行政院資通安全處10月13日於國發會公共政策網路參與平臺(Join)更新資通安全法草案版本,行政院資安處科長賴世榮表示,新版的草案條文中,正式刪除了原本備受爭議的可以由中央目的事業主管機關指定產業適用該法條文,以及針對非公務機關進行行政檢查時,需有司法警察人員陪同的相關規定。
不過,賴世榮指出,行政院副院長林錫耀之前也裁示,希望資安管理法可以更廣納各界意見,除了將在Join平臺上意見收集的時間延長到10月底外,也預計在新增一場座談會,而原本預計在10月中旬,由行政院政務委員吳政忠召開政委審查會議,也可能延到11月初。不過,行政院資安處還是希望可以在年底前,如期在立法院通過資通安全法。
行政院資安處審時度勢,刪除資安管理法草案2條規定
資通安全管理法草案之前在歷經多次的產業代表與專家學者的座談會時,不乏有許多納管其他不在八大關鍵基礎設施產業的非公務機關聲浪,例如擁有許多民眾個資和信用卡資料的電子商務業者,但賴世榮表示,行政院資安處在匯集各界意見並進行整體評估後, 確認該法正式納管的除了公務機關外,就是八大關鍵基礎設施產業的非公務機關。
但是,為了避免中央目的事業主管機關過於濫權,賴世榮說,新出爐的草案版本中,則正式刪除原先第16條第2項「中央目的事業主管機關可以視需要,指定特定的非公務機關產業納入資安管理法」的條文。也就是說,未來,只要不是公務機關和八大規諫基礎設施的產業,都不受資安管理法的規範;如果,有新增納管產業的必要性,則必須透過修法的方式才可以為之。
再者,行政院資安處也在草案條文中,正式刪除了中央目的事業主管機關針對非公務機關進行行政檢查時,必須要有司法警察人員陪同的條文。
賴世榮進一步解釋,許多非公務機關對於主管機關進行行政檢查時,必須要有司法檢查陪同的規定相當感冒,多數都認為,因為資安管理法並沒有刑事相關規定,該條文的規定並沒有必要;但如果進行行政檢查的人員有人身安全的疑慮時,其實可以透過撥打110報警,請求警方協助即可,不需要在法條中明定。
資安管理法送立法院時程將會延後
按照原本的時程,資安管理法草案應該在10月中旬就進行政委審查會議後,就提報行政院院會、送交立法院審查。
不過,賴世榮指出,因為資安管理法草案是臺灣第一個資安管理專法,行政院高層相當重視各界意見的徵詢與蒐集,除了由林錫耀下令,將原本在Join平臺上蒐集網友意見的時間點,從原先預計10月5日截止,正式延後到10月31日外,也連帶牽動原先預計在十月中舉辦的政委審查會議,將順勢延後到11月初,才能舉辦相關的會議。
但是,他表示,資安管理法還是行政院列為重要的優先法案,雖然時程上面略有延遲,但還是希望能夠按照原訂計畫,在年底前順利通過立法院的審查。
行政院和中央目的事業主管機關在母法過關後的任務
當然,除了資安管理法可以順利通過立法院審查外,賴世榮表示,後續包括行政院以及各個中央目的事業主管機關,還有其他子法等待辦事項等著去完成。他舉例說明,在立法院順利通過資通安全法後,行政院資安處也必須趕緊著手制定「資通安全管理法施行細則」,以補齊無法在母法中清楚說明的規範和事項。
他指出,根據資安管理法草案第6條的規定,行政院也必須針對公務機關以及非公務機關業務的重要性及機敏性等綜合因素,制定相關的資通安全責任等級的分級,如果單位是重要或有機敏資料的單位,資安責任等級就比較高。
在資安管理法草案第13條和第17條中也規定,公務機關和非公務機關一旦爆發相關的資安事件,公務機關必須按照規定通報給上級或監督機關,如果沒有上機機關就有通報行政院;而非公務機關則通報給中央目的事業主管機關,情節嚴重者,也必須將資安事件調查報告送交行政院。
此外,賴世榮表示,資安管理法也在第7條中明定,行政院應該要建立資通安全情資分享機制;因為公務人員有依法行政的義務,該法第14條中也明定,行政院應該要針對公務機關人員針對資安相關事項,制定一套獎懲辦法。他說,這些相關的法規制定,則是資安管理法母法通過後,行政院繼之而來的任務。
至於非公務機關則由中央目的事業主管機關納管,賴世榮指出,在通過資安管理法母法後,也必須針對非公務機關安全維護計畫制定相關的作業辦法,也同樣要通過資安安全查核的相關辦法,以供非公務機關參考。