《風傳媒》昨(13日)報導,行政院甫完成的《資通安全管理法》草案有嚴重擴權、侵害民眾個資之虞,行政院資通安全處今(14日)回應報導,稱非公務機關不得規避、妨礙或拒絕檢查有發生重大資通安全事件等前提,「並無存有政府侵權的疑慮」。
國家資訊基本建設產業發展協會(NII)前執行長吳國維指出,《資通安全管理法》授權主管機關,得在遭遇重大資安事件時,進入「非公務機關」場所檢查,非公務機關「不得規避、妨礙或拒絕」,有嚴重擴權、侵害民眾個資之虞,「今天政府可以主張,《風傳媒》的電腦主機被駭客入侵,進入電腦機房檢查,並且要求出具資安防護演練報告,拒絕配合者可以處以罰款,有這樣的道理嗎?」
資安處則強調,政府機關進入非公務機關執行檢查,必須具備二項要件其中之一,包括因查核資通安全維護情形發現重大缺失,或發生重大資通安全事件時,在此前提下,非公務機關才不得規避、妨礙或拒絕檢查,並無存有政府侵權的疑慮。
而《資安法》草案規範對象除公務機關外,非公務機關則以關鍵基礎設施提供者及適用資安責任等級分級之政府捐補助法人為主要對象,其中關鍵基礎設施包含能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院等實體或虛擬資產、系統或網路。
報導指出,《資安法》草案包山包海,卻沒有明確訂定設施規管範圍,資安處則表示,為明確賦予政府機關善盡資安管理與防護責任,展現政府防護國家資通安全的決心,期透過本法之要求,使各機關均能獲得所需資安防護資源。
而針對報導指出政府資安單位「能力不佳」,資安處也稱期望透過《資安法》建構完整之防護體系,協助各級政府機關據以強化人才培育;至於現階段承接政府資安委外廠商則透過評鑑機制,要求廠商必須達到一定之水準,以保障政府機關資安防護之成效。
資安處表示,《資安法》的立法宗旨,除加速建構完善的國家資安環境,另一目的即盼能帶動我國資安產業發展,包括資安科技研發、資安服務、資安教育等產業因而受惠,並非圖利特定廠商。資安處也強調,已針對公務機關、業界及學者專家召開6場座談會,後續亦將視需要增開。此外,另藉由國發會公共政策網路參與平臺,目前亦持續徵集各界建議中,期所定條文符合國際趨勢及業務實需,以完備資安法制基礎。