行政院最近完成《資通安全管理法》草案公告,細看這個法案,包山包海,把所有民間單位都涵蓋在內,且任由行政單位認定即可,政府能以此為令箭長驅直入民間機房、電訊系統。這不僅是行政單位的擴權、甚至是侵權,同時又流於官僚文書作業。這種不合格的法令,行政院應收回修訂,別拿出來丟人現眼。
在資安法第2條中規定,納入法令規範範圍者的所謂「關鍵基礎設施」包括「能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞。」
政府似乎嫌這樣畫定大範圍管轄還不夠,同時又規定「關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,並經中央目的事業主管機關指定之非公務機關。」
這裡面規範者除了中央與地方機關與水資源、能源等項目外,大部份是屬民間企業。至於那些倒楣的民間企業要被列入,就由政府決定─依資安法規定「中央目的事業主管機關應指定關鍵基礎設施提供者,並將其清單報請行政院核定之。」
而「關鍵基礎設施提供者」原本應該只指關鍵基礎設施負責的法人主體而已,但卻也可能進一步拉大範圍的風險。依照其「維運或提供關鍵基礎設施之全部或一部」者,如果主管機關擴大解釋,那是不是要把賣設備給這些「關鍵基礎設施」的公司,也可以列入其中─所以那些科技廠商、不論是賣伺服器或提供雲端服務者,都可能「中標」?
而有擴權與侵權問題者是資安法授權主管機關,只要他認為有必要,就可以派員進入非公務機關場所檢查。所謂認為有必要,除了發生重大資安事件以外,連「資通安全維護計畫發現重大缺失」都可以;也就是說如果你的「文書作業」作得不夠漂亮,主管單位不認可、不喜歡,就可長驅直入作檢查,「並得命相關人員為必要之說明、配合措施或提供相關證明資料」,而且「非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕」。
這不是擴權、濫權又侵權,什麼才是擴權、濫權又侵權?立法之惡劣、行政權之無限擴張,莫甚於此。
此外,整個資安法看不到政府要負什麼責任,全部規範別人,而且祭出多項罰則,這個要罰「10萬到200萬」、那個要罰「5萬到50萬」;對許多民間企業(那些倒楣被列入者)要求一堆官僚的「文書作業」;這些倒楣鬼未來要定期向主管機關報告資安計劃,第15條規定「關鍵基礎設施提供者應就其資通安全維護計畫之實施情形,向中央目的事業主管機關提出報告。」如果未通過就要再提計劃一直到政府核准為止(同一條規定:關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交中央目的事業主管機關。)