實質的審議,時代力量黨團認為行政院必須要實質回應具體的疑問,而不應只是用已草擬完成的資安管理法施行細則、資安責任等級分級辦法等相關子法來規避,若母法不能確認基本的架構,其相關子法只是推託之詞,更別提這些辦法和施行細則根本無法在立法院進行審議,能做的只是將備查轉審查,難以接受國會的監督。
    資通安全環境不僅深深影響人民日常生活,更是政府體制得以順利運行並維持主體地位的關鍵所在,這不只是資安技術人員或公務機關的事情而已,全民資安意識的建立與技術提升是更重要的,而一部可運作且定位清楚的資通安全管理法,將提供良好的基礎,反之,如果立法不完備,則可能成為另外一場資安界的災難事件。若以目前行政院版本一字不改即通過的話,我們比較悲觀地預期一場資安災難即將開始,在此懇請立法院各同仁能夠支持由時代力量黨團提出的資訊安全管理法,謝謝。
  • 主席
    請親民黨黨團代表周陳委員秀霞說明提案旨趣。
    周陳委員秀霞:主席、各位列席官員、各位同仁。親民黨黨團有鑑於政府機構所負擔之公共服務對於民眾生活及經濟活動有重大影響,為健全政府機構整體資通安全,在避免不當侵犯人民權利的前提下,為保障公共利益,參酌美國聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014),草擬資通安全管理法草案。
    行政院對外宣稱行政院版的「資通安全管理法草案」,是援引美國的「聯邦資訊安全現代化法」(FISMA)、歐盟的「網路與資訊系統安全指令」(NIS Directive),以及日本的「網路安全基本法」,但是我們仔細檢視之後,卻發現行政院版根本與這些國家的精神背道而馳,因為:
    1.美國的「聯邦資訊安全現代化法」顧名思義是規管聯邦政府,條文僅規範公部門應盡之職責。
    2.歐盟的「網路與資訊系統安全指令」明確指出各會員國政府對於資訊安全之管理應採取輕度(light-touch)及事後監理(ex post)的模式。
    3.日本的「網路安全基本法」並未針對非公務機關做出實質上的強制要求,僅鼓勵業者在「自願性」之前提下,盡力確保資安並配合中央或地方政府之相關措施,同時也明文規定政府在促進網路安全政策的同時,必須充分考量如何避免過度侵犯人民權利。
    所以,先進國家針對私部門及非公務機關的資安,顯然係採取輕度管制,但行政院版的「資通安全管理法草案」,卻企圖授權中央及地方政府官員得在不具搜索票情況下,對非公務機關進行現場檢查,而且明文規範非公務機關「不得拒絕」,這樣顯然構成嚴重侵犯私權之虞,向國內外產業及投資者送出令人十分不安之警訊,對我國數位經濟發展實屬不利。
    再者,行政院版草案針對私有關鍵基礎設施提供者,施以高強度的規管措施,而非採取「鼓勵參與」方式納管。因此,為了合乎法律保留原則及法律明確性原則,涉及人民權利義務時,法律規定內容就必須有清楚的界限及範圍。親民黨黨團參酌歐盟「網路與資訊系統安全指令」採取正面表列,具體列出關鍵基礎設施樣態(例如:電業、石油業、天然氣事業、航空運輸業、飛航管制機構、航空站經營人、道路管理機構、鐵路機構、水上運輸業、金融機構、醫療機構、水利事業),清楚於本文中訂出次部門分類,而非任由行政部門恣意指定,這樣才不愧邁向法治國之路。
    親民黨黨團的資安法草案重點在於,要求落實政府機構本身的資安,反對以國家安全為由讓台灣回到1984年那個年代,應該要讓資安政策在民間推動,所以親民黨黨團反對擴大管制產業,也認為不應該對產業祭出強制性的規範,應該優先提供經濟誘因,採取鼓勵措施,這樣才能夠公私部門協力落實資安,防護國家安全。
    最後,雖然行政院資安處在行政院版草案定案前後,舉辦過公聽會,但仍然未能察納雅言,不顧反對的意見,堅持一定要把非公務機關及關鍵基礎設施納入資安法,所以,親民黨認為立法院應該廣開言路,針對資安法的立法召開公聽會,謝謝。
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。今天是貴院第9屆第4會期司法及法制委員會議,本人代表秘書長應邀前來進行報告,深感榮幸!非常感謝各位委員對於我國資通安全發展長期的重視與支持,以及對本院施政諸多指教,讓本院業務順利推動,在此,謹代表本院表達感謝之意。
  • 數位科技時代下之資安風險

  • 一、數位科技時代下之資安風險
    隨著網際網路及資通科技快速發展與普及,資通科技相關應用,已被世界各國視為協助產業經濟轉型、提升國家競爭力及有效解決社會發展議題之關鍵,各國亦紛紛致力於資通政策之規劃,建構公開、有效率之數位環境,希望藉由科技化服務,進而提升民眾生活品質、維護公共利益、帶動產業發展及國家整體競爭力。
    然而,網路普及化與消費者使用行為之日新月異,資通系統或服務之應用所引發之網路犯罪、個人資料保護等資通安全課題,逐漸成為影響社會安定、國家安全之隱憂,資通安全威脅型態之瞬息萬變亦使全球面臨嚴峻之考驗。
    尤其公務機關所承擔之公共任務,及許多包括關鍵基礎設施提供者在內之非公務機關所維運或提供之服務,均對國家安全、民眾生活、經濟活動等有重大影響;且近年來,對於公務機關或關鍵基礎設施等進行網路攻擊之情形時有所聞,過去雖然是行政規則予以規範,如未能制定專法以明確要求其考量自身風險,進而決定資通安全管理之作法,並透過適當法律要求其逐步提升資通安全能量,一旦遭受惡意攻擊,恐造成難以回復之損害,對國家安全及公共利益將造成重大威脅,所以這樣的資安風險一定要在控制的範圍之下。
  • 建構我國資通安全管理法制

  • 二、建構我國資通安全管理法制
    (一)各國因應作為
    如前所述,近年來資安威脅型態之轉變已使全球各國均面臨嚴峻考驗,參諸國際近年對於資通安全保護之趨勢,各先進國家莫不將資安議題提升至國家安全層次,並制訂專法加以規範,例如美國「聯邦資訊安全現代化法」、日本「網路安全基本法」、德國「資訊科技安全法」及新加坡「網路安全法(草案)」等;在國際組織部分,歐盟亦通過「網路與資訊系統安全指令」,其規範範圍更已涵蓋至數位服務之範疇。
    (二)我國「資通安全管理法(草案)」立法過程
    我國為針對整體資通環境,以風險管理為核心,要求公務機關及受規範之非公務機關考量並因應資通安全風險,訂定及實施資通安全維護計畫,確保資通安全,並由本院統籌分配資源,整合民間力量,提升我國整體資通安全環境及全民資通安全意識,確保國家安全與公共利益,故參酌美、日、德等先進國家立法原則,並考量我國社經環境與法規制度,擬具「資通安全管理法(草案)」,期透過建立一套以風險管理為核心之機制,要求規範對象進行風險管理,並於發生資安事件時,能立即通報並應處。
    目前本草案規範對象包括公務機關及非公務機關,公務機關指中央與地方機關(構)及公法人,而非公務機關則以關鍵基礎設施提供者、公營事業及政府捐助達一定比例之財團法人為主。草案規範重點包括事前的防範、事中的應變、事後的改善等三個部分,重點如下:
    1.明確規範資通安全政策制定與推動組織,以及本院及中央目的事業主管機關之權責,以強化資安政策之制定、推動與執行之能量。
    2.規範公務機關應建立資通安全維護機制。
    3.規範關鍵基礎設施提供者等非公務機關應建立資通安全維護機制。
    4.規範資通安全事件通報、應變與矯正、預防機制。
    5.訂定行政檢查與罰則,以及其他推動資通安全相關配合事項。
    為加速推動立法作業並持續蒐集各界意見,除於105年9月至11月間召開7場座談會,亦將草案條文及相關討論議題置於國家發展委員會公共政策網路參與平臺公開徵詢外界意見,本院業參酌所提意見適度調修條文內容。本「資通安全管理法」草案已於本(106)年4月28日函送貴院審議,並經貴院第9屆第3會期第14次會議報告後決定:「交司法及法制委員會審查」,於5月31日由議事處函請貴委員會審查。
    此外,為利法案通過後之後續推動,已積極進行子法草案及相關配套之研議,另為讓外界暸解子法相關內容,亦於本年7月至8月間邀集學者專家、事業機構、公協會、財團法人及外商業者等代表,召開7場座談會及說明會,以釋除外界疑慮。
  • 推動資通安全管理法立法,加速建構國家資通安全環境

  • 三、推動資通安全管理法立法,加速建構國家資通安全環境
    我國政經情勢特殊,面對全球複雜多變的資通訊環境,以及日益嚴重的資通訊安全威脅,持續落實並精進各項資通訊安全防護工作,實屬必要。故擬透過落實國家資安政策及推動制定資通安全管理法之立法,以加速建構國家資通安全環境,來確保民眾生活福祉、資安產業發展及整體國家安全。
    最後,懇請各位委員先進鼎力支持「資通安全管理法」之立法,並敬祝大家身體健康,萬事如意。謝謝!
    主席:在場委員已足法定人數,先確定議事錄。
    請問各位,上次會議議事錄有無錯誤?(無)無錯誤,確定。
    請提案人陳委員亭妃說明提案旨趣。(不在場)陳委員不在場。
    請提案人許委員毓仁說明提案旨趣。(不在場)許委員不在場。
    請提案人余委員宛如說明提案旨趣。(不在場)余委員不在場。
    現在開始進行詢答,本會委員發言時間為8分鐘,必要時得延長2分鐘;非本會委員發言時間為6分鐘,並不再延長;上午10時30分截止發言登記。
    現在請柯委員建銘發言。
    柯委員建銘:主席、各位列席官員、各位同仁。今天審查資安管理法,我想大家都很清楚這個法非常重要,資訊安全等於國家安全,這也無庸置疑,至於如何執行資安政策以及資訊安全該如何管理,這大概是今天法案最重要的部分。大家試著回想,去年5月,資安中心三讀通過被廢除,引起了很大的風波,不過其實這其來有自,在上一屆、2014年審查資安中心組織法、行政法人法的時候,本席是有些意見,因為他只是把資策會報改為中心而已;再往前看,2001年陳前總統執政時,有科技會報與資安會報,他在資策會底下成立了技服中心,然後再轉到馬政府時候的資安辦,因此大家對於這個組織架構非常有疑義,所以2014年在審查這個法案時,本席提出一個很重要的觀念,就是應該把資安管理法這個上位部分先弄清楚,至於整個國家資安該怎麼管理,這就是下位的部分。依照這樣的邏輯,今年8月1日,行政院的資安處也掛牌了,所以現在回到這個問題上就很重要了,我們要談的就是立專法。美國有「聯邦資訊安全現代化法」,日本也有「網路安全基本法」等等,但是在我們的法制中,只有刑法有個資保護以及個人資料保護法,到目前為止,只用要點、規範、綱要等等在處理,所以專法是很重要的。
    今天在面對這個專法的時候,我們要看待到底這個專法要怎麼立?這個法裡面有什麼問題?剛才我看了幾個版本,有關各委員的版本,方才時代力量黨團和親民黨黨團也做了說明,在分析各版本的看法後,我認為行政院版本是最完整的,但是其中仍有一些是值得討論的。
    首先,談到時代力量黨團的版本,它大概是宣示性的,強調也要獎勵、補助研發(RD)等補助優惠,但是上禮拜我們在處理產創條例時,他主張把所有租稅優惠的名單全部公布,這點我們是反對的,尤其是資安的部分。另外,還有一個問題是,他的第二條定義沒有很清楚,而我們定義得很清楚,關鍵基礎設施有被指定者、有非公務機關,是這樣一套邏輯下來,而且,不止時代力量黨團沒有定義清楚,許毓仁委員版本中的關鍵基礎設施也沒有規範到非公務機關的部分,而親民黨黨團的版本也是一樣,但親民黨黨團版本中有一條提到,這部分本席等一下也要談,就是要進入非公務機關,要去查核、不可抗拒、有罰則,這部分有沒有法律保留、工作侵犯人權或是公司營業秘密被外洩等問題?因為到底是誰有資格去查?如果用這個邏輯來看,其實我現在一直沒辦法想得很清楚,先請教副秘書長,組織再造是你的專業,這麼多年來的組織再造,你應該很清楚,你也做過行政院研考會的主委,其中,第一,它要設立資安長,這明文寫在法條上,所謂「長」就有主管加給,目前我們有資安處處長,現在又要加個資安長,這是寫在條例裡的,那行政院組織法要不要改?各部會組織法要不要改?這個問題到底是什麼,過去行政組織法在修的時候,也有人提到要設立資安長,那你放在這個地方,且從中央到地方都要設置資安長,則將來組織法要不要調整呢?這是第一個問題。
    第二,這部法沒有主管機關,很少有這樣的立法體例,所以上述兩個問題請副秘書長說明。
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。目前的資安管理法第十條有提到公務機關要設資通安全長,由機關首長指派副首或適當人員兼任。
    柯委員建銘:既然如此,行政院組織法要不要修正?
    宋副秘書長餘俠:因為這是兼任,所以行政院各部會組織法並不需要修正。
    柯委員建銘:因為是兼任,所以可不修?
    宋副秘書長餘俠:是。而且這是指派副首長,依據中央行政機關組織基準法,副首長在部會就是次長,在署局就是副署長。
    柯委員建銘:好,我暫時了解你的想法,但主管機關是誰呢?
  • 宋副秘書長餘俠
    因為資通安全管理法涉及的……
  • 柯委員建銘
    所以總統府、立法院等將來的資安規範都要送到行政院資安處?
  • 宋副秘書長餘俠
    是的。
  • 柯委員建銘
    所以主管機關是行政院嗎?
    宋副秘書長餘俠:資安管理法有劃分中央機關、地方機關、目的事業主管機關還有監督機關的權責,所以已經涵蓋各類機關的權責。另外,像這種涉及各級機關……
  • 柯委員建銘
    你的意思是本法不需要設主管機關?
    宋副秘書長餘俠:事實上這部法的推動機關是由行政院這邊來處理的,這是我們必須負的責任。
  • 柯委員建銘
    立法例上有沒有像這樣沒有主管機關的?
    宋副秘書長餘俠:有的,像行政程序法、國家賠償法……
    柯委員建銘:過去是有離島建設條例,但後來把主管機關放在行政院這邊,總之,這個問題請你們想清楚。
  • 宋副秘書長餘俠
    好的。
    柯委員建銘:另外,依據第十八條,中央目的事業主管機關可以派員進入非公務機關來檢查,非公務機關不能拒絕,這有沒有法律保留的問題呢?派員的「員」,資格是什麼?像電信的部分就有所謂的電信警察,所以要不要警察會同?再來,被指定為基礎設施提供者是非公務機關,不管這個非公務機關是財團法人或是國營事業,還有,該條規定,遇重大資安事件時,可派員進行檢查,並要求改正,請問這是要派什麼人?
    宋副秘書長餘俠:第十八條最主要談的是檢查,但在檢查之前會通知它改善,而且另外兩個要件是要有重大缺失或是發生資安事件。
    柯委員建銘:就是有缺失才會去檢查,沒有缺失怎會去檢查呢?請問派什麼人去檢查?再來,關鍵基礎設施有8種,包括銀行、水利等等,所以你們要派什麼人去檢查?
  • 宋副秘書長餘俠
    除了資安的專家之外……
    柯委員建銘:親民黨黨團對第十八條有疑慮,所以這部分到時我們可以再來討論。
    宋副秘書長餘俠:若要對人員的資格予以明定,就像個人資料保護法……
  • 柯委員建銘
    有沒有法律保留的問題?要不要會同警察?
    宋副秘書長餘俠:目前我們這邊還是機關的行政作為,這跟行政程序法是一致的,跟個人資料保護法的檢查也是一致的。
    柯委員建銘:檢查各項被指定關鍵基礎設施提供者以及非公務機關,是不是?
  • 宋副秘書長餘俠
    是。
  • 柯委員建銘
    會不會檢查到一般民營業者那裡去?
    宋副秘書長餘俠:有的關鍵基礎設施提供者是民營的,比方說公共運輸等。
  • 柯委員建銘
    這部分你們要跟法務部談清楚。
  • 宋副秘書長餘俠
    好的。
    柯委員建銘:最後,上個禮拜一行政院有討論電信管理法以及數位通訊傳播法,屆時若予以施行,可能像第一類電信等很多樣態都會改變了,但在電信管理法第四十二條是規定「得」指定關鍵基礎設施提供者,而本法第十五條則是規定「應」指定關鍵基礎設施提供者,基本上,這兩部法律的目的是一樣的,都是處理資訊安全的問題,所以在處理這些法律時,羅政委都沒有發現這部分有不同的規範嗎?到底哪個才是正確,我想這是可以討論的,畢竟裡面都有指定關鍵基礎設施提供者,但是「得」和「應」是不一樣的,所以我們希望這兩部法律你們應有一致性的看待。
    宋副秘書長餘俠:好的,我們會跟通傳會做進一步的釐清。
    柯委員建銘:還有縣市政府要擬定資安的安全維護計畫及管理,但縣市政府有沒有這個能力呢?你們有無考慮到這個問題呢?縣市政府要去檢查……
    宋副秘書長餘俠:這是縣市政府有關資安能量的問題,而我們現在採用的做法就是用聯防的概念,即縣市政府跟其周遭的中央政府機關或是直轄市政府等有這些資訊能量的單位,要一起建構一個聯防的網路。
    柯委員建銘:縣市政府的資安長有無這個能量呢?然後還有國家對資安人才培訓的問題。此外,依據第八條,很多部分是要委外的,在委外的時候,國家安全的部分會危害到什麼程度,我認為要有一個界線,總之,資通安全管理法我們是可以認同,但有一些事情應該要討論清楚。
  • 宋副秘書長餘俠
    好。
    柯委員建銘:至於其他版本,包括余宛如版本,差異性真的是太大了,根本沒有辦法一起處理,總而言之,我還是覺得行政院版是最完整的,但上述幾個問題,可能要再討論看看。
  • 宋副秘書長餘俠
    是。謝謝委員的指教。
  • 主席
    請吳委員志揚發言。
    吳委員志揚:主席、各位列席官員、各位同仁。資通安全是很重要,但是就副秘書長的了解,這整部草案讓大家有疑慮的是哪個部分?
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。我們是從安全維護計畫的提出到通報應變,到最後發生資安事件、重大資安缺失時的檢查,這些部分有的各機關可能已經熟悉了,但有些部分可能是新的措施……
  • 吳委員志揚
    主要是統合各機關的作為。
  • 宋副秘書長餘俠
    是。
    吳委員志揚:我要提醒的是,你們應該是在前面的階段做計畫、規劃及執行,但是出事情的時候,你們要注意一下相關的處理方式是否會侵害到人權,方才柯總召已經提到第十八條,這應該也是今天所有委員會問到的重點,第十八條讓人家擔心會不會有人假借調查資安事件或是一般行政人員可能畏懼司法權力,這時就可以以這個為理由進到非公務機關,基本上,由公務機關內部自己去查,那個沒有問題,現在若進到非公務機關,當然就會有侵害人權的問題、會有營業秘密洩露的問題,請問這兩個問題如何處理?
    宋副秘書長餘俠:重大資安事件發生的時候,最重要的是要迅速通報、即時處理,所以檢查的必要性是非常需要相關機關能夠在現場調查、能夠進行了解,所以基本上是希望經由訪問、查詢、檢驗,能夠馬上確定這個事件是否會擴大,然後做一些即時的處理。
    吳委員志揚:做這些事情我都沒有問題,問題是非公務機關,就是民間的部分,所以如何避免行政作為被人家質疑是侵害人權?
    宋副秘書長餘俠:其實在個人資料保護法也有類似的規範,比方說個人資料洩露之後,也是有這樣一個檢查、訪問,當然在這樣的過程當中經檢查而知悉的秘密,我們也明定要負保密的義務,這個也跟個人資料保護法是有一樣的強度。另外,我們必須強調的是,資安事件的發生即時的處理、迅速的通報是非常關鍵的,目的是希望能夠趕快確定,避免像遠東商銀類似的情形發生,這個就是因為迅速通報、即時處理,在各機關的聯防之下,能夠阻絕駭客於境外,我想這就是它的重要性。
    吳委員志揚:方才委員提出質疑,關於非公務機關的部分你特別講說是關鍵基礎設施提供者才會適用,所以我要請問,什麼叫做關鍵基礎設施提供者?它的範圍有多大?
    宋副秘書長餘俠:我們目前的關鍵基礎設施共有8大類,涵蓋能源、水資源、電信、金融、交通公共運輸、科學園區、緊急救護醫療等等。
  • 吳委員志揚
    所以不見得是資訊產業。
  • 宋副秘書長餘俠
    對。
  • 吳委員志揚
    所以範圍更寬了。
    宋副秘書長餘俠:透過電信來提供這些服務的資訊產業,可能也算是一個提供者。
  • 吳委員志揚
    像第一類電信中的中華電信算不算呢?遠傳電信算不算呢?亞太電信算不算?
  • 宋副秘書長餘俠
    我們並不以第一類或是第二類來做區分。
  • 吳委員志揚
    這應該算是一個主要的carrier。
    宋副秘書長餘俠:對,因為它提供了這些服務。
  • 吳委員志揚
    所以應該算是這種的基礎建設。
  • 宋副秘書長餘俠
    是。即它提供了基礎建設的服務。
    吳委員志揚:第二條名詞定義中有提到「關鍵基礎設施」,指的是實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經行政院公告者。其實「國家安全、社會公共利益」算是比較好界定的,但「國民生活或經濟活動有重大影響」的部分,是否比較偏私人呢?比方說銀行等等。再舉一個對生活有影響的例子,就是FB掛掉,這對大家生活有沒有影響?若LINE掛掉了,這對大家生活有沒有影響?
    宋副秘書長餘俠:這對生活是有重大影響,但是並未對資安形成危害。
  • 吳委員志揚
    什麼叫做對資安的危害?
    宋副秘書長餘俠:比方說銀行業遭到所謂網路分散式阻斷攻擊,讓大家不能在網路上轉帳或是進行證券方面的下單,這時就是對經濟活動有重大影響。
    吳委員志揚:一定要對經濟活動有影響嗎?對國民生活有影響算嗎?比方說Google掛掉了,我們拍的照片都掛在裡面、我們寫的作業都放在裡面、我們立法院問政的資料都掛在裡面,但Google Drive掛掉、被駭了,難道沒有影響嗎?還有一個最好玩的例子,就是前陣子PTT也掛掉了,一大堆網民可能3分鐘沒去看PTT,就不知道自己接下來要做什麼事情了,結果PTT竟然掛掉3小時,當然這跟經濟生活可能沒有什麼關係,但是條文裡有寫到「對國民生活造成重大影響」,像這個例子就是造成很大的影響,所以我擔心你只要開了這個門,關鍵基礎設施裡面若有影響到國民生活的話,那該怎麼辦?其實現在有太多民間的營業者,事實上政府本來就不應該做那些事,本來就是應由民間來做的。
  • 宋副秘書長餘俠
    應該讓民間先備份、復原……
  • 吳委員志揚
    這讓我想到遠通電收eTag應該也是屬於這部分。
    宋副秘書長餘俠:非常謝謝委員的質詢,但我們並沒有打算對FB、LINE有所規範。
    吳委員志揚:你們有無打算不重要,但條文的定義就已經將其包含進去了,所以你們要注意一下這些事情是不是該你們管的。我特別提醒一下,為什麼這會讓人覺得你們太容易放這些人員去檢查人家的東西,尤其是私人的東西,除了個人資料保護法外,刑法第三十六章就是妨礙電腦及使用罪,這是後來新增的一章,在這個章節當中,大概也把幾個駭客會做的事情,比方說偷資料或是破壞等等,也就是轉好幾個行為態樣都放進去了,換句話說,當你講到可能是資安事件的時候,事實上可能已經同時構成犯罪,但在犯罪的時候,連檢察官都需要向法院聲請搜索票,為什麼你們就可以直接派人進去搜索、去詢問?只因為資安的緣故?或許你們會以緊急為由,但你們可以去查一下刑事訴訟法關於搜索的規定,其實後來是好不容易才把這項權利基於法治國的考量,將這項權力交給法官,而不是交給負責偵辦的檢察官,讓其有太大的搜索權,但是有時真的是太急迫,來不及向法官聲請,所以也有一些權力是在檢察官的手上,但這些權力在行使以後3日內仍需報到法院。因此,依據本草案,除涉及到非公務機關之外,如果也涉及到相關的刑事犯罪,而不是單純資安事件出錯誤的情況下,你們至少要配合或是要求司法單位來協助偵辦,再怎麼急迫也要有一點審核,雖然現在檢察官的搜索權已經回歸到法院了,但是在一些緊急的狀況下,還是可以先發搜索票,然後3日內再報到法院,所以你們至少要跟檢察機關合作,讓他們在電腦犯罪相關資安的部分,能有一個通報的機制,而這個通報機制最好是有司法人員在旁,至少在有一些初步、簡單的審核之下,就不太容易去侵害到人民的隱私或是營業秘密,如果這一點沒有做到的話,我想有相當多的委員會有很大的疑慮。
    宋副秘書長餘俠:我們這個是檢查,並不是搜索,另外有的時候並不是犯罪……
  • 吳委員志揚
    你怎麼檢查?
    宋副秘書長餘俠:比方說電腦設定、網路設定錯誤,並沒有形成犯罪,但他們自己也可能發現不了,所以我們經由專家的協助,發覺他們設定錯誤了,這時就是即時改正了。
    吳委員志揚:那是他們請你們進去,如果他們沒有要求,而你們就是要進去看看裡面是否有設定錯誤,那跟搜索有什麼不一樣?
  • 宋副秘書長餘俠
    這一定要符合重大資通安全事件的要件。
    吳委員志揚:現在所謂的法治國就是當你要進到私領域時,必須要有司法一定程度的審查,我們當然知道政府想做很多事,問題是一些事情以人民角度來說,是有可能侵害到人民權利的,所以方才我建議的,包括柯總召講的,都絕對是立委所關心的,你們去把台灣的資安弄得很有水準、很高科技、很有效率,這些我們都贊成,但是在檢查這件事情上,我們看過很多電影,為了防堵駭客,結果政府變成最大的隱私侵害者,有太多這樣的例子,所以我們要站在人民的立場做嚴格的把關,本席剛才所講的概念,請你們回去再思考。
    宋副秘書長餘俠:好的,謝謝委員指教,我們來思考。
  • 主席
    請葉委員宜津發言。
    葉委員宜津:主席、各位列席官員、各位同仁。今天審查資通安全管理法,請問簡處長,網路是不是在國家主權範圍內?
  • 主席
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。關於網路是不是屬於國家主權,目前有幾種不同學說,包括固定領域學說……
    葉委員宜津:我不是要問什麼學說,我是要問這部法,你不要故意拖延本席的時間,請你直接回答。網路有沒有包括在國家主權範圍內?有或沒有?
    簡處長宏偉:就法裡面的概念是有把網路納進來,但還要再銜接國安法。
  • 葉委員宜津
    你已經浪費我1分鐘的時間了!
    請教副秘書長,網路到底有沒有在國家主權範圍內?
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。誠如剛才簡處長的說明,目前並沒有定論。
  • 葉委員宜津
    你跟簡處長一樣?
  • 宋副秘書長餘俠
    目前並沒有定論。
    葉委員宜津:我告訴你,從這部法來看,網路並沒有在國家主權範圍內,這是非常危險的,如果網路不是屬於國家主權,只是如同個人財產被侵犯的下位觀念,網路必須是國家主權,這種上位概念才是完整的。不可諱言,我們抄了美國,但是最重要的重點,我們對網路是國家主權這一點卻不敢立法,其實很多國家都明文立法,網路是屬於國家主權的範圍,現在國家主權已經不是只有傳統的土地、領空、領海,還包括網路,因為網路可以做國家級的攻擊。這是非常嚴肅的議題,沒有把網路納入,這部法根本就是開了一個大洞,也沒有什麼路用啦,就等於是人民個人財產被侵犯這樣的下位觀念而已。本席在上一屆提出國家安全法草案,就已經把網路納進國家主權的範圍內,只有做這樣上位概念的宣示,才能做真正的防禦和管理,要不然沒有用啦,真的沒有用!
    再請問簡次長,資通法適用的對象是誰?
  • 簡處長宏偉
    適用對象包括政府機關、關鍵基礎設施……
    葉委員宜津:第一是公務機關,請問公務機關是否包括軍事機關、情報機關?
  • 簡處長宏偉
    目前排除。
  • 葉委員宜津
    為什麼排除?
    簡處長宏偉:因為這個部分涉及到國家安全,還有更嚴格的資通安全標準,我們會做銜接和資訊交換,所以我們是排除。
    葉委員宜津:如果還有更高等級的管理措施,請問是什麼樣的管理方式?
  • 簡處長宏偉
    這部分請國防部向委員說明。
  • 葉委員宜津
    好。
  • 主席
    請國防部資安處許副處長說明。
    許副處長耿維:主席、各位委員。國防部是訂定更嚴格的標準,誠如委員所講……
  • 葉委員宜津
    叫作什麼標準?
  • 許副處長耿維
    目前我們是採取一個規定……
    葉委員宜津:好,是採取一個規定,一個行政規範,而這個行政規範要求得更嚴格,既是用行政規範,那為什麼這些公務機關不能也用行政規範,還要訂定法律,而且沒有罰則,這是什麼邏輯?用行政規範可以做更嚴謹的規定,竟然搞出一個沒什麼罰則、徒具形式的法律?請問副秘書長,請問處長,這是什麼邏輯?那你們也跟國防部一樣,訂定一個行政規範就好了啊!
  • 宋副秘書長餘俠
    我想國防部的意思是除了他們自己的單行規定之外……
    葉委員宜津:副秘書長,我們是司法及法制委員會!主席,這個邏輯很奇怪吧,我們司法及法制委員會正經八百的審查一個法律,反觀更機密、更嚴重、關係到國家資通的,卻是用行政規範就可以了,這算什麼邏輯啊?完全是莫名其妙,我再強調一次,沒有把國家主權納入的資通安全,根本是騙人的!
    再就另外一個問題,對公務機關沒有罰則,而對非公務機關有罰則,請教處長,非公務機關是什麼?
    簡處長宏偉:就條文對非公務機關的定義,就是關鍵基礎設施提供者、公營事業及政府補捐助達一定比例之財團法人。
    葉委員宜津:就你們的公告,關鍵基礎建設實施者、公營事業、政府捐助達一定比例之財團法人,但是廣義來說,公營事業都是政府的一部分,那你們對非公務機關的罰則,其實就只有針對所謂關鍵基礎建設提供者而已啊,其他都只是陪襯啦!況且基礎建設還要經政府公告核定的才算,你們公告核定的包括高科技園區、能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院這八大基礎建設,對不對?
  • 簡處長宏偉
    是。
    葉委員宜津:面對這些所謂的基礎建設提供的資通安全,你們有能力去查核監督嗎?
    簡處長宏偉:我們就是要去做這件事情,這個領域當然有一些特定的專家學者,所以在查核監督時要納入這些專家學者的專業。
    葉委員宜津:所以你們的人員不足,也沒有主管機關,就是行政院一級機關,從中央到地方沒有人力,你說要去做查核、監督、防護,你是騙誰啊?而且你剛才沒有講,你們規定可以委託其他法人或團體去辦理,對不對?
    簡處長宏偉:是,條文規定可以委任或委託。
    葉委員宜津:顯然一級機關沒有那樣的人力和能力,於是就委託法人或團體,但問題來了,我們以高科技園區為例好了,高科技園區有營業機密、技術機密,你委託法人或團體去查核,他們會隨便讓沒有公權力的人進去查嗎?
    簡處長宏偉:就我們的定義,高科技園區並不是高科技園區裡面的廠商,我們所講的高科技園區是指支撐整個高科技園區的水、電、交通等等,所以高科技園區並不會把這些公司納為關鍵基礎設施。
    葉委員宜津:如果這些高科技公司遭受到資通安全的迫害,我們改以銀行來講好了,銀行總是了吧,你隨便委託一個單位去查銀行,試問銀行會讓你查嗎?
    簡處長宏偉:關鍵基礎設施裡面的確有屬於金融的部分,銀行就是,但目前金管會所提出的有5個比較上位的組織,並不是所有的銀行。
    葉委員宜津:資通安全事件已經層出不窮,資通安全管理法是有迫切性和必要性,但是如果沒有像先進國家建立國家主權這種上位概念的話,這個法是騙人的,好像只是制定一個法,強調你家門窗要關好以避免小偷光顧這樣而已,並沒有建立國家主權的概念,沒有建立國家防護網,資通安全是假的,我還是希望將國防部的概念納進來,它可以用更嚴謹的行政命令,但還是叫國家資通安全管理法,不是嗎?所以,本席認為這個法不完整,還需要大修,謝謝。
    主席:原本今天只進行詢答,剛才委員提出一些憂慮,這個法要再做更恰當的修正。
    葉委員宜津:主席,其實很簡單,我們就打開天窗說亮話,我們不要只抄一半,就全部抄吧,漏掉最重要的部分,那有什麼用呢?只有裝鐵窗而已,都已經到網路時代了!
  • 主席
    謝謝葉委員。
    繼續請李委員俊俋發言。
    李委員俊俋:主席、各位列席官員、各位同仁。請問副秘書長,去年7月31日修正行政院處務規程,將資安辦改成資通處,是這樣吧?
  • 主席
    請行政院宋副秘書長說明。
  • 宋副秘書長餘俠
    主席、各位委員。是的。
    李委員俊俋:就處務規程第十七條的規定,國家資通安全相關法規及規範由資通處負責,這是它的職掌,沒有錯吧?
  • 宋副秘書長餘俠
    是。
    李委員俊俋:所以,現在有關資通安全管理法草案就由你們資通處處理,是這樣的情形吧?
  • 宋副秘書長餘俠
    是的。
  • 李委員俊俋
    資通處跟各部會資訊單位的整合要如何運作?
  • 宋副秘書長餘俠
    是透過副院長所召集的國家資通安全會報來進行整合。
    李委員俊俋:是由會報在決定,實際的執行單位其實不是資通處。
    宋副秘書長餘俠:會報是由副院長召集,委員都是各部會的副首長,會報的幕僚單位也明定是資通安全處。
    李委員俊俋:幕僚單位是資通安全處,但實際執行資通安全其實是各部會的資訊單位,對不對?
    宋副秘書長餘俠:對,因為這個法是訂定基本方針。
    李委員俊俋:各部會的資訊單位因為性質不同,所以有不同的內容和不同的相關。
  • 宋副秘書長餘俠
    是的。
    李委員俊俋:繼續請教處長,現在資通處總共有多少人?
  • 主席
    請行政院資安處簡處長說明。
  • 簡處長宏偉
    主席、各位委員。現在正式編制是15人。
  • 李委員俊俋
    大部分是什麼職系?
  • 簡處長宏偉
    都是資訊職系。
    李委員俊俋:你們今天送出的資通安全管理法草案,其實裡面問題重重,特別在我們法政背景的委員看來,這個法的問題很多,我們以下逐一檢視。首先,立法目的是為了提升資通安全環境,維護社會公共利益,增進資安產業發展,這三個目的都是,對不對?
  • 簡處長宏偉
    是。
    李委員俊俋:先不管你們的立法目的是否符合要求,整個架構有5個章節,包括總則、公務機關、非公務機關、罰則和附則,是這樣吧?
  • 簡處長宏偉
    是。
    李委員俊俋:裡面產生很多問題,條文提到資通安全管理法未來還會有很多的子法,請問包括哪些子法?
  • 簡處長宏偉
    當然是有施行細則……
    李委員俊俋:包括施行細則、作業辦法、通報應變辦法、稽核辦法、資訊分享等等,全部由資通處做整理規劃。
  • 簡處長宏偉
    是。
    李委員俊俋:這才是真正問題所在,你們沒有足夠的人力,人才也只是著重在資訊安全而已,對各部會的相關資訊並不是全部都瞭解,但是要做所有的事情。本席現在要問的是,就第三條的規定,為提升資通安全,推動事項包括資通安全專業人才之培育以及資通安全產業之發展及推動,請問內容是什麼?
    簡處長宏偉:就資通安全專業人才培育部分,基本上資通處是政策規劃單位,比如我們會協調教育部要培育通才和專才,經濟部要培育產業人才,國防部要培育國防人才……
    李委員俊俋:你瞭解本席要問什麼嗎?第三條規定推動事項有資通安全專業人才之培育,以及資通安全產業之發展及推動,但是對於如何推動事宜,條文裡面一個字都沒有提到,一個字都沒談!人才怎麼培育、產業怎麼發展,這部資通安全管理法完全沒有提到,其實本來就不會提到。你現在說你們的作法是去協調各部會,由各部會自行處理,那是怎麼樣運作?
    簡處長宏偉:向委員報告,我們是透過協調部會,以計畫的方式,包括以行政面方式來協調大家來推動。
  • 李委員俊俋
    所以資通安全管理法裡面並沒有提到這件事?
  • 簡處長宏偉
    因為這是屬於執行面的部分。
    李委員俊俋:所以,就法案內容,講不好聽一點,就是脫褲子放屁。我們為了要發展資通安全人才專業培養,為了要發展資通安全的產業發展,但對怎麼發展並不知道,條文裡面也沒有提到,你們有發現這樣的問題嗎?
    再請教處長,人才推動計畫的內容、目標和相關子法是什麼?
  • 簡處長宏偉
    這些都放在第五期的發展方案裡面。
  • 李委員俊俋
    對啊!但是這個法案裡面通通沒有提到。
  • 簡處長宏偉
    因為這已經是屬於執行面……
    李委員俊俋:這就是我要問的問題,你們的法案規範目的到底是什麼?如果只有談資通安全,這個我可以瞭解,就資通安全怎麼做,但如果只談資通安全,就不要跟我說這裡面還有人才規劃和產業如何發展。
    再者,第十四條提到對公務機關所屬人員有獎懲,績效優良者應予獎勵,請問什麼叫「績效優良」?
    簡處長宏偉:包括落實執行資安受稽核的部分,以及確實做到防禦,這也是我們現在正在做對資訊安全評估給予一個準則框架。
    李委員俊俋:判定任何公務機關優良與否,要有評鑑的方法和內容,才有辦法判定,條文只寫「績效優良」,請問「績效優良」定義為何?你瞭解我的意思嗎?
  • 簡處長宏偉
    我知道。
    李委員俊俋:另外,除了對績效優良者予以獎勵,未遵守本法規定者,按其情節輕重,依相關規定予以懲戒或懲處,請問「相關規定」是什麼?
    簡處長宏偉:公務人員懲戒條例相關的人事規範裡面,針對公務人員沒有做的部分……
  • 李委員俊俋
    你是指公務人員懲戒法嗎?
    簡處長宏偉:不是,公務人員服務法裡面所規定對公務人員的懲處……
    李委員俊俋:本席是銓敘部出身的,我告訴你,公務人員服務法裡面沒有任何一件事情提到資通安全,因為時代不一樣了,第十四條規定依照相關規定予以懲戒或懲處,而對公務員的懲戒和懲處一定要有相關的依據,但條文裡面沒有提到,只莫名其妙的說對績效優良者予以獎勵,對有問題的要予以懲處,請問懲處的標準是什麼?獎勵的標準是什麼?
    另外還有一個更有趣,即你們對非公務機關有罰則,請處長再講一遍「非公務機關」的定義。
    簡處長宏偉:依第二條所做的定義,非公務機關指關鍵基礎設施提供者、公營事業及行政院補捐助一定比例之財團法人。
    李委員俊俋:其實你們概念上是事業單位,還有基礎設施提供者,大概是以這個範圍為主,第十九條針對這些非公務機關有一定的罰則,即非公務機關有下列情形之一者,限期改正,如果未改正者,處以新臺幣罰鍰。主要因為它是財團法人或是事業單位,你們就處以新臺幣罰鍰,但是對於公務機關是沒有處以罰鍰,而對非公務機關是有罰鍰,但是它的通則和原則其實是相同的,就是你們對公務機關也是這一套標準,對非公務機關也是這一套標準,沒有符合這一套標準時,一個有罰則,一個沒有罰則,理由在哪裡?
    簡處長宏偉:如果公務機關未能遵守資通安全義務時,除了懲戒,還可以用公務人員考績法等等來追究。對非公務機關,我們是採取鼓勵的方式,所以是限期改正,除非一直不改正才會處罰,因為這是最後的手段。
    李委員俊俋:處長,我要告訴你一個最重要的觀念,我瞭解資通安全處現在想對整個行政體系的資通安全做有效的防範和管理,所以你們希望訂定所謂的資通安全管理法,但是這個法應該做的是規範性的規定,但你們送出的這個版本,不止是規範性的規定,還有實際的內容、獎懲、績效和獎勵,可是對獎懲和獎勵的內容完全沒有提到,然後還分公務機關和非公務機關,並且用同樣的標準,一個有罰則,一個沒有罰則,因為對公務機關沒有辦法罰,所以處長說依照公務人員服務法或公務人員懲戒法來罰,那我告訴你,公務人員服務法或公務人員懲戒法一點都沒有提到資通安全!
    所以,整個資通安全管理法最大的問題是在內部條文設計,基本的問題就出在資通安全處的職掌到底是什麼,你們資通安全處的職掌非常清楚,依處務規程規定,你們就是負責所有資通安全的部分,你們必須要立法,有一個規範,規範和立法是規範性的,不是執行性,真正要執行去查核有沒有出問題,其實不是資通安全處的事情。我舉一個例子,負責所謂基礎設施的單位,比如經濟部水利署,結果我的資通安全因為水利署把水位永遠都做錯,它的資通安全有問題,你們勸它改善而不改善,那這種情況要怎麼處理?這也不是你們資通安全處有辦法處理的,你們的人力不足,你們對特殊行業也沒有專業去處理這些問題,結果你把這些通通包裹在一起,叫作資通安全管理法,所有全部包在一起,最後這個法案就是不倫不類!
    簡處長宏偉:以委員所舉例關鍵基礎設施的部分,就是由它的中央目的事業主管機關在處理。
    李委員俊俋:當然是中央目的事業主管機關,因為你們沒有這方面的專業和人才嘛,你們沒有辦法涵蓋這麼多嘛,你們只有15人,也做不了啊!所以,我要提醒處長,任何有關權利義務的事情,不管是公務機關或是公務人員,你對他的權利義務包括獎懲都要做得非常細膩,要做到依法有據。老實講,就本席的看法,你們並沒有解釋清楚資通安全管理法到底要做什麼,你們不但有規範性的立法,還有執行性的立法,而且你們也講不清楚執行性的立法由誰來做。我們今天只進行詢答,但是我認為這個法還有很多問題,我們還有很多的討論空間,麻煩副秘書長和簡處長要特別注意,謝謝。
  • 主席
    請王委員育敏發言。
    王委員育敏:主席、各位列席官員、各位同仁。今天討論整個國家的資通安全,這個議題的確值得討論,但本席發現我們並沒有討論關鍵議題,而是討論這次的修法,其實這是捨本逐末。近幾年來,包括勞動部、台北市資訊局、外交部等都出現重大的資安事件,這是發生在公部門。我認為處理資安問題要分兩個層次,首先必須做好公部門的資安,然而現在公部門的資安有做得很好嗎?恐怕是沒有,為什麼公部門的資安做得不好?我們來看主要的原因。當時民進黨執政上台之後,做了一件偉大的事情,在立法院用非常粗暴的方式,直接提案在院會廢止了國家資通安全科技中心的設置條例。當時張善政院長認為這個科技中心是捍衛國家資訊安全的重要部門,其實那時也不算小英總統正式上任,民進黨立院黨團和時代力量黨團聯手在院會通過廢止這個科技中心。這件事情茲事體大,當時在野黨的人數很少,沒有辦法阻擋,但是我們苦口婆心勸民進黨不要如此躁進,但是民進黨一上台之後,就是反國民黨所做的事情,為了廢止而廢止。當時張院長對廢止一事也苦口婆心,他說將來的政府會為做這件事情而後悔!張院長認為這個科技中心非常重要,它可以把政府人力資源的問題通通整合在一起,整合在科技中心,讓它有穩定的人力和預算,而不是靠委託的方式來執行整個政府公部門資訊安全的工作。但是105年8月1日,行政院把科技中心廢止之後,設置了資安處,也掛牌了。我請教處長,現在資安處有多少人?
  • 主席
    請行政院資安處簡處長說明。
  • 簡處長宏偉
    主席、各位委員。有15個正式人員。
    王委員育敏:科技中心廢止之後,變成是資策會下轄的技術服務中心,請問你們的關係是什麼?
  • 簡處長宏偉
    我們委託他們處理資安事件。
  • 王委員育敏
    每一年委託的經費是多少?
  • 簡處長宏偉
    這幾年大概是3億到4億之間。
    王委員育敏:這麼龐大的預算,你們無力處理,要透過委託的方式,那你認為是用現在方式比較好?還是交由將之提升為行政法人之後,讓它有獨立的預算和人力得以穩定的運作,會比現在的效能更好?你能回答這個問題嗎?
  • 簡處長宏偉
    我們現在也在檢討它未來的屬性是怎麼樣的情況會比較好。
    王委員育敏:所以你發現現在的做法是錯誤的?其實這不是由你來回答,今天本來應該由秘書長回答。請問宋副秘書長,資安處在105年8月1日掛牌,實質運作是每年以3、4億的經費委託給資策會的技服中心,這樣的作法會比當時張善政院長力主設置行政法人資通安全科技中心更好嗎?你們要不要好好評估一下?現在你們的人力跟資源這麼不穩定,所以難怪公部門的資安工作都做得不好啊!這件事情難道不需要檢討嗎?
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。我們一直在聆聽各界的意見,都會持續檢討。
    王委員育敏:到目前為止,你們檢討的心得是什麼?
  • 宋副秘書長餘俠
    因為資訊科技日新月異、變化很快……
    王委員育敏:需要專業人才,而且在運作上要有穩定的系統才對嘛!
  • 宋副秘書長餘俠
    我們希望能夠結合民間的資源來維持資訊……
    王委員育敏:依照你們執行的狀況,你們現在都是用訂合約的方式,這種方式缺乏彈性,而且沒有辦法快速因應一些緊急的事故。你們現在資安人力的缺口高達500人,對不對?這麼龐大的人力缺口,你們一個資訊處才只有15個人,這樣能做好什麼事情呢?你們應該要整個融合成一個整體,從政策的規劃、人員的編制到預算的編列要合為一體,這樣執行起來才會有效率啊!我相信現在處長做起來也是綁手綁腳吧!有些事情很緊急,又是委託辦理,你們可以親自指揮或自己去做嗎?也不行吧!
    簡處長宏偉:跟委員報告,雖然這個是委託辦理,不過是專人專用,所以其實我們是可以直接指揮的。
  • 王委員育敏
    所以你贊成繼續照現在這樣的模式嗎?
    簡處長宏偉:跟委員報告,我們現在正在評估它的屬性,從公權力大小來確認把它歸為哪一類會比較合適,目前在進行中。
    王委員育敏:好,本席今天要特別凸顯的問題就是,並不是換黨執政就什麼事情都要一切歸零而重新做,如果是好的政策,像張善政前院長其實是非常專業的科技人才,他的觀點、他的看法一定有值得參考的地方,但是我們感到最遺憾的就是去年民進黨跟時代力量在立法院做了這件事情,有審慎評估的過程嗎?根本就沒有!而且也沒有經委員會討論,直接在院會提案,然後就很匆忙的廢止了。對於這樣的廢止過程,本席在此再次予以譴責,為了廢而廢,手法太過粗暴,賠上的是什麼?就是我們公務部門的整個資訊安全,本席希望下一次不要再犯這樣的錯誤,不要再發生類似的情況了!如果人力和資源這些關鍵的問題沒有解決的話,本席不認為你們這次提的「資通安全管理法草案」對於提升整個公部門的資訊安全會有任何的幫助,資訊安全講求的是實質,包括人力有沒有到位、資源有沒有到位,必須要有每天力行的系統性管理,而不是制定一個法來規定如果做不好就要處罰,沒有從本質上來改善,只是規定要處罰,這樣有用嗎?這樣是沒有用的,無助於資安問題的改善跟解決。所以我覺得應該要恢復原來的這個行政法人,讓整個資安工作的人力、資源是一條鞭,而且有穩定的人力來執行政策,這其實是最關鍵的事情。
    第二,本席要檢討你們所提「資通安全管理法草案」的內容,這個案子非常的急就章,本席真的很難得看到連母法都還沒有通過就要先討論子法這種事情,如果母法沒有通過的話,那討論這個子法不是就變成浪費錢、浪費時間嗎?怎麼會這樣本末倒置呢?過去在立法院這種情況非常罕見,母法根本都還沒有討論,召委也沒有要安排進行逐條審查,結果你們在七、八月就召開跟子法有關的座談會,為什麼會這樣本末倒置呢?你們已經完全違反整個立法行政工作的推動了,為什麼會這樣?你們可以解釋嗎?
    簡處長宏偉:跟委員報告,關於子法的部分,我們在七、八月其實只有請政府機關對子法的草案提供建議,至於其他產業和專業的學者,我們並沒有請他們來討論子法草案。
    王委員育敏:現在的問題就是連母法都還沒有通過,你們怎麼知道子法的內容會是怎麼樣呢?這是非常離譜的立法過程,本席希望你們要檢討。
    另外還有一個今天很多人在討論的關鍵問題,就是這個法涵蓋的範圍,現在整個政府部門最迫切的就是應該要先把自己的事情做好,公務部門的資安管理都還沒有辦法完全落實,結果這個法的範圍擴及非公務機關,而且你們對非公務機關的解釋也不是很清楚,有規定關鍵基礎設施提供者,而且影響到民眾平常生活品質的也都是,這樣所有的民營業者都被納進來了。
    簡處長宏偉:關於關鍵基礎設施提供者,其實我們有明確的定義,照這個定義,也不是把所有的業者都納進來,就像我們剛才所報告的,整個資安管理法是以風險管理為核心,所以有風險評鑑的機制,在這樣的情況之下,有8個主要的類別,每一個其實都有再分級。
    王委員育敏:請處長去看一看媒體對你們的評論,這是一個非常嚴重的指控,就是你們這樣的擴權已經侵害到人民的隱私,因為在第十八條規定你們可以進入非公務機關場所檢查,如果他們不配合,還要處十萬元以上一百萬元以下罰鍰。像這樣的動作到底有沒有符合比例原則?立法院可不可以制定這樣的法律、以資安為名去侵犯這些非公務機關?我覺得這是一個很嚴肅的問題,因為過去民進黨也很擅長立一些法,以轉型正義為名而去侵犯一些政黨的財產權益,所以這個部分一直被詬病也招致很多批評。關於民間企業的隱私權跟商業機密,你們在執行的過程當中是不是有侵權?這其實是非常嚴肅的問題,本席希望行政院要非常嚴肅的來看待。
    最後,本席要重申一點,就是整個資安問題最關鍵的就是有沒有穩定的人力、穩定的架構、資源的整合和系統性的執行,而無關乎於這個資通安全管理法,如果這個關鍵的問題、本質的問題沒有到位的話,不管再制定什麼樣的法律,我們政府部門還是會產生資訊安全的漏洞,因為根本就沒有專業的人力、財力和穩定的系統來捍衛政府部門的資通安全。本席認為這件事情是你們的當務之急,而且也該去檢討了,在廢止了那個中心之後,你們現在應該要回過頭來檢討,如果有不當、錯誤的地方,請你們要立即改正,謝謝。
  • 主席
    請劉委員櫂豪發言。
    劉委員櫂豪:主席、各位列席官員、各位同仁。剛才有委員提到或質疑為什麼原本要設立的資安中心廢掉了,所以我想請你們先來說明一下。
  • 主席
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。其實當初廢止資安中心是因為有一些問題,像是不是有足夠的法源等等,在資安處成立以後,我們現在就是要建立整個資安體系,包括法律體系,所以我們提出「資通安全管理法草案」,希望這個法案能夠承蒙大院支持並通過。我們目前也在同步評估整個技服中心未來的屬性,評估內容包括公權力的大小、是否合適,還有應該是一個機關或機構、或是法人甚至是跟民間的協力,這是我們現在正在進行的事情。從法規標準開始,再同步評估整個中心的組織架構、屬性,接下來我們也要推動整個聯防的機制,我們的目的就是要讓所有政府機關還有涉及民間企業的部分能夠一起把資安工作做好。
    劉委員櫂豪:處長,我們今天是要討論「資通安全管理法草案」,原本之前要設一個資安中心,後來廢掉了,是因為設立資安中心是疊床架屋而沒有必要,還是當初過於倉促、考慮不夠周延?你解釋、說明一下,不然外界還是會有質疑。如果資通安全管理法通過了,在整個架構上是不是仍有一個類似資安中心的組織?無論它是政府的機關、行政法人或者是其他的NGO等等,一定要有個架構嘛!你先簡略說明一下,我覺得這個有必要讓外界更為清楚。
    簡處長宏偉:謝謝委員。當初資安中心被廢止的原因,就是包括剛才委員所提到的,第一個是時間上比較倉促;第二個,認為是以團進團出的方式,等於是把原來的技服中心換個名稱;還有一個,當初認為沒有一個法來支持、授權它成立,當初是有這三個疑慮。未來我們也認為的確要有類似這樣的一個組織,等於說政策面是在行政院,執行面是透過這個組織在執行,我們現在往這樣的一個方向在推動。
    劉委員櫂豪:處長剛剛已經說得非常清楚,我可以接受,第一個,當初的想法在整個立法過程中可能比較匆促一點;第二個,其實是把一個舊有的組織改個名稱而已,如果舊有的組織以前就做得好的話,也不需要如此大費周章地立一個法來改名稱嘛!但對於現在進行中的架構你們還是要有想法,就是有一個資安中心,無論它的名稱是不是叫做資安中心,你們現在的想法是什麼?剛剛我講到一個很重要的部分,就是它會是政府部門中的一個行政機關、行政法人或者以其他的NGO等型態來設立?你們初步的想法為何?
    簡處長宏偉:我們初步的想法,其實現在是還在評估中,借鏡上次被廢止的經驗,所以我們正在評估它的屬性、行使的公權力有多大……
    劉委員櫂豪:有沒有一個初步的想法,或者利弊得失為何,你們總是要比較一下嘛!放在政府部門裡面、用行政法人或其他的方式設立的話利弊為何?也許你們有其他的方法,目前我是想到有這三種可能性,包括政府組織、行政法人或者其他的NGO等方式。
    簡處長宏偉:目前我們也的確是按這三大類在分析,如果是行政機關的話,缺點就是人力進用受到限制,而且其更新、進步會受到限制。
    劉委員櫂豪:還有總額控制的問題,你們要加人還有……
    簡處長宏偉:對,還有總員額法的限制,最重要的是薪資也受到控制。如果是政府機關,未來它在推動上會有困難;如果是行政法人的話,其公權力是比較弱的,薪資跟用人方面相對比較有彈性,但對於人員的查核部分就必須加強;而如果它是一個民間的公司的話,我們要考慮到的是,也許其人員進用跟薪資有彈性,但它是不是能夠行使公權力,以及對其人員本身的安全保障是不是足夠?我們現在的確是從這三方面在考慮中。
  • 劉委員櫂豪
    現在行政院是科技部還是哪一個層級在想這件事情?
  • 簡處長宏偉
    現在是直接由行政院資通安全處在處理。
    劉委員櫂豪:你們有沒有比較中意的方向,或者你們什麼時候才會評估出來?因為大家還是會關心,你們認為這個組織是有必要的,無論它的名稱叫做什麼,現在討論的只是在於要用什麼型態來成立及運作嘛!還是說你們要等這個法律通過之後才會思考下一步的問題,或者同步進行,我要問的是你們的時間表為何?
    簡處長宏偉:我們是同步在評估,但在這個法通過了以後才會正式去推這件事情,因為去年廢止之時,其中有一個論點就是沒有一個上位的法源。
    劉委員櫂豪:對。跳到下一個問題,我就姑且稱它為中心,將來你們期待這個中心能夠達到什麼樣的功能?
    簡處長宏偉:我們參考其他國家,包括德國的做法,它要有專業的技術人力、技術持續進步,接下來它要能夠協助整個政府資安事件的通報應變、資訊分享,希望能夠達到這樣的功能。因為它有足夠的技術專家,所以當發生重大資安事件的時候就能即時處理,同時也能夠產出專業的評估報告。
    劉委員櫂豪:我個人的傾向是,如果用行政法人會比較有彈性,但政府要設立行政法人在數目上也受到控制,這其實是另外一種類型的總員額控制。而如果回歸到行政機關,它就真正受到公務人員總員額的控制,所以有其難度。行政機關的好處是,因為都是公務人員,在監督、督促上都很明確,公務體系幾十年來的運作都有一定的規矩在,但相對的其優點往往也可能是缺點,就是比較沒有彈性,包括用人方面的晉級、薪水等都會受到限制。資安人員是非常專業的人才,無論他的薪水或是升遷條件,以現有的體制我們就會怕找不到很專業的人才願意加入此一行列。相較而言行政法人之彈性當然是夠,但或許我們可以預見將來在監督上的問題,因為資安人員相對上一定掌握了很多別人看不到的資訊,當他們擁有技術、資訊的時候要如何監督,讓他忠於職守不致偏差,這是我們將來可能要非常著重的地方。至於其他的像是純粹採NGO等方式,在現行的架構之下我看是有點困難。所以現在應該是歸為兩大類在思考,各有利弊,我們期待行政院團隊能夠儘快推動,除了今天討論的母法之外,就該有的相關組織架構也應該未雨綢繆、同步進行。特別是現在大家都認為資訊安全非常重要,但99.9%的人並沒有能力去捍衛或保障自己的資訊安全,像我們每天都在上網、透過網路做很多的事情,坦白說,我們明明知道這有風險,但無力去防衛自己的安全,只能自我想像:我可能不會是幾億分之一被挑中的那一個人。所以,有賴政府來做這一件事情。
    因為時間的緣故,我只簡單地再問一下相關法律的問題,草案第五條是寫「行政院得委任或委託其他公務機關、法人或團體,辦理……相關事務。」如同剛剛我提到資安中心的問題,你們將來有沒有什麼想法,「法人或團體」是只有一個,還是多面性的、包含很多類型?
    簡處長宏偉:其實它可以是多類型,所以我們才用委任或委託的方式,包括政府機關本身。舉例來講,某一個標準規範建議是由經濟部去處理的時候,我們就可以委任經濟部來處理。
    劉委員櫂豪:所以跟資通安全有關的可能就會分門別類,委託不同專業的人士、無論是政府或者政府以外的組織來做這樣的事情。
    簡處長宏偉:是,我們會朝這個方向……
    劉委員櫂豪:還是回到很重要的那件事情,就是要考量如何監督管理,好不好?
  • 簡處長宏偉
    謝謝委員。
    主席:請鍾委員孔炤發言。鍾委員發言完畢之後,會議休息5分鐘。
    鍾委員孔炤:主席、各位列席官員、各位同仁。資通安全管理法草案討論到現在,上個禮拜也討論過,剛剛這麼多的委員在質疑,甚至說民進黨執政之後把這麼重要的一個三級機關給廢除掉,我們都知道資通安全管理法草案最主要的立法目的就是為了要維護整體的資通安全,另外就是要保障國家安全與公共利益,沒有人會去忽視資安的安全性跟重要性,也不會因為民進黨執政,在105年5月3日把它廢止之後,就忽視它的存在,反而是希望能夠強化它的功能性,最主要就是當時的立法宗旨,但是在這一次的草案裡面,我上一次有提問,你們還是未明定所謂的主管機關,是否直接由行政院為本法的主管機關?因為我剛剛有講,如果在野黨去質疑當時三級機關的資安會報,隸屬在科技部、隸屬在行政部門這麼重要的一個位階,你們把它廢除之後,但是你們的草案裡面卻沒有一個本法的主管機關,到底是行政院或者是科技部,請問處長或副秘書長可以回應嗎?
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。事實上在這個法裡面,是有明定中央機關、地方機關、目的事業主管機關各有的權責,畢竟這個法幾乎涉及到所有的機關,也及於行政院以外的其他中央政府機關,譬如總統府的資安也是在這個法裡面,希望它能提出資訊安全的維護計畫等等,假如這個法定了主管機關……
    鍾委員孔炤:你直接回答我,行政院是否為本法的主管機關?是或不是?
    宋副秘書長餘俠:行政院會同其他目的事業主管機關,是為這個法的……
    鍾委員孔炤:但是你要想說之前因為是二級管理,然後剛剛執政黨一直講,原來的位階很高,但是沒有啊!當時是從二級降到三級啊!對不對?所以才會在105年5月3日把它廢止掉啊!然後現在要把位階拉回來,對不對?所以不會因為這樣,它原來是二級耶!講白一點,是國民黨當時執政的時候把它降為三級耶!怎麼會變成民進黨再把它降級呢?本末倒置!如果是這樣的話,資安處的架構、主管機關是不是應該類似消費者保護法,是不是類似這種方式?
    宋副秘書長餘俠:目前的運作就是這樣,同樣像行政程序……
  • 鍾委員孔炤
    那沒有中央主管機關啊!
    宋副秘書長餘俠:行政程序法、國家賠償法也沒有主管機關,它是定在條文裡面,各有各的主管機關。
    鍾委員孔炤:因為現在只有目的事業機關及縣市政府,那我就要問你,如果是這樣,未來科技部扮演的角色是怎樣?行政院資安處的角色又怎樣?國家資通安全會報角色又怎樣?地方政府的權責又是如何?這些都是剛剛委員一直在質疑的地方,草案並沒有說明得很清楚啊!難怪委員會有四大疑慮啊!然後副秘書長也沒有解釋得很清楚啊!
    宋副秘書長餘俠:剛剛有特別報告說,這些法律涉及到各級機關,也有沒有定……
  • 鍾委員孔炤
    所以今天才會邀請很多部門來嘛!
  • 宋副秘書長餘俠
    它是定在各個條文裡面……
    鍾委員孔炤:不管是審計、國防等單位,一大堆統統坐在後面,但是有關他們角色的扮演,我剛剛有提到科技部的角色到底在裡面扮演什麼?行政……
  • 宋副秘書長餘俠
    我剛剛特別舉了例子……
    鍾委員孔炤:我問一下用詞的定義,所謂的非公務機關,包括關鍵基礎建設的提供者,它有八大功能對不對?
  • 宋副秘書長餘俠
    是。
    鍾委員孔炤:有關這八大功能,我的建議不知道是對或錯,但是你們是不是可以做參考,因為我上次也特別把資料給處長過,是不是可加上概括性的條例,最起碼讓它不會很抽象。講白了,那個關鍵基礎設施的提供者有八大功能,雖然是很抽象的東西,但是如果可以加上概括性的條例在裡面,授權行政院調整公告的方式來加以定義,會不會比較具體,容易讓大家來了解?
    宋副秘書長餘俠:謝謝委員,這部分我們來檢討,這是很好的建議。
    鍾委員孔炤:上一次我就有書面給處長,我也感謝你很快就回應我,但是有些東西你們還是避重就輕,也沒有回答得很清楚,所以我才會在此再次詢問。大家的時間都很難得,因為我們的時間就只有8分鐘,頂多延長2分鐘,我一直跟你講關鍵基礎設施的定義是不是要明確一點,因為關鍵基礎的安全設施如果不明確的規定,不是只放在立法說明而已,包括我的書面資料也有給你嘛!
    另外,我想問的是非公務機關進入檢查,你們要進入檢查,這個檢查就會涉及非公務機關相關資訊的隱私,或是其營業機密,或是法遵的成本,都是你們要做妥善考量的。但是對於你們進入檢查的資格、檢查員的資格跟其身分,我沒有看到草案裡面有規範。他的資格是怎樣?進到非公務機關檢查的時候,你們是認為必要時得派員執證明文件進入非公務機關檢查,對不對?但是這些檢查員的資格該怎麼認定?
  • 主席
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。其實檢查員資格的部分,有包括幾類,第一個是資安的專家;第二個是視需要,可以有法律的專家一起進來;再來我們也會邀請這個領域的專家,譬如能源就要有能源的專家一起進來,整個概念上的檢查是採這樣的形式。
    鍾委員孔炤:如果對民間單位加以區隔,或派檢查員去檢查,是否有合於現有的法令?像是憲法的比例原則,就可能會有疑慮。我剛講這會牽涉到資訊的隱私、營業的秘密及法遵的成本,你們認為在檢查的過程中,對於比例的原則不會有疑慮嗎?
    簡處長宏偉:剛才有提到,針對商業秘密或營業秘密的部分,基本上我們在整個設計裡面,參與檢查的人員本身就負有保密的義務,在程序上我們也會要求他們簽訂相關的保密切結。至於我們檢查的內容,只涉及資安的範圍。
    鍾委員孔炤:但是你們的檢查,原則上4年才做一次啊!你們在條文裡有公布,國家的資通安全政策裡面,你們是4年檢討公布一次,對不對?我剛剛要問你的就是這種私領域……
    簡處長宏偉:4年公布一次是國家資通安全發展方案,這是4年一期,接下來我們會公布資安的情勢報告,這個部分我們也會定期公布。
    鍾委員孔炤:有關資訊安全的發展,你認為攸關國家安全,對不對?因為立法的目標很清楚,要保障國家安全跟公共利益,那你認為4年檢討一次不會太久嗎?
    簡處長宏偉:這種發展方案,就雷同其他國家策略藍圖的概念,策略藍圖基本上是4年,但是每年會滾動修正。
    鍾委員孔炤:剛剛也有委員跟你們講,現在資訊那麼發達,也許可能一天就有多少變化,但是相對之下,你們4年才做一次資通安全政策的檢討,太久了吧?
    簡處長宏偉:它會每年滾動修正,4年是定大方向,然後每年滾動修正。
    鍾委員孔炤:但是你現在解釋才說有滾動修正啊!滾動修正跟4年為一期公布資通安全的發展方案,是不一樣的。
    簡處長宏偉:方案本身雖然是4年,但每年都會滾動修正,也是配合整個科技的發展還有資安情勢的改變,會去做修正,謝謝。
    鍾委員孔炤:謝謝,本席認為一個資訊安全的方案仍然要配合國家安全的情勢報告,我還是會建議是否兩年為一期公布方案,也許微調也許沒有,但是隨時保持動能,讓我們的資安發展跟上時代趨勢,不然4年實在是……,考慮一下,如果我們的時間跟不上時代的變化,就枉費設立資安處的定位了。
  • 簡處長宏偉
    謝謝委員。
  • 主席
    休息5分鐘
    休息
    繼續開會
  • 主席
    繼續開會。
    接下來登記發言的廖委員國棟、鄭委員天財均不在場。
    請曾委員銘宗發言。
    曾委員銘宗:主席、各位列席官員、各位同仁。基本上在這個時間點上制定資通安全管理法我是贊成的,為什麼?原因很清楚,因為現在行動化、數位化之後,資安變成非常重要,我這裡有個數據,依照SIMATIC全球最大的安全軟體公司2016年的調查報告,全球網路犯罪受害人有5.94億,也就是有5億9,400萬人受害,受害的金額是1.58億美元。另外最新的2017年網路安全威脅研究報告表示,從銀行搶錢最有效的方式不是槍枝,是電腦。在虛擬攻擊中,今年預估會有10億美元被盜。另外FireEye公司也表示,臺灣受到的惡意攻擊是亞洲第二。在亞洲地區有7%的惡意攻擊中,是針對臺灣客戶而來的,僅次於南韓的43%。
    所以,基本上在目前的環境下,要制定資通安全管理法,本席是非常贊成。但是我看條文中,像第三條要推動下列事項包括四項:第一、資通安全專業人才之培育,二、資通安全科技之研發、整合、運用、產學合作及國際交流合作之推動,三、資通安全產業之發展及推動,四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。以上四項每一項都非常重要,也非常偉大。請問副秘書長,到時候是誰來推動?怎麼做?有沒有訂定一定的目標?還是只是宣示性質?反正就寫一下讓立法院通過,以後存檔就好。這四項中任何一項要做都不容易,我的理解是沒有主管機關,這問題問副秘書長是為難你了。
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。這四項工作都要由行政院會同各目的事業主管機關一起來推動。像人才的培育從大學的教育是教育部,一直到經濟部做專業的教育,甚至到科技部對於這些規範、證照的規劃,都要來做。當然這些部會可能要配合行政院整體的資安發展方案來推動,所以第三條定這些推動的事項,到第四條特別有提到會訂定4年一期的資通安全發展方案來推動。
    曾委員銘宗:副秘書長,當這個業務回歸到各部會之後,對各部會來講都是次要業務,並非主力業務,到時候只是宣示性,根本做不到,所以我覺得剛才鍾委員孔炤講得有道理,主管機關先確定,要的話就定行政院。另外請教關於第七條,行政院應建立資通安全情資分享機制。本席贊成,這是純公營還是也包括民營?請說明。
  • 主席
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。這個標準的機制由我們訂定標準規範後,比如金管會建立聯防中心,就要follow我們這個規範,也會去推廣讓民間銀行或是證券業也能引用,把資訊作分享,所以規範及機制是由我們定義出來。
    曾委員銘宗:所以金管會定的部分可能就是銀行、證券、保險,對不對?
  • 簡處長宏偉
    是。
  • 曾委員銘宗
    也包括民間及政府機關?
  • 簡處長宏偉
    是。
    曾委員銘宗:其實銀行走得比較快,像英國早就成立了,英國的資訊分享機制包括銀行、證券、保險,也包括一般的上市上櫃公司,美國的部分只有銀行歸銀行,其他產業歸產業。另外跟你討教有關第十八條的檢查是由誰來檢查?是行政院資訊處還是各部會去檢查?
    簡處長宏偉:現在以條文所述,是由中央目的事業主管機關邀集專家學者及法律學者,還有資安專家一起去檢查。
    曾委員銘宗:好,還是要回到各主管機關,你要把各主管機關訂明。像最近銀行發生這些詐騙事件,主管機關金管會也沒這個能耐及專業,它有銀行、證券、保險的金融專業,資訊的話它就沒這個專業,它也邀請外界包括趨勢科技做相關檢查。本席問一個問題,錢由誰出?你這裡沒有交代,這個檢查是很貴的,假設邀請這些專家,誰出錢就是個問題。權力來自哪裡?錢誰出?這裡都沒有交代,我建議可以比照證交法第三十八條之一之規定清楚,主管機關因為有必要對上市上櫃做檢查,可以委外會計師或律師等專業人員去做檢查,也可以邀請像趨勢科技這樣的公司去做檢查,將檢查結果提供給主管機關,錢由業者出,在這裡就要定清楚才有其可行性,不然你叫主管機關派人嗎?主管機關自己都看不懂,我不騙你。到時候我再來提案好了,謝謝。
  • 簡處長宏偉
    謝謝委員。
  • 主席
    麻煩鍾委員孔炤暫代主席。
  • 主席(鍾委員孔炤代)
    請蔡委員易餘發言。
    蔡委員易餘:主席、各位列席官員、各位同仁。今天是處理資通安全管理法,剛才有委員提到資安中心廢止及未成立的問題,本席請宋副秘書長及簡處長說明一下,即廢止資安中心與現在要處理的資通安全管理法有何關係呢?
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。謝謝蔡委員,剛才簡處長有提到,去年這個中心設置時,各界有一個疑問,關於該中心相關法律的依據,即執行的作用法的相關內容包括哪些範圍。當時大院廢止之後,我們即刻對……
    蔡委員易餘:那時講得很清楚,就是沒有作用法只依組織法而已,當然就無法框定他們到底要做什麼,基於這樣的理由才會認為資安中心成立太早了,所以我們才會予以廢止,這樣的理由非常清楚應該也沒有錯吧!
    如果我們要處理資通安全,母法當然是最重要的,上午有委員同仁對條文內容均有提出比較會有擔心之處,針對條文的理解,本席舉出以下幾項疑慮。第一,資通安全管理是針對網路安全,甚至要考量到國家安全嗎?在總則裡已經開宗明義表示,這部法律將會帶動資通安全的產業發展,請問為什麼會與產業發展有關係呢?
    宋副秘書長餘俠:各行各業都有運用到資安,就像過去很多產業發展會有這樣的需求一樣,因此我們必須健全產業的發展。今天不管是資安維護計畫、通報應變或情資交換等作為,均需經過資安產業的服務而讓整體體系完善化,針對過去比較是單打獨鬥的資安行業,我們希望可以帶動他們的產業發展。
    蔡委員易餘:產業發展應該不是這部法律的重點,現在資訊產業已經存在了,比如要防止軟體被駭或駭客入侵等,所以產業必須應對而築出防火牆,我們在談資通安全並非就是要促進他們的產業發展。難道你們以後會編經費給某家廠商,讓他們為了因應駭客而去發展出什麼樣的軟體嗎?
    宋副秘書長餘俠:我們不會這樣做,我們是用這樣的方式來帶動,所以是訂定在資訊安全發展方案中,也會看看當時資通訊科技的發展趨勢為何,而在方案中特別去研發哪一種技術,然後等這些技術成熟之後就會去運用……
    蔡委員易餘:基本上這已經和科技部疊床架屋了,如果你認為帶動發展很重要的話,這部分的主管機關就是科技部了嗎?
    宋副秘書長餘俠:科技部和經濟部,在方案中有擬訂相關產業發展的具體執行計畫。
    蔡委員易餘:你還是沒有理解本席為什麼會這樣問,我認為資訊安全的管理就是管理,而且跟產業是沒有關係的。如果從條文架構去瞭解的話,也很難去理解資安管理到底要帶動什麼樣的產業啊!我們為了達到管理的目的,可能會去採購部分的科技軟體,但這還是要回歸到採購法嘛!我們不會在這部法通過後去編列預算,以鼓勵哪些產商去做哪種軟體的開發,這部分請處長說明一下。
  • 主席
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。我們在法通過之後,的確不會編列預算去補助特定公司或特定產品的開發,至於為什麼會提到帶動產業的發展,目前我國的資安產業並不是很大的產業,我們希望通過本法後,在防護標準訂定出來之後,對於國內資安產業將會有發展的機會。
    蔡委員易餘:這是附隨的效果,並非訂定本法的目的。
  • 簡處長宏偉
    所以我們是用帶動。
    蔡委員易餘:即使將這幾個字拿掉,我認為也不會影響本法通過立法,這是我提出的第一點。
    第二,有關第十九條以下的罰則,你們是針對非公務機關,而且還限定在持有關鍵基礎設施才訂定有罰則,可是對於公務機關卻沒有罰則。這部法律好像是針對私人企業而來,你們對政府部門的規定力道也太小了。
    簡處長宏偉:其實不會,對於公務機關的部分,我們在第十四條有提到,依相關規定處理,比如考績法等,其實會比罰鍰更高。如果對公務機關罰款的話,等於是從國庫的左手交給右手,實際上的效益並不大,因此我們在第十四條是依相關規定來懲戒或……
    蔡委員易餘:從國庫的左手到右手,這是整個預算的概念,對於公務機關而言,他們還是會很痛苦,因此我無法接受你的解釋。一旦公部門違反資訊安全或通報義務時,該處罰的還是要處罰,這在隔年度的決算中也可以看到他們因違反資安而被處罰,既然被處罰的話,相對應而言,就應該有公務人員要被懲處。縱使你們會依公務人員服務法,或懲戒的相關規定等恐有重疊之處,但是我認為並無不可嘛!在特別法中再次重申,如果公務人員涉及違反資通安全就可以做相關的規定,既然是特別法的話,要嘛就比較重或一樣重,但是不能沒有規定,否則這部法看起來就是在針對民間企業,對公部門反而是付諸闕如啊!
    第三,第十八條是規定主管機關與政府的檢查辦法,你們賦予機關可以到非公務機關,包括銀行或通訊等處去檢查。你們是中央目的事業主管機關,結果卻又授權地方縣市政府也可以有檢查權力,這樣會不會將權力開得太大呢?我們對檢查本身已經有很大的疑慮,結果你們卻讓中央及地方縣市政府都可以去做,縣市政府有能量或公務人員有能力去理解什麼叫做資安檢查嗎?還是後來會變成擾民,或是形成對私權侵害的一個破口呢?請處長說明一下。
    簡處長宏偉:謝謝委員。當初第十八條會把直轄市、縣市政府納進去,是考量到有些關鍵的基礎設施是屬於縣市所管,就像捷運公司,在這種情況之下,的確是由直轄市來主管,由它來負監督之責。
    蔡委員易餘:雖然是由它監督,但是通過之後你們還是可以去監督。
    簡處長宏偉:是。所以這個部分我們也會參酌委員的意見,看看是不是要做更明確的限定。
    蔡委員易餘:講到更明確,我覺得如果真的要處理第十八條,可以針對各機關去檢查的部分來修改,這麼重大的檢查,你們只用一條就處理掉,以正當法律程序來說,像刑事訴訟法,關於搜索、盤查的程序都相當嚴謹。對於第十八條,我認為甚至把它的位階拉到更高,讓它變成專法,規定得更細膩,都是有必要的。而你們直接用一個條文就賦予主管機關這麼大的權力,讓人感覺這就是一個帝王條款,根據這個條款,為了檢查,什麼都可以做。對於這部分,我有很大的疑慮。今天只有排詢答,希望你們趕快針對整部草案再好好討論,這樣才有辦法進行最後的條文審查。謝謝。
  • 主席
    請林委員俊憲發言。(不在場)林委員不在場。
    請余委員宛如發言。
    余委員宛如:主席、各位列席官員、各位同仁。根據國發會的資料,2017年5月徹查行政院相關機構144個App,有98個資訊安全檢測不合格,比例高達七成,投入預算近2億,此計畫要求各機關於同年改進,但直到7月底還有28個未通過檢測而先下架。我想問簡處長,以這件事情來說,依照現在院版的草案,目前對應的流程是什麼?App寫完,事前查核的是誰?事中監控的是誰?事後懲處由誰來判定?如何判定?請簡處長說明。
  • 主席(蔡委員易餘)
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。以這個App為例,現階段由國發會處理。國發會訂定規定,要求App必須符合相關資訊安全規範才能上架,這部分國發會會去監督,如果App不符合相關資訊安全規範或App標準,就必須由開發的機關去改善,如果沒有改善,國發會就會要求下架,這就是處理的流程。
    余委員宛如:依照現在的院版,以後也是這樣的流程嗎?
    簡處長宏偉:依照現在的院版,以後也是依照這樣的流程,因為政府機關的資訊管理還是由國發會來做。
    余委員宛如:所以,換句話說,有修法和沒有修法都沒有差,是這樣嗎?
    簡處長宏偉:有修法和沒有修法還是有差,目前是以行政命令或行政規則來推動政府本身的……
    余委員宛如:關於App,從103年起你們都只是以行政院的院會來議決資安的問題,我們今天要修這個法,就是希望能夠重視我們台灣的資安能量,以資安的防護來講,最重要的就是它的SOP、它的流程,讓它能夠灌輸資安的意識和力量到每個角落和環節,我們不能再照過去的路來走。你這個版本在修法前和修法後完全是一樣的,那你到底改了什麼地方?
    簡處長宏偉:在整個SOP,其實是以PDCA的方式來改善,所謂PDCA,並不是今天這樣不行,明天就換一套做法,而是針對過去發生的情況來檢討,修正SOP,目前的行政……
    余委員宛如:簡處長,不好意思,我的時間有限,必須打斷你的話,真的不好意思。我想要提醒你,我看了這個版本,今天很多委員也針對這個版本提出質詢,在你們這個版本中,「相關主管機關」這部分只有草率地寫了行政院、目的事業主管機關、地方政府等等,卻沒有明確寫出哪些責任應該由誰去負責。我們以美國FISMA架構來談,技術資源中心是聯邦資安事件中心,你覺得台灣對應這個中心的應該是哪個單位?政策制定和業務監督在美國是由國土安全部及國家情報總監負責,你覺得台灣哪個單位可以對應?資安防護標準之制定,在美國是由NIST負責,你覺得台灣哪個單位可以對應?針對這個App事件,我完全看不到對應機制,在你的版本裡也沒有看到,在權責不分明的情況之下,如何做好台灣的資安防護?
    簡處長宏偉:以現在的規範來講,現在的機關業務職掌標準的訂定和規範在標準檢驗局,整個政策的擬訂在行政院,在防護的執行,關鍵基礎設施部分回到中央目的事業主管機關,技術資源部分是由資安處底下的技術服務中心處理。我們在現在的架構上,也是採用這樣的方式。
  • 余委員宛如
    這些單位可以明確列入法規中嗎?你覺得可以嗎?
    簡處長宏偉:目前在這些單位的組織法或業務職掌中其實都有了,並不需要在法裡重複描述。
  • 余委員宛如
    那你在逃避什麼?
  • 簡處長宏偉
    並沒有在逃避。
  • 余委員宛如
    並沒有在逃避嗎?
  • 簡處長宏偉
    是。
    余委員宛如:換句話說,其實可以列入法規裡,我覺得明定是比較好的。
    第十八條也有很多委員在詢問,簡處長,以一個資訊人的立場,你覺得政府這樣立法恰當嗎?
    簡處長宏偉:以我的立場,當發生重大資安事件時,的確該在第一時間停止,這是真的。
    余委員宛如:科技部薛處長也在場,請問一下,你以資訊人的立場來看第十八條,你覺得政府這樣立法妥當嗎?
  • 主席
    請科技部資訊處薛處長說明。
  • 薛處長大勇
    ……
    余委員宛如:再請問經濟部的馬主任,你覺得如何?
  • 主席
    請經濟部資訊中心馬主任說明。
    馬主任正維:主席、各位委員。如果未來資安檢查法規可以明定,在執行上沒有問題,我們應該可以配合執行。
    余委員宛如:如果現在的條文沒有那麼清楚,到底各目的事業主管機關有沒有這樣的資安能量?就我剛剛聽到簡處長說的,這樣的方法能去檢查整個……
    馬主任正維:目前分兩個部分,其中一個是監理,目的事業主管機關就有這部分,而我們並沒有監理的部分,所以目前我們沒有辦法去做這樣的檢查。
    余委員宛如:你們沒有辦法監理,所以如果我們這樣立法下去,是不是會把台灣的資訊產業都趕出國?
    馬主任正維:應該是不會,因為我們目前不會有檢查這部分,未來檢查會讓他們有機會更加強,產業也應該會有機會做更多的發展。
    余委員宛如:好,謝謝。
  • 主席
    接下來登記發言的孔委員文吉、管委員碧玲、王委員惠美均不在場。
    請尤委員美女發言。
    尤委員美女:主席、各位列席官員、各位同仁。我們都知道資安非常非常重要,尤其現在都是資訊戰和網路戰。我們也知道,2007年波羅的海三小國中的愛沙尼亞因為受到俄羅斯的駭客攻擊,造成全國網路服務中斷將近一個月。2013年3月,駭客癱瘓了南韓的電視台及銀行電腦、格式化磁碟並清空資料,後來南韓公布調查報告,指控北韓主謀攻擊,籌劃時間長達8個月。從這些案例來看,再想想中國對於網路的監控及中國駭客的行為,如果中國要對台灣進行實體戰,要花費更大的代價,而他們現在用的就是透過網路來進行虛擬戰爭。在這種情況下,資通安全是全民都急迫需要的,建構整個台灣的資訊安全有其必要性和急迫性,今天院本部提出的資通安全管理法有一些問題,前面有幾位立委也提到了,人民所期待的是一個非常完整嚴密的資訊安全法,但是這部法並不是把重點放在後端的稽核、管理、行政檢查,而且檢查針對的是非公務機關,是做基礎設施的民間團體,這引起民間的恐慌。人民需要的是政府用資源去培訓人才,不分公部門、私部門,所有機構的資安系統都建構起來。我們一方面期待政府的資安能夠建構得滴水不漏,讓外國駭客沒有辦法入侵,另一方面希望不要讓人民的資訊系統被隨便入侵,影響日常生活、經濟活動、社會活動。然而並不是所有的民間機構都具備足夠的知能和資源,可以把這部分建構得滴水不漏,離這一步還有一段距離,所以大家希望有一部完整的資通安全法,兼顧公部門及私部門,把完整的體系建立起來,建立起來之後,後面的控管也要隨之建立,我們現在好像看不到,雖然你們在第一條開宗明義說要促進資通產業的發展,但是後面的條文中,這部分的內容好像比較少,這牽涉到這部法的定位到底是什麼,對於這個問題,請簡處長說明一下。
  • 主席
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。在整個法的定位上,我們遵循事前、事中、事後這樣的概念來處理,我們先定義它的範圍,包括關鍵基礎設施、公營事業、財團法人。在事中的部分就是通報應變,所以我們在法裡有要求要有通報應變機制。在事後的部分就是它的改善,從事件後的處理回到原來的改善。所以我們在整個法的概念就是事前、事中、事後,而它的手段就是用擬訂資安維護計畫做為最上頭,接下來是稽核的方式,由目的事業主管機關去確認是否落實,藉由稽核來發現缺失,來做回饋及改善。我們在設計上的架構是這樣,這整個就是以風險管理為核心,並不是所有的關鍵基礎設施全部納入,我們還是經過風險評估的框架,資安處來立定整個資安管理的框架,包括評鑑的方式及風險的判定等等。我們認為這個法很重要,我們所要做的,就是以風險管理為核心,之後從事前、事中、事後的階段,通過維護階段擬訂稽核和回饋的修正等程序,所以它整體框架是這樣子。剛才委員也有提到人才的培育和產業的發展,這部分我們放在第四條。為什麼我會特別提到資通發展方案?其實整個科技進步非常快,就政府的推動來講,以每4年為一個方案的期程,在這4年裡面定一個大方向,逐年以滾動的方式來修正,我們在人才培育的方案裡,去協調經濟部、教育部、國防部、國發會等,針對在職、在學、在營的人才做培育。在產業面的部分也是一樣,我們請經濟部評估目前國內主要資安產業是在哪個方向,缺口在哪裡,接下來就是產業所需要的資安需求是什麼。所以我們是透過資通安全方案的方式,把這些落實。
    剛才也有委員問到,整個方案交由各部會來執行,由誰監督?其實就是由資安處來監督,我們在資通安全會報這樣的平台檢視這些方案的逐年目標和最後的整體目標有沒有達成。在法律的框架之下,就是剛才跟委員報告的風險管理、事前事中事後一一維護、計畫、稽核、後續修正,以發展方案來做橫向的連貫,加以推動。
    尤委員美女:你剛才提到這是一個整體的機制,這就牽涉到你要去做檢討,就是第四條所講的資通安全發展方案,你們會4年做一次調整,但是我們也知道,資訊發展日新月異,速度非常快,資通安全方案4年檢討一次會不會太慢?很多專家學者在公聽會上說,你們前面說會定期公布國家資通安全情勢報告,2年就會做一次,為什麼國家資通發展方案是4年才一次?
    簡處長宏偉:方案本身是屬於比較中程的計畫,所以我們定4年為期,每4年提出新的一期,可是並不是4年定了就不去變動,我們每年都會去檢討這個方案,比如說,今年發布以後,我們執行了,接下來我們到年底就會去檢討,考量隔年是不是必須做調整,到107年有哪些重點的東西應該納進來,我們的調整也都會公布出來,並不是4年才公布一次,中間的更新不公布,其實中間的部分我們還是會公布。
    尤委員美女:剛才很多委員提到,關鍵基礎設備中屬於民間的、非公務機關的部分,如果沒有依照這個法來做,將來會有罰則,這就牽涉到一個問題,當有罰則時,法律文字就必須很明確,這也牽涉到關鍵基礎設施的定義,在第二條第一項第六款中有提到,關鍵基礎設施指的是實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,並經行政院公告者。本席是覺得這樣的文字有點抽象,在立法說明裡,你們把八大領域範圍(包括能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等)這部分放在立法說明裡,基於法律明確性的原則,是不是可以把這八大領域直接定在定義裡?說明關鍵基礎設施指的就是這八大領域,再加上你們說的實體或虛擬資產等等,這樣是不是會比較明確?
    簡處長宏偉:委員剛剛提的,我們會看怎麼樣來做文字上的修正。不過關鍵基礎設施的定義也是要去滾動檢討的,目前我們是跟國土辦一起配合,大概每2年會去檢討一次,舉例來講,像美國就有16個關鍵基礎設施,日本有13個,他們都會做逐年檢討,我們這邊如果是用例示的方式,註明定期以公開的方式做檢討,應該是可行的,但是如果明確定出就是這八大領域,可能變成每次檢討就必須回過頭來修條文,這樣也是欠缺彈性,因為基於這樣的考量,所以我們當初把這部分寫在立法說明。
    尤委員美女:當然,也可以是例示加上概括的立法模式,我也是提供意見給你們參考。
  • 主席
    接下來登記發言的林委員德福、周委員春米、蔣委員乃辛、黃委員昭順、呂委員玉玲、周陳委員秀霞、徐委員永明、鍾委員佳濱與陳委員歐珀皆不在場。
    請段委員宜康發言。
    段委員宜康:主席、各位列席官員、各位同仁。我要向行政院請教幾個關於資通安全管理法的問題。第1,這項法律所規範的對象到底是什麼樣的單位?非公務機關除了公營事業與政府捐助之財團法人以外,就只有一種,就是關鍵基礎設施提供者。至於什麼是關鍵基礎設施,剛才尤委員已經講過,我就不再重複,但必須是在提供的功能停止運作或效能降低的情況下才適用,那就排除了個資外洩,因為個資外洩其實並不影響設施的功能。我舉個例子好了,剛才我聽到,證交所的目的事業主管機關是金管會,而證交所應該會被認為是關鍵基礎設施的提供者,對不對?我應該沒有聽錯。那我們假設一種狀況,就是證交所的名單外洩。證交所雖然被視為關鍵基礎設施的提供者,但就其名單、也就是個資,包括所有交易資料外洩一事來說,應該不被視為關鍵基礎設施遭到破壞,對不對?就法條來說是這樣吧?請行政院宋副秘書長說明一下。
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。現行個人資料保護法其實有類似的檢查條文,根據條文,形成要件是資料檔案、安全維護業務中止、資料處理方法、國際傳輸等資訊有外洩情形。本法的重點確實還是在停止運作與效能降低,但有時很難界定症狀會不會持續影響,導致關鍵基礎設施停止運作,所以我們必須與個資法的主管機關法務部密切聯繫。
    段委員宜康:假設我把取得的個資賣掉,也許做其他商業使用,或用來詐騙,但並不影響關鍵基礎設施的原有功能啊!例如證券交易繼續進行,除非可以證明這起資安事件造成關鍵基礎設施的原有功能停頓,照你們的法條定義,這樣推論沒有錯吧!
    我也要請問另外一個問題,是關於名詞定義的第二條,其中第一項第三款針對資通安全提到「洩漏」,在定義上,關鍵基礎設施一定要遭受攻擊到功能停止運作與效能降低的程度才適用本法,如果只是資料的洩漏,看來就不包括在內。
  • 主席
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。剛才委員提到的問題,在我們的分級事件中列為第三級,屬於重大事件,也就是說,資料外洩了……
    段委員宜康:不,你不了解我的意思。
  • 簡處長宏偉
    這類事件就屬於本法適用範圍。
    段委員宜康:我是說,本法規範的範圍,在非公務機關只規範關鍵基礎設施提供者,對不對?以銀行為例好了,我剛才如果沒有聽錯的話,金管會不把銀行視為關鍵基礎設施的提供者,對不對?是,還是不是?銀行是不是關鍵基礎設施的提供者?不是吧!
  • 宋副秘書長餘俠
    金管會副處長也在座。
    段委員宜康:假設某銀行遭到資安攻擊,導致交易功能停頓,畢竟現在銀行都要使用電腦,一旦電腦被駭、導致當機,交易功能是不是停頓?包括匯款、甚至連存提款也無法進行了。存提款或許還可以,但跨行轉帳就不行了。這會不會對社會公共利益或經濟活動造成重大影響,或是對社會造成重大衝擊?我想會吧!可是,如果我們提報的名單沒有銀行,因為銀行最常發生的資安問題是個資外洩,所以我們就不把銀行視為關鍵基礎設施的提供者,一旦某銀行遭到攻擊,導致電腦當機,各位可以想像,對於其客戶或商業活動會有多大影響。所以,我認為本法在定義的處理上有點混亂,不確定到底想規範什麼樣的事件、規範的層次是什麼,以及要達到的目的是什麼。
    我再問一個問題,是關於地方主管機關。我們給地方主管機關什麼樣的權限呢?剛才余委員宛如也問了,地方主管機關可以檢查、可以處罰,該非公務機關要把資安計畫提報給地方,包括直轄市與縣市政府。但我們為什麼相信他們有能力處理這些問題?假設如同剛才行政院所報告的,美國與日本的關鍵基礎設施提供者數目這麼少,那我們為什麼不能要求行政院擔起所有責任,為什麼要讓縣市政府處理?你要我們相信縣市政府有能力?或者我們可以期待,把這麼重大的責任交給縣市政府是合理的嗎?退一萬步說,我相信中華電信應該會是關鍵基礎設施提供者,因為它是電信公司。中華電信在各地都有機房、都有分公司,那是不是任何縣市政府都可以去中華電信機房突擊檢查,或者都可以要求中華電信提報其資安計畫,對於中華電信來說有保障嗎?而業者又能相信地方政府有能力處理這些資安危機,或有能力審查業者的資安報告嗎?地方政府的資安到底做得好不好,你們自己清楚啊!縣市政府連自己都做不好,還有辦法審查他人的資安計畫嗎?你們在法條中制定的管制功能也太草率了吧!
    我再問第3個問題。第五條規範委任與委託其他公務機關法人或團體,其中當然也包括公司,辦理資通安全整體防護國際交流等資通安全相關事務,那代表什麼?代表行政院可以將全國所有單位,包括非公務機關的資通安全事務委託給其他法人,包含民營企業。那要不要依照採購法公開招標?也就是針對中華民國所有關鍵基礎設施與政府資通安全照採購法招標,交給一家公司,這未免也太草率了吧!你們制定這項條文的目的到底是什麼?行政院把資安講得那麼重要,那為什麼不能自己做?就算要委託或委任,那條文有沒有明定承包商的資格與條件?你不要跟我說會訂在施行細則,因為這類條文沒有獲得那麼大的授權,最合理的方式就是按照採購法公開招標,否則,會不會有資訊公司來質問行政院為什麼沒有公開招標,直接交給資策會,或為什麼直接給哪一個法人?對不對?你不要只是點頭,要回答我的問題啊!
    宋副秘書長餘俠:謝謝段委員的指教,我想針對第五條,您關心的是委託這個部分。由於在實務上,不只行政院院本部,在各目的事業主管機關、也就是部會,甚至地方政府,為了建立資訊交流等機制,都成立了資安中心,大概都是委託辦理。
    段委員宜康:如果只是要從事資訊交流、只是要處理資訊業務,或只是提供資訊服務,或許我可以接受,但是在資安管理法中談的資安,是要去追究地方政府或中央其他目的事業主管機關所做的委託有沒有漏洞、委託對象是否有問題,或者是否有能力,這些都應該訂在法條裡,重新檢視。以衛福部為例,不是把健保資料委託給某一家資訊公司管理就可以了,重點是有沒有去追究該資訊公司的資安能力到底有沒有到達標準,這些細節都要訂在法條裡啊!
    宋副秘書長餘俠:所以第八條特別提及,委外辦理的建置維護……
    段委員宜康:我就問你,第五條的部分,如果要委託的話,是不是要依照採購法?
    宋副秘書長餘俠:是,如果是委託,必須按照採購法。
    段委員宜康:所以,就是先公告,讓各界來投標整個政府、整個國家資訊安全這個最重要的工作嘛!
    宋副秘書長餘俠:對,其實針對受託者的專業能力經驗、對於資通需求之選任與適當作法,我們在第八條中也是這樣要求。
    段委員宜康:通過這個法條之後,我們就應該相信你們會去要求,所以,我才要問為什麼要委託。如果這件事這麼重要,你們卻把這項核心業務、這麼關鍵的事務都委託出去,那政府到底累積了什麼?
    宋副秘書長餘俠:目前政府受限於資安人力與預算,長期以來都將資訊作業委外。
    段委員宜康:這就是問題,我們的政府把核心業務一塊一塊地委託出去了,讓大家標來做生意。
    宋副秘書長餘俠:不過,基本上,專案管理仍然由資訊單位同仁辦理。
    段委員宜康:今天時間有限,等進入逐條再來處理這件事。
  • 主席
    請林委員為洲發言。
    林委員為洲:主席、各位列席官員、各位同仁。今天我們主要是討論資通安全管理法草案,對於這項草案的提出,大家針對2個方向探討,一方面認為資通安全不管對政府機關部門來講,或對民營機構、私人企業而言,都會影響到民眾權益,當然也會影響國家安全與國家機密等等,所以,這項法律是很重要的,必須能解決問題。我們除了看到正面意義,包括現在網路使用之頻繁,幾乎遍及絕大部分的人,不跟網路連結恐怕不太可能,所以,無論是個資也好、國家資訊也好,也不論是在公家機關或私人企業的伺服器裡,資通安全當然都非常重要。以銀行為例,最近我們也看到,不論是資料外洩或被駭客入侵、存款被盜領也好,都嚴重影響國家安全與民眾權益,所以,訂定本法有其正面意義。
    另一方面,本法也有其爭議性,在於我們要介入多深,因為基於本法,可能會有一些措施介入,無論是調查也好、要求提供資訊也好、或是要求提供改善措施計畫也好,這些介入行為如果是在政府機關,大概都沒有太大爭議;但牽涉到非純粹政府機關時,例如一些政府投資之公共事業或純私人機關,這樣的介入會不會有侵犯個人隱私或另行開闢司法調查以外的準司法權力機構這樣的問題?對於這個部分,我想先聽一下行政單位的說明,因為這部分不只包含公務機關。請問行政院宋副秘書長,你們認為,前述負面效應會不會因為本法通過而顯現?有什麼防制措施?
  • 主席
    請行政院宋副秘書長說明。
    宋副秘書長餘俠:主席、各位委員。謝謝委員的指教,我稍後再請本院資安處簡處長補充。本法最主要的概念正如委員提示,是要抓到平衡,要怎麼做呢?就是事前要有資安維護計畫,假如發生重大資安事件,或者發現維護計畫有重大缺失,我們希望能夠改正或改善。假如一再不改善或重大資安事件情勢擴大,我們就會進行檢查,不過我也要強調,所謂的檢查是基於行政程序法的概念,有拜訪、查詢、查察、驗證這樣的內涵,諸如個人資料保護法中也都是這樣明定的。或許,今天這項草案不像個人資料保護法那麼詳盡,我們可以檢討,但我們也希望取得平衡,就是在出現重大缺失或發生重大資安事件時先通知對方改善,一旦改善又沒有達到一定效果,我們才會針對剛才委員提到的,也就是非公務機關中的關鍵設施提供者加以要求,所以範圍也限縮了。
    林委員為洲:討論條文時,我們還會再討論這部分,我認為界線必須畫得很清楚,不能侵犯司法獨立的領域,就是不要混淆。行政調查歸行政調查,界線要畫得很清楚,不要因為資通安全法通過,就侵犯司法調查權限,這條線要畫得很清楚。
    我也要以國外的例子請教,畢竟時有所聞,我們常常看到雅虎或Google遭到駭客入侵、竊取客戶資料。以國外的例子來看,政府能介入什麼?這種事情常常看到啊!但他們的政府介入了什麼?相關事件侵犯了民眾權利,民眾當然可以提告,包括集體訴訟等等,但仍是透過司法,難道政府可以因為雅虎等業者遭到駭客入侵,就掌管業者的資安訊息,或者介入了解?以國外的例子來看,可以嗎?
  • 宋副秘書長餘俠
    我請本院資安處簡處長說明。
  • 主席
    請行政院資安處簡處長說明。
    簡處長宏偉:主席、各位委員。如果以雅虎的情形對比台灣的情況,基本上,就要回歸個資法處理,至於洩漏數量等資料當然不會由政府介入調查。以台灣來講,雅虎並非關鍵基礎設施提供者,所以政府也不會介入,大概處理方式是這樣。
    林委員為洲:在界定是否為關鍵基礎設施提供者部分,有必要做更嚴格的認定,否則很容易就跨到界線之外。剛剛我們也聽到其他委員質疑到時候要如何執行,所以這也是另外一個問題,因為政府沒有這麼大能量可以介入這麼多公民營事業,也沒有一個獨立機構有這樣的專業、能量去做檢核或要求,最後還是要委外,委外的話,等於又是另外一個民營機構或公司來承包這些業務,這也會產生一些負面效應,反而可能讓他們可以掌握到一些相關的資料,或是民營事業最擔心的業務機密,這部分要如何克服?剛剛段委員也講了,到時候都可能要委外,這部分要如何處理?
    宋副秘書長餘俠:條文講得很清楚,就是必須由目的事業主管機關派員攜帶執行職務證明文件,或許為了便於相關資料的鑑識,有可能會請學者專家共同執行,但基本上,還是公務機關的同仁。另外,條文也明定,參加的人員應該要保密,這些都明定在規範裡。
    林委員為洲:委外的部分是委外什麼?你現在講的,好像統統是政府機關……
    宋副秘書長餘俠:還是以政府機關為主,但還是會請學者……
  • 林委員為洲
    到底要委外什麼?是哪一部分的業務要委外?
    宋副秘書長餘俠:比方講,政府機關為了建立資安資訊的分享機制,可能會委外建立一個資訊交流中心,這部分就由委外單位來執行,但是我們會更明確規定,就是在檢查時,是不適合由委外人員執行,不過我們也不排除學者專家的參與,因為有時候這些資訊的鑑識或是資料證據的保存,還是需要學者專家來協助政府機關。
    林委員為洲:我的具體建議是,這應該要有逐步實施的期程跟計畫,先對自己政府機關做好資安管理,這是首要的,至於跟民間有關的那部分,則有所保留,如果我們沒有辦法克服一些負面效應的話,恐怕大家是非常有疑慮的,不管是從人權觀點,資訊外漏、個人資料保護觀點,或是介入民營企業的業務機密考量點來看,都會有很大的爭議,所以等到真正進入條文審查時,我們會更有效的要求掌握民間非常多資訊的這些政府機關,本身先做好資安管理工作,這才是這次修法的主要目的。
    宋副秘書長餘俠:這部分,請簡處長再詳細跟委員說明。
    簡處長宏偉:跟委員報告,在整個法的推動上,的確也是想要採用分階段實施的方式,我們所安排的時程概念是,如果這個法可以在大院支持下通過,我們預計通過後半年,先從政府機關實施,之後再半年,才是關鍵基礎設施,然後再半年,才是公營事業及政府補捐助之財團法人,我們就是想分階段施行,這跟委員的意見是一樣的。
    林委員為洲:好,這部分到逐條審查時再來討論。謝謝。
    主席:報告委員會,所有登記質詢委員均已發言完畢,詢答結束。委員詢答時,要求提供相關資料或以書面答復者,請相關機關儘速送交個別委員及本會。
    委員楊鎮浯、廖國棟提出書面質詢,列入紀錄、刊登公報,並請相關機關以書面答復。
  • 委員楊鎮浯書面意見

    案由:本院委員楊鎮浯,有鑑於近年來我國發生多起嚴重資安事件,如今年5月勒索病毒WannaCry肆虐全球,而台灣更為其中的重災區。無獨有偶,今年10月又發生了遠東銀行系統遭駭被盜領18億的事件,顯見我國目前無論公私部門對資安問題的處理能力都仍有很大的改善空間。爰此特向行政院提出質詢。
    說明:
    1.行政院資通安全處為全國資通安全政策之主管機關,是否有主動了解各地方政府於推動資通安全之原因、難處與此狀況潛在之風險?身為主管機關的資通安全處,若在地方政府財源、資安防護技術與經驗均不足的狀況下,有何具體協助作為呢?另外由下表可知,金門縣政府資安防護經費占比,位居全國地方政府後段班,要求資通安全處主動介入了解並予協助。
    資料來源,行政院資通安全處
    2.根據行政院資通安全處所提供之資料,全國資安專責人力僅有約600人,平均每個機關配置到的資安專責人力僅有0.15人,顯見目前政府所配置之負責資安工作人力嚴重不足。更甚者資安工作人員已有不足,惟其中卻大多又為兼職人員。以中央政府為例,中央政府資安專責人員有207人,僅占資訊人員總數3,873人之5.34%,其餘皆人員為「兼職」或「臨時」性質。而資通安全處處長也於2017年11月2日表示;「有關資安人力缺口,今年初做了一次調查,從政府A、B、C、D等4級機關需求觀察,缺口大概是五百人左右。」由上開資料已能窺知我國資安人力困境之一斑,請問行政院對此有何具體改善措施?
  • 委員廖國棟書面意見
  • 前言

    隨著網際網路及資通科技快速發展與普及,資通科技相關應用,已被世界各國視為協助產業經濟轉型、提升國家競爭力及有效解決社會發展議題之關鍵,各國亦紛紛致力於資通政策之規劃,建構公開、有效率之數位環境,希望藉由科技化服務,進而提升民眾生活品質、維護公共利益、帶動產業發展及國家整體競爭力。
    然而,網路普及化與消費者使用行為之日新月異,資通系統或服務之應用所引發之網路犯罪、個人資料保護等資通安全課題,逐漸成為影響社會安定、國家安全之隱憂,資通安全威脅型態之瞬息萬變亦使全球面臨嚴峻之考驗。參諸國際近年對於資通安全保護之趨勢,各先進國家已將此議題提升至國家安全層次,並制定專法加以規範。
    本院資通安全管理法草案重點
    為針對整體資通環境,以風險管理為核心,要求公務機關及受規範之非公務機關考量並因應資通安全風險,訂定及實施資通安全維護計畫,確保資通安全,並由行政院統籌分配資源,整合民間力量,提升我國整體資通安全環境及全民資通安全意識,確保國家安全與公共利益,行政院已參酌美、日、德等先進國家立法原則,並考量我國社經環境與法規制度,擬具「資通安全管理法(草案)」,期透過建立一套以風險管理為核心之機制,要求規範對象進行風險管理,並於發生資安事件時,能立即通報並應處。
    目前適用對象包括公務機關及非公務機關,公務機關指中央與地方機關(構)及公法人,而非公務機關則以關鍵基礎設施提供者、公營事業及政府捐助達一定比例之財團法人為主。
  • 草案重點如下

    本草案主要規劃5個章節,分別為總則、公務機關資通安全管理、非公務機關資通安全管理、罰則及附則,共計21條。主要重要條文如次:
    1.明確規範資通安全政策制定與推動組織,以及本院及中央目的事業主管機關之權責,以強化資安政策之制定、推動與執行之能量。
    2.規範公務機關應建立資通安全維護機制。
    3.規範關鍵基礎設施提供者等非公務機關應建立資通安全維護機制。
    4.規範資通安全事件通報、應變與矯正、預防機制。
    5.訂定行政檢查與罰則,以及其他推動資通安全相關配合事項。
  • 問題

    一、本法的中央主管機關是行政院,但目前行政院負責資訊安全是行政院的國家資訊安全會報,這部資通安全管理法通過後,國家資訊安全會報的位置是否改變?
    二、科技部做為我國科技產的主管機關,而資訊安全與台灣IT產業息息相關,未來科技部在台灣資訊安全上其扮演的角色為何?
    三、2016年7月10、11日周末凌晨,第一銀行爆發了臺灣有史以來第一次的大規模ATM遭駭盜領案,遭駭的ATM是推出超過十年的德利多富(Wincor)舊款ATM,型號為Pro Cash1500,內建的是微軟已經停止支援的WindowsXP作業系統,儘管透過特殊合約仍可尋求微軟客制安全更新,不過,只要進入eBay,人人都可以下標買到同款ATM來研究入侵手法,過去向來外人難知的ATM防護機制,在這款機型上一點都不是秘密。根據金管會清查,全臺39家金融機構,連同中華郵政在內,共有2.5萬部ATM,其中約2成,也就是近5千臺都是同一款ATM,一銀手上的4百多臺同款機型只是少數,其他金融機構部署的數量更多。雖然台灣警方在7月18日就偵破並追回贓款。
    無獨有偶的今年10月3日遠東商銀被駭,駭客匯出資金一度高達6,000萬美元,創台灣銀行業「SWIFT系統(環球銀行間金融電訊網路)」被攻破首例,2016年孟加拉央行,因為類似手法、被駭走8,100萬美元,在遠銀被盜的6,010多萬美元中,有4,600萬匯到他國銀行,1,400萬匯到國外個人帳戶,因轉帳金額過大,容易引起銀行注意與警覺,加上國際銀行間的合作機制、國際刑警組織協助凍結,雖追回大部分的款項。
    以上這兩個案例讓台灣金融業的資安也亮紅燈,對於金融業資訊安全的補救措施,政府目前做了哪一些,相關的資安漏洞是否已補強。
  • 國外許多企業一旦發生嚴重的資安事件,公司董事長或總經理都需要下臺負責,資訊長下臺則是因為有明確疏失才會下臺負責。有許多公司基於董事會職能的提升,保障投資人權益和維護公司信譽,慢慢會在獨立監察人的名單上,納入具有IT專長的人。然我國的資訊安全法草案第10條,公務機關應由其首長指派副首長或適當人員擔任資通安全長,負責推動及監督機關內資通安全相關事務,這種作法與業界迥異,資訊安全畢竟不是每個部會首長的專長,行政院有考慮向業界求才,徵求IT專業人士擔任相關首長嗎?

  • 四、國外許多企業一旦發生嚴重的資安事件,公司董事長或總經理都需要下臺負責,資訊長下臺則是因為有明確疏失才會下臺負責。有許多公司基於董事會職能的提升,保障投資人權益和維護公司信譽,慢慢會在獨立監察人的名單上,納入具有IT專長的人。然我國的資訊安全法草案第10條,公務機關應由其首長指派副首長或適當人員擔任資通安全長,負責推動及監督機關內資通安全相關事務,這種作法與業界迥異,資訊安全畢竟不是每個部會首長的專長,行政院有考慮向業界求才,徵求IT專業人士擔任相關首長嗎?
  • 主席
    本案作以下決議:另定期繼續審查。
    如果要進入資安法的逐條審查,我們要求行政院要針對這個草案提出修正動議,尤其現在大家疑慮最深的,就是有關第十八條的檢查義務,這部分我覺得單用一個條文就要處理這麼大的檢查權力,疑慮是非常大的。
    本日會議到此告一段落,現在散會。
    散會(12時)
User Info
柯建銘
性別
黨籍
民主進步黨
選區
新竹市選舉區