雖然外界質疑不斷,但行政院上周仍如常照章的通過《資通安全管理法》草案,這是一個用外行管內行、非專業凌駕專業、而且以處罰受害者為樂的法案,其中更混雜著擴權、濫權又侵權疑慮的法案。
數位時代、網路世界,從個人到企業再到各種機構,由公家到私人,幾乎都已把所有資料與機密都數位化,儲存在一個又一個的「方盒」中,等於是大家的「身家性命」都已在硬碟裡面,此時政府要加強「資通安全」,誰曰不宜?
如果資安法是要規範以政府為主、屬於影響公眾利益、國家安全的設施也罷,但資安法卻把民間單位也納入管轄;而且不僅是在碰到重大資安問題時,甚至賦予政府單位「得稽核非公務機關之資通安全維護計畫實施情形」,只要認為計劃作得不好,就可長驅直入民間單位的電腦機房檢查,這些民間單位都「不得規避、妨礙或拒絕」。
那句「主管機關認有必要時」,顯示這個接近於「空白授權」的權力大得無限、也擴張得離譜。更讓人訝異的是,資案法讓主管單位直驅民間電腦機房,只要政府「自己同意自己」即可,連向法院申請搜索票等應有的司法程序都可全部跳過。如果這不算是擴權、濫權又侵權,什麼才是擴權、濫權又侵權?
對整個資安產業稍有了解者,更是不知該笑亦是該哭,因為資安法的思維就是完全不管專業與技術能力,是官僚主義至上的法案。民間業者─特別是那些大型的資訊相關業者,擁有的專業與技術能力遠在政府部門之上,但這個法案卻是讓政府單位去稽核、審查民間單位的資安作得好不好,還讓他們可「直擊」民間單位的電腦機房,荒謬可笑,莫甚於此。
而法案中對發生資安事件的民間單位,也訂定了「10萬到100萬元的罰款」,這又是一件荒謬絕倫之作,原來,發生資安事件竟然是被視為企業的錯誤、犯法,與違反食安、公安…..等其它規定一樣,是要處罰的。但問題是資安出問題,可能是企業能力不夠、可能是疏忽、也可能「倒楣」被鎖定,但卻絕非企業蓄意違法,因為這對其毫無好處。
再以「誘因論」來看,資安其實已是許多企業的命脈所繫,特別是資訊與網路大廠更是如此,他們必然不惜重金、禮聘高手以作好資安,其實是不勞政府以稽核審查之名督促其作好資安,政府其實也無能力「督促、稽核」這些專業企業的資安計劃。至於小型、非專業民間機構的資安較易有問題,但一來其影響不到「國家安全地步」,二來這些單位更需要的是在發生資安時,有政府的協助而非處罰。
業者指這是一種「受害人要被處罰」的觀念與作法,「就好像家中遭竊,警察以大門沒鎖好為由罰受害人一樣荒謬」。用另外一個例子比喻,其實就是「被強暴還要被政府處罰」,因為政府認為「你沒有作好安全措施嘛」,這是什麼邏輯?什麼法案?行政院諸公們,真的認為這樣妥當嗎?
其實,對資安一事,政府要作的事非常簡單,第一就是:先管好自己!政府政府應先搞好自己公務機關又與國家安全有關的資安,政府自己管好自己,國家的資安大概就搞定大半。
再來是對民間非公務機關,那些大型專業的廠商,政府就忘掉他們吧,他們比政府更有能力、更專業、技術亦更好,能作好資安的自我管理,政府少「外行領導內行」,非專業凌駕專業了。至於其它專業能力不足、較小型的非公務機關,政府不要搞文書作業、不要搞處罰,應該提供的是專業協助(如果政府真有專業的話),不必擔心企業不想搞好資安而要強制要求,因為每個企業都有誘因作好資安。
沒有一個民主先進國家給予政府單位如此大的授權,可長驅直入民間的機房取得資訊,也沒有一個跨國數據大廠願意把機房放在那些官員可直入機房的國家。台灣不需要這樣一個資安法,行政院可以無知又無恥的通過並送出這個法案,立法院與社會卻不該無知的接受、通過它,就讓它在沈睡在立法院永不見天日吧。