行政院院會於4月27日通過「資通安全管理法」草案(下稱「資安法草案」),因資安法草案乃是我國資安法制化的基礎,所規範內容又涉及對國家安全、社會公益、國民生活或經濟活動有重大影響的關鍵基礎設施(依行政院訂定之「國家關鍵基礎設施安全防護指導綱要」,關鍵基礎設施之範圍共分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大功能領域)。為求周延謹慎,行政院資通安全處曾於去年9月間分別邀請政府機關、民間團體及學者專家,一共舉辦6場座談會,對於草案相關內容進行廣泛討論。但仔細觀察資安法草案,卻可發現相關規定仍然充滿許多顯不合理且令人憂心之處。
舉例而言,依資安法草案的分類,「非公務機關」同時包含關鍵基礎設施提供者及非關鍵基礎設施提供者(例如公營事業及政府捐助之財團法人,資安法草案第2條第1項第5款規定參照)。姑不論政府捐助之財團法人一律成為非公務機關是否具有合理性及正當性,依資安法草案第15條及第16條規定,無論是否為關鍵基礎設施提供者,只要是非公務機關,均須符合「資通安全責任等級之要求」(分級標準由行政院定之,資安法草案第6條第1項規定參照)及「實施資通安全維護計畫」,並受中央目的事業主管機關或直轄市、縣(市)政府之稽核,違反者可處新臺幣十萬元以上一百萬元以下之罰鍰(未於期限內改善可按次處罰,資安法草案第19條規定參照),可謂負擔極重之法律責任。
不僅如此,依資安法草案第17條第2項規定,非公務機關於知悉發生資通安全事件時,依法並負有通報之義務。然而,一旦發生可能影響多數人民之生命、身體或財產安全的「重大資通安全事件」時,行政院、中央目的事業主管機關或直轄市、縣(市)政府,業經通報而「明知」事態嚴重,法條卻僅規定有關機關「得」公告與事件相關之必要內容及因應措施,及「得」提供相關協助(資安法草案第17條第5項規定參照)。資安法草案於立法說明中不斷強調維護資安之重要性,及一旦遭受惡意攻擊,恐造成難以回復之損害,並以此為管制基礎,要求非公務機關須負擔相關之法律責任,但當重大資通安全事件發生時,法條卻不用「應」而刻意使用「得」字,明顯是對機關放水,不僅顯不合理,更與資安法草案的整體立法精神及基本原則背道而馳。
此外,中央或地方機關違法時,本可成為行政罰處罰制裁之對象(行政罰法第3條規定參照),資安法草案同時規定「公務機關」及「非公務機關」所應遵循之事項及相關程序,但第四章的罰則(第19條至第21條)卻刻意排除公務機關,而僅適用於非公務機關,此種區分亦顯不合理。雖然,依資安法草案第14規定,公務機關所屬人員未遵守規定者,應按情節輕重予以懲戒或懲處,但此種方式無異是將公務機關原應負擔的責任,轉嫁由公務員個人承擔,更遑論我國機關之資訊人力約僅佔全國機關員額的1.5%,在人力極為吃緊之情況下,豁免公務機關之罰則,而由公務員個人承擔相關之行政責任,亦顯然有失公允。