行政院最近完成《資通安全管理法》草案公告,這個在第一銀行ATM盜領事件後,希望將金融、水電等基礎設施資通安全納入管理的法案,卻暗藏擴權疑慮!財團法人國家資訊基本建設產業發展協會(NII)前執行長吳國維表示,《資通安全管理法》授權主管機關,得在遭遇重大資安事件時,進入「非公務機關」場所檢查,非公務機關「不得規避、妨礙或拒絕」,有嚴重擴權、侵害民眾個資之虞,社會各界一定要把這個有危害人權之虞的法案擋下來。
《資通安全管理法》是行政院資通安全處8月掛牌成立後首要工作,行政院方面期許資通安全處,除了資安管理法外,同時還要擬定《資訊基本法》,希望未來能夠與總統府國安會、國防部推動第四軍種與通訊傳播委員會(NCC)擬定電信法電信基礎設施介接,形成資訊安全鐵三角。
八大設施產業 設為關鍵基礎設施
不過,資安處日前公佈《資通安全管理法》,卻充滿行政擴權的痕跡,吳國維表示,該法將能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等八大設施的實體或虛擬資產、系統或網路,設定為關鍵基礎設施,並且對於公務機關與非公務機關,訂定資安要求規範,「這麼包山包海,卻沒有對上述八大設施規管範圍,有明確訂定。」
「資安管理法,最惡劣地方在於行政擴權」,以通訊傳播為例,不僅涵蓋一類電信、二類電信,傳播部分包括網路媒體也在通訊傳播範疇,「今天政府可以主張,《風傳媒》的電腦主機被駭客入侵,進入電腦機房檢查,並且要求出具資安防護演練報告,拒絕配合者可以處以罰款,有這樣的道理嗎?」
《資安管理法》草案 與《個資法》衝突
吳國維說,《資安管理法》草案,目前處處與《個資法》衝突,今天資安管理法沒有對交通、金融等事業定義進行嚴格規範,未來政府是不是可以主張,對台灣大車隊、當鋪等業者資安設施進行檢查?
吳國維說,現在世界各國雖然強調網路安全重要性,但美國有另訂資安法嗎?美國有哪一條法律,授權行政機關可以對公務機關與非公務機關,進行資安蒐證、查核?如果資安法的立法背景,是在一銀ATM盜領事件後擬定,但對於金融等8大基礎設施資安要求,可以直接訂在相關法案,例如銀行法。
「有了《資安法》,第一銀行資安就會更好?騙肖!」
況且,第一銀行在出事以前,該做的資安認證,沒有一項沒有不符合標準,例如ISO20000、ISO27001、PIMS個資管理制度,也有聘請資安稽核顧問公司,結果照樣發生資安狀況,「有了《資安法》,第一銀行資安就會更好?騙肖!」