為了趕在今年底前能夠完成資安管理法三讀,行政院資安處8月底一完成法案初稿,就一連舉辦了6場法案座談會,不只找來政府機關資訊與資安業務相關的主管參與,也照例向法界和資訊界學者請益,還特別舉辦2場向民間意見領袖和業界資訊、資安主管請教。9月底更進一步將法案草案上網公開向全民徵求意見,行政院資安處處長簡宏偉表示,為了就是希望能匯集更多的立法修法意見,來加速立法過程。6場座談會三方(政府機關、業界、學界)角度的建議彙整摘要如下:
政府機關建言
建議1 考量政府機關資安人力不足或專業不足,建議減少例行文書作業,如免定資通安全維護計畫,或是明文列出應投入適當資安資源的規定,以充裕各機關資安預算及人力。
建議2 電子商務業者資安防護不足,建議也納入規範。
建議3 行政檢查作業面上,一來因無急迫危急人身安全,建議刪除警察陪同,改有危害才報警,另可增加遭遇大規模攻擊時,可尋求國軍支援的項目。
建議4 草案第8條規定政府採購需特別考量資安需求,恐與現行採購法規定採整體評選作法衝突需解決。
建議5 未來訂定通報應變辦法時,應納入證據保全程序。資安通報可以和法務部調查局現行通報整合來簡化程序。
建議6 產業權責主管機關除中央目的事業主管機關之外,可以增列轄管機關。
建議7 草案獎少懲罰多,建議調整比例。
民間團體建言
建議1 應釐清所有納管產業的主管機關並統一權責單位,並訂定業者遵循標準,以利衡量是否善盡責任,或提供完整資安維護範本。
建議2 關鍵基礎設施定義需更清楚,如通訊軟體是否納入?高科技園區內企業是否納入?也應明訂重大資通安全事件之定義。或是限縮非公務機關規範範圍,排除與關鍵基礎設施無關之企業。
建議3 委外監督應訂標準,並限縮於受委託範圍。
建議4 罰則較重,應提供更多獎勵和輔導措施,例如將資安投資納入投資抵免範疇。也建議採比例原則,先輔導改善再課罰。
建議5 資安事件往往事後才能發現,規定未通報就開罰恐對業者負擔過大。另外,企業通報後,應可獲得政府部門支援來改善。
建議6 政府應保障相關預算和人力,並提供資安人才培育機制。
建議7 政府應建立整體資安防護系統,抵抗境外攻擊。
建議8 不宜增加國軍介入的項目。
建議9 不需訂定行政檢查,或刪除司法警察陪同之條文。
建議10 資安維護規定與現有法律多有重疊,應進一步調整,避免提高企業法尊成本或一事多罰。
建議11 應釐清境外單位是否納管,尤其協助外商遵守本法。
學者專家建言
建議1 立法目的、達成實際作法、私部門規範之必要應有更詳細說明,例如納入資安預防、資安保護、證據保全與專業鑑識,或適度納入管理、技術、稽核及風險評估等面向。草案架構可考慮部分內容分開立法。
建議2 建議法條先以政府機關規範為主,不列入民間企業。
建議3 行政院應籌組諮詢委員會,協助政府掌握資安高速變動。
建議4 應釐清資訊和資安業務各自的主管機關。
建議5 關鍵基礎設施指定若有爭議,行政院應增設爭議協調機制。
建議6 主管機關可指定納管企業的範圍過廣。關鍵基礎設施提供者之界定應有一套判別基準,而非只由主管機關指定,或統一由行政院公告訂定關鍵基礎設施定義。
建議7 加強對非公務機關之義務規範,包括通知當事人義務、目的外利用或再識別行為。
建議8 對企業罰則強度不足,罰則額度小於個資法,難發揮效果。建議可增加,對其他之事業、機關或個人之資料安全、財產、生命或其他之資訊運作有重大影響者,主管機關得要求停止全部或部分業務的營業。也可要求負責人應接受教育講習。
建議9 罰則應涵蓋公務機關,另避免圖利資安業者。
建議10 建議對民間資安投資可給予租稅優惠。
建議11 應設立國家級資安長,另對各級機關資安長,可訂定符合資格條件來遴選。
建議12 建議將定期稽核、檢查、復原及動員計畫納入草案。
建議13 可訂定日出條款,逐步納入不同規範對象。
建議14 法案要求應更明確、簡化、有效之基本條文,日後再修法增列規範事項。
建議15 應注意本法與個資法的競合,以及本法與其他法規的關係,如國安法。
建議16 應考量法尊成本,避免產業外移。
建議17 行政檢查發動時機的合宜性需考慮。
相關報導 資安管理法草案出爐