行政院通過「資安法」修正案 規避稽核最多可罰100萬

行政院會今（4日）通過數發部擬具的「資通安全管理法」修正案，本次修正重點除明定主管機關及各機關權責，資安署得定期或不定期稽核公務機關、特定非公務機關的資安維護計畫，同時要求特定非公務機關設置資安長，更增訂中央目的事業主管機關對特定非公務機關重大資通安全事件的調查權限，若規避相關調查，主管機關可處10萬以上100萬以下罰鍰。

資安署指出，資安法修正案主要有三重點，分別是明確機關權責強化合作協力、強化納管機關資安管理、精進資安人力策略。

針對強化納管機關資安管理，包含擴大稽核範圍，增訂資安署得定期或不定期稽核納管機關的資通安全維護計畫實施情形，並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用的相關規範。

針對精進資安人力策略，增訂應符合資通安全責任等級之要求設置資通安全專職人員、強化並提升資通安全人員之專業知能及重大資通安全事件之調度支援等規定，增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限。

其中，公務機關部分，若遇有重大資通安全事件，資安署得有「調度支援」權力，要求各級機關資通安全人員支援，並視為在職訓練的一環，且可對涉及國家機密、軍事機密及國防秘密的資通安全業務人員進行「適任性查核」；特定非公務機關增訂對所屬人員辦理資通安全業務之獎勵及懲處。

資安署長謝翠娟補充，「適任性查核」是對要處理機敏業務的人員，查核有無犯罪紀錄；對於「調度支援」所指的重大資安事件，則是影響層面超過縣市政府，或影響民眾權益過大的事件。謝翠娟強調，資安署的稽核結果會定期公布，每年都會送到立法院，也會公布在網站上。

至於特定非公務資安機關範圍為何？新竹科學園區是否涵蓋在內？數發部次長闕河鳴表示，竹科是關鍵基礎設施，但位於竹科的公司必須是關鍵基礎設施才會被列入範圍內。

由於過往有公共設備標案，出現陸製設備的狀況，該狀況是否也在資安法管控範圍？闕河鳴表示，資安法規範對象是公務機關或特定非特定機關，規範的是使用情形，而非採購，若是採購的話，將由政府採購法規範。

闕河鳴補充，就算原先採購的是符合規定的，也有可能採購後，使用產品廠牌被併購，若雲端伺服器被放在中國可控地區，當地政府可取得相關資料，就變成危害國家資安的產品，因此本次修法只規範公務機關或特定非公務機關使用方式。

闕河鳴說，若公務機關必須要使用被管制產品，只要兩級資安長同意送數位部備查，基本上都會同意，像是駐外單位需要電信服務，或陸委會需要用到跟中國有關資料庫，現行制度都運作順暢，資安法只是把制度具體化。