隨著數位及資通訊科技應用的普及,資安議題日益受到重視,政府公務機關應承擔提供網路、關鍵基礎設施的公共安全任務,面對外交部領務局遭駭、國道電子收費系統失靈、地震導致台灣國際海底電纜斷線、台電被駭等等,對國家安全、民眾生活及經濟活動皆有重大影響,如果未能考量資通安全風險,進而逐步提升資通安全保護機制,一旦遭受駭客惡意攻擊,例如2016一銀ATM遭盜領、2017股票券商遭受攻擊、遠東銀行被駭,恐造成難以回復的損害,因此,政府應該強化關鍵基礎設施、抵禦網路攻擊,確保資訊科技安全、維護人民使用網路的自由、提升政府資訊技術的能力、防範網路犯罪,實有必要立法予以管制規範。
老大哥(big brothers)監控
然而,行政院所提出的資安管理法草案,不僅針對公務機關予以管制,對於非公務機關的民間機構似乎也不例外,甚至還有罰則!其中,最為人詬病的是草案第十八條,條文規定當主管機關在稽核民間機構時,如果認為有重大缺失、有必要予以調查時,得派員進行檢查,並得命民間機構提供資料,且不得規避、妨礙或拒絕檢查;試問,何謂重大缺失?何謂必要性?在資安管理法草案中完全找不到更詳細的定義,等於主管機關只要一口咬定民間機構有重大缺失且有調查必要,無須經過任何審核許可機制,便得任意調查,那麼民間機構的人權保障、通訊隱私、營業秘密何在?這不是政府濫權,什麼才是濫權?
另外,行政機關可以不需要法院的搜索令,憑工作證明,只要認為你有犯罪嫌疑或缺失,即可逕自扣查設備和罰款,此例一開將會是大災難。而且搜索範圍擴及非公營機構,也就是民間企業的伺服器和資料中心,政府皆有權扣查。這樣的一條法令,是把人民假想成為公敵,無時無地的監控。
兼顧資訊安全 保障營業秘密
行政院版草案第十八條既屬行政檢查,即應以最小侵害手段並且須合乎比例原則,草案對於何謂重大缺失及何謂必要皆無明確規範。此外,對於檢查人員的資格,亦無明確限制,等同給予主管機關無限上綱的權力,可謂違反比例原則,有違憲之虞。政府應該三思並且拿捏如何兼顧資訊安全,同時維護民間機構的人權保障、通訊隱私與營業秘密。
尊重民間自律 維護資通安全
因此我提出對案,期許能在委員會審查時,制衡行政院所提出的版本。參酌美國聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014)對於非公務機關並無予以管制規範,更不會有罰則產生,為尊重民間自律,我的版本只對於公務機關有所管制,因為我相信,民間機構、企業不會拿自己的商譽開玩笑。我認為,政府應該適度地信任民間機構、企業自律的能力,不應總是以過時警備總部的戒嚴心態,以管制、裁罰作為安全維護手段,唯有公私彼此信任,由民間自發啟動自律,才能真正達到維護資通安全的最佳效果。
網路科技日益普及,資通安全維護是新興時代所不可或缺的機制,我始終相信,民間企業絕對有能力以自律維護資通安全,效法美國聯邦資訊安全現代化法的精神,才能真正落實資通安全管理及公私互信。雖然資通安全管理法已被列為優先審理法案,但是我期待政府應該傾聽民間的聲音,審慎思考,不要強行通過法案,正視行政院版資通安全管理法對非公務機關進行檢查的侵害及違憲的疑慮。
*作者為立法委員
