{"billNo":"1050418070200200","提案單位/提案委員":"本院委員廖國棟等16人","議案名稱":"「資訊安全及產業發展條例草案」，請審議案。","相關附件":[{"網址":"https://ppg.ly.gov.tw/ppg/download/agenda1/02/pdf/09/01/11/LCEWA01_090111_00021.pdf","名稱":"關係文書PDF"},{"網址":"https://ppg.ly.gov.tw/ppg/download/agenda1/02/word/09/01/11/LCEWA01_090111_00021.doc","名稱":"關係文書DOC"}],"關連議案":[],"提案人":["廖國棟Sufin‧Siluko"],"連署人":["陳超明","黃昭順","徐志榮","鄭天財 Sra Kacaw","孔文吉","柯志恩","盧秀燕","王惠美","簡東明Uliw．Qaljupayare","曾銘宗","許淑華","林麗蟬","陳宜民","蔣萬安","江啟臣"],"議案狀態":"交付審查","議案流程":[{"會期":"09-01-11","院會/委員會":"院會","狀態":"排入院會 (交教育及文化委員會)","日期":["2016-04-29","2016-05-03"],"會議代碼":"院會-9-1-11"},{"會期":"09-01-11","院會/委員會":"院會","狀態":"交付審查","日期":["2016-04-29","2016-05-03"],"會議代碼":"院會-9-1-11"}],"mtime":"2024-01-18T23:41:05+08:00","屆期":9,"first_time":"2016-04-29","last_time":"2016-05-03","議案類別":"法律案","提案來源":"委員提案","meet_id":"院會-9-1-11","會期":1,"字號":"院總第1570號委員提案第18953號","laws":["03405"],"提案編號":"1570委18953","案由":"本院委員廖國棟等16人，鑑於長期以來行政部門推動資訊委外政策，緊縮行政機關之資訊單位與人力，資訊安全及發展因而不受重視，忽略資訊委外可能產生的資安風險；為重塑我國資訊國力，落實以民眾為中心之施政理念，推動我國資訊產業發展，有效整合資訊政策及資源，爰擬具「資訊安全及產業發展條例草案」。是否有當？敬請公決。","對照表":[{"law_id":"03405","law_name":"資訊安全及產業發展條例","立法種類":"增訂條文","title":"資訊安全及產業發展條例草案","rows":[{"說明":"章名：本章律定資訊基本法共通性事項及用詞定義。","增訂":"第一章　總　　則"},{"說明":"本法立法目的：為提昇我國資訊國力，落實以民眾為中心之施政理念，推動我國資訊產業發展，訂定資訊基本法。","增訂":"第一條　（立法目的）\n\n為確立政府推動資訊政策，落實資訊資源整合運用，強化資訊安全管理，健全政府資訊運作體制，策劃國家長程資訊整體發展策略，帶動民間資訊產業發展，特制定本法。"},{"說明":"一、本條定義本法之用詞。\n\n二、第三款所定義之資訊人力比率係作為各級政府機關合理配置資訊人力之基準。惟為顧及部分機關在資訊人力需求上之差異性，主管機關得在此一基準下，衡酌機關之特性做小幅之上下調整。\n\n其中資訊人力包括正職公務員、約聘雇人員等，但不含勞務採購契約所配置或派遣之駐點人力。\n\n三、第四款所訂之資訊預算比率，係作為衡量政府資訊預算占總預算之比率。為回復我國資訊國力，政府應參考世界主要先進國家之資訊預算比率，及我國財政狀況，合理訂定政府資訊預算比率。\n\n目前各機關資訊預算編列係採額度式（以機關過往分配額度作為該機關次年配置預算額度之基準），惟各機關因存在資訊發展重視度不同之歷吏性因素，致政府機關間資訊預算配置差異甚鉅，未盡公允。爰於本法定義資訊預算比率，除檢視政府整體資訊預算分配之合理性外，亦作為衡量各機關資訊預算額度占機關總預算之比率之是否合理之參據。","增訂":"第二條　（用詞定義）\n\n本法用詞，定義如下：\n\n一、資訊：本法所稱資訊係指軟體系統、硬體設備、軟體應用服務等有關之網路與通訊事項。\n\n二、資訊資源：包括資訊人力、資訊經費、資訊系統、設備網路及政府利用系統所建立蒐集之資料等資源。\n\n三、資訊人力比：指機關內資訊員額與機關總員額之比率。\n\n四、資訊預算比：指機關用於資訊業務之預算與機關總預算之比率。\n\n五、共用資訊系統：指多數公務機關（構）皆有使用需求之資訊系統。為有效運用政府資訊，由業務主管部會負責特定之共用系統規劃評估、服務導入、開發及維運，提供其他政府機關使用。若涉及多個機關，則由資訊主管機關協調指定主辦機關。"},{"說明":"一、本條明定行政院為資訊主管機關。","增訂":"第三條　（政府資訊主管機關）\n\n本條例主管機關：在中央為行政院；在直轄市為直轄市政府；在縣（市）為縣（市）政府。"},{"說明":"一、本條明定我國政府資訊與資安主管機關主要任務。統籌政府資訊策略規劃及資訊安全管理及推動資訊產業發展。\n\n二、目前政府並無資訊與資安實體主管機關，雖於行政院下設有「行政院國家資通安全會報」及「行政院資通訊推動小組」兩個任務編組，惟其組織成員均為兼任，欠缺持續之規劃、研究、執行、監督、管考之實質團隊，效果難以彰顯。","增訂":"第四條　（政府資訊主管機關任務）\n\n中央主管機關主要任務如下：\n\n一、設置資訊安全及產業發展專案辦公室，統籌資訊管理、資訊安全、人才培育及資訊產業發展等業務，負責政府整體資訊與資訊安全政策及資訊產業發展之綜合性規劃。\n\n二、加強資訊安全防護及推動資訊產業發展，統籌政府資訊政策規劃。\n\n三、協調資訊資源配置，負責資訊產業整體發展政策規劃。\n\n四、定期召開各級資訊主管協調會議。"},{"說明":"說明資訊社會發展及政府開放，促進透明之基本原則。","增訂":"第二章　資訊社會"},{"說明":"資訊發展帶給民眾福祉同時亦帶來隱私侵犯、妨害電腦使用、侵害智慧財產權、公然侮辱、毀謗等新型違反倫理道德及犯罪現象。本法揭櫫資訊社會發展基本原則，作為政府及民間產業在資訊技術發展及資訊服務提供之行為規範，以期資訊社會得以健康發展。","增訂":"第五條　（資訊社會發展基本原則）\n\n資訊技術發展及實體或虛擬環境所提供之資訊服務，應兼顧個人隱私、尊重人性尊嚴及弱勢權益、促進多元文化均衡發展。並透過前瞻資訊應用，提升全民生活與促進弱勢族群福祉。"},{"說明":"本條文立法概念參考通訊傳播基本法第十條。","增訂":"第六條　（資訊技術中立原則）\n\n中央主管機關應會商直轄市、縣（市）主管機關及有關機關，於本法施行後六個月內，訂定對於資訊技術規範、審驗與管理；並以公平、效率、技術中立及促進創新與互通應用為原則。"},{"說明":"配合政府資料開放，明定政府資料以開放為原則，不開放為例外，並應以友善無差別待遇方式提供民眾應用。","增訂":"第七條　（政府資料開放）\n\n政府資料除依法不得開放外，應以開放為原則，並以公平及無差別待遇原則，提供公眾使用。"},{"說明":"一、本條明定政府機關保有重要資訊系統或個人資料、機敏資料之電子檔案者應設置自有資安防護機構或人員。\n\n二、德國個資法第4f,4g兩條共十款詳細界定各個公務機關設置資料保護專人之職掌、訓練、任用與保障等，甚值我國參考。\n\n三、德國個資法第29條另於聯邦設「資訊保護官」由總理提名，經國會任命，相當我國政務委員，足見德國政府對於個資安全之重視。\n\n四、另依據英國BS10012個資保護之準國際（DE factor）標準，其在最主要的第四章第一節開宗明義即提到：個資保護之制度建立，機關首先須指派負責個資保護之資深主管及負責日常資安防護工作之人員。\n\n五、我國政府機關建置諸多資訊系統，其中不乏有收集、處理、利用民眾個人資料或保有公務重要、機敏電子檔案者，應設置資訊安全管理專責單位或人員，以利機關管理、維運日常資安防護工作。目前政府在組織再造的制度設計中，規定三四級機關原則不設置資訊單位或人員，而人事、主計、政風等幕僚單位可設置，此一規定顯示對於資訊業務之輕忽，有待立法加以改正。\n\n六、民間企業具有國家關鍵基礎設施之屬性者亦應比照政府機關設置資訊專責機構或資安技術人員。對民間企業之監督管理須有法律依據，不得以行政規則為之，故須另訂\"資訊安全管理法\"為本基本法之子法，其屬性為作用法。","增訂":"第八條　（政府機關及民間企業資訊安全管理）\n\n行政機關建置資訊系統以蒐集、處理、利用民眾個人資料或保有公務重要、機敏電子檔案或系統者，應指定專責資安人員，以利機關執行日常資安防護工作。\n\n民間企業涉及國家關鍵基礎設施，或蒐集民眾個人資料者，應比照行政機關辦理。\n\n資訊安全管理規定，由行政院另定之。"},{"說明":"虛擬世界所涉及之事務多為跨部會跨領域事項，事權不一，協調或解決屢遭困難，拖延問題解決時效，錯失產業競爭契機。政府需有法定調處機關以利有效解決爭議、統籌產業競爭策略。\n\n虛擬世界之隱私保護、言論自由、網路禮儀、資訊素養等議題應妥予保障，至為達公平社會，應就縮減數位落差，建立數位公平機會等事項，由資訊主管機關統籌規劃，並協調業務主管機關落實執行。","增訂":"第九條　（網路社會跨域事務調處）\n\n運用資訊與網路技術所產生之電子商務、網路社群等服務，其延伸之安全防護、技術規範、國際合作跨領域資訊事務之爭議與協調，得由資訊主管機關統籌規範及調處。\n\n網路社會之隱私保護、言論自由保障、網路行為規範、網路公共參與、縮短數位落差，及促進數位機會等事項，資訊主管機關應統籌規劃，並協調相關業務主管機關推動執行。"},{"說明":"章名：規範政府資訊發展與資訊安全主管機關，界定各級政府資訊組織與從屬關係，政府機構資訊人力比及資訊機構在機關之角色定位。","增訂":"第三章　政府資訊整合"},{"說明":"一、我國政府資訊系統發展，目前係以部會為中心，尚未有政府整體資訊架構（Enterprise Architecture, EA）之制度設計。爰參考美國聯邦企業架構框架（FEAF），訂定政府整體資訊架構。\n\n二、目前各政府機關重複開發之資訊系統甚多如公文管理、線上簽核、差勤表單等，機關間制度各異，需求紊亂。除各政府機關重複投入大量開發資源外，並不能有效培植具規模與品質之廠商以利國際競爭。是以公用系統制度有其必要。\n\n共用系統應由行政院協調或指定與該共用性系統業務權責相近部會之資訊部門負責開發及維運。並明確規定共用系統之制度與流程以降低機關間之需求差異，並藉此培植具規模與品質之廠商以利國際競爭。行政院應挹注主辦部會合理之資訊資源以維持運轉。","增訂":"第十條　（政府整體資訊架構與共用系統）\n\n政府整體資訊服務與系統發展應由資訊主管機關統籌規劃，訂定規範及標準，協調各部會就主管業務之資訊服務及系統據以執行。\n\n資訊主管機關得就政府共用資訊系統，協調或指定主管部會負責規劃評估、服務導入、開發及維運，以避免各部會重複投入資源。\n\n資訊主管機關得就政府共用資訊系統挹注合理資源，並訂定管理及考核程序。"},{"說明":"一、本條明定我國政府資訊機構於機關內之角色定位。\n\n二、資訊機構依現行政府組改規定，定位為幕僚單位。角色扮演為依據機關首長及業務單位需求，規劃開發系統。\n\n但在電子化政府及數位治理之潮流衝擊下，資訊機構應跳脫既往幕僚及支援角色之框架。除配合機關內業務單位提出之需求外，資訊機構，更應主動擔負起機關內流程簡化及運用自動化技術推動業務創新之企劃職掌，以協助機關提升效率、開創新種便民服務機制。惟目前資訊單位不具開創新種便民服務職權，難以協調業務單位推動變革，資訊化效果明顯受限。為使機關資訊化達到最佳效果，本法重新定位資訊機構在機關之業務性角色與職掌。\n\n三、茲舉一則與社會正義有關的家暴防制案例，以闡述本條文之重要性。","增訂":"第十一條　（資訊單位在機關定位）\n\n資訊單位屬性視同業務單位，協助機關善用資通訊技術達成施政目標、業務流程整合、跨單位資訊整合，以及推動業務創新等事項。\n\n資訊單位應整合機關及所屬資訊資源，配合整體資訊架構及政策，統籌規劃運用。"},{"說明":"一、本條明定各級政府資訊組織從屬關係，並律定資訊主管機關對資訊單位有定期評估之責。\n\n二、為推動跨部會業務、促進資訊人才交流，行政院資訊主管機關得協調各級政府機關資訊人員之任職與遷調，以應政府整體資訊業務之推動。","增訂":"第十二條　（資訊組織及成效評估）\n\n資訊主管機關統籌協調政府資訊業務，及各級政府機關資訊資源，包括資訊人力、資訊預算、資訊計畫、以及資訊服務等各項資源。\n\n資訊主管機關定期評估各級政府機關資訊單位績效報告及資訊資源應用情形，提供各級政府機關首長參考。\n\n前項評估報告至少應包括：機關資訊業務服務成效、機關資訊計畫整體執行成效、資訊單位執行成效、資訊主管績效評估、資訊單位人力運用評估、資訊預算執行成效、評估建議。\n\n評估作業期程及方式由中央主管機關訂定之。"},{"說明":"國家經濟、交通、內政、環境及社會發展等各領域均須運用資訊技術以推動政務。因此政府重大施政計畫之申請應同時提出資訊與資安影響評估，以利評核該計畫與國家整體資訊架構（EA）之銜接性，資安規劃之嚴謹度及與國內資訊產業發展之關聯性。此將有利於整體資訊運用並促進民間資訊產業發展。","增訂":"第十三條　（資訊影響評估）\n\n政府重大施政計畫應提出資訊影響評估。\n\n民間重大建設計畫，或涉及關鍵基礎建設者，得向業務主管機關提出資訊影響評估，並視影響範圍由業務主管機關提報資訊主管機關核備。\n\n本項資訊影響評估施行原則由資訊主管機關另訂之。"},{"說明":"一、本條明訂設置政府整體資訊安全研發、防護機關。\n\n二、本條參考美國政府對於國家資訊安全防護所訂之「聯邦資訊安全管理法（FISMA）」專法中對於美國國家技術與標準局（NIST）之任務規範，作為我國政府整體資訊安全研發、防護及訓練機關職掌設計之借鏡。\n\n三、所設之國家層級資訊安全防護、研發機關，須負責研訂資安策略，發展資安攻防技術與工具，處理國安層級資安事件，並協助各級政府推動資安防護、數位證據保全、數位鑑識工作。\n\n四、設立政府整體資訊安全研發、防護機關之施行辦法由資訊主管機關另定之。","增訂":"第十四條　（政府資訊安全防護、研發機關）\n\n資訊主管機關應設專責組織統籌資訊安全防護、研發、預警等作業。\n\n前項所稱組織統籌研訂資安策略，發展資安攻防技術與工具，處理國安層級資安事件，協助各級政府推動資安防護、數位證據保全、數位鑑識等工作。\n\n前項組織得為政府機關或行政法人，並以法律明定之。"},{"說明":"一、美國克林格─科恩法案（Clinger-Cohen Act 1996）第5112節，明定機關首長在機關資訊發展上的責任，我國基本法應參考美國此項做法，將機關首長在資訊推動與資安防護的職責納入條文。\n\n二、我國個人資料保護法第50條規定非公務機關之代表人，除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。但對於公務機關首長則無此相對嚴格之規定，首長可能輕忽此項職責，有必要參考個人資料保護法第50條之作法，將機關首長在資訊推動資訊與資安防護的職責納入條文。","增訂":"第十五條　（機關首長在資訊與資安的職責）\n\n機關首長負機關資訊應用與資訊安全之責。定期督導機關資訊作業與資安防護落實情形，推動風險管理，及時調整管理制度或資源配置。\n\n機關首長應指定一定層級之主管或幕僚長擔任機關資訊長，督導及協調機關整體資訊業務、資料治理、數位服務規劃、機關個資保護、資安防護及風險管理等，並協助首長推動機關業務資訊化。"},{"說明":"一、本條明定我國政府組織資訊人力配置原則。\n\n二、我國資訊人力受限於政府推動資訊委外政策，長期處於人力不足或不均之情況。目前我國平均資訊人力比為1.5%，而引領資訊委外風潮的美國，其聯邦政府資訊人力比卻仍維持在4.9%。顯示我國一個資訊人員需抵三個美國人用，顯不合理。此一問題已嚴重影響政府組織資訊業務之推動及國家整體資訊安全防護能量。\n\n三、行政院應參考國際資訊發展成熟國家與競爭對手國家之客觀資訊人力數據，訂定我國政府機關合理資訊人力比率。\n\n四、各級政府機關應準此比率，在總額法之規範下設置資訊員額，並以集中至部會，且視需要派駐至所屬機關為原則。","增訂":"第十六條　（政府資訊人力配置）\n\n各部會應合理配置部會（含所屬機關）整體資訊人力，並由部會資訊單位整合配置及管理。\n\n資訊主管機關應定期檢討合理資訊人力比例，考量因素應包括施政業務重點、機關執行成效、總員額，及技術演進等，訂定最低資訊人力比，各部會據以配置及調整。\n\n資訊主管機關應會同行政院人事總處定期至各部會進行人力評鑑。\n\n前項資訊人力配置及評鑑原則，由資訊主管機關訂定，行政院以外中央政府機關及地方政府準用。"},{"說明":"一、本條明定我國政府機關資訊維護費用之編列原則。\n\n二、目前政府機關業務運作，多數須仰仗電腦設備與資訊軟體，公務員處理公務亦絕大多數須仰仗資訊設備，幾無例外。因此資訊設備與人事費性質甚近，只要設公務員就不能無資訊設備。這些個人電腦、伺服主機等設備必須要逐年汰換，方能維持運作效能。\n\n但目前的資訊預算編列原則是無計畫即無預算。此類經常性、維持性之設備汰換費用占機關資訊預算達七至八成。但因公務預算額度內資訊預算普遍不足，機關須逐年以創新名義，編訂計畫爭取科技技計畫或公共建設等額度外經費，事實上計畫中多數經費係支用於機關基本維護。這些計畫申請時屢遭計畫審查委員挑戰不具研究價值或不具創新性，提案之資訊部門百口莫辯，實不合理。\n\n因此，此類資訊軟硬體、安全防護、通訊等設備之經常性維運經費應比照人事費，依機關之員額數及業務特性歸類，訂定明確之編列標準，以使其資訊業務得以穩定維運。\n\n三、目前各機關資訊經費編列普遍採額度制，機關間標準不一，且維護費幾乎年年依一定比率刪減。所刪減費用本質上為資訊服務廠商之員工薪資，對於民間廠商之生存或研發能量之建立皆產生不利之影響。故政府應設立一套政府機關資訊維護費用編列標準。\n\n四、本項資訊維護費用編列標準之具體施行辦法由行政院資訊主管機關協調主計總處另訂之。","增訂":"第十七條　（資訊預算編列原則）\n\n政府資訊預算應明列基礎維運、共用架構服務，及創新服務等三大類別。\n\n中央機關應整合所屬機關統籌編列前項三大類別資算預算。\n\n資訊主管機關應定期就第一項三大類別律定機關整體資訊預算佔比進行檢討，並公告供行政院各部會據以編列資訊預算。行政院以外中央政府機關及地方政府準用。"},{"說明":"一、政府整體資訊發展、資安防護及研發工作均需投入大量資源，方可有效運轉。然由政府100年至104年之資訊經費之配置觀察，資訊預算占公務總預算之比率由100年之0.84%降至104年之0.60%，呈現逐年下降之趨勢。而觀察美國資訊預算，自西元2001至2014則呈現逐年緩步上升（2014年美國聯邦政府資訊預算比為：2.17%）。\n\n二、奢談提升台灣資訊國際競爭力，政府資訊預算配置卻逐年減少，此無異緣木求魚。是以為落實台灣資訊國力之提升，政府應參考國際資訊發展成熟國家（及資訊競爭對手國家）之資訊預算比率之客觀數據，據以明定我國資訊預算占政府總預算中之合理比率。","增訂":"第十八條　（政府資訊計畫預算配置原則）\n\n政府重大施政計畫、公共建設計畫、社會發展計畫及科技發展計畫，應編列一定比例資訊預算。\n\n資訊主管機關應考量我國整體經濟、施政方針、並參考國際資訊發展成熟國家之客觀數據等因素，訂定最低資訊預算比例，並定期發佈，供行政院各部會據以辦理。行政院以外中央政府機關及地方政府準用。"},{"說明":"一、為避免政府機關誤解委外原則，從而造成資訊過度委外，失去核心職能，爰明確定義委外原則，並強化計畫管理。大型專案或關鍵資訊專案，應適時引進專業之管理團隊，協助機關共同規劃及管理。\n\n二、為善用民間研發能量，提升政府與民間資安防護之研發能力，在不失政府主控性原則下得適度引進民間技術人力。政府特定用途之資安工具研發，亦得委託民間辦理或與民間協同研發","增訂":"第十九條　（資訊委外原則）\n\n政府資訊以非核心業務委外為原則，並應建立妥適委外管理制度，維持核心職能，定期評估，落實計畫管理。\n\n政府大型資訊計畫或關鍵資訊計畫，應適度引進民間專業，協助機關共同規劃管理及推動。\n\n政府資安技術事項，在不失政府主控性原則下得適度引進民間專業人力。政府特定用途之資安工具研發，得與民間廠商協同研發或委託民間辦理。"},{"說明":"一、本條明定資訊主管機關應辦理各級政府資訊人員之資訊與資安之新進與在職之訓練。\n\n二、政府各類專業人員為使新進與在職人員之職能可以與時俱進，多設有訓練機關。舉如主計人員設有主計人員訓練中心，司法官於法務部設有司法官學院等。\n\n三、除對資訊專業人員訓練外更應對於非資訊專業之同仁提供基礎性、通識性資訊教育，以強化公務人員資訊應用能力及資訊安全之認知。\n\n四、該資訊教育訓練機關並應偕同教育部推動學校與社區資訊教育與實務訓練以強化國民資訊競爭力。","增訂":"第二十條　（資訊教育訓練機關）\n\n資訊主管機關應負責政府人員資訊教育訓練。\n\n前項教育訓練應包括新進人員基礎訓練及在職訓練。訓練對象應含括非資訊人員與資訊人員，提供所需訓練內容。\n\n資訊主管機關應妥善規劃各層級人員所需資訊專業職能地圖，據以實施並列入年度考評。"},{"說明":"章名：政府應獎勵資訊產業策略性軟硬體研發以提升國際競爭力。","增訂":"第四章　產業發展"},{"說明":"我國本土資訊產品市場不大，資訊軟體產業資本規模亦有限，為扶植具國際競爭力之軟體產業及資訊服務業，政府有必要給予政策上之支持。","增訂":"第二十一條　（資訊研發獎勵）\n\n為推動資訊安全及相關產業發展事項，由中央政府逐年編列預算支應或寬列預算補助之。\n\n為提升我國資訊發展及國際競爭力，中央主管機關應設置資訊產業發展基金，基金總額新臺幣一百億元，其來源如下：\n\n一、中央主管機關分四年編列預算撥入。\n\n二、基金孳息。\n\n三、人民或團體之捐助。\n\n四、其他收入。\n\n基金德針對資訊策略性軟硬體研發或資訊服務模式之創新，得給予民間必要之補助與獎勵。\n\n民間重大建設計有利於整體資訊產業發展或國家資訊安全防護者得給予獎勵。\n\n為促進民間資訊產業發展與國際競爭，得經由政策工具提供優惠措施。"},{"說明":"本法施行細則之訂定機關。","增訂":"第二十二條　（施行細則）\n\n本法施行細則，由行政院定之。"},{"說明":"本法施行日期須與本法相關子法做配套規劃，因此施行日期自公布日起算一年後生效。","增訂":"第二十三條　（施行日期）\n\n本法自公布後一年施行。"}]}],"ppg_url":"https://ppg.ly.gov.tw/ppg/bills/1050418070200200/details"}