這年頭,看新聞不能只看標題,不然很可能被誤導有偏見或者什麼都看不懂。同樣的道理,這年頭,看法案不能只看法案名稱,否則你根本不知道這個法案的條文是不是太超過或者掛羊頭賣狗肉。最近輿論談論很熱門的資通安全管理法似乎就是如此。
由於世界各國近年來都有受到國際駭客發動網路攻擊的前例,台灣亦然。在刑法上,台灣雖有關於網路、電腦犯罪的刑罰專章,但從國家安全層次來說似乎仍有不足。是故,行政院為了推動國家資通安全政策,建構資通安全環境,保障國家安全,維護社會公共利益,提出「資通安全管理法草案」,草案明確指出立法目的是國家安全。如果只從法案名稱來看,這部資安管理法類似美國的國土安全法(防範網路世界的恐怖攻擊),然而內容真是如此嗎?
懶人包:這部法律根本掛羊頭賣狗肉!資通安全管理法的規定不在維護安全,在「賺錢」。
「維護國家安全」,國安機關要不要介入?答案應該是肯定的。可是,草案卻說資通安全管理法排除軍事機關及情報機關參與及適用(草案第2條);然後,草案又規定:政府可以「委任或委託其他公務機關、法人或團體辦」、「委外事務仍應依政府採購法辦理」(草案第5條)。重要的國家安全事項,居然排除軍事機關及情報機關參與,還以政府機關能力不足委託給民間辦理,這是不是太詭異?
其次,到底要怎麼維護或管理資通安全呢?草案規定,公務機關及非公務機關都適用本法,所謂的非公務機關,包括了經行政院公告的人民或團體、公營事業、政府捐助的財團法人。(草案第2條)至於這些應適用的人民或團體如何產生?草案第15條明白表示:「中央目的事業主管機關或直轄市、縣(市)政府應指定關鍵基礎設施提供者,並報請行政院核定」,被指定的人民團體依照「責任等級要求」,應提出相當的資通安全維護計畫、改善報告,被指定的人民或團體,如果認為自己不符合資格或分級錯誤,沒有申訴及救濟方式。
簡單的說,政府所做的事情就是:指定你適用本法、然後稽核你。其他的都是被指定的人做:計畫你提,執行你做,報告你呈,出事你扛。
所有的事都是被指定的人做,做不來怎麼辦,請去委任或委託專業人士來辦理(草案第八條)。「專業人士」免費的還是收錢錢?還需要問嗎?
資通安全管理法說好聽一點就是一部「賺錢法」,政府指定適用對象且反對無效,然後根據你的支付能力分級決定「交保護費」的數額。公務機關委外,錢是政府出的,非公務機關委外,錢是自己出的,說到底都是人民出的,然後全給「專業人士」賺,敢反抗或拒絕就發動調查權、罰鍰。
哦,忘了說,罰則中沒有處罰被委任或委託者的條文,出事的話,資訊業者沒事。
安全在那裏?管理在那裏?只在法律名稱裏,高高掛著的羊頭。法律內容,赤裸裸是一塊資安業者才吃得到的…狗肉。
最近有很多學者投書都在談草案的第18條(行政檢查權),認為這一條牴觸諸多憲法原理原則,包括授權明確性、平等原則、比例原則等,條文中還有不少「不確定法律概念」,可能被行政權濫用等等。其實,說難聽點,就把第18條拿掉又怎麼樣?錢又不會少賺一點。
看看資通安全管理法,再看看最近賴揆說「推動人才培育促進就業建設計畫,預計4年內投入新台幣267 億元,目標培育萬名高科技人才」、「在2021年培育千名AI精英,開辦AI學苑及發展認證機制,加速培訓企業員工具備科技應用能力,希望每年至少培育5千名智慧科技應用人才」。
懂了嗎?快去學資訊科技或者拿證照,錢要來了。
我把草案的網址給你,行政院的。有興趣的自己看。
*作者為國家政策研究基金會高級助理研究員