委員會紀錄

立法院第9屆第4會期司法及法制委員會第22次全體委員會議紀錄

時  間 中華民國106年12月20日(星期三)9時7分至16時59分

地  點 本院紅樓302會議室

主  席 蔡委員易餘

主席:出席委員已足法定人數,現在開會。

進行報告事項。

報 告 事 項

宣讀上次會議議事錄。

立法院第9屆第4會期司法及法制委員會第21次全體委員會議議事錄

時  間:中華民國106年12月18日(星期一)上午9時至11時39分

地  點:本院紅樓302會議室

出席委員:吳志揚  葉宜津  鍾孔炤  李俊俋  王育敏  蔡易餘  段宜康  林為洲  尤美女  劉櫂豪  楊鎮浯  柯建銘  廖國棟Sufin.Siluko

   委員出席13人

列席委員:黃偉哲  林德福  吳玉琴  蕭美琴  孔文吉  蔣乃辛  張麗善  劉世芳  周陳秀霞 張廖萬堅 羅明才  王惠美

   委員列席12人

列席官員:

司法院秘書長 呂太郎

 

金融監督管理委員會副主任委員 鄭貞茂(主任委員請假)

 

法務部法制司檢察官 蔡麗清

 

經濟部商業司副參事 朱一萍

 

財政部庫務管理組組長 陳曉鈴

 

原住民族委員會土地管理處專門委員 陳乃榕

主  席:蔡召集委員易餘

專門委員:張智為

主任秘書:楊育純

紀  錄:簡任秘書 彭定民

   簡任編審 周厚增

   科  長 鄧可容

   專  員 蔡國治

報 告 事 項

宣讀上次會議議事錄。

決定:確定。

討 論 事 項

一、審查司法院、行政院函請審議「消費者債務清理條例部分條文修正草案」案。

二、審查委員吳玉琴等20人擬具「消費者債務清理條例部分條文修正草案」案。

三、審查委員蔡易餘等16人擬具「消費者債務清理條例部分條文修正草案」案。

四、審查委員張廖萬堅等19人擬具「消費者債務清理條例第七十五條條文修正草案」案。

(本次會議有委員吳志揚、葉宜津、李俊俋、王育敏、鍾孔炤、蔡易餘、段宜康、尤美女、吳玉琴、林為洲、楊鎮浯提出質詢;委員張廖萬堅提出書面質詢。)

決議:

一、報告及詢答完畢。

二、以上各案均另定期繼續審查

三、委員質詢時,要求提供相關資料或以書面答復者,請相關機關儘速送交個別委員及本委員會。

提 案

為便利本院司法及法制委員會就《消費者債務清理條例部分條文修正草案》之後續審查,爰建請金融監督管理委員會(下稱金管會)就卡債族之相關統計資料(諸如卡債數額級距與人數)與金管會之因應對策,提供書面報告供司法及法制委員會所屬委員參考。

提案人:李俊俋  蔡易餘  尤美女  段宜康  鍾孔炤

決議:照案通過。

散會

主席:請問各位,上次會議議事錄有無錯誤?(無)無錯誤,確定。

進行討論事項。

討 論 事 項

繼續併案審查(一)行政院函請審議「資通安全管理法草案」、(二)時代力量黨團擬具「資通安全管理法草案」、(三)委員陳亭妃等23人擬具「資通安全管理法草案」、(四)委員許毓仁等17人擬具「資通安全管理法草案」、(五)委員余宛如等18人擬具「資通安全法草案」及(六)親民黨黨團擬具「資通安全管理法草案」案。

主席:報告委員會,本案曾於106年11月6日第9屆第4會期本會第12次全體委員會議報告及詢答完畢,如果各位委員沒有意見的話,今天就省略大體討論,直接進入逐條討論。好,大家都沒有意見,現在進行逐條討論。

宣讀提案條文及相關修正動議。

壹、提案條文部分:   條文對照表:

行政院提案

時代力量黨團提案

委員陳亭妃等23人提案

委員許毓仁等17人提案

委員余宛如等18人提案

親民黨黨團提案

說明

名稱:資通安全管理法

名稱:資通安全管理法

名稱:資通安全管理法

名稱:資通安全管理法

名稱:資通安全法

名稱:資通安全管理法

 

第一章 總則

第一章 總論

第一章 總則

 

第一章 總則

 

 

行政院提案:

章名。

時代力量黨團提案:

章名

委員陳亭妃等23人提案:

章名

委員許毓仁等17人提案:

章名。

第一條 為積極推動國家資通安全政策,加速建構國家資通安全環境,帶動資通安全產業發展,以保障國家安全,維護社會公共利益,特制定本法。

第一條 (立法目的)

為提升國家資通安全之防護、應變及復原能力,加強資通安全政策、法令、技術及市場之研究、發展及應用,扶植國家資通安全人才、組織及產業,以維護國家安全及國民權益,特制定本法。

第一條 為積極推動國家資通安全政策,強化我國資通安全,並降低資通安全之風險,以確保國家安全、維護國人之生命權及財產權,並提升資通安全產業發展,特制定本法。

第一條 為積極推動國家資通安全政策,加速建構國家資通安全環境,帶動資通安全產業發展,以保障國家安全,維護社會公共利益,特制定本法。

第一條 本法立法目的為:

一、提供政府資通安全治理架構,以提升國家資通安全之防護、應變及復原能力。

二、透過管理及監察,以及與公民社會及國家安全機制之協作,以提供政府資通訊及資通系統安全保護之最低必要控制。

三、協助市場建立先進、高能、自動及有效的資安解決方案及認證機制,以協助民間建置資通安全能量。

四、提供資安防護標準,以作為政府全面性作業架構、資通系統安全保護最低必要控制,及關鍵基礎設施資安防護方案的依據。

五、統整資通安全政策、法令,以保障國家安全,維護社會公共利益。

六、透過提升政府採購軟體或硬體資安解決方案,以帶動資通安全產業發展,扶植國家資通安全人才。

 

第一條 在避免不當侵犯人民權利之前提下,政府應建立國家資通安全政策及治理架構,整合資安政策法令,提供資安防護標準之參考,並由公私協力建立資安解決方案,帶動資通安全產業發展,以保障及維護社會公共利益,特制定本法。

行政院提案:

一、明定本法之立法目的。

二、隨著數位及其他資通科技(Information Communication Technology)應用之普及,資通安全議題日益受到重視。為有效規劃我國之資通安全管理政策,落實於公、私部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,特制定本法。

時代力量黨團提案:

鑑於全球透過網路或其他通訊設備之攻擊事件頻傳,導致各國、企業或個人之機敏性資料落入具有特定負面意圖之人或組織手中,造成國家安全或國民權益之重大損害,爰參酌美國、德國等資通安全發展較為先進之國家之立法歷程、內容與實作經驗,特制定本法,期使我國能在事前防護資通安全系統及偵測針對系統之各種威脅、於事中得以迅速回應、縮小損害規模甚至回擊、在事後也可以盡早回復、保全及蒐集相關證據,提升我國資通安全之防禦能力、維護我國國家安全及國民權益。

委員陳亭妃等23人提案:

一、全球化、資訊化時代來臨,政府及企業大量使用網際網路進行線上服務,且許多重要關鍵基礎設施也開始仰賴網路線上管理後,來自網際網路的駭客,會盜用民眾身分,侵入個人電子郵箱,試圖破壞資訊網路、金融機構及資訊管理系統,以竊取他國政府或企業的機密。世界正面臨著快速增長的網路安全威脅,各國越來越關注全球駭客持續入侵、竊取智慧財產、商業機密以及國防軍事資料,對經濟和國安造成威脅。我國資訊科技發展快速,受到網路攻擊的危機迫切,網路安全問題已是國家安全的重要議題,實有必要立法規定。

二、鑒於數位及其他資訊科技應用普及,資通科技的蓬勃發展,資通安全風險大幅增加,而我國公部門,雖有資通安全推動單位與相關遵行法令,惟若能進一步賦予各機關資通安全維護義務的法源,將更能提昇我國資通安全能量。

三、為有效規劃我國之資通安全管理政策,並落實於公、私部門,以建構一個安全之資通環境,以確保國家安全、維護國人之生命權及財產權,並提升資通安全產業發展。

委員許毓仁等17人提案:

一、明定本法之立法目的。

二、隨著數位及其他資通科技應用之普及,資通安全議題日益受到重視。為有效將我國之資通安全管理政策落實於公部門,以建構安全之資通環境,進而保障國家安全,維護社會公共利益,特制定本法。

委員余宛如等18人提案:

一、明訂本法立法目的。

二、本法立法目的包含六大主題:

1.提供治理架構

2.提供資安最低必要控制

3.協助市場建立資安解決方案

4.提供資安防護標準

5.統整資安政策法令

6.以政府採購帶動資安產業

三、參考FISMA 2014之立法目的:

1.針對支持聯邦運作及資產(operation& assets)的相關資訊,提供一個能夠提高資訊安全控制效能的全面性架構。

2.認知到現行聯邦資訊環境已經高度網路化的事實,提供有效的政府管理,以及對於相關資訊安全風險的監察,包括透過與公司社會、國家安全機制及執法單位的協作。

3.發展並維持對於聯邦「資訊及資訊系統」安全保護的最低必要控制。

4.提供一套機制,用以改善對聯邦資訊安全計畫的監察,包括經由自動化安全工具以持續「斷定(diagnose)」資安狀態並改善安全。

5.理解商業開發之資訊安全產品可提供先進、高能、自動及有效的資安解決方案,反映市場解決方案對於保護由私部門設計、建造及營運的關鍵基礎設施(對國安及自由經濟安全十分重要)十分重要。

6.認知選擇軟體或硬體資安解決方案應由各機關自行自商業市場產品中挑選。

四、參考ISO 27001之制訂目的:「本標準之制定係為提供用以建立、實作、運作、監視、審查、維持及改進資訊安全管理系統之模型。」

親民黨黨團提案:

在避免不當侵犯人民權利的前提下,為保障公共利益,參酌美國聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014),明定本法之立法目的。

第二條 本法用詞,定義如下:

一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。

二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。

三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。

四、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。

五、非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。

六、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,並經行政院公告者。

七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,依第十五條第一項規定經中央目的事業主管機關或直轄市、縣(市)政府指定,並報行政院核定之非公務機關。

前項第五款所稱政府捐助之財團法人,其範圍於施行細則中定之。

第二條 (名詞定義)

本法所稱資通安全,謂硬體設備、軟體系統、軟體應用服務等有關網路與通訊事項之可用性、完整性及保密性,並遵循一定之標準,避免未經授權之存取、使用、洩漏、破壞、修改或銷毀等不利於國家安全及國民權益之行為。

前項所稱有關網路與通訊事項,準用通訊保障及監察法第三條之定義。

第二條 本法用詞,定義如下:

一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。

二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。

三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、修改、銷毀或其他侵害,以確保其機密性、完整性及可用性。

四、公務機關:指依法行使公權力之中央、地方機關或行政法人。

五、非公務機關:指公務機關以外之自然人、公營事業機構、其他法人或團體。

六、關鍵基礎設施:指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方機關、高科技園區等實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,將使國人生活、經濟活動、公眾安全或國家安全有重大影響。

七、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,並經中央目的事業主管機關指定之非公務機關。

第二條 本法用詞,定義如下:

一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。

二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。

三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。

四、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。

第二條 本法用詞,定義如下:

一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。

二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。

三、資通安全:指保護資訊及資通系統,免除於未經授權的存取、利用、揭露、干擾、修改、毀壞,以及可能導致之實際違法行為,或對依法形成的安全政策、安全流程或資訊利用政策構成威脅,以確保資訊及資通系統之完整性、機密性及可用性。

四、資安事件:指系統、服務或網路經識別已發生違法或違反資訊安全政策的狀態,或是可能與資通安全相關,然先前未知的狀態,致資訊及資通系統喪失完整性及機密性,因而構成對於資安政策或安全流程或資訊利用的威脅。

五、公務機關:指依法行使公權力之中央、地方機關(構)、公法人、公營事業及政府捐助之財團法人。

六、資通安全管理系統:整體管理系統的一部份,以營運風險管理為基礎,用以建立、實作、運作、監視、審查、維持及改進資通安全。

七、人力資源安全:整體人力資源管理之一部分,依所接觸資安業務機密等級所進行之聘僱前角色與責任之釐清、篩選、聘僱條款與條件,聘僱期間之管理階層責任、資訊安全認知、教育及訓練、懲處,聘僱終止或變更時之終止責任、資產歸還、存取權限之移除等事項。

八、關鍵基礎設施:指能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等實體或虛擬資產之營運所需之重要資通訊系統或調度、控制系統或網路,其功能一旦停止運作或效能降低,對國民生活、經濟活動、公眾安全或國家安全有重大影響之虞者。

第二條 本法用詞,定義如下:

一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。

二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。

三、資通安全:指保護資訊及資通系統,免除於未經授權的存取、利用、揭露、干擾、修改、毀壞,以及可能導致之實際違法行為,或對依法形成的安全政策、安全流程或資訊利用政策構成威脅,以確保資訊及資通系統之完整性、機密性及可用性。

四、資安事件:指系統、服務或網路經識別已發生違法或違反資訊安全政策的狀態,或是可能與資通安全相關,然先前未知的狀態,致資訊及資通系統喪失完整性及機密性,因而構成對於資安政策或安全流程或資訊利用的威脅。

五、公務機關:指依法行使公權力之中央、地方機關(構)、行政法人、公營事業及政府捐助之財團法人。

行政院提案:

一、第一項明定本法用詞定義:

(一)參考美國國家標準技術研究所(National Institute of Standards andTechnology)SP800-60 Volume I: Guildfor Mapping Type of Informationand Information System to Security Categories及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,於第一款至第三款規定資通系統、資通服務及資通安全之定義。

(二)第四款及第五款規定公務機關及非公務機關。公務機關指依法行使公權力之中央、地方機關(構)或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。另考量軍事機關及情報機關之性質特殊,其資通安全管理宜由該等機關另行規定,故定明非屬本法所稱公務機關;該等機關之範圍,將於施行細則中規範。非公務機關則包括關鍵基礎設施提供者、公營事業及政府捐助之財團法人。

(三)參考美國31 CFR 800.208所定關鍵基礎設施(critical infrastructure)、日本網路安全基本法(基本法)第三條所定重要社會基礎業者、韓國情報通信基礎保護法(정보통신기반보호법)第二條所定情報通信基礎設施等定義,於第六款明定關鍵基礎設施之內涵,並考量關鍵基礎設施因應環境與時代變遷,其範圍可能調整,故規定由行政院公告之。依據行政院訂定之「國家關鍵基礎設施安全防護指導綱要」,關鍵基礎設施之範圍分為能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大功能領域,其下並各分為數項次領域及重要元件設施;因前揭指導綱要每兩年將定期檢視調整,關鍵基礎設施之範圍,亦將配合修正調整。

(四)考量關鍵基礎設施對國家安全、社會公共利益、國民生活及經濟活動有重大影響,然各維運關鍵基礎設施之非公務機關其屬性及重要性仍有不同,爰於第七款規定關鍵基礎設施提供者為由中央目的事業主管機關或直轄市、縣(市)政府指定其中具重要性者,並報行政院核定之非公務機關。

(五)提供或維運關鍵基礎設施之全部或一部者,如屬本法所定義之公務機關,應遵循本法有關公務機關之規定;至其他關鍵基礎設施之提供者,則應遵循本法有關關鍵基礎設施提供者之規定。

(六)非提供或維運關鍵基礎設施功能或重要元件設施,而僅提供關鍵基礎設施所需用之其他設備或服務者,雖非本法所稱關鍵基礎設施提供者,但如其係受關鍵基礎提供者委託辦理資通系統之建置、維運或資通服務之提供時,仍應依本法第八條規定,受委託者之監督。

二、有關本法規範之政府捐助之財團法人,其範圍宜與財團法人相關規定內涵一致,爰為第二項規定;未來將參考財團法人法草案第二條第二項及第三項規定,於施行細則中定明其範圍。

時代力量黨團提案:

一、根據美國前總統柯林頓第63號總統決策令(Presidential Decision Directive)及美國聯邦資訊安全管理法(Federal Information Security Management Act),資訊安全管理的目標在於保護資訊及資訊系統以避免未經授權的存取、使用、洩漏、破壞、修改或銷毀等行為,以確保資訊的可用性(Availability)、完整性(Integrity)及保密性(Confidentiality);德國聯邦資訊科技安全加強法案(Act to Strengthen the Security of Federal Information Technology)亦指出,資訊安全指透過安全防範的方式,確保資訊之可用性、完整性及保密性。

二、另再參酌我國通訊保障及監察法等相關規定,界定需加以防護之範疇,包含利用電信設備發送、儲存、傳輸或接收符號、文字、影像、聲音或其他信息之有線及無線電信、郵件、書信、言論及談話等,以確保處理及傳輸訊息之各式科技及記錄均在本法指涉範疇中。

委員陳亭妃等23人提案:

一、本法用詞定義之規定。

二、參考美國國家標準技術研究所及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,針對資通系統、資通安全等用詞定義進行規定。

三、定義公務機關與非公務機關參考個人資料保護法之規定內容,公務機關包含中央、地方機關或行政法人,例如總統府、行政院、立法院、司法院、考試院、監察院、縣(市)政府、公立教育機構或醫療機構等,均屬之;非公務機關則指公務機關以外之自然人、公營事業機構等法人或團體,例如私立教育機構及醫療機構等,均屬之。

四、參考美國「關鍵基礎設施」定義、日本「網路資訊安全基本法」、韓國「情報通信基礎保護法」來定義「關鍵基礎設施」。

五、各運作的關鍵基礎設施之非公務機關於各該類關鍵基礎設施中之屬性及重要性有所不同,所以由中央目的事業主管機關指定其中具重要性或亟具關鍵者納入規範對象。

委員許毓仁等17人提案:

第一項明定本法用詞定義:

一、參考美國國家標準技術研究所SP800-60 Volume I:Guildfor Mapping Type of Information and Information System to Security Categories及經濟部標準檢驗局公布國家標準CNS 27001「資訊技術─安全技術─資訊安全管理─要求事項」等文件,於第一款至第三款規定資通系統、資通服務及資通安全之定義。

二、第四款所規範之公務機關,係指依法行使公權力之中央、地方機關(構)或公法人,例如總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等。另考量軍事機關及情報機關之性質特殊,其資通安全管理宜由該等機關另行規定,故定明非屬本法所稱公務機關。

委員余宛如等18人提案:

一、明訂本法用詞定義。

二、資通系統及資通服務之定義參考美國NIST 2008年SP800-60 Volum 1:「資訊及資訊系統安全分類指引」附錄A。

三、資安之定義參考FISMA 2014第3552條:資安是「保護資訊及資訊系統,免除於未經授權的存取(unauthorized access)、利用(use)、揭露(disclosure)、干擾(disruption)、修改(modification)、毀壞(destruction)」。

資安的目的在於提供:

1.完整性(integrity),意指保護系統免除於不正當的資訊修改或毀壞,並包括確保資訊的「可追究性nonrepudiation」及「真實authenticity」。

2.機密性,意指保護對於接取行為及揭露行為的限制性授權機制,包括對於個人隱私權及專屬性資訊的保護。

3.可用性,意指確保及時可靠的網路接取及資訊利用。

四、另參考ISO 27001對於「資訊安全」之定義:保存資訊的機密性、完整性及可用性;此外,亦能涉及如鑑別性、可歸責性、不可否認性及可靠度等性質。

五、參考FISMA 2014第3552條:「事件incident」意指發生:

1.中樞失效(without lawful authority),喪失系統的完整性及機密性,「資訊及資訊系統」無法使用。

2.構成違法,或對依法形成的安全政策、安全流程或可被接受的資訊利用政策構成實存威脅。

六、ISO 27001對於「資訊安全事件」(information security event)之定義:系統、服務或網路發生一個已識別的狀態,顯示可能已發生資訊安全政策違例或保護措施失效,或是可能與安全相關,然先前未知的狀況等。

七、參考ISO 27001對於「資訊安全管理系統,ISMS」(Information Security Management System)之定義:整體管理系統的一部份,以營運風險導向(作法)為基礎,用以建立、實作、運作、監視、審查、維持及改進資訊安全。

八、參考ISO 27001對於「人力資源安全」之定義。

九、關鍵基礎設施之定義,參考行政院「國家關鍵基礎設施安全防護指導綱要」、美國總統13636號行政命令「增強關鍵基礎設施資安能力」、美國總統政策指引PPD21「關鍵基礎設施之安全及復原」及美國31 CFR 800.208之定義。

十、關鍵基礎設施的定義不應以產業別作為分類基礎,而應仿歐盟作更精準的定義,免得過於浮濫而失焦。例如:歐盟關鍵基礎設施對於電業,只侷限於真正影響國安之「輸配電系統」,而非電廠或營業站。故本法僅限定於重要資通訊系統或調度、控制系統或網路。

親民黨黨團提案:

明定本法用詞定義。

 

第三條 (編列預算)

政府每年應編列預算,執行資通安全之相關法令及政策。

 

 

 

 

時代力量黨團提案:

政府發展資通安全相關研究、發展及應用之工作,需大量人力及經費之挹注,方有成效。然我國資訊相關預算占公務總預算之比例,卻呈現逐年下降、不到1%之情形;對照美國聯邦政府,不僅資訊相關預算占總預算比例超過2%,近五年來亦逐年成長中。爰此訂定編列預算之條文,賦予政府編列資通安全預算之法源,據此補充我國資通安全發展之所需資源。

第三條 為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:

一、資通安全專業人才之培育。

二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。

三、資通安全產業之發展及推動。

四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。

第四條 (獎勵均衡研發及應用)

政府應協助學校、研究機關(構)、法人或團體,充實人才、設備及技術,以促進資通安全之研究、發展及應用。

政府於推動資通安全之研究、發展及應用時,應注意與資通安全相關之人文社會科學及其他資通安全技術之均衡發展。

第三條 為提升資通安全,政府應提供資源,整合民間力量,提升全民資通安全意識,促進資通安全產業發展,進而落實於公、私部門,應推動下列事項:

一、資通安全專業人才之培育。

二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。

三、資通安全產業之發展及推動。

四、資通安全軟體、設備技術規範、相關服務及審驗機制之發展及推動。

第三條 為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項:

一、資通安全專業人才之培育。

二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。

三、資通安全產業之發展及推動。

四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。

 

第四條 在公私協力建立資安解決方案,帶動資通安全產業發展的原則下,由政府提供資源,協力民間及產業力量,提升全民資通安全意識,並推動下列事項:

一、資通安全專業人才之培育。

二、資通安全科技之研發、整合、應用、產學合作及國際交流合作之推動。

三、資通安全產業之發展及推動。

四、資通安全軟硬體技術規範、相關服務與審驗機制之發展及推動。

行政院提案:

一、鑒於資通安全之提升須以全民重視為前提,並須佐以先進之資通安全技術、軟硬體、專業人才等資源,政府應與民間共同提升全民資通安全意識,推動資通安全產業,以利先進資通安全技術、軟硬體、專業人才等之發展,爰參考日本網路安全基本法第十九條產業之振興及國際競爭力強化、第二十條研究開發之推動、第二十一條人才之確保等規定,為本條規範。

二、關於租稅優惠措施,因事涉國家稅收,且現行已有產業創新條例、科學技術基本法等法律相關規定可資運用,爰不另於本法規範,併予敘明。

時代力量黨團提案:

政府發展資通安全相關研究、發展及應用,在有限之資源下,必須整合產、學、研各界能量,針對技術、管理、政策、法律、倫理等不同面向,投注資源進行研發與應用。為確保我國研發不致偏頗於技術面,爰此參酌科學技術基本法第二條之規定,擬具均衡發展之條文,期使我國資通安全相關研發及應用得以平衡。

委員陳亭妃等23人提案:

一、基於確保資訊及網路安全所需,先進國家無不加強相關防護作為,立法要求政府機關與相關的企業加強資訊分享,共同建立資訊及網路安全防護的執行架構,美國及日本等國家甚至成立網軍以鞏固資安防線。

二、我國面臨網路犯罪與駭客入侵癱瘓政府機關網站案件日增。資通安全之提升須以全民重視為前提,並須佐以先進之資通安全技術、軟體、設備、專業人才等。是以,政府應與民間共同提升全民資通安全意識,推動資通安全產業之發展,以利先進資通安全技術、軟體、設備、專業人才等之發展。

三、在外國立法例上,參考日本網路資訊安全基本法之人才之確保等規定;韓國情報通信基礎保護法之技術開發與人力養成等規定定之。

委員許毓仁等17人提案:

一、鑒於資通安全之提升須以全民重視為前提,並須佐以先進之資通安全技術、軟硬體、專業人才等資源,政府應與民間共同提升全民資通安全意識,推動資通安全產業,以利先進資通安全技術、軟硬體、專業人才等之發展,爰參考日本網路安全基本法第十九條產業之振興及國際競爭力強化、第二十條研究開發之推動、第二十一條人才之確保等規定,為本條規範。

二、關於租稅優惠措施,因事涉國家稅收,且現行已有產業創新條例、科學技術基本法等法律相關規定可資運用,爰不另於本法規範,併予敘明。

親民黨黨團提案:

在公私協力建立資安解決方案,帶動資通安全產業發展的原則下,由政府提供資源,協力民間及產業力量,提升全民資通安全意識,帶動資通安全產業發展。

第四條 行政院應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告及資通安全發展方案。

第五條 (主管機關)

為有效辦理資通安全相關事項,行政院應設置資通安全處(以下稱本處),依法行使職權。

 

 

第四條 行政院應擘劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等諸多相關事宜。

第四條 行政院應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告及資通安全發展方案。

第三條 本法所稱資安治理主管機關(本法簡稱資安治理機關),為行政院資通安全處。

資安治理機關掌理下列事項:

一、制訂與資安有關之法令、政策、原則。

二、依據資安法令、政策及原則建立資安治理架構。

三、整合與協調各公務機關之資安管理政策及程序。

四、監督各公務機關對於資安政策之執行及資安標準之遵守狀況。

五、與資安標準機關協作發展資安標準及相關作業辦法,並交付公務機關確認可行性。

六、依據資安標準機關公告之標準,與資安管理機關共同決定機關資通安全管理系統之最適資安防護等級及相關需求。

七、建立各公務機關資安治理評估系統並協助辦理資安治理評估系統試行與導入。

八、確保各公務機關依資安政策,於出現資安事件時,通報國家資通安全技術服務中心。

九、建立資安事件分級標準及公務機關資料分級標準,以供公務機關據以辦理通報。

十、確保各公務機關依資安政策提報年度資安報告。

十一、綜理國家資通安全技術服務中心之運作與管理。

十二、確保資安管理與各公務機關之政務運作、政策計畫及預算流程整合一致。

十三、召集各公務機關資安長或資深資安人員會議,以確保資安政策得以有效執行。

十四、制訂與關鍵基礎設施有關之資安政策及原則,及辦理關鍵基礎設施之公告。

十五、定期公布國家資通安全情勢報告及資通安全發展方案。

十六、其他資安治理必要事項。

 

第四條 本法所稱資安管理主管機關(本法簡稱資安管理機關),在中央為二級機關及行政院直屬三級機關,在地方為直轄市、縣(市)政府,公法人、公營事業及政府捐助之財團法人為該法人及事業。

資安管理機關掌理下列事項:

一、發展公務機關(構)資通安全管理系統,以確保資安作業能持續整個資訊系統週期,且計畫內容須以風險評估為基礎,並包含委外承包商管理。

二、確保資通安全管理系統之作為與機關的戰略、運作、計畫及預算流程整合一致。

三、依據資安標準機關公告之標準,與資安治理機關共同決定機關資通安全管理系統之最適資安防護等級及相關需求。

四、依據成本效益原則執行資安政策及程序,以降低資安風險至可接受的程度。

五、至少一年一次測試及評估資通安全管理系統之管控及技術,包括自動化工具之使用,以確保其有效執行。

六、提出年度資安報告,包含因資安事件所進行之系統修復行動。

七、依據前條第二項第九款之資安事件及公務機關資料分級標準,於資安事件發生時負責通報。

八、確保公務機關擁有質量足夠的資安人力及預算,以完成相關政策、程序、標準,及指引的落實。

九、訓練及監管資安人員擔負資安責任。

十、確保機關所有人員、委外承包商人員及委託其他機關代辦資安業務人員的能力皆得以執行資安計畫。

十一、指定一具備專業資格之資安官專責機關之資安作業。

十二、負責機關之人力資源安全,其範圍包括正式員工、包商以及委託其他機關執行資安相關業務人員,必要時得依業務機密等級進行不同等級之忠誠調查。

十三、在不抵觸資安政策之前提下,依據資安標準機關所提供之資通安全等級,辦理各機關監管或輔導之產業的資通安全協作事項。

十四、督導下級機關辦理本條所列事項。

十五、辦理資安軟體及服務之採購。

十六、其他資安管理必要事項。

 

第五條 本法所稱資安標準主管機關(本法簡稱資安標準機關),為經濟部標準檢驗局。

資安標準機關掌理下列事項:

一、與資安治理機關協作制定全國統一性的標準與指引。

二、對公務機關所處理與保管的資訊進行分類,標示其資通安全等級。

三、提供資訊與資通系統相關之安全指引。

四、為公務機關制定資通安全準則。

五、資通安全軟硬體技術規範、相關服務與審驗機制之發展與推動。

六、其他與資安標準相關之業務。

資安標準機關於執行前項各業務時,應協同資安治理機關,並徵詢技服中心之技術支援。

 

第六條 行政院設行政法人國家資通安全技術服務中心(本法簡稱技服中心),辦理下列事項:

一、提供各公務機關於執行資安政策、原則、標準、指引上之操作支援及技術支援。

二、協助資安管理機關緩解緊急資安狀態。

三、辦理網路攻防演練,輔以定期稽核、健診及滲透測試等服務,及早發現資安問題。

四、針對資安人員及一般人員之資安訓練。

五、編輯並分析各機關之資安情資。

六、發展並指導公務機關資安系統的運作評估重點,包括資安系統所面臨之威脅,及資安系統的弱點評估。

七、維運政府資通安全防護監控中心及政府資安資訊分享與分析中心。

八、強化政府機關(構)資安聯防監控能量,建構巨量資料分析能量。

九、受理公務機關資安事件之通報。

十、協同資安治理機關及資安標準機關共同發展及執行基於風險管理基礎的資安標準。

十一、推動公務人員資安職能評量機制,持續培育資安專業人才,並推廣全民資安意識。

十二、推動資通安全科技之研發、整合、應用及國際合作交流。

十三、支援產業資通安全重大發展策略之需求。

十四、規劃及支援國家關鍵基礎設施之資通安全防護。

十五、其他與資通安全科技相關之業務。

國家資通安全技術服務中心之組織另以法律定之。

第三條 行政院為本法資通安全治理中央主管機關,基於建立國家資通安全政策及治理架構及整合資安政策法令的原則下,由行政院委任行政院資通安全管理處規劃並推動國家資通安全政策、制訂及整合資安政策法令、國際交流合作及資通安全整體防護等相關事宜,並應每年公布國家資通安全情勢報告及資通安全發展方案。

科技部為本法資通安全標準中央主管機關,基於提供資安防護標準參考之原則,由科技部委任國家實驗研究院,制訂資通安全標準參考,並應每年發布資通安全科技發展方案。

行政院提案:

一、考量我國有關資通安全政策之推動所涉範圍甚廣,為利相關業務之推動,爰明定行政院應考量國家資通安全相關事務發展之需求,規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜。

二、為使各界了解國家資通安全趨勢,明定行政院應定期公布國家資通安全情勢報告,另配合國家資通安全政策之推動,原則以四年為一期,公布資通安全發展方案。

時代力量黨團提案:

明定主管機關為行政院資通安全處。

委員陳亭妃等23人提案:

考量我國有關資通安全政策之推動所涉範圍甚廣,為利相關業務之推動,由行政院主動規劃相關措施,以落實資通安全政策。

委員許毓仁等17人提案:

一、考量我國有關資通安全政策之推動所涉範圍甚廣,為利相關業務之推動,爰明定行政院應考量國家資通安全相關事務發展之需求,規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜。

二、為使各界了解國家資通安全趨勢,明定行政院應定期公布國家資通安全情勢報告。

委員余宛如等18人提案:

第三條:

一、明訂資安治理主管機關掌理事項。

二、參考FISMA 2014第3553條「國土安全部部長及國家情報總監的功能及權力」。

三、參考行政院國家資通安全會報技術服務中心內部簡報《資安治理概論與規劃》第13頁。

四、資安事件小自個人密碼被盜,大到機構遭到DDoS攻擊或大筆資料外洩,律定資安通報責任時應該要釐清何種等級的資安事件才需要通報,以免浪費行政資源。

五、參考美國2008年NIST SP800-60 Volum 1:「資訊及資訊系統安全分類指引」,該指引之立法目的即在「協助聯邦各機關將資訊及資訊系統分類,以便將各種資安風險依衝擊等級及結果嚴重性細分,俾該機關正確執行資安防護政策」。故於第二項第九款明列資安治理主管機關應建立資安事件及公務機關資料分級標準,以利公務機關據以辦理通報作業及制訂相對應之資安措施。

第四條:

一、明訂資安管理主管機關掌理事項。

二、參考FISMA 2014第3554條「聯邦政府的責任」。

三、數據安全是各國資通安全立法保護重點,但未必皆見於其資安專法。例如,美國在商業資訊安全方面透過《統一商業秘密法》、《經濟間諜法》對竊取商業秘密的行為進行相關刑罰。美國《電腦詐欺和濫用法》、英國《電腦濫用法》都規範了非法利用和竊取政府部門數據資訊行為的罰則。在個人數據方面,美國《反竊聽法》、《電信法》對資訊傳輸過程中非法攔截及竊取個人數據的行為加以管制。歐盟《1992年資訊安全框架決定》、《1995年數據保護指令》、《2002年隱私與電子通信指令》、《2006年數據留存指令》,都是歐洲保護個人數據的重要基本規範。資通安全管理機關本為各目的事業主管機關,肩負相關產業之監管輔導責任,在不抵觸資安政策之前提下,自然可以依據資安標準主管機關所提供之資通安全等級,辦理各機關監管或輔導之產業的資通安全協作事項。

四、我國現行資通安全相關之法律規範,可劃分為網路犯罪、身分認證、通訊保障、資料保護、資訊公開與機密維護,及資安治理六大類;其所涉及之法律規範包含刑法、電子簽章法、電信法、通訊保障及監察法等21項,於本法通過後依然有效,原目的事業主管機關也依然得依法辦理所轄業務。

第五條:

一、明訂資安標準主管機關掌理事項。

二、參考40 U.S . Code§11331「聯邦政府資訊系統相關責任」,由國家標準技術研究所負責制定統一性的標準與指引,並對聯邦政府機關所處理與保管的資訊進行分類,標示其資訊安全等級,同時提供資訊與資訊系統相關之安全指引。目前美國國家標準與技術局制定的資通安全準則(NIST SP 800)系列文件已廣泛應用於聯邦政府所有的資訊系統。

第六條:

一、明訂行政院國家資通安全技術服務中心辦理事項。

二、參考FISMA 2014第3556條「聯邦資安事件中心」職權之相關規範如下:

1.通則:

I.於機關資訊營運者面臨資安事件時,提供及時的技術協助,包括提供偵測技術協助及掌握資安事件的指引。

II. 編輯及分析威脅資安事件之情資。

III. 知會資訊營運者現存及潛在資安威脅,及易受攻擊之弱點。

IV. 提供機關適當的資安威脅及弱點的相關情資,以助機關進行風險評估。

V. 諮詢NIST、資安體系各機關及辦公室(包括國安局),及其他依法及直轄總統,並與資安業務有關之單位。

2.國安系統:國安體系任何一機關皆須與聯邦資安事件中心分享資安事件、威脅及攻擊弱點等相關資訊,分享程度到符合國安體系應符合之標準,或指引所要求,且經法律授權,總統命令為之者。

三、參考「行政院國家資通安全會報技術服務中心」設置宗旨:

1.研析國家資安法規體系,協助研議政府機關資安規範與指引,以完備國家資安基礎環境。

2.維運政府資通安全防護監控中心(GovernmentSecurity Operation Center, GSOC)、政府資安資訊分享與分析中心(GovernmentInformation Sharing and Analysis Center, GISAC)等。

3.協助各政府機關(構)處理重大資通安全事件,加強緊急應變及處理復原能力,並舉行大規模網路攻防演練,輔以定期稽核、健診及滲透測試等服務,及早發現政府與關鍵基礎設施資安問題。

4.強化政府機關(構)資安聯防監控能量,建構巨量資料分析能量。

5.推動資安治理與資安責任等級分級防護,加強各機關(構)資安防護縱深機制。

6.推動公務人員資安職能評量機制,持續培育資安專業人才,並推廣全民資安意識。

7.規劃關鍵資訊基礎設施之資通安全防護機制。

四、參考美國「網路威脅情報整合中心」(Cyber Threat Intelligence Integration CenterCTIIC)之功能,該中心扮演全美網路威脅情報中樞,匯總聯邦調查局、中央情報局及國家安全局等多部門的情報力量,提高美國防範和應對網路攻擊的能力。

親民黨黨團提案:

一、明定行政院為本法資通安全治理中央主管機關。

二、科技部為本法資通安全標準中央主管機關。

 

第二章  業務職掌

 

 

 

 

時代力量黨團提案:

章名

 

第六條 (業務職掌)

本處掌理下列事項:

一、資通安全政策之訂定、法令之訂定、修正、廢止及執行。

二、資通安全標準作業流程及技術規範之訂定、修正、廢止、執行、監督及管理。

三、資通安全系統及設備等軟、硬體產品或服務之測試及審驗。

四、協助中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業訂定、修正、廢止、執行、監督及管理第七條所稱之資通安全管理規定。

五、協助中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業預防、偵測、處置、復原、證據保全及鑑識資通安全事件。

六、定期或不定期稽核、檢驗、測試及演練中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業其資通安全管理規定及資通安全相關業務之執行情形。

七、資通安全市場之發展、監督及管理。

八、資通安全人才培育及認證政策之訂定、修正、廢止、執行、監督及管理。

九、全民資通安全意識及知識推廣策略之訂定、修正、廢止、執行、監督及管理。

十、資通安全境外事務及國際交流合作之執行。

十一、資通安全相關法令政策、市場動態、標準作業流程實務、工程技術報告及統計資料之蒐集、彙整、分析及發布。

十二、其他有關資通安全之事項。

前項第一款所稱資通安全政策及法令,應由本處每年諮詢及彙整有關機關代表、學者專家、產業部門及相關社會團體之意見後訂定及修正,並由行政院核定之。

前項諮詢及彙整之學者專家、產業部門及相關社會團體之人數,不得少於二分之一。

第一項第五款、第六款所稱國家關鍵基礎設施屬性,係指營運項目包含能源、電力、水利、金融、衛生、醫療、資通訊科技、交通運輸、國防軍事、電信、郵政、及其他特定專業領域。

前項所稱特定專業領域,及第一項第五款、第六款所稱一定規模,應由本處諮詢及彙整有關機關代表、學者專家、產業部門及相關社會團體之意見後訂定,並由行政院核定之。

第一項第六款所稱資通安全相關業務,包含勾稽通訊保障及監察法所稱監察通訊所得資料、傳送至臺灣高等法院通訊監察管理系統之資料,及由監察設備執行通訊監察作業後自動生成之指令記錄檔,以確認通訊監察執行機關之資通安全。

 

 

 

 

 

時代力量黨團提案:

一、參考美國聯邦資訊安全管理法、德國聯邦資訊科技安全加強法案等規定,以及我國歷年資通安全發展計畫(如建立我國通資訊基礎設施安全機制計畫、國家資通訊安全發展方案等),訂定我國資通安全相關業務之主管機關之任務。

二、根據最新一期國家資通訊安全發展方案(2013-2016年)揭櫫之願景:「建構安全資安環境,邁向優質網路社會」及其四大策略目標:「強化國家資安政策」、「完備資安防護管理」、「奠基資安技術能量」、「擴大資安人才培育」等政策,爰將:

1.研訂資安政策、規範(如資安管理要點及相關規範)、指引(如手冊)、標準(如品項規範、服務水準協議、資安服務需求說明書範本)及法規;

2.落實資安管理及稽核制度(如資安治理評核系統、資安治理成熟度評估、資訊系統分級、資安防護部署計畫、機關分級及定期內部與外部稽核等);

3.資訊分析與分享;

4.提升全民資安意識;

5.培訓專業人才;

6.資安演練(包含弱點檢測、滲透測試、情境演練、實兵演練、電子郵件社交工程演練等);

7.緊急應變及處理復原;

8.加強國際交流合作;

9.推升產業能量(如每年進行商業服務重點產業個資管理、資安應用調查、法令規範及需求盤點等)等項目納入本處業務職掌。

三、在美國法規中,規定白宮管理與預算辦公室(Office of Management and Budget)負責:

1.制定資訊安全政策、標準與指南,並監督其實作,如電腦安全事件處理指引(Computer Security Incident Handling Guide)等;

2.要求聯邦各機關(構)建置資訊安全保證措施;

3.監督聯邦各機關(構)之資訊安全計畫;

4.向國會提出聯邦各機關(構)之資安工作執行狀況;

5.確保聯邦資訊安全事件處理中心(Federal Information Security Incident Center)有效運作,提供各機關(構)即時性的技術服務,協助偵測、處理、分析資通安全事件。

另以德國法規為例,第三條「聯邦辦公室的職責(Tasks of the Federal Office)」包含:

1.預防對聯邦資訊科技安全之威脅;

2.蒐集、分析及研究資通安全風險與防範之資訊,並根據其他機關(構)之需要提供報告及協助;

3.制定資通安全程序及設備之安全防範規則;

4.制定標準、程序及工具以測試及評估資通安全系統之安全性;

5.提供資訊、加密技術及安全管理系統等諮詢及支援給各級政府機關(構,且包含地方政府);

6.建立適當溝通管道,在事件早期即可予私人企業協調合作,保護關鍵基礎設施等。

四、參考國際將資安通報的配合義務延伸至民間企業、並希望在公私部門間建立資訊共享機制的趨勢,如美國前總統柯林頓第63號總統決策令(Presidential Decision Directive)指出,一方面建立政府與民間之對口機關國家基礎建設保護中心(National Infrastructure Protection Center)外,也鼓勵私部門自發性設立資訊分享與分析中心(Infromation Sharing and Analysis Center),以促進公私部門間就資安業務之資訊分享,爰納入一定規模以上、具有國家關鍵基礎設施屬性之民間企業,為本法規範之範圍內。

五、鑑於資通安全相關議題攸關國家安全及國民權益,並考量民間企業普遍未能有效落實資通安全技術及管理制度於企業運作實務中,爰訂定相關規定,賦予主管機關提供技術諮詢與支援、人才培育、資通安全意識及知識推廣、相關法令政策等資料之蒐集、彙整及分析等任務,期使主管機關透過綜理相關業務,有效提升我國資安防禦能量及競爭力。

六、由於現行通訊保障及監察法第十八條規定「依本法監察通訊所得資料,不得提供與其他機關(構)、團體或個人」,為避免本法防護及稽核範圍受限,爰此特擬定第五項條文,將通訊監察所得資料納入本法規範。

另,法務部調查局通訊監察設備執行通訊監察作業後自動生成之指令記錄檔,目前僅依時序寫入伺服器硬碟中並保留180日,且僅由擁有資料庫管理者權限(Administrator)者可進行檢視與管理,並未供外部單位查核及比對,顯見其資通安全管理措施並未臻完善,有透過資通安全專業人員及機構介入協助之必要。

因此,為確保通訊監察執行機關之資通安全防護措施,有無徹底落實、達成資通安全三大目的(可用性、保密性及完整性),爰此特擬定本處除應稽核監察通訊所得資料之外,另應稽核通訊監察管理系統之系統紀錄檔並加以勾稽,以確認所有通訊監察資料均有受到完整防護。

 

 

 

 

第十三條 資安治理機關應協調經濟部及技服中心,協助市場建立先進、高能、自動及有效的資安解決方案。

資安治理機關應協調經濟部及技服中心,政策獎勵自建關鍵基礎設施之資訊核心系統者。

 

委員余宛如等18人提案:

明訂資安治理機關市場協助義務。

 

第五條 行政院得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。

 

第五條 行政院得委任或委託其他公務機關、法人或團體,辦理資通安全科技研發、國際資安政策研析與國際交流合作、公務機關資通安全整體防護之執行及其他相關事務。

 

 

 

行政院提案:

一、除政策制定等本質上不宜委任或委託辦理之事務外,行政院為推動資通安全業務,如有需要,得依行政程序法第十五條或第十六條規定,委任或委託其他公務機關、法人或團體辦理。為利實務運作,爰為本條規範。又委外事務倘不涉及公權力之移轉,例如國際法規或國際政策之研析,或雖為資通安全整體防護或國際交流等事項而未有公權力移轉之情形時,則仍應依政府採購法等規定辦理。

二、行政院依本條規定為委任或委託,因涉及公權力之移轉,應考量事務之性質、對象之屬性等事項,先行評估委任或委託辦理之適當性後,再行為之。

委員陳亭妃等23人提案:

行政院擘劃並推動資通安全政策、發展資通安全科技與國際交流合作,並負責資通安全防護相關工作之監督與執行,於必要時得將部分事務委任或委託其他公務機關、法人或團體辦理。

 

 

 

 

第七條 資安管理機關應最遲於每年一月三十一日前,向資安治理機關提報前年度資安政策實施狀況,資安治理機關應於彙整後,最遲於三月一日前,向立法院提報前年度資安政策實施狀況。

前年度資安政策實施狀況報告應包含:

一、關於每一主要資安事件或相關事件群之描述。

二、資安事件總數,包括造成嚴重資安損害的事件數、系統衝擊等級、事件型態,及受損系統部位等資料。

三、個資侵權的資安事件描述。

四、依據第四條第二項第五款必須完成之年度評估結果摘要。

五、其他任何資安治理機關認為必要的資訊。

前年度資安政策實施狀況報告應同時提報國家安全會議及審計部。

 

委員余宛如等18人提案:

一、明訂年度報告相關事項。

二、參考FISMA 2014第3554條「聯邦政府的責任」第三項「機關報告」。

三、「機關報告Agency Reporting」分為「年度報告」及「其他計畫及報告」。「年度報告」以「一般性報告」為主,須以非機密形式提報。另一種則是附件以機密形式提報。

四、「一般性報告」包含以下四主要主題:

1.關於每一主要資安事件或相關事件群的描述。

2.資安事件總數,包括造成嚴重資安損害的事件數、系統衝擊等級、事件型態,及受損系統部位等資料。

3.個資侵權的資安事件描述。

4.任何資安總監認為必要,或是部長諮詢資安總監後認為必要的資訊。

五、年度報告報告對象包括國家情報總監、國土安全部部長、政府改革委員會、國土安全委員會、參議院科學委員會、參議院國土安全暨政府事務委員會、參議院商業科學暨交通委員會、國會撥款委員會(appropriations committees)及審計總長(Comptroller General)。

六、每一公務機關(構)皆須提報年度報告,以陳述該機關對於資安政策、程序及實踐是否足夠且有效。

 

 

 

 

 

第八條 審計部應於資安治理機關提報前年度資安政策實施狀況報告後二個月內,完成對於公務機關資安政策實施狀況之稽核,並向立法院提出稽核結果報告。

 

委員余宛如等18人提案:

一、明訂公務機關稽核相關事項。

二、參考FISMA 2014第3555條「年度獨立評價作業」第二項「獨立稽核Independent Auditor」:

1.檢查總署應該依據1978年檢查總署法之規定,指定部分機關受檢,受指定之機關,其依本條所定年度評價作業應由該檢察總署,或檢查總署指派之獨立外部稽核人員為之。

2.不適用前款規定之機關,機關首長應聘任一外部稽核人員完成此評價作業。

第六條 行政院應衡酌公務機關及非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由行政院定之。

行政院得稽核非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由行政院定之。

非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向行政院提出改善報告,並送中央目的事業主管機關或直轄市、縣(市)政府。

 

第六條 行政院應衡酌公務機關及非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其適用對象、分級基準、等級變更申請、義務內容、專職人員之設置及其他相關事項之辦法,由行政院定之。

行政院應查核所屬或監督之公務機關及適用前項辦法之非公務機關之資通安全維護情形。

公務機關及非公務機關受前項之查核,經發現其資通安全有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交上級機關、監督機關及中央目的事業主管機關。

第五條 行政院應衡酌公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由行政院定之。

 

第六條 行政院應衡酌公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由行政院定之。

行政院提案:

一、考量公務機關與非公務機關之規模及業務性質不一,其應遵行之資通安全責任等級亦應有不同,此外,資通安全責任等級宜因機關調整、裁撤、業務變動或運用之資通系統發生重大變更等事由,而有所調整,以達到資通安全防護之最適效果。就此,目前有「政府機關(構)資通安全責任等級分級作業規定」可作為遵循之參考;於資通安全管理法制化後,上述諸事宜亦應加以規定,爰於第一項明定行政院應衡酌公務機關及非公務機關業務等事項,訂定資通安全責任等級之分級,並就其分級基準、等級變更申請、義務內容及專責人員之設置及其他相關事項,授權該院訂定辦法規範。

二、為監督非公務機關實施資通安全維護計畫之情形,爰為第二項規定,並授權行政院訂定稽核頻率、內容與方法及其他相關事項之辦法。行政院依本項進行稽核時,應考量稽核對象之責任等級、其過往資通安全維護狀況、歷來接受行政院、中央目的事業主管機關或直轄市、縣(市)政府稽核之頻率、結果及其他相關情形,決定最適之受稽核者名單。至於公務機關資通安全維護計畫實施情形之稽核,則於第十二條規範。

三、考量非公務機關依第二項規定接受稽核後,經發現其資通安全維護計畫實施有缺失或待改善情形,宜由行政院及相關機關進行監督,確認改善之狀況,爰為第三項規定。

委員陳亭妃等23人提案:

一、考量公務機關與非公務機關之規模與業務性質不一,故其應遵行之資通安全責任等級亦應有不同;此外,資通安全責任等級,宜因機關裁撤、組織更改、業務變動或運用之資通系統發生重大變更等事由,而有所調整,以達到資通安全防護之最適效果,爰規定行政院應訂定資通安全責任等級之分級辦法,就辦法之適用對象、分級之標準、義務內容及專職人員之設置、等級變更申請及其他相關事項加以規定。

二、行政院應考量資通安全責任等級分級辦法所適用對象之責任等級、其過往資安維護狀況及其他相關情形,查核上述適用對象中之非公務機關及行政院所屬或監督之各級公務機關之資通安全維護情形,受查核機關如有缺失或宜改善事項應完成矯正、預防或提出矯正、預防計畫,並將相關報告送交上級或監督機關及中央目的事業主管機關,由各該機關續行確認矯正、預防與改善之狀況。

委員許毓仁等17人提案:

考量公務機關之業務有其重要性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質有所不同,故要求行政院應衡酌公務機關之不同情勢,訂定資通安全責任等級,並針對其分級基準、等級變更申請、義務內容、專責人員之設置,訂定相關辦法。

親民黨黨團提案:

依據公務機關資安等級,授權訂定相關辦法。

第七條 行政院應建立資通安全情資分享機制。

前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。

 

第七條 行政院應建立資通安全情資分享機制。

前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。

第六條 行政院應建立資通安全情資分享機制。

前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。

 

第五條 行政院應建立資通安全情資分享機制。

前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之。

第一項之業務由行政院委任行政院國家資通安全會報技術服務中心辦理。

行政院提案:

一、為增進與改善我國境內面對資通安全威脅與風險之應變能力及策略擬定,應建立相關資通安全情資分享機制,爰為第一項規定。

二、第二項定明資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之,以資遵循。

委員陳亭妃等23人提案:

為增進與改善我國境內面對資通安全威脅與風險的應變能力與策略擬定,應建立相關資通安全情資分享機制,並須就情資之分析、整合、情資分享之內容、程序及方法及其他相關事項訂定辦法,以資遵循。

委員許毓仁等17人提案:

一、為增進與改善我國境內面對資通安全威脅與風險之應變能力及策略擬定,應建立相關資通安全情資分享機制,爰為第一項賦予行政院應建立資通安全情資分享機制。

二、第二項定明資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由行政院定之,以資遵循。

親民黨黨團提案:

行政院應建立資通安全情資分享機制,並委任國家高速網路與計算中心辦理。

第八條 公務機關或非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。

 

第八條 公務機關或非公務機關,應考量國家安全及本法適用範圍內之前提下,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並定期就受託者之資通安全維護為監督。

第七條 公務機關於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。

 

第七條 公務機關於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。

行政院提案:

考量公務機關或非公務機關於本法適用範圍內委外辦理資通系統建置、維運或資通服務之提供時,應依所委外項目之性質與資通安全需求,選任適當之受託者,並就受託者之資通安全維護為監督,以確保國家安全、社會公共利益或個人權益,爰為本條規定。相關監督事項之技術性及細節性內容,將於施行細則中規定。

委員陳亭妃等23人提案:

公務機關或非公務機關委外辦理資通系統建置、維運或資通服務之提供時,應考量國家安全及本法適用範圍內,應依所委外項目之性質與資通安全需求,選任適當之受託者,並就受託者之資通安全維護為監督,以確保國人安全及權利、公共利益等。

委員許毓仁等17人提案:

考量公務機關於本法適用範圍內委外辦理資通系統建置、維運或資通服務之提供時,應依所委外項目之性質與資通安全需求,選任適當之受託者,並就受託者之資通安全維護為監督,以確保國家安全、社會公共利益或個人權益,爰為本條規定。相關監督事項之技術性及細節性內容,將於施行細則中規定。

親民黨黨團提案:

明定公務機關於本法適用範圍內得委外辦理。

第二章 公務機關資通安全管理

 

第二章 公務機關資通安全管理

第二章 公務機關資通安全管理

 

 

行政院提案:

章名。

委員陳亭妃等23人提案:

章名

委員許毓仁等17人提案:

章名。

第九條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

 

第九條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

第八條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

 

第八條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

行政院提案:

一、為確保公務機關之資通安全,避免因人為疏失、蓄意或自然災害等風險,致機關資通系統或資訊遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務,公務機關(包含總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府與其所屬或監督之各級公務機關及直轄市議會、縣(市)議會等)應符合第六條第一項所定資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫,爰為本條規定。公務機關訂修及實施上開計畫,應衡酌機關資源之合理分配,並依循上級或監督機關之相關資通安全規定為之。

二、有關資通安全維護計畫之內容,將由行政院訂定範本,提供各公務機關參考,以利執行。

委員陳亭妃等23人提案:

為確保公務機關之資通安全,避免因人為疏失、蓄意或自然災害等風險,致機關資通系統或資訊遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務,總統府、行政院、立法院、司法院、考試院、監察院、直轄市、縣(市)政府及直轄市議會、縣(市)議會及其他各級中央或地方機關及行政法人,應考量其所屬之資通安全責任等級、其所保有或處理之資訊種類、數量及性質、資通系統之規模及性質等條件,衡酌機關資源之合理分配,配置人員、必要資源,並依循上級或監督機關之相關資安規則,訂定、修正及實施資通安全維護計畫。

委員許毓仁等17人提案:

一、為確保公務機關之資通安全,避免因人為疏失、蓄意或自然災害等風險,致機關資通系統或資訊遭不當使用、洩漏、竄改、破壞等情事,影響及危害機關業務,公務機關(包含總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府與其所屬或監督之各級公務機關及直轄市議會、縣(市)議會等)應符合第五條所定資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫,爰為本條規定。公務機關訂修及實施上開計畫,應衡酌機關資源之合理分配,並依循上級或監督機關之相關資通安全規定為之。

二、有關資通安全維護計畫之內容,將由行政院訂定範本,提供各公務機關參考,以利執行。

親民黨黨團提案:

依據公務機關資安責任及等級,訂定資安維護計畫。

第十條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。

 

第十條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關工作與事項。

第九條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。

 

第九條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。

行政院提案:

為確保有效推動資通安全維護事項,公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作。考量資通安全長如由副首長擔任,更能提升資通安全於機關中之重要性,並參考美國二○一四年聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014)§3554關於資訊長應指定資深資安專責人員負責相應事務規定之意旨,爰為本條規定。

委員陳亭妃等23人提案:

為確保有效推動資通安全維護事項,公務機關應設置資通安全長並由其成立相關推動組織與督導推動相關工作。爰參考美國2014年聯邦資訊安全現代化法之關於資訊長應指定資深資安專責人員負責相應事務規定之意旨定之。

委員許毓仁等17人提案:

為確保有效推動資通安全維護事項,公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作。考量資通安全長如由副首長擔任,更能提升資通安全於機關中之重要性,並參考美國二○一四年聯邦資訊安全現代化法§3554關於資訊長應指定資深資安專責人員負責相應事務規定之意旨,爰為本條規定。

親民黨黨團提案:

為確保有效推動資通安全維護事項,公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作。考量資通安全長如由副首長擔任,更能提升資通安全於機關中之重要性,並參考美國二○一四年聯邦資訊安全現代化法§3554關於資訊長應指定資深資安專責人員負責相應事務規定之意旨,爰為本條規定。

第十一條 公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交行政院。

 

第十一條 公務機關應於年度終了後,就其資通安全維護計畫之實施情形,向上級及監督機關提出報告;無上級機關或監督機關者,其報告應送交行政院。

第十條 公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交行政院。

 

第十條 公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交行政院。

行政院提案:

參考日本網路安全基本法第十二條有關促進地方公共團體確保網路資訊安全相關事項之規定,及同法第三十條規定相關行政機關之首長應適時提供與網路資訊安全相關之資料或資訊,以利執行所掌事務之精神,明定公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,以確認其實施成效,並使上級或監督機關得了解及稽核所屬或受監督機關之年度資通安全維護情形。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應將資通安全維護計畫實施情形送交行政院。行政院收受上開計畫實施情形後將予以備查,並得視情形提供必要協助。

委員陳亭妃等23人提案:

一、公務機關應每年提出該年度之資通安全維護計畫實施情形報告,以確認自身實施資通安全計畫之成效。又為利行政院提供必要協助,或使上級及監督機關了解所屬或監督機關之年度資通安全維護情形,故規定總統府、立法院、司法院、考試院、監察院、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會等無上級機關或監督機關之公務機關,應將資通安全維護計畫實施情形報告送行政院,其他公務機關則應將報告提交予其上級及監督機關。

二、參考日本網路資訊安全基本法之規定,促進地方公共團體確保網路資訊安全之相關事項,及相關行政機關之首長,應適時地提供與網路資訊安全相關之資料或資訊,以利執行所掌事務之精神。

委員許毓仁等17人提案:

參考日本網路安全基本法第十二條有關促進地方公共團體確保網路資訊安全相關事項之規定,及同法第三十條規定相關行政機關之首長應適時提供與網路資訊安全相關之資料或資訊,以利執行所掌事務之精神,明定公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,以確認其實施成效,並使上級或監督機關得了解及稽核所屬或受監督機關之年度資通安全維護情形。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應將資通安全維護計畫實施情形送交行政院。行政院收受上開計畫實施情形後將予以備查,並得視情形提供必要協助。

親民黨黨團提案:

明定公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形,以確認其實施成效,並使上級或監督機關得了解及稽核所屬或受監督機關之年度資通安全維護情形。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應將資通安全維護計畫實施情形送交行政院。行政院收受上開計畫實施情形後將予以備查,並得視情形提供必要協助。

第十二條 公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。

受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。

 

第十二條 公務機關應查核其所屬及監督公務機關之資通安全維護計畫實施情形。

受查核機關之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交上級及監督機關。

第十一條 公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。

受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。

 

第十一條 公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。

受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。

行政院提案:

一、第一項規定公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。各公務機關對於其所屬或監督之各級公務機關,應依其機關層級、業務及其他相關情形,就稽核之基準、頻率、內容與方法訂定相關行政規則,以利執行。稽核時,宜考量受稽核者歷來接受行政院、上級或監督機關稽核之頻率與結果等因素,決定最適之受稽核者。

二、第二項規定受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告,以確保資通安全維護計畫之落實及政府資通安全維護之強度。

委員陳亭妃等23人提案:

一、總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府等各級中央與地方機關應對於其所屬或監督之各級公務機關資通安全維護計畫之實施,依其所屬或監督機關之層級、業務及其他相關情形,就查核之標準、頻率、內容與方法訂定相關行政規則,並進行查核,以了解資通安全維護計畫之落實情形。

二、受查核機關如有缺失,應向上級或監督機關提出缺失之矯正、預防情形或計畫,以確保資通安全維護計畫之落實,與政府資通安全維護的強度。

委員許毓仁等17人提案:

一、第一項規定公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。各公務機關對於其所屬或監督之各級公務機關,應依其機關層級、業務及其他相關情形,就稽核之基準、頻率、內容與方法訂定相關行政規則,以利執行。稽核時,宜考量受稽核者歷來接受行政院、上級或監督機關稽核之頻率與結果等因素,決定最適之受稽核者。

二、第二項規定受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告,以確保資通安全維護計畫之落實及政府資通安全維護之強度。

親民黨黨團提案:

一、公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。

二、受稽核機關之資通安全維護計畫實施有缺失或待改善者,應向稽核機關及上級或監督機關提出改善報告。

第十三條 公務機關為因應資通安全事件,應訂定通報及應變機制。

公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。

公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。

前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。

 

第十三條 公務機關為因應資通安全事件,應訂定通報及應變機制。

公務機關發生資通安全事件時,除應通報上級及監督機關外,並應通報行政院;無上級機關或監督機關者,應通報行政院。

公務機關應向上級及監督機關提出資通安全事件調查、處理及矯正、預防情形或計畫之報告,並送交行政院;無上級機關或監督機關者,其報告應送交行政院。

前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。

第十二條 公務機關為因應資通安全事件,應訂定通報及應變機制。

公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。

公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。

前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。

第十條 資安事件發生時,公務機關及關鍵基礎設施提供者應即時通知並諮詢技服中心。

如發生之資安事件屬於重大資安事件,公務機關及關鍵基礎設施提供者並應即時通知資安治理機關、資安管理機關、國家安全會議秘書處。資安治理機關應於最遲七日內向立法院提出報告。

前項所稱重大資安事件之定義,由資安治理機關諮詢技服中心後訂之。

第十二條 公務機關為因應資通安全事件,應訂定通報及應變機制。

公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院;無上級機關者,應通報行政院。

公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院;無上級機關者,應送交行政院。

前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由行政院定之。

行政院提案:

一、為即時掌控資通安全事件,並有效降低其所造成之損害,爰於第一項規定公務機關應建立資通安全事件之通報及應變機制。所稱資通安全事件,係指資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,致有無法符合機密性、完整性及可用性之事件;其具體類型將於施行細則及本條第四項授權訂定之辦法中規範。

二、參考日本網路安全基本法第十八條政府相關組織就有重大網路安全影響之虞之事件有相互合作、分享資訊並採取必要措施之義務之規定,於第二項明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。

三、考量公務機關於知悉資通安全事件後,應進行調查、處理及改善工作,爰於第三項規定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。

四、關於公務機關資通安全事件之通報及應變,目前有「國家資通安全通報應變作業綱要」可資遵循參考,於本法施行後,應檢視原有機制並依本法要求調整之,故第四項授權行政院訂定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,以利公務機關適用。

委員陳亭妃等23人提案:

一、總統府、行政院、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府等各級中央與地方機關及行政法人為即時掌控資通安全事件,並有效降低其所造成之損害,應建立資通安全事件之通報、應變機制。

二、參考日本網路資訊安全基本法之因應對我國安全有造成重大影響之虞事件之處理方針與政策精神,規定如有發生重大資通安全事件,總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府,及直轄市議會、縣(市)議會應向行政院為通報,其他各級公務機關應向其上級及監督機關,以及行政院通報;並應續採取矯正預防措施,以及送交報告或矯正、預防計畫。

三、本條第四項授權行政院就第一項至第三項之通報、應變機制及其他相關事項,訂定相關辦法。

委員許毓仁等17人提案:

一、為即時掌控資通安全事件,並有效降低其所造成之損害,爰於第一項規定公務機關應建立資通安全事件之通報及應變機制。所稱資通安全事件,係指資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,致有無法符合機密性、完整性及可用性之事件;其具體類型將於施行細則及本條第四項授權訂定之辦法中規範。

二、參考日本網路安全基本法第十八條政府相關組織就有重大網路安全影響之虞之事件有相互合作、分享資訊並採取必要措施之義務之規定,於第二項明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。

三、考量公務機關於知悉資通安全事件後,應進行調查、處理及改善工作,爰於第三項規定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。

四、關於公務機關資通安全事件之通報及應變,目前有「國家資通安全通報應變作業綱要」可資遵循參考,於本法施行後,應檢視原有機制並依本法要求調整之,故第四項授權行政院訂定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,以利公務機關適用。

委員余宛如等18人提案:

一、明訂公務機關稽核相關事項。

二、參考FISMA 2014第3554條「聯邦政府的責任」第二項第七款第三目「偵測、報告、反應資安事件的流程」。

三、依據該流程,遇資安事件發生時,除致力於在實質損害發生前緩和因資安事件所引起的風險外,公務機關有義務:

1.通知並諮詢聯邦資安中心。

2.在適當情況下,通知並諮詢

i. 執法機關、檢察總長及總法律顧問辦公室

ii. 總統指派處理國安系統問題的辦公室

iii. 國會重大事件委員會:

I. 於合理判定已經發生重大事件之後7日內。

II. 在前述時間之後一段合理時間之後,又出現與該重大事件相關的新事證。

iv. 任何依法成立或由總統指揮的機關(構)

四、紐約州金融署要求公司必須在2018年2月15日以前向監理機關,提交一份遵循報告,其中包括以下內容:「若發生重大網絡安全事件,公司必須要在72小時內報告監理機關。」

親民黨黨團提案:

一、明定公務機關應建立資通安全事件之通報及應變機制。

二、明定公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報行政院。另因總統府、立法院、司法院、考試院、監察院、直轄市政府、縣(市)政府、直轄市議會及縣(市)議會等公務機關無上級機關,爰規定無上級機關者應通報行政院。

三、明定公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交行政院,以利上級機關、監督機關或行政院監督,並得據以提供必要之協助。

四、明定公務機關資通安全事件之通報及應變。

 

 

 

 

第十一條 技服中心應比照國際主要規範,建立我國資通安全認證機制,以供公務機關、關鍵基礎設施及民間進行資安認證之用。

我國資通安全認證能量尚無法提供認證者,應以國際主要規範作為規範,以取得該等級規範之認證作為通過認證之依據。

國際主要規範之內容由技服中心訂定並公告。

資安治理機關應推動與他國之間資安認證互相承認。

 

委員余宛如等18人提案:

一、明訂認證機制相關事項。

二、我國欲建立認證機制,應採取國際主流標準。國內認證能量不足者,應採納國際認證標準。

三、資安治理主管機關應推動與他國之間資安認證互相承認。

 

第十四條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。

公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。

 

第十四條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。

公務機關所屬人員未遵守相關資通安全義務,致國家或社會受有重大損害時,除依法追訴行為人相關行政責任及法律責任外,並應追究行為人之服務機關資通安全長及相關人員之行政責任及法律責任。

前二項獎懲基準及其他相關事項之辦法,由行政院定之。

第十三條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。

公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。

 

第十三條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。

公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。

行政院提案:

公務機關所屬人員關於資通安全事務之獎懲本有公務人員考績法、公務員懲戒法等規定加以規範,惟為促進該等人員對於資通安全工作之重視與投入,爰為本條規定。公務機關所屬人員於踐行本法要求事項成果優良或卓越時,應予獎勵;如因故意或過失,未踐履本法所定資通安全義務時,應受懲戒或懲處;如有其他違反資通安全義務而涉及民事或刑事責任之情形時,仍應依各該相關法律處理之。

委員陳亭妃等23人提案:

為加強公務機關所屬人員對於資通安全工作之重視與投入,爰對相關獎懲機制進行規範,以提升我國公務機關相關人員責任感及對資通安全重視。

委員許毓仁等17人提案:

公務機關所屬人員關於資通安全事務之獎懲本有公務人員考績法、公務員懲戒法等規定加以規範,惟為促進該等人員對於資通安全工作之重視與投入,爰為本條規定。公務機關所屬人員於踐行本法要求事項成果優良或卓越時,應予獎勵;如因故意或過失,未踐履本法所定資通安全義務時,應受懲戒或懲處;如有其他違反資通安全義務而涉及民事或刑事責任之情形時,仍應依各該相關法律處理之。

親民黨黨團提案:

公務機關所屬人員關於資通安全事務之獎懲本有公務人員考績法、公務員懲戒法等規定加以規範,惟為促進該等人員對於資通安全工作之重視與投入,爰為本條規定。公務機關所屬人員於踐行本法要求事項成果優良或卓越時,應予獎勵;如因故意或過失,未踐履本法所定資通安全義務時,應受懲戒或懲處;如有其他違反資通安全義務而涉及民事或刑事責任之情形時,仍應依各該相關法律處理之。

第三章 非公務機關資通安全管理

 

第三章 非公務機關資通安全管理

 

 

 

行政院提案:

章名。

委員陳亭妃等23人提案:

章名

第十五條 中央目的事業主管機關或直轄市、縣(市)政府應指定關鍵基礎設施提供者,並報請行政院核定之。

關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

關鍵基礎設施提供者應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫實施情形。

中央目的事業主管機關或直轄市、縣(市)政府應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。

關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關或直轄市、縣(市)政府。

第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請行政院核定之。

第七條 (中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業應訂定資通安全管理規定)

中央政府各級機關、地方政府及一定規模以上、具有國家關鍵基礎設施屬性之民間企業應依前條所稱之政策、法令、標準作業流程及技術規範等,訂定資通安全管理規定,並推動實施之。

前項所稱資通安全管理規定,應包含:

一、資通安全管理單位之組織、權責、分工及資源規劃。

二、資通安全管理人員之編制、評估、訓練及考核。

三、資訊系統購置、分級、維護、加密、授權、接觸、存取、傳輸、使用者註冊管理制度、密碼管理及監控等規範。

四、除前項規定之規範外,針對關鍵基礎設施及機密資料,應另定其認定標準、實體及虛擬環境管理之方式。

五、資通安全事件之分級、通報、證據保全、處置及相關程序。

六、其他有關資通安全之事項。

中央政府各級機關及地方政府應每年檢討資通安全管理規定之執行狀況,做成資通安全管理規定稽核報告,由本處彙整後提交立法院備查。

第一項所稱一定規模以上、具有國家關鍵基礎設施屬性之民間企業,應每年檢討資通安全管理規定之執行狀況,並依證券交易法及相關規定,納入年報。

第十五條 為確保國民生活、經濟活動、公眾及國家之安全,中央目的事業主管機關應指定關鍵基礎設施提供者,並將其清單報請行政院核定之。

關鍵基礎設施提供者應考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

關鍵基礎設施提供者應就其資通安全維護計畫之實施情形,向中央目的事業主管機關提出報告。

中央目的事業主管機關應查核關鍵基礎設施提供者之資通安全維護計畫實施情形。

關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應完成矯正、預防報告或提出矯正、預防計畫,送交中央目的事業主管機關。

第二項至第五項之資通安全維護計畫必要事項、實施報告之提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出及其他應遵行事項辦法,由中央目的事業主管機關定之。

 

第九條 關鍵基礎設施分為公有關鍵基礎設施及私有關鍵基礎設施。

公有關鍵基礎設施指公務機關(構)依據法律規定,或基於權利行使,或由於預算支出,或由於接受捐贈取得全部或部分所有權之關鍵基礎設施。非屬公有關鍵基礎設施之關鍵基礎設施為私有關鍵基礎設施。

關鍵基礎設施之防護應採用風險管理架構。

資安管理機關應為公有關鍵基礎設施提供防護架構,制訂防護執行策略及推動方針,執行資產調查及風險分析,決定防護優先等級,建立通報系統,實施防護演練、測試與檢討。

資安治理機關、資安管理機關及技服中心應透過下列措施,積極鼓勵私有關鍵基礎設施提供者參與資安防護工作:

一、透過即時預警資訊之提供,促進民間關鍵基礎設施擁有者自願參與資訊分享機制。

二、邀請私有關鍵基礎設施提供者參與公務機關或公有關鍵基礎設施舉辦之資安防護演練。

三、撰擬防護計畫時,結合相依性或替代性之私有關鍵基礎設施提供者資源,形成縱深應變體系。

四、透過輔導政策獎勵私有關鍵基礎設施提供者參與風險管理及應變機制。

私有關鍵基礎設施提供者應配合主管機關參與風險管理及應變機制。

 

行政院提案:

一、第一項規定關鍵基礎設施提供者之指定。關鍵基礎設施提供者之資通安全維護,乃現今國際針對資通安全保護所重視之議題,爰參考歐盟二○一六年「網路與資訊系統安全指令」(The Directive on security of network and information systems)第五條關於關鍵服務營運商之清單、第十四條關於關鍵服務營運商用以提供關鍵服務之網路與資訊系統,如有影響其安全之事件,關鍵服務營運商須採取適當措施及最小化事件之影響,以確保服務之持續性、美國6 USC§132指定關鍵基礎設施保護計畫(Designation of critical infrastructure protection program)及第一三六三六號行政命令有關改善關鍵基礎設施網路安全(Executive Order 13636)、日本網路安全基本法第六條重要社會基礎業者之職責、韓國情報通信基礎保護法第八條中央行政機關長官有權指定主要資訊通信基礎設施及同法第五條主要資訊通信基礎設施保護措施之制定等立法例,將關鍵基礎設施提供者納入本法之適用範圍。

二、因關鍵基礎設施涉及國家安全、社會公共利益、國民生活及經濟活動,爰於第二項規定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並訂定、修正及實施資通安全維護計畫,以確保其資通安全。

三、為使中央目的事業主管機關及直轄市、縣(市)政府掌握所管關鍵基礎設施提供者之資通安全維護計畫實施狀況,爰於第三項規定關鍵基礎設施提供者應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫實施情形,以利中央目的事業主管機關或直轄市、縣(市)政府監督,並適時提供相關建議或協助。

四、為確保資通安全維護計畫之落實,於第四項規定中央目的事業主管機關或直轄市、縣(市)政府應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。稽核時,宜考量受稽核者歷來接受行政院、中央目的事業主管機關或直轄市、縣(市)政府稽核之頻率與稽核結果等因素,決定最適之受稽核者名單與頻率。

五、第五項規定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關或直轄市、縣(市)政府,以確保資通安全維護計畫之落實。

六、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利關鍵基礎設施提供者適用與遵循,爰於第六項規定,由中央目的事業主管機關擬訂,並報請行政院核定之。

七、中央目的事業主管機關宜訂定非公務機關資通安全維護計畫之範本,以供非公務機關參考;行政院並得提供必要之協助。

時代力量黨團提案:

一、參考美國聯邦資訊安全管理法規定,聯邦各機關(構)應:

1.評估各自單位之資通安全風險、確定其等級、提供與其資訊系統相符之資通安全防護措施;

2.部署資通安全之負責專人與組織,展開資通安全相關工作;

3.遵循有關政策規定,將資通安全工作納入其機關(構)之規劃與運作等。

二、參考美國聯邦資訊安全管理法規定,所有聯邦機關(構)所使用之資訊系統,須符合其風險管理框架(Risk Management Framework)之安全生命週期(Security Life Cycle),投注足夠人力與預算,決定所使用之資訊系統與其處理、儲存、傳輸之資訊的敏感性;識別及規劃資訊系統之適當安全控制措施;訂定組織內資訊系統之安全控制措施;評估資訊系統安全控制措施之有效性;並持續監控及隨時通報資通安全系統變化等相關事項。

三、參考美國聯邦資訊安全管理法之要求,各機關(構)需每年評鑑其資訊安全計畫與實作之工作成果,並將評鑑報告送交白宮管理與預算辦公室,再由白宮管理與預算辦公室彙整後編制成總報告提交國會審查。

四、參考我國政府機關(構)資通安全責任等級分級作業規定,不同層級或業務單位因所持有之資料不同,其資安責任等級及其在政策面、管理面、技術面及人員之訓練要求等應辦事項均不同,爰特擬定資訊系統及資通安全事件之分級,以達資源有效利用之目的。

五、民間企業於一定規模以上、具有國家關鍵基礎設施之屬性者,因其資通安全措施與其經營成效有所關連,與投資人、員工、主管機關等利害關係人之關係甚密,故亦應比照政府機關設置資安專責機構及技術人員,並將其資安有關作為向利害關係人周知。

委員陳亭妃等23人提案:

一、對於關鍵基礎設施提供者之資通安全保護,乃現今國際針對資通安全保護所重視之議題,爰參考歐盟2016年「網絡與資訊系統安全指令」關於關鍵服務營運商清單、關於關鍵服務營運商用以提供關鍵服務的網路與資訊系統,如有影響其安全的事件,關鍵服務營運商須採取適當措施,預防及最小化事件的影響,以確保服務的持續性、美國關鍵基礎設施保護計劃及有關改善關鍵基礎設施網路安全之規定、日本網路資訊安全基本法之重要社會基礎業者之職責及韓國情報通信基礎保護法中央行政機關長官有權指定主要資訊通信基礎設施以及主要資訊通信基礎設施保護措施等立法例,將關鍵基礎設施提供者納入本法之適用範圍。

二、因關鍵基礎設施涉及重大公共利益及人民之生命、財產安全,故應制定、修正及實施資通安全維護計畫。

三、為使中央目的事業主管機關掌握關鍵基礎設施提供者之資通安全維護計畫實施狀況,關鍵基礎設施提供者應定期向中央目的事業主管機關提出資通安全實施報告,以利中央目的事業主管機關適時提供相關建議或協助。

四、為確保資通安全維護計畫之落實,中央目的事業主管機關應對關鍵基礎設施提供者進行查核。

五、資通安全維護計畫必要事項、資通安全維護計畫實施報告提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出、及其他應遵行事項之辦法,授權由中央目的事業主管機關訂定。

委員余宛如等18人提案:

一、明訂關鍵基礎設施相關事項。

二、第一項關鍵基礎設施之區分為公有及私有,請參考行政院「國家關鍵基礎設施安全防護指導綱要」之肆「關鍵基礎設施定義及分類」。

三、第二項公有關鍵基礎設施之定義參考《國有財產法》。

四、第三項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之貳「防護目標與風險管理架構」。風險管理架構包括下列項目:

1.設定安全目標

2.辨識資產、系統與網絡

3.風險評估

4.決定防護強化優先次序

5.實施防護計畫

6.衡量實施成效

五、第四項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之伍「防護規劃建置程序」。

六、第五項請參考行政院「國家關鍵基礎設施安全防護指導綱要」之壹拾肆「民營企業與民間組織之參與」。

七、美國總統政策指引PPD21「關鍵基礎設施之安全及復原Critical Infrastructure Security and Resilience」中明確表示,對於關鍵基礎設施之防護,政府與民間共同承擔責任,然即便聯邦政府得以命令要求關鍵基礎設施業者配合建構資安防護,雙方仍應該是伙伴關係。

八、美國總統13636號行政命令「增強關鍵基礎設施資安能力」亦強調協同發展及執行風險管理標準,並特別指出增加資安情資供應質量及時效是美國政府的責任。

九、日本網絡安全策略依下列四個基本原則來規劃,包括:(1)保證資訊自由流通,並確保隱私與智慧財產權;(2)制訂法律,並參考國際規範;(3)開放;(4)自治;(5)與CII利害關係人共同協作。在關鍵資訊基礎設施的保護方面,公私機構間安全實務與發現的資訊分享,並且對CIIP的範圍定期審查。其中包括:由政府安全工作協調小組(Government Security Operation Coordination Team, GSOC)擔任監督與資訊分享的角色,分享網絡安全事件與偵測資訊給CII相關部門。

十、依據德國2015資訊科技安全法(ITSicherheitsgesetz),德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。

第十六條 關鍵基礎設施提供者以外之非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

中央目的事業主管機關或直轄市、縣(市)政府得要求所管前項非公務機關,提出資通安全維護計畫實施情形。

中央目的事業主管機關或直轄市、縣(市)政府得稽核所管第一項非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之非公務機關提出改善報告。

前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請行政院核定之。

 

第十六條 除前條情形外,適用第六條第一項辦法之非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。

中央目的事業主管機關得視公共利益、保護人民生命及財產安全之需要,指定前項以外之非公務機關,就其所提供特定類型或性質之產品或服務,訂定、修正及實施資通安全維護計畫。

中央目的事業主管機關得要求前二項非公務機關,提出資通安全維護計畫實施情形之報告。

中央目的事業主管機關得查核第一項及第二項非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受查核之非公務機關完成矯正、預防報告或提出矯正、預防計畫。

前四項之資通安全維護計畫必要事項、實施報告之提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出及其他應遵行事項之辦法,由中央目的事業主管機關定之。

 

 

 

行政院提案:

一、考量關鍵基礎設施提供者以外之非公務機關亦應負相當之資通安全責任,仍應訂定安全維護計畫並提出計畫實施情形,爰參考日本網路安全基本法第三條賦予重要社會基礎業者配合政府資通安全政策之協力義務之規定,於第一項明定該等非公務機關應符合其所屬資通安全責任等級之要求,並修訂及實施資通安全維護計畫。

二、鑒於資通安全維護事項與事業之經營管理關係密切,對於非公務機關資通安全維護之指導、監督、管理及稽核,宜由各非公務機關之中央目的事業主管機關或直轄市、縣(市)政府執行,爰為第二項及第三項規定。

三、考量資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,其內容宜有一致性,以利第一項之非公務機關適用與遵循,爰於第四項規定,由中央目的事業主管機關擬訂,並報請行政院核定之。

四、中央目的事業主管機關宜訂定非公務機關資通安全維護計畫之範本,以供非公務機關參考;行政院並得提供必要之協助。

委員陳亭妃等23人提案:

一、非公務機關如屬第五條之資通安全責任等級分級辦法之適用對象,或如其所提供之特定產品或服務經認定與公共利益或與保護人民生命、財產安全相關且有必要而受指定時,縱其非關鍵基礎設施提供者,仍應負相當之資通安全責任,而須制定安全維護計畫並提交計畫實施情形之報告,爰參考日本網路資訊安全基本法,賦予重要社會基礎業者配合政府資安政策之協力義務;另參考歐盟2016年「網絡與資訊系統安全指令」,在關鍵基礎設施提供者以外,另針對數位服務提供商之安全與事件通知進行規定,爰訂定本條,俾利中央目的事業主管機關為公共利益、保護人民生命、財產安全,而認為必要時,仍得指定非公務機關就其所提供之特定類型或性質之產品或服務,制定、修正及實施資通安全維護計畫並提出實施報告與進行查核。

二、有鑑於各行業均有其目的事業主管機關,而資通安全維護與該事業之經營關係密切,宜由原各該中央目的事業主管機關一併監督管理與其業務相關之資通安全維護事項,故本法對於非公務機關資通安全維護之指導、監督、管理及查核,採分散式管理,由各非公務機關之中央目的事業主管機關執行。

三、資通安全維護計畫必要事項、資通安全維護計畫實施報告提出、查核之頻率、內容與方法、矯正、預防報告或計畫之提出、及其他應遵行事項之辦法,授權由中央目的事業主管機關訂定。

第十七條 非公務機關為因應資通安全事件,應訂定通報及應變機制。

非公務機關於知悉資通安全事件時,應向中央目的事業主管機關或直轄市、縣(市)政府通報。

非公務機關應向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交行政院。

前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之。

知悉重大資通安全事件時,行政院、中央目的事業主管機關或直轄市、縣(市)政府,於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。

 

第十七條 前二條之非公務機關為因應資通安全事件,應訂定通報及應變機制。

前項之非公務機關於發生資通安全事件時,應向中央目的事業主管機關通報。

第一項之非公務機關,應向中央目的事業主管機關提出資通安全事件調查、處理及矯正、預防情形或矯正、預防計畫之報告;如為重大資通安全事件者,其報告並應送交行政院。

前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之。

發生重大資通安全事件時,行政院或中央目的事業主管機關得公告與事件相關之必要內容及因應措施。

 

 

 

行政院提案:

一、為使中央目的事業主管機關、直轄市、縣(市)政府及行政院即時掌握非公務機關之資通安全事件,監督及協助該等非公務機關進行緊急應變處置,並在最短時間內回復業務正常運作,爰參考歐盟二○一六年「網路與資訊系統安全指令」第十四條事件通知、日本網路安全基本法第十四條促進重要社會基礎業者確保網路資訊安全、韓國情報通信基礎保護法第十六條於金融、通信等領域別之情報通信基礎設施業者得依法成立及運作情報共有、分析中心,作為有侵害事故時之即時警報與分析體系等規定,為第一項至第三項規定。有關資通安全事件之內涵,同第十三條說明一;重大資通安全事件之認定,將於施行細則中規範。

二、第四項明定第一項至第三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由行政院定之,以利非公務機關依循。

三、考量重大資通安全事件可能影響多數人民之生命、身體或財產安全,宜由行政院、中央目的事業主管機關或直轄市、縣(市)政府於知悉後,分別或共同公告必要之內容(例如發生原因、影響程度及目前控制之情形等)及因應措施,並提供相關協助,以利防範、避免損害之擴大,爰為第五項規定。

委員陳亭妃等23人提案:

一、按受本法規範之非公務機關如發生資通系統遭受破壞,或不當使用等資通安全事件,為使中央目的事業主管機關及行政院即時掌握情況,以協助與監督受本法規範之非公務機關進行緊急應變處置,並在最短時間內回復正常運作,自應以適當方式通報中央目的事業主管機關及行政院。本條參考歐盟2016年「網絡與資訊系統安全指令」之事件通知規定;日本網路資訊安全基本法之促進重要社會基礎業者確保網路資訊安全;韓國情報通信基礎保護法之金融、通信等領域別之情報通信基礎設施業者得依法成立及運作情報共有、分析中心以作為發生侵害事故時之即時警報與分析體系等規定而訂立。

二、受本法規範之非公務機關為落實資通安全事件通報之要求,自應制定資通安全事件通報機制與相關應變措施,並於事件發生時通報中央目的事業主管機關;受本法規範之非公務機關於事故發生後,亦應提出事件調查、處理及矯正、預防情形或矯正、預防計畫之報告。

三、第一至三項通報、應變機制之必要事項、通報內容、報告提出與其他應遵行事項,宜有相關辦法以為依循,故授權行政院訂定之。

四、於資通安全事件情節重大,可能影響多數人民之生命、身體或財產利益安全時,行政院得會同中央目的事業主管機關知悉後,介入協助處理,並得公告必要之內容與因應之方法,以供民眾防範、避免損害之擴大。

第十八條 中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。

對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。

 

第十八條 中央目的事業主管機關因查核資通安全維護計畫發現重大缺失,或遇重大資通安全事件時,應派員攜帶執行職務證明文件,進入第十五條及第十六條之非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。

對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。

中央目的事業主管機關為前項檢查時,得率同司法警察人員、資訊、電信或法律等專業人員共同為之。

參與檢查之所有人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。

 

 

 

行政院提案:

一、為落實非公務機關資通安全之維護,應賦予監督機關有命令、檢查及處分權,爰參考日本網路安全基本法第十五條第二項政府為促進民間業者採取自發性之措施得採取必要措施,與同法第十七條政府為取締犯罪及防止傷害之擴大得採取必要措施之規定,為第一項及第二項規定,以強化中央目的事業主管機關與直轄市、縣(市)政府之權責。

二、為保護個人資料及其他他人應秘密之資訊,爰於第三項明定因檢查而知悉他人應秘密之資訊者,應負保密義務。

委員陳亭妃等23人提案:

一、為落實資通安全之維護,應賦予監督機關有命令、檢查及處分權,並參考日本網路資訊安全基本法之政府為促進民間業者採取自發性的措施得採取必要措施。

二、為取締犯罪以及防止傷害之擴大得採取必要措施之規定,爰訂定第一項,規定中央目的事業主管機關必要時,得派員攜帶執行職務證明文件,進入第十五、十六條非公務機關檢查或要求說明、提供相關證明資料,以強化監督機關之權責。

三、檢查資訊系統如未具有相當專業知識,勢必無法達成檢查目的,爰規定檢查機關得率同司法警察人員、資訊、電信或法律等專業人員共同進行檢查。

四、第三項明定因檢查而知悉他人資料者,應負保密義務,不得洩漏。

第四章 罰則

 

第四章 罰則

 

 

 

行政院提案:

章名。

委員陳亭妃等23人提案:

章名

第十九條 非公務機關有下列情形之一者,由中央目的事業主管機關或直轄市、縣(市)政府令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰:

一、未依第十五條第二項或第十六條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十五條第六項或第十六條第四項所定辦法中有關資通安全維護計畫必要事項之規定。

二、未依第十五條第三項或第十六條第二項規定,向中央目的事業主管機關或直轄市、縣(市)政府提出資通安全維護計畫之實施情形,或違反第十五條第六項或第十六條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。

三、未依第六條第三項、第十五條第五項或第十六條第三項規定,提出改善報告送交行政院、中央目的事業主管機關或直轄市、縣(市)政府,或違反第十五條第六項或第十六條第四項所定辦法中有關改善報告提出之規定。

四、未依第十七條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十七條第四項所定辦法中有關通報及應變機制必要事項之規定。

五、未依第十七條第三項規定,向中央目的事業主管機關、直轄市、縣(市)政府或行政院提出資通安全事件之調查、處理及改善報告,或違反第十七條第四項所定辦法中有關報告提出之規定。

六、違反第十七條第四項所定辦法中有關通報內容之規定。

 

第十九條 非公務機關有下列情形之一者,由中央目的事業主管機關處新臺幣五十萬元以上三百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之:

一、違反第十五條第二項規定,未確實訂定、修正或實施資通安全維護計畫。

二、違反第十六條第一項或第二項規定,未確實訂定、修正或實施資通安全維護計畫。

 

第二十一條 非公務機關有下列情形之一者,由中央目的事業主管機關處新臺幣六萬元以上六十萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之:

一、未依第十五條第三項或第十六條第三項規定,向中央目的事業主管機關提出資通安全維護計畫實施情形之報告。

二、未依第十五條第五項或第十六條第四項規定,完成矯正、預防報告或提出矯正、預防計畫送交中央目的事業主管機關。

三、未依第十七條第一項規定,訂定資通安全事件之通報及應變機制。

四、違反第十七條第三項規定,未向中央目的事業主管機關提出資通安全事件之調查、處理及矯正、預防報告或計畫,或重大資通安全事件之相關報告或計畫未送交行政院。

 

 

 

行政院提案:

參考歐盟二○一六年「網路與資訊系統安全指令」第二十一條要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨,並考量違反本法所定行政法上義務應受責難程度及其所生影響,針對非公務機關未依本法規定訂定、修正、實施資通安全維護計畫、提出資通安全維護計畫之實施情形、改善報告送交中央目的事業主管機關或直轄市、縣(市)政府、訂定資通安全事件之通報及應變機制、向中央目的事業主管機關、直轄市、縣(市)政府或行政院提出資通安全事件之調查、處理及改善報告,或違反資通安全事件通報內容之規定等情形,明定所課予之行政裁罰。

委員陳亭妃等23人提案:

第十九條:

一、本條為對非公務機關未訂定、修正、實施資通安全維護計畫或訂定、修正、實施未確實之罰則規定。

二、非公務機關依第十五條第二項、第十六條第一項及第二項,應訂定、修正、實施資通安全維護計畫,如未依規定訂定、修正或實施,或訂定、修正、實施未確實,應由中央目的事業主管機關處以罰鍰,並令限期改正;屆期未改正者,按次處罰之。

三、參考歐盟2016年「網絡與資訊系統安全指令」之要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨訂定。

第二十一條:

一、本條為對非公務機關未依本法相關規定,提出資通安全維護計畫實施情形之報告、送交中央目的事業主管機關矯正、預防報告或計畫、訂定資通安全事件之通報及應變機制;或未依規定向中央目的事業主管機關或行政院提出資通安全事件之調查、處理及矯正、預防報告或計畫之罰則規定。非公務機關如有上述情形,應由中央目的事業主管機關處以罰鍰,並令限期改正;屆期未改正者,按次處罰之。

二、參考歐盟2016年「網絡與資訊系統安全指令」之要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨訂定。

 

第二十條 非公務機關未依第十七條第二項規定,通報資通安全事件,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十萬元以上一百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。

 

第二十條 非公務機關未依第十七條第二項規定通報資通安全事件者,由中央目的事業主管機關處新臺幣三十萬元以上二百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。

 

第十二條 關鍵基礎設施提供者違反第十條第二項之通報義務,由資安治理機關處新臺幣十萬元以上一百萬元以下罰鍰。

 

行政院提案:

參考歐盟二○一六年「網路與資訊系統安全指令」第二十一條要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨,並考量違反本法所定行政法上義務應受責難程度及其所生影響,針對非公務機關未依第十七條第二項規定,通報資通安全事件之情形,明定所課予之行政裁罰。

委員陳亭妃等23人提案:

一、本條為對非公務機關未依第十七條第二項規定通報資通安全事件之罰則規定。

二、非公務機關如發生資通安全事件,應依本法相關規定進行通報;如未依規定通報,應由中央目的事業主管機關處以罰鍰,並令限期改正;屆期未改正者,按次處罰之。

三、參考歐盟2016年「網絡與資訊系統安全指令」之要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨訂定。

委員余宛如等18人提案:

一、明訂違反通報義務之罰則。

二、德國於2015年6月12日通過資訊科技安全法案,德國重要企業遇到網絡攻擊必須申報,否則將被罰款,罰金最高十萬歐元。所謂重要企業是指能源公司、銀行、醫院等。

三、資安作業要能有效運作,最重要的是能建立聯防體系。資安聯防體系從攻擊事件發生、可疑事件偵測,到分析、處理、鑑識,最重要且必要的環節是通報,以便聯防體系之其他單位早期知悉攻擊發生,以避免事態擴大。

第二十一條 非公務機關違反第十八條第二項規定者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣十萬元以上一百萬元以下罰鍰。

 

第二十二條 非公務機關無正當理由違反第十八條第二項規定者,由中央目的事業主管機關處新臺幣四萬元以上四十萬元以下罰鍰。

 

 

 

行政院提案:

參考歐盟二○一六年「網路與資訊系統安全指令」第二十一條要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨,並考量違反本法所定行政法上義務應受責難程度及其所生影響,針對非公務機關無正當理由妨礙、規避或拒絕行政檢查之情形,明定所課予之行政裁罰。

委員陳亭妃等23人提案:

一、本條為對非公務機關無正當理由妨礙、規避或拒絕行政檢查之罰則規定。

二、非公務機關無正當理由違反第十八條第二項規定者,由中央目的事業主管機關處以罰鍰。

三、參考歐盟2016年之要求會員國必須針對違反相關國家法規之行為,制定有效罰則之意旨訂定。

 

第三章 組  織

 

 

 

 

時代力量黨團提案:

章名

 

第八條 (組織法及編制表另定之)

本處組織、各職稱之官等職等及員額,另以組織法及編制表定之。

 

 

 

 

時代力量黨團提案:

本條授權主管機關依本法所列業務項目及其需求,制定組織法及編制表,執行相關業務。為求資通安全工作之落實,主管機關應參考德國聯邦資訊安全辦公室(Federal Office for Information Security)或其他先進國家資通安全主管機關之組織及編制,充實其技術、政策、法規、倫理、市場等方向之研究、發展及應用能力。

 

第九條 (人員聘用相關規定)

本處因業務需要,得依聘用人員聘用條例之規定,另訂定公開、公平之資格審查方式,適度放寬公務人員任用之限制,聘用對資通安全有專門研究之專業或技術人員。

本處對於其所進用且從事稀少性、危險性、重點研究項目或於特殊環境工作之專業或技術人員,應優予待遇、提供保險或採取其他必要措施。

第一項所稱資格審查方式及聘用人員之教育培訓、技能檢定、績效評估及人事任免等相關規定,由本處訂定後送行政院核定之。

第一項聘用之專業或技術人員,必要時應由本處依公務人員任用法及相關規定辦理特殊查核,確保其品德及對國家之忠誠。

 

 

 

 

時代力量黨團提案:

一、我國資訊人力約佔全國機關員額之1.5%,相較於民間企業、學校在學及畢業生人數、以及美國聯邦政府(資訊人力佔約5%)均顯著不均。

二、究其原因,受限於公務人員任用及銓敘等相關規定,民間企業往往提供較優之待遇及福利,造成政府不易招募及任用資通安全相關專業或技術人員。爰此於本條第一款及第二款,參酌科學技術基本法第十五條及第十七條之規定,賦予主管機關另訂聘用資格及待遇條件之權限。

三、然而,主管機關之業務涉及我國資通安全政策、技術等規範之制定、修正及執行,部分業務有其機密性,且其人員之能力須跟上國際最新技術演進,方可為我國設計與時俱進之資通安全防護機制,爰此於本條第三款、第四款訂定資格審查、教育培訓、技能檢定、績效評估、人事任免及必要時應辦理特殊查核之規定,有效確保我國負責資通安全業務之專業及技術人員之能力與忠誠。

 

第五章 附則

第四章 附則

第五章 附則

第三章 附則

 

 

行政院提案:

章名。

時代力量黨團提案:

章名

委員陳亭妃等23人提案:

章名

委員許毓仁等17人提案:

章名。

第二十二條 本法施行細則,由行政院定之。

 

第二十三條 本法施行細則,由行政院定之。

第十四條 本法施行細則,由行政院定之。

 

第十四條 本法施行細則,由行政院定之。

行政院提案:

本法施行細則之訂定機關。

委員陳亭妃等23人提案:

本條授權行政院訂定施行細則。

委員許毓仁等17人提案:

本法施行細則之訂定機關。

親民黨黨團提案:

本法施行細則之訂定機關。

 

第十條 (獎勵民間研發、教育及推廣之財政優惠措施)

為促進民間資通安全之研究、發展、應用、教育及推廣,政府得提供租稅、金融等財政優惠措施及必要之支助。

 

 

 

 

時代力量黨團提案:

明定政府得提供財政優惠措施或其他必要之支助,提供民間投注資源研究、發展、應用、教育及推廣資通安全相關技術。

 

 

第十一條 (重大施政計畫應提出資通安全影響評估)

政府重大施政計畫應提出資通安全影響評估。

本處應協助中央政府各級機關及地方政府提出前項所稱資通安全影響評估。

第一項所稱資通安全影響評估應包含事項及程序等,由本處另定之。

 

 

 

 

時代力量黨團提案:

明訂各級政府於推行重大施政計畫前,應一併提出資通安全影響評估,以便在主管機關之協助下,及早指認施政計畫中涉及資通安全之事項,並據以提出行動方案或修訂施政計畫。影響評估應包含事項及程序,由主管機關另定之。

 

 

第十二條 (相關法令調適期限)

本處應於本法施行後兩年內,依本法之原則修正、制定或廢止相關法令。

 

 

 

 

時代力量黨團提案:

本法施行後,相關法規之競合與調適問題,應由主管機關於兩年內予以盤點及研議,適時提出法律修正、制定或廢止案。

 

第二十三條 本法施行日期,由行政院定之。

第十三條 (施行日期)

本法自公布日施行。

第二十四條 本法施行日期,由行政院定之。

第十五條 本法施行日期,由行政院定之。

第十四條 本法自公布日施行。

第十五條 本法施行日期,由行政院定之。

行政院提案:

本法施行日期,考量配套子法作業時程,並為周延法制,以落實本法規定之執行,爰授權由行政院定之。

時代力量黨團提案:

本法施行日期。

委員陳亭妃等23人提案:

本條授權行政院訂定施行日期。

委員許毓仁等17人提案:

本法施行日期,考量配套子法作業時程,並為周延法制,以落實本法規定之執行,爰授權由行政院定之。

委員余宛如等18人提案:

明訂施行日期。

親民黨黨團提案:

本法施行日期,考量配套子法作業時程,並為周延法制,以落實本法規定之執行,爰授權由行政院定之。

 

主席:所有提案條文及修正動議均已宣讀完畢,現在開始進行逐條討論。

進行法案名稱「資通安全管理法」,唯一跟大家版本不一樣的是余委員宛如所提的「資通安全法」,余委員堅持嗎?如果不堅持,名稱就以行政院提案名稱「資通安全管理法」通過。

接下來是第一章章名「總則」。時代力量版本是「總論」,如果沒有意見,章名就照行政院提案章名「總則」通過。

處理第一條。除了各委員版本之外,第一條也有委員提出修正動議。

第6頁的修正動議3是我今天提出來的版本,這部分請行政院先就各委員的版本表示意見。

何副秘書長佩珊:主席、各位委員。感謝委員的支持,委員這邊也有提案,即把帶動資通安全產業發展刪除,這部分我們是可以尊重委員的意見。

主席:其他委員有什麼意見嗎?

請尤委員美女發言。

尤委員美女:主席、各位列席官員、各位同仁。因為這個是資通安全管理法,最主要是在講資通安全的管理,跟這個產業的推動其實是兩回事,所以在這個開宗明義的地方寫說要帶動自動安全產業的發展,本席認為這應該跟我們這部法的宗旨比較不符,所以把這個部分先刪掉。

主席:好,謝謝。

請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。我的提案特別之處在於我是參考美國的FISMA,以FISMA的架構而言,它一方面在促進美國國土資安防護之外,一方面也在提升美國資安產業的能量,它是以一個認證的機制來做這件事情。不過,經詢問過行政院方面,他們現在已經在推動一個資安產業的體系,因為已有另外的option,所以本席就可以不堅持放進這樣的文字,也尊重其他委員把這一句刪掉。

主席:好。謝謝。

請許委員毓仁發言。

許委員毓仁:主席、各位列席官員、各位同仁。我這邊也表達一下意見,基本上這是一個資通安全管理辦法,故不應該與產業的發展混為一談,這樣子會造成球員兼裁判的問題。另外,在第一條的說明裡面,也不應該弄得太複雜,所以我這邊也贊成這個修正動議,把「帶動資通安全產業發展」這個文字拿掉,然後再另做其他的安排。謝謝。

主席:謝謝。

請周陳委員秀霞發言。

周陳委員秀霞:主席、各位列席官員、各位同仁。雖然政府機關負擔的公共服務對民眾的生活及經濟活動有重大的影響,但是也應避免不當地侵犯人民的權利,在這個前提之下務必要保障公共的利益,並且要健全政府機構整體的資通安全,而不是以國家安全為理由來打造一個1984年解嚴前的白色恐怖台灣。所以,親民黨反對擴大管制產業,更不應該對產業技術不合理的強制性規範,而資安政策在民間的推動上,政府應該在公私協力的原則之下提供一些經濟的誘因,採取鼓勵性的措施,以達成政府跟民間的合作。「國家關鍵基礎設施安全防護指導綱要」明示,各部門應積極與民間關鍵基礎設施業者建立合作關係,致力於資訊分享,以提升整體的防護工作成效。因此,親民黨主張在公私協力的原則要入法,政府應該是抱持與民間合作的心態,而不是以以上對下的管理模式,更不應該要以不當處罰的這些條文來對待民間。

主席:針對周陳委員的說明,……

周陳委員秀霞:公私協力的原則要入法。

主席:這是一個總則,如果你們認為有需要入法的一些條文,是不是可以在後面的條文再處理?我們現在只是在討論立法目的架構。

周陳委員秀霞:好,OK。

主席:立法目的的部分,是不是就按照今天我所提出修正動議3的版本通過?請問各位,有無異議?(無)無異議,通過。

進行第二條。

關於本條,除了各位委員的版本外,另有曾委員銘宗提出修正動議1,主要是在第六項第六款的關鍵基礎設施以及增訂第八款。另外加上修正動議3的部分,總共有兩個修正動議案,我們先請行政院就各版本以及修正動議表示意見。

何副秘書長佩珊:關於曾委員銘宗提案的部分,在關鍵基礎設施的部分,謝謝蔡易餘委員提出第三版的修正動議,其中針對關鍵基礎設施的定義跟曾銘宗委員的版本大概類同,不過我們比較傾向採用蔡易餘委員提出的修正動議版本。至於曾銘宗委員提案中增訂第八款的資通安全事件部分,我們比較不建議採納,因為這個是本來就會做的事情,比較沒有需要一定要把它寫在法條裡面,所以整體而言,我們拜託各位委員,可以共同來支持蔡易餘召委所提出的修正動議版本。感謝。

主席:請問各位委員還有無其他意見?

許委員毓仁:主席,可否解釋一下你所提修正動議的精神?

主席:我稍後會說明,先請段委員宜康發言。

段委員宜康:主席、各位列席官員、各位同仁。建議曾銘宗委員等人提的修正動議1的第六款和蔡易餘委員所提修正動議第六款的差別是將中央與地方政府機關入法,將中央與地方政府機關放在第六款會與第四款的公務機關重疊,關鍵基礎設施所指的應該不是一個機關,而是一個通路或設備,設備的提供者有可能是公務機關或非公務機關,所以條文規範的關鍵基礎設施就會把政府機關變成關鍵基礎設施,但政府機關未必是一個設施,而是特定設施的提供者,所以將中央與地方政府機關入法,可能會與關鍵基礎設施、公務機關及關鍵基礎設施提供者混淆,有關曾委員所提修正動議1,建議不要將中央與地方政府機關入法,以避免混淆。

主席:請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。我們對於關鍵基礎設施的想像,應該是一個pipe或是infrastructure,而不是像地方政府這樣明顯的標的。

對於將關鍵基礎設施的制定放入法規,有疑義的是目前關鍵基礎設施主要參考國土辦所指定的關鍵基礎設施,但這並不是資訊的思考方式,而是實體的思考方式,因為沒有明定,所以把政府機關及高科技園區劃進一個園圈裡,是不是在這裡面所有做網路設備及網路應用服務廠商都是關鍵基礎設施?而且所謂關鍵基礎設施範圍以後有可能會變動,如直接入法,可能會產生一些問題,這些都必須要再做說明。

主席:本席所提修正動議有關關鍵基礎設施部分,建議不要將目前行政院國土辦所公告「國家關鍵基礎設施安全防護指導綱要」所列舉的八大功能領域直接入法,如同剛才余委員所說的這是指一個地區、一個實體,但如果要進入資通的概念,是否能完全符合?不無疑問。其次,如果未來科技進步,關鍵基礎設施會不會超出這八大領域,也是現在所無法想像的,所以,我認為不應將這八個項目定義在關鍵基礎設施中。

主席:請許委員毓仁發言。

許委員毓仁:主席、各位列席官員、各位同仁。對關鍵基礎設施定義不明確之前,是不是放進本法,本席有疑慮。

國土辦所提出的八大功能領域,其實在行政院版的說明欄也有指出就是能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關及高科技園區,基本上,這是二、三十年前的定義,所以這部法不論規範現有的或是未來的關鍵基礎設施,甚至連將關鍵基礎設施這幾個字入法都是有相當大的問題。

資安處應該要說明如果關鍵基礎設施不入法,不明文載明哪些是關鍵基礎設施,是不是會有擴大行使職權的疑慮,如果入法的話,是不是只限制在說明欄所寫的這幾個,而這又是功能性的領域。但事實上,設施和功能是不同的,功能是代表它的行為,設施是代表有明顯的疆界及地理的限制,以及清楚的硬體設施,這部分請行政院資安處說明。

主席:請陳委員怡潔發言。

陳委員怡潔:主席、各位列席官員、各位同仁。有關關鍵基礎設施目前看起來只限定在七大類,但是法條並沒有說明是依據什麼樣準則來劃定其範圍,若只將關鍵基礎設施提供者留下來,會給予行政單位很大的權力去劃定其範圍。

例如國外業者開發的某通訊軟體,市占率在臺灣號稱有一千萬人在使用,平常政府官員溝通或政府體系的運作都很依賴這套通訊軟體,甚至透過軟體進行相對決策,當軟體遭受攻擊或不明資安問題時,有沒有辦法提供完善的服務?看起來是沒有辦法的,甚至質疑是否會影響到整個社會功能的運作。另這業者未在國內有登記,其機房也不在國內,所以類似這樣的業者,是不是應該列入關鍵基礎設施的提供者,如果列入了,以後要如何進行管理,管理之後,要怎麼樣去稽核。

要如何依據行政院版的第十八條得派員攜帶執行職務證明文件,進入非公務機關場所檢查,這部分會引起很大的疑慮,所以親民黨的版本認為這部分是不應該納入的。

主席:請曾委員銘宗發言。

曾委員銘宗:主席、各位列席官員、各位同仁。有關第二條本席所提修正動議,完全是基於好意,希望資通安全法案能更可行,能達到第一條訂定的目的。

有關第六款部分,我們希望能將關鍵基礎設施明確定義出來,因為有了定義後,才能讓整部法律在適用上會更明確及更可行。假設第六款沒定,就直接跳到第七款關鍵基礎設施提供者,前面沒有定義關鍵基礎設施,那提供者是誰?會更不清楚。另本席也在第八款對資通安全事件做定義,若不將這兩個名詞定義清楚,後續的執行會衍生很多困擾。

這沒有任何政治上的考慮,我只是純粹讓整部資通安全法能更可行而已。

主席:請行政院資安處簡處長說明。

簡處長宏偉:主席、各位委員。有關關鍵基礎設施並不是包括整個的組織,以電來說並不是將所有民營電廠或是台電整個公司都納入,而是以最關鍵會影響到運作,也就是單一失敗點的概念,同時若無法運作,會影響國家整個運作時才會納入。

舉例來說,在電力方面主要來就是台電,台電的關鍵基礎設施就是輸配電系統,因為輸配電系統無法運作,電就無法輸出,所以,關鍵基礎設施並不是整個公司都納入,而是從風險管理的概念來看。

誠如剛才委員所說,如果要明列的話,希望能保持彈性,並能定期檢視並公告;有關關鍵基礎設施運作的相關程序,會先由主管機關依照風險管理的方式去評鑑他的風險,之後報到行政院後,行政院會邀集相關部會以及專家委員一起檢視核定,這在程序上是很嚴謹的,請委員能多支持本案。

主席:請許委員毓仁發言。

許委員毓仁:主席、各位列席官員、各位同仁。我覺得這還是難以界定,譬如八大關鍵基礎設施中有一個科學園區,到底科學園區裡面的哪些東西是關鍵基礎設施?如果台積電被駭客入侵或資安處覺得台積電有可能被駭客入侵,因為它是科學園區的一間公司,資安處是不是可以大批人馬進入台積電搜索並扣查機房?所以這是非常奇怪的作法,是摸不著邊際、毫無疆界式的擴權。

主席:請王委員育敏發言。

王委員育敏:主席、各位列席官員、各位同仁。行政院提出修正的條文中有規範特定的非公務機關,就是現在我們討論的關鍵基礎設施提供者,又劃定關鍵基礎設施指的是這些項目,我的疑慮是這些範圍有明確化了嗎?所謂特定的非公務機關特別是關鍵基礎設施提供者,你們劃定的範圍明確化了嗎?將來會不會產生爭議?又,通訊傳播指的是什麼?這部分應該要花多一點時間討論,這同時也是外界的疑慮。

今天管制的範圍到底在哪裡?如果法律的界定不夠明確,將來執法一定會衍生很多爭議。如同最近大家討論的行政權力或司法權力,如果沒有節制的話,將會侵害人民的權益,這是目前台灣社會所不允許的。我們認為,行政部門不能打著資安的大旗,變成將來介入私人單位的依據,這在社會上是不被支持的,所以主管機關有必要每項都說清楚,例如範圍到底是什麼,尤其是包含那些項目,應該要解釋更清楚。

主席:請曾委員銘宗發言。

曾委員銘宗:主席、各位列席官員、各位同仁。剛才處長有提到,程序上要經過行政院公告,但是資通安全法是適用公家機關及民營機構,所以要訂的愈清楚愈好,不要每人看完以後都有不同的解讀,我的修正動議是將八大項入法後再履行一定的法定程序。

主席:請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。我的版本原本是參考國土辦所定的八大關鍵基礎設施,八大基礎設施等實體或虛擬資產之營運所需之重要資通訊系統或調度,但後面部分在這次修改版本中反而不見了,這會不會讓大家覺得是指定實體。

我直接有個提議,原本行政院提案的關鍵基礎設施是指實體或虛擬資產……,並經行政院公告者,但目前民間尤其是網路治理的社群,他們最大的疑慮是要我們要怎樣訂出關鍵基礎設施的程序,所以我在修正動議的第三條有提出,關鍵基礎設施提出的程序是彙整主管機關、產業部門及民間學者意見,制定與關鍵基礎設施有關之資安政策及原則及辦理關鍵基礎設施之公告,而不是由政府做單方面的指定。雖然修正動議是修在第三條,但建議可放在原本行政院提案的第六款下方,取代「並經行政院公告者」。

主席:請林委員為洲發言。

林委員為洲:主席、各位列席官員、各位同仁。這是一條關鍵性的條文,因為第六款的定義後會影響到第七款,第七款又會影響到後面非公務機關的民間企業若碰到資安問題時,政府的介入可到什麼程度,這也是外界最關心的問題。我認為應該統整大家的意見,儘量要訂定嚴格及明確些。

公務機關在第四款已經確定了,公務機關若碰到資安問題,政府該怎麼處理就怎麼處理,但是若是私人企業時,該如何處理?所以我支持第六款先訂定領域,然後再訂定領域裡面的設施。先訂定領域才能顯現何者為關鍵設施,譬如電線電纜、網路、道路、自來水及所有公共設施,這些都屬於基礎設施,但是要「關鍵」,也就是要很關鍵的才能納入,所謂很關鍵的就是要很重大的,所以才有領域的限制。

要先設定能源、水資源、通訊傳播、交通、銀行等領域,因為要符合關鍵及重大,如果將這個刪除,到時任何領域都可以當作關鍵基礎設施的範圍。所以要先設定足以影響民生及國家安全等等重大關鍵的領域,然後再訂定領域裡的設施。現在看起來雖然修正動議有把領域這部分納入,但還是不夠明確。剛剛許毓仁委員所提到的高科技園區,就設定在領域裡面,而這個領域有公有私,公與私都要算在這個範圍領域裡面嗎?對此我們會很擔心,而且這看起來也不容易,因為只要牽涉到涵蓋私人企業的部分,如果過度寬鬆,所有私人企業,只要是關於通訊傳播,不管有線或無線,就統統涵蓋在內了,將來都要被資安法所限制與介入,這是不可想像的。如果要限制,要限制到什麼樣的程度?我覺得這很困難。如果能把私人企業與公法人、公務機關切割開來,這是最有效且簡單的方式,如果要把私人企業納入,我們在設定其範圍及界定關鍵不關鍵、基礎不基礎,就個就很難去界定了。

主席:請吳委員志揚發言。

吳委員志揚:主席、各位列席官員、各位同仁。這是大多數民眾最憂慮的,也是私人網路業者非常憂慮的,首先第六款定義非常不清楚,如果只是把指導綱領的八項領域放進去,是比較清楚,但還是有疑慮,就是剛剛提到的資訊傳播這一塊,因為這一塊涉及到民眾一般的通訊,隨便舉幾個例子來說,例如PTT掛掉了,LINE掛掉了,FB掛掉了,甚至大家常用的Gmail掛掉了,都會符合所謂對國民生活有重大影響,對於商業經濟活動也會有影響,畢竟很多商情的探討都是透過這些管道在研究的。但這是私人領域受損害,會不會因此造成國家資通安全方面的問題?是要由業者請求相關偵辦單位協助破案,還是國家可以以資通安全為理由主動介入?一旦介入,在商業方面可能會有商業機密問題,在民眾個人方面則有私人隱私問題,在經營者方面就會有營業秘密問題,所以這個需要很慎重去考量。我倒是我覺得,如果沒有更好的方法,就是採用曾銘宗委員的第二條第六款修正動議,再加上余宛如委員第三條公告前的行政程序,這樣比較周延一點。也就是說,至少要符合業界一般認為需要政府介入的部分,而不是政府根據這八個領域認為有需要介入就直接公告,所以我具體建議採用曾銘宗委員版第二條第六款,再加上余宛如委員版第三條,一起合起來考慮,謝謝。

主席:關鍵基礎設施在定義上,曾委員與本席的修正動議都是先把領域劃出來,這個領域就是國土辦所公告「國家關鍵基礎設施安全防護指導綱要」的八大領域,接下來大家比較質疑的是,在這八大領域內到底有什麼項目是關鍵基礎設施,聽起來很多委員還是有疑慮的,吳委員的意見是把行政院經過核定再公告的程序也訂定於條文中,這個部分稍後再請行政院一併表示意見。

接下來請李委員俊俋發言。

李委員俊俋:主席、各位列席官員、各位同仁。我想要請教一個問題,關鍵基礎設施的定義到底是什麼?因為我們現在討論的其實是不同的內容。我們討論的是關鍵基礎設施的領域還是關鍵基礎設施的項目?還是說關鍵基礎設施根本就是一個區域?如果這個部分沒有先定義清楚,會引發後面的爭議。

其次,有關第五款與第六款,第五款特別規定「非公務機關」的定義,之所以如此規定的原本概念,舉例來說,有用到電信、通訊傳播等不一定是公務機關,但也有所謂資通安全的問題,這些資通安全會影響的層面也相當大,原來的出發點是這樣,可是如果沒有把關鍵基礎設施定義清楚的話,公領域與私領域的管轄的概念是完全不同的。對於這個部分,我覺得還是應該先定義清楚所謂關鍵基礎設施指的是什麼。國土辦所提供的這八大項領域,原來只是國土部分的處理而已,是不是在網路領域、資通安全領域上能夠涵蓋,我想這也必須說明清楚。關鍵基礎設施原本的定義是什麼?會不會造成國土辦的關鍵基礎設施定義與資通處對此的定義與範圍使用不一樣?到底講的是項目、區域還是其他什麼?這個部分如果沒有清楚的規定,可能會造成後面大家所提出的問題,也就是公領域與私領域的問題。以上。

主席:請陳委員怡潔發言。

陳委員怡潔:主席、各位列席官員、各位同仁。我覺得李委員講的很正確,大家一直在討論關鍵基礎設施定義的範疇是什麼,除此之外,我覺得重點還有指定程序到底是不是公開透明。如果指定程序不公開透明,會不會讓外界覺得未來的處理方式是黑箱作業?今天行政院版草案條文比較矛盾的是,針對私有關鍵基礎設施的提供者採用高強度的行政管理,而不是採取鼓勵參與的方式納管。關於這個部分,稍後請他們做更明確的說明,這樣大家才能進行完善的討論。本席舉歐盟的情況為例,對於網路與資訊系統的安全指令就是採取正面表列的方式,具體列出關鍵基礎設施的樣態,正面表列的非常清楚,例如電業、石油業、天然氣事業、航空運輸業、飛航管制機構、航空站經營者等等,正面表列的非常清楚。所以在整個定義上或是指定程序的公開透明上,相對的也就比較不會有疑慮產生,而且他們非常清楚的在條文中訂定次部門的分類,我覺得這個部分其實也可以採納,而不是像我們現在的作法,可能會造成給予行政單位很大的權力去進行劃定或任意指定,我覺得這個部分,未來在條文規定上應該要做相對的防範。

主席:請尤委員美女發言。

尤委員美女:主席、各位列席官員、各位同仁。原本行政院訂定的指導綱要中的八大領域有包括中央與地方政府機關,但是中央與地方政府機關已經被「公務機關」定義涵蓋了,所以在關鍵基礎設施中應該把這個部分刪除掉。

另外,蔡易餘委員所提修正動議已經把這些領域明白列出來,而且已經把中央及地方政府機關去除掉,同時還加上要經過行政院的定期檢視。至於公告的領域,曾銘宗委員的版本及余宛如委員的版本都有,只是行政院還加上了定期檢視。另外,余宛如委員版本有提到公告時應該彙整主管機關、產業部門與民間學者的意見,制定關鍵基礎設施有關的資安政策原則辦理關鍵基礎設施的公告,這個部分是不是有可以參考的地方?如果有,是不是要把這個部分放在第七款?第六款先定義關鍵基礎設施,也就是這八大領域,但要先把中央及地方政府機關拿掉,只剩下七個領域,這七個領域的提供者並不是屬於這領域的就全部都包括,所以在第七款會有所謂「關鍵基礎設施提供者」的定義,是指經中央目的事業主管機關指定,並報行政院核定者,所以指定時是不是能夠余宛如委員版本的第十四款要彙整民間產業的意見納入,有沒有這樣的可能?這是綜合大家所疑慮的,也就是關鍵基礎設施到底是什麼?提供者是什麼?這個部分如果這樣規定是不是會比較明確?

主席:請鍾委員孔炤發言。

鍾委員孔炤:主席、各位列席官員、各位同仁。有關於第二條的爭議,大概就是所謂公領域與私領域的關鍵基礎建設,這些設施進入私領域時到底會不會有其他相關問題?其實我們針對第十八條有提出修正動議,就是針對未來要進入私人領域去進行檢查時到底是不是可以進入,這在第十八條會討論到。至於第二條,因為主席有提出一個修正動議,有關於關鍵基礎建設的定義,大概跟曾銘宗委員的版本同樣都是以列舉方式來處理,我支持這個修正動議。以上說明。

主席:請許委員毓仁發言。

許委員毓仁:主席、各位列席官員、各位同仁。剛才幾位委員其實也講得滿清楚了,行政院指導綱要的八大領域其實是八大功能領域,是屬於功能性的概括區分,等於是把功能講出來,但對於功能裡面什麼是關鍵基礎設施並沒有很明確的提出來。我的看法是行政院資安處要回去再好好思考這一條到底要怎麼訂定,以目前的作法來說,相信民間、民意代表及各個資安產業的相關人員比較沒有辦法接受,甚至於我們在審查這些法條的過程中,因為IVOD有直播,所以同時會有很多訊息進來,對目前我們在討論的部分有相當大的疑慮。

行政院版第二條第五款「非公務機關」,「非公務機關」這幾個字的使用也造成大家對於關鍵基礎設施所涵蓋的範圍感到非常困惑。以功能性來說,如果通訊傳播功能類的機關當機了,被駭客侵入了,所有提供服務的上下游廠商是不是要一併連帶受罰?如果牽扯到非常複雜的機關時,是不是就會變成沒有辦法解決的問題?所以我認為行政院資安處在訂定這一條時並沒有思考清楚,我建議這一條應該先保留,讓行政院回去再想清楚,等到協商時大家才會有比較清楚該如何做的方式,以上。

主席:請段委員宜康發言。

段委員宜康:主席、各位列席官員、各位同仁。聽了各位的高見,坦白說,如果我們對於審查的法案不了解,邏輯都搞不清楚的話,莫怪在看轉播的民眾會感到糊裡糊塗了。我們應該要先決定的是,究竟要讓政府多管還是少管?剛剛討論到所謂的關鍵基礎設施,但我們對於非公務機關的關鍵基礎設施與關鍵基礎設施的提供者會有很多的想像,但這些其實都不是關鍵基礎設施。以我們所說的通訊軟體來說,通訊軟體並不是自己成為一個網絡,而是依附在關鍵基礎設施上的程式,它是沒有辦法單獨存在的,例如電力,台電公司的供電電網是個單獨存在的網絡,這就可能是關鍵基礎設施,而這個關鍵基礎設施因為資訊受到影響,例如被攻擊了,將使得社會受到重大的影響。

又例如高鐵,高鐵的軌道網絡會對國家與社會造成重大影響,所以如果高鐵的電腦被攻擊,造成售票系統癱瘓或是發車系統癱瘓,對我們就會造成重大影響。如果是證交所被攻擊而癱瘓了,後果嚴重不嚴重?很嚴重,但證交所是依附在關鍵基礎設施上,它是依附在電信公司這個關鍵基礎設施提供者,證交所沒有自己的網絡,不會連結到你家的電腦,不是段宜康、林為洲要買股票,電腦就會跟證交所有個網絡存在,其實是沒有的,我們是透過網路的線上交易或是打電話給營業員,由營業員透過網路下單,所以是與電信公司這個關鍵基礎設施提供者相關。但現在我們都把它和在一起了,所以就產生很多想像,覺得這怎麼得了,擔心還有很多事項沒有被規定到,或是擔心什麼都會管到,其實並沒有。

關鍵基礎設施如果能夠清楚定義的話,我們可以想像一下它會是什麼,它其實不是銀行,因為不會所有銀行都被駭客攻擊,除非被攻擊的是電信公司,所有的網路都癱瘓了,所以有可能被攻擊的是某家銀行,它的資料被不當存取、被盜領,但不是所有銀行,所以銀行當然就不會是關鍵基礎設施的提供者。誰會是關鍵基礎設施的提供者?這個我們必須先搞清楚,否則現在討論這個部分將會非常錯亂。關鍵基礎設施的提供者非常少,因為我們大部分的想像都不是關鍵基礎設施,只是關鍵基礎設施的使用者,這個使用者會對我們的生活產生很大的影響沒有錯,但它不是關鍵基礎設施的提供者,這是第一點,所以請行政院要再次說明清楚,這個觀念必須要釐清。

第二點,我們很多人的想像是,關鍵基礎設施的提供者如果被檢查了,很多資料就會外洩,其實並不會去檢查你的業務。以中華電信為例,如果我們要去看它對資訊安全的維護計畫,或是對其硬體的保護、對機房做充分保護,我們不會去看中華電信的客戶名單,也不會去看段宜康在中華電信有幾支電話,打了哪些電話,不會檢查到這個部分嘛,只是會檢查或要求查看計畫,看看有沒有充分保護資通安全,因為你是關鍵基礎設施的提供者,而不是去檢查你的業務。以台電為例,不會去查看為什麼蔡易餘家的電費這麼高,不會去看這個東西,因為這不在授權範圍之內。

不好意思,我花了比較多的時間,希望行政院把這個部分講清楚,否則大家會擔心,我們討論時也會不斷岔出去。如果是這樣的話,我建議行政院要回到原本的版本,如果採取列舉的方式,第一,未必能列舉周全,第二,列舉的很多都不是關鍵基礎設施提供者,如果做這樣的列舉,反而會引起爭議,所以我的建議是說,不要去列舉,而是把它有可能造成的影響,如果大家覺得還不夠明確,再定清楚一點,你列舉出來之後,因為大家對什麼叫做關鍵基礎設施不是很清楚,就會去想像了,說水資源、什麼會不會影響到要來檢查我家的自來水表,這個東西其實是非常荒唐的一件事情,但是我們會花很多的時間在處理這種荒唐的定義,你定義不清楚造成這些爭議,這兩點請你們講清楚。

主席:請曾委員銘宗發言。

曾委員銘宗:主席、各位列席官員、各位同仁。剛剛段委員講得有道理,也講得很清楚,以在座的國會議員都分不清楚、搞不清楚,更要定清楚,假設連國會議員參與立法都各自解釋11:10:59,到時候定出來了,人家看條文,誰清楚啊?但是我也承認,這條文定了是相對清楚,不會完全清楚。剛剛段委員提到證交所的部分,當然是關鍵措施啊!主要的交易系統是關鍵措施,不是你買股票進來那些券商的部分,證交所的關鍵─它的主機交易系統,當然是關鍵措施;銀行的部分、財經公司的跨行系統當然是關鍵措施。其實段委員剛剛講的是錯了,證交所的主要交易系統,還有財經公司的跨行系統當然是,個別銀行當然不是。我的建議是,儘量讓它定清楚,不可能完全清楚,假設在座的國會議員都各自解讀了,到時候這個法條不清不楚,到時候怎麼執行?這是第一點。

第二點是第八款的資通安全事件,這涉及第十三條的公務機關要回報、第十七條民間的事業要回報,什麼叫做資通安全事件?還有第十八條要去檢查呢!你連資通安全事件都不定義,人家到時候怎麼回報?怎麼執行?剛剛行政院講說,已經都在做了。以前在做的是公務機關,現在民間的有要它回報、通知嗎?以後可以檢查嗎?內容完全不一樣,所以我希望定清楚,定清楚以後執行上比較沒有疑義。謝謝!

主席:我們先把整個事情釐清楚,目前第六款所定的八大領域,指的是這個領域,就是這八個領域裡面可能裡面有部分設施或通路屬於關鍵基礎設施,不管是曾委員,還是我的這八個,事實上它只是一個領域,表示這八個是我們想像上比較重要的地方,未必這裡的東西就是關鍵基礎設施啊!

如果按照段委員的意見也很好,因為這個領域事實上是沒有意義的,未必這個領域上的所有東西都是關鍵基礎設施,如果回到你們最原始的版本,就是由你們再重新去定義並且公告,到底你們未來要納入管理的關鍵基礎設施是什麼?這個東西也許已經超過了這八個領域之外,但是你們認為那一項的通路屬於關鍵基礎設施。我覺得行政院在這一點的立場你們必須思考清楚,未來這個法案上路所管轄的範圍,因為它在這一個定義上,如果不清楚的話,接下來很多條文是走不下去的。

曾委員銘宗:可不可請行政院就它想像中的關鍵基礎設施是哪些,講清楚。

主席:對啊!我們要讓它講,現在就是要讓行政院講。

林委員為洲:而且要針對非公務機關的部分,到底是哪一些?

主席:先讓行政院說明一下,請行政院何副秘書長說明。

何副秘書長佩珊:主席、各位委員,我們先請資安處就八大領域裡面,哪一些會去規範的?先請他說明。

主席:請行政院資安處簡處長說明。

簡處長宏偉:主席、各位委員。在關鍵基礎設施裡面,我就把涉及民間的部分唸出來,涉及民間的部分能源領域沒有;水資源沒有;通訊傳播就是中華電信、新世紀資通、台固、全球光網、國際環球、亞太電信;交通的部分就是臺灣高速鐵路股份有限公司、高雄捷運股份有限公司;金融與銀行在民間的部分就是財經資訊股份有限公司;緊急救援與醫院,中央與地方政府機關及科技園區與工業區在民間的部分都沒有。其實我們針對關鍵基礎設施一級的部分,如同剛才段委員所講的,在上面的舉例來講,剛才的LINE、Facebook這個都不會是關鍵基礎設施。曾委員所提到的證交所,這個是關鍵基礎設施的第二級關鍵基礎設施裡面;銀行的部分其實二級、三級都沒有。

其實關鍵基礎設施如同剛才段委員所提的,它是一個基本運作的設施、通路,如果這個設施、通路服務沒有的時候,上面都無法運作,所以我們剛才講通訊傳播,各位委員都在提的通訊傳播,在一級設施裡面只有中華電信、新世紀資通、台固、全球光網、國際環球、亞太電信,它就是最基礎的服務;金融、銀行就是財經。其實實際上民間會納入的很多是真正關鍵中的,它真的無法運作的時候,上面完全無法運作。

剛才委員有提到高科技園區的部分,高科技園區我們不是去規範高科技園區裡面的廠商,我們規範的是高科技園區裡面的基礎運作,譬如高科技園區裡面的水、電,這對園區的廠商非常重要,所以必須維持它的運作,還有它的交通運輸非常重要,所以高科技園區裡面我們定義的是這個。

至於剛才大家也在提的,針對這些關鍵基礎設施我們要管的是什麼?其實我們管的不是它的email、作業系統,這些都不是,我們管的是所謂的工業控制系統,這一類系統譬如電的配送、水的配送能夠正常運作,這些都不是因為他用了某個mail,就去管這個mail,我們管的是真正涉及到整個運作的部分。以上是針對剛才各位委員所提的我們做報告,謝謝!

主席:如果照行政院的說法,這樣是很清楚,所謂關鍵基礎設施,它想像上並不是這家公司怎麼經營,不是那個重點,比較有一點像通路的概念,我要怎麼讓整個電在高科技園區是可以順暢的,所以它有一個通路;我要怎麼讓資訊暢通?必須有網路上的頻寬,有這樣的頻寬,整個網路在證交所才能運作,它想像上是這樣的一個概念,比較類似像設施之間的通路。如果這樣的話,我們真的有必要把八大領域定義在關鍵基礎設施嗎?感覺上是不必要的,這是我初步的想法。

請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。我還是提議這一條還是回到院版好不好?我覺得院版的定義是可以的;另外加上我剛剛修正的部分,就是它的程序部分是要經過一個公開的方式,跟產業、專家討論之後公告之,是不是可以請大家接受這樣子的提議?

主席:請林委員為洲發言。

林委員為洲:主席、各位列席官員、各位同仁。剛剛行政院給我們說明的講得很清楚,如果照這樣的精神是沒有什麼問題,現在問題是,法律的條文裡面講不清楚,可是你的說明講得很清楚,但是你的說明沒有辦法在法律條文裡面看清楚你講的這個意思耶!所謂七大領域或八大領域,不管有沒有放,有放還是不清楚,你看裡面有通訊的部分,或許一般民眾認為通訊的範圍很廣,包括LINE、WeChat等但事實上,通訊並不能代表最關鍵基礎設施的概念,而且用「最關鍵基礎設施」一詞,其本身定義就不是很清楚,本席以為,整個條文內容不如說明欄內的文字來得那麼清楚,所以,可預見未來法律適用時,必然會引發許多爭議,各界也會有不同的解釋,一般民眾不一定認同你們今天所做的詮釋,這是我們非常擔心的問題,請問到時候如何釐清疑義?如果要把八大功能領域全部列舉出來,我看也不一定能列舉得很完整,比如你們剛才提到的中華電信、資通等等,將來是否都有可能變成新公司,當然,也有一些是舊的公司,在倒掉之後又成立新的公司,所以若要列舉也未必列舉得很完整,這個問題怎麼解決?

雖然你們在說明欄中已表達得很清楚,但如何將說明的內容明確入法,你們還有努力的空間,這樣我們才會清楚知道將來你們一定會照說明的內容去執行,針對法律條文的文字要怎麼寫,行政部門還有什麼意見?

主席:請曾委員銘宗發言。

曾委員銘宗:主席、各位列席官員、各位同仁。我贊成林委員的意見,像屬於第一級的最關鍵基礎設施,固然是針對現狀來說的,但事實上,它是屬於一種動態,隨著未來數位化時代的來臨,還是會產生革命性的影響,所以,這個問題到底怎麼解決,請行政院提出說明。

主席:請段委員宜康發言。

段委員宜康:主席、各位列席官員、各位同仁。我了解大家對此有疑慮的原因,是擔心如果我們今天不在法律上訂清楚,將來行政機關可能會有濫權的情事發生,其實,若站在我們的立場上來看,只怕行政機關不肯管,過去他們就是不肯管,現今立這個法逼得他們不得不去訂出來,各位會認為行政機關有可能多管嗎?坦白說,站在他們的立場,多管就要多費力氣、多負責,可以說是一件很麻煩的事情;你跟他們講這樣可以對中華電信等知名通訊業產生影響力,可是他們還是管不到通訊業者的業務,只能盯著他們在資安方面有無照著規定來做而已,如果出問題就要追究責任,這對業者或行政機關來說,都只是增加他們的負擔,並沒有增加他們的權力。

固然大家的疑慮不是沒有道理,但如果我們設身處地站在行政院的立場來看,他們何嘗不是希望多一事不如少一事,所以,有委員擔心他們可能會多訂或是多管,試問他們有那麼多的人力去管嗎?老實說,大家做這樣的考慮都是基於一片好意,試想如果我們很清楚地列舉了十幾項,最後還不是要加一個「等」字,或是增訂一款「其他經主管機關認定為需要之項目」,因為在立法上我們不可能規定除明文列舉之項目,其他都不能再擴大,所以,到最後還是要加列授權條款,也許這樣明文列舉出來會讓大家安心,但我們這樣的安心其實是很虛的,反而會給我們的社會帶來困擾,質疑某個項目為什麼未被列名其中,而被列舉在其中的也同樣會被人質疑,像剛才行政院資安處的說明就明白指出能源的部分目前並沒有規劃在內,既然沒有規劃,你們又為什麼把它放在條文裡面?這樣一來不是變得很麻煩嗎?也許大家擔心行政機關濫權,基於好意希望能將所有都在條文明白列舉出來,可是就這個法律來看,要行政機關濫權的可能性確實很低,因為他們真的很怕麻煩,在此情況下,他們怎麼可能多生事?畢竟多生事就要多負責,過去我們一直要他們後訂,但他們遲遲訂不出來,原因即在此,因為一旦訂出來之後,依法他們就要負起責任!現在既然他們已被迫訂出來了,我們又要他們限縮到很具體,我個人覺得未來一定會滋生疑義,且會引發更大的爭議,所以,我認為沒有必要在條文中一一列舉出來。

主席:請陳委員怡潔發言。

陳委員怡潔:主席、各位列席官員、各位同仁。對這個條文,我們親民黨黨團所擔心的除了剛才提到的濫權之外,還有其他問題,不過,在經過段委員的說明之後,我發現濫權的部分應該還好,至於另外一個值得我們擔心的就是空白授權的問題,也就是現在條文內或是未來要依據什麼來增訂一些表列的項目,其實,相關行政部門都可以這樣做,因此,對這樣的空白授權並不具有法律的明確性,這部分才是我們比較反對的。

主席:請許委員毓仁發言。

許委員毓仁:主席、各位列席官員、各位同仁。對這部分,我覺得真的很難處理,固然剛才資安處對條文所規範的八大功能領域有做了說明,但我還是覺得實在太含糊不清,因為功能跟關鍵基礎設施之間究竟有什麼牽扯,就連我們立法委員都搞不清楚,所以,是不是把剛才資安處說沒有的部分給拿掉?總而言之,你們應該要有一個好的方式來解釋究竟哪些才算是關鍵基礎設施,光就文字表面的字義來看,所謂「八大功能領域」一定是比設施更為廣義,我相信非法律專業出身的人一定沒有辦法理解,加上執法上也會有相當程度的困難,有點像頭跟身體分開的那種感覺,因為在制定條文的當時,並沒有針對這部分做出明確的說明,所以,這部分還是要做處理。

主席:就我的想像,如果把「八大功能領域」入法之後的狀況可能更可怕。

許委員毓仁:這在行政院版的說明欄中已有講過。

主席:我覺得這在說明欄裡面都不該提到「八大功能領域」,否則,未來只要是跟八大功能領域有關的都是行政部門業管的範圍,到時候行政部門真的管不完了!

至於這樣規範會不會有空白授權的問題,我覺得這要看我們接下來要怎樣規定行政院應如何公告關鍵基礎設施的程序,俾讓這部分的授權更為嚴謹,所以,對剛才余委員提到她有另外提出修正動議,用以規範授權行政院的部分,我反而覺得這部分非常重要。

現在行政院版提出八大功能領域,請問定義為何?又,這個領域裡面的核心項目是什麼?這些問題將來一定會吵不完,所以,本席具體建議我們還是回到行政院的原始版本,請各位繼續表達意見,接下來請尤委員美女發言。

尤委員美女:主席、各位列席官員、各位同仁。經過剛才幾位委員的討論,以及資安處的說明,我也覺得應該要回到原來的定義,但行政院版本只在說明欄內將八大功能領域寫出來,我倒覺得應該在立法理由中把剛才資安處說明時提到目前已經公告或指定中華電信等幾家業者,以及為何指定這幾家的理由寫清楚,至於說明欄裡面所提到的內容只是舉例而已,未來會做定期檢視並做彈性調整,至於原來的定義仍繼續維持;只是對說明欄內提到的八大功能領域,確實會引起大家非常大的恐慌,可是根據資安處的說明,有好幾個領域跟民間業者完全無關,所以,我們不用再去提那八大功能領域,只要舉例說明目前有指定哪幾家,將來有可能還會做彈性調整,不過,對行政院如何指定與公告,我覺得仍須回到原來的定義,而且要把第四款、第五款、第六款及第七款合併一起來看,基於上述,本席提議增訂第三項規定,即對行政院指定公告究竟要經過什麼樣的程序應予以明文規定。

主席:請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。謝謝各位委員的意見和資安處的回應,我聽完之後覺得這次討論明顯的點出一件事情,我們依照資安處的法規去參考國土辦所指定的八大功能領域和我們談的關鍵基礎設施是不太一樣的概念,所以我建議不要再用這些字眼或參考這個部分,就是直接拿掉,連說明欄都不要。

剛才簡處長公布的關鍵基礎設施,我在網站上找不到,到底有沒有公告設施的內容是大家比較關心的,就是因為你們沒有公告所以大家找不到,我參考你們的法案去看了國土辦的八大功能領域後就以為科技園區要整個被政府管。我還是要再講一次,資通安全法在美國、台灣或其他國家修正時,公共利益重大的部分主要還是歸管於公務機關,絕對不會是私人企業,只要將這部分的界線劃分清楚,大家有疑慮的地方能夠作一釐清,對這個法案而言才是最重要的。

主席:請鍾委員孔炤發言。

鍾委員孔炤:主席、各位列席官員、各位同仁。所謂的關鍵基礎設施、元件設施,最主要的是被攻擊到停止運作時會造成國家安全重大影響才會被列為關鍵的基礎設施,如果被攻擊而有損害但不是國家安全等級的影響就不是所謂的關鍵基礎設施。依照行政院的版本,只要定期檢視並公告,現行的行政程序法就有一定的合法程序,這樣就沒有什麼疑慮。

主席:請吳委員志揚發言。

吳委員志揚:主席、各位列席官員、各位同仁。有人覺得越討論越清楚,我覺得越討論越模糊。我現在在想資通安全為什麼會跟國土安全扯在一起?其實,兩者可以搭在一起也可以分開,可以討論所有東西的資通安全而不必考慮國土的安全,也可以說是在處理國土安全八大領域裡的資通安全,如果是這樣當然就是要將兩者扣在一起,所以要先將法律的原始意義講清楚。如果是廣泛的討論資通安全,我們反而比較擔心關鍵基礎設施被指定的範圍是否有個限制?如果討論的是國土安全的八個領域中有很多要用資訊安全的方式去管理的部分,當然會涉及一些私人的領域,如果我們要管的是這一塊的話就要將這八個領域放進去,這八個領域反而限縮了可能被調查的範圍,因為沒有這八大領域的話,可能就會有二十個領域甚至一百個領域。

這八個領域中民間非公務機關會處理的部分,就如剛才資安處所講的有些部門是沒有,但不表示未來不會有。至於能源的部分,將來或許會有由民間經營的電業網或智慧電網。如果立法目的是國土安全裡面的資通安全,那還是要勾在一起,至少將領域限縮在八個,至於目前會跟非公務機關,跟私人有關的幾個可以在說明欄中講解,這樣大家比較不會擔心你們會亂指定,加上剛才余委員提出的第三條的指定情形,我們就比較放心。至於大家比較害怕的第十八條,我們看是要刪除還是要加以修正,這樣對私人領域應該比較清楚也比較放心。

主席:請段委員宜康發言。

段委員宜康:主席、各位列席官員、各位同仁。剛才黨團助理提供了一個修法方向,我覺得可行,請各位斟酌。

我建議各位先不要看第六款,因為第六款是對關鍵基礎設施的定義,我們想像的部分都列到第七款了,包括剛才行政院報告的如中華電信、新世紀製作等等都是關鍵基礎設施的提供者,所以我建議第六款照行政院原來的版本,事實上它也沒有辦法規定得多詳細。徐委員的意見是要規定得更具體一點,但它對何謂關鍵基礎設施不可能定義得太具體,它真正可以具體規定的是關鍵基礎設施的提供者,如台灣高鐵等等。我們可以參照毒品防制條例第二條的體例,毒品防制條例第二條條文是這樣規定的:「前項毒品分級之品項由法務部會同行政院衛生署組成審議委員會,每三個月定期檢討,報由行政院公告調整增減之,並送請立法院查照。」,也就是在條文中訂定附表,但這個附表不必每三個月定期檢討,因為這和毒品不一樣,這個的變動可能性不高,但仍要由行政院檢討,如有增減的話要公告並送立法院查照,不需經過立法院同意。這個應該是在有重大變化時才會調整,比如吳委員所說的智慧電網,智慧電網對台電的地位可能改變,遇有類似這種情況時就送來立法院查照,有必要改成審議時我們再來審議,我們可以在法條中這樣訂定,所以我建議這個條文暫予保留,請行政院研究、規劃,到後面可以處理的話我們再回頭來處理。

主席:請行政院何副秘書長說明。

何副秘書長佩珊:主席、各位委員。謝謝委員們的關心和垂詢,剛才段委員與余委員建議的方向是我們可以接受的,也就是回到原來的院版再加上余委員的修正意見,由行政院彙整主管機關、產業部門、民間學者意見制定關鍵基礎設施有關之資安政策及原則,及理關鍵基礎設施之公告後送立院查照。我們是不是可透過用更開放的程序?各位最害怕的是行政擴權、行政濫權,我們把民間意見也列入審查機制中,這樣委員是不是可以更放心?

主席:請尤委員美女發言。

尤委員美女:主席、各位列席官員、各位同仁。我建議這條暫時保留,請行政院儘快將條文擬出,下午再回過頭來討論這個條文及其立法理由。

主席:雖然這一條討論得非常廣,但大家對於方向應該有共識了,今天上午開會到12點休息,下午兩點半繼續開會,請行政院在這段時間內將第二條或第三條如何修正、未來公告的程序訂出,說明欄的部分也需要做調整,第二條保留。

現在處理行政院提案第三條,時代力量黨團有提一個獨立的第三條,我們先看第53頁第三條條文,另外,余委員宛如有提修正動議,請行政院何副秘書長就各版本條文及修正動議說明。

何副秘書長佩珊:主席、各位委員。我們建議支持蔡召委易餘所提修正動議。

主席:請尤委員美女發言。

尤委員美女:主席、各位列席官員、各位同仁。第7頁蔡委員易餘所提修正動議第一項已規定「並推動下列事項」,為文句嚴謹起見,我建議下面各款的「推動」予以刪除,你們在左邊畫線表示要刪除,但在右邊又抄進去了,所以是否將第二款中的「之推動」、第三款中的「及推動」、第四款中的「及推動」刪除,並增列第二項。

主席:好,做文字上的調整。

請鍾委員孔炤發言。

鍾委員孔炤:沒有其他意見了,把原條文中的「推動」刪除就好了。

主席:請尤委員美女發言。

尤委員美女:余委員所提第三條中有「主管機關」,這裡要不要定「主管機關」?

主席:請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。這是我的版本和行政院最不一樣的地方,也是等一下進入院版第三條要討論的,主管機關的明定對於資安的治理架構而言是非常重要的,院版只有提到「行政院」、「公務機關」,其實在談資安治理時會有制定標準的人、實際執行的人、技術支援的單位及稽核的單位,我們在行政院版本中沒有看到這樣的治理架構,所以我建議等一下進行時可以一起討論這個部分,也希望行政院能給予回應。

主席:請鍾委員孔炤發言。

鍾委員孔炤:主席、各位列席官員、各位同仁。尤委員建議將原條文第二款、第三款、第四款中的「推動」與「及推動」等字刪除,主席的修正動議特別建議增列一項:「前項相關事項之推動由行政院以國家資通安全發展方案定之。」。

主席:對。請尤委員美女發言。

尤委員美女:主席、各位列席官員、各位同仁。余委員的版本將資安治理機關掌理的事項列得非常詳細,這裡是否也要這樣鉅細靡遺的列舉,或者只要規定「行政院以國家資通安全方案定之」,不必列得那麼詳細,只是將要推動的事項列大項出來,其他的細節……

主席:我先說明一下。余委員的版本是對應行政院版本的第四條,所以行政院版本、本席所提修正動議第三條和余委員版本的第三條不是相對應的條文。

請余委員宛如發言。

余委員宛如:我同意召委所講的,我剛才仔細看了一下,第三條主要是規定國內產業資安人才之提升,現在的修正動議內容符合這一條,第四條主要是規定國家資安治理機構的權責,這部分比較適合討論我提案的內容。

主席:第三條按照蔡委員易餘的版本,並依照余委員所提做文字修正後通過,請問各位有無異議?

請林委員為洲發言。

林委員為洲:主席、各位列席官員、各位同仁。增加第二項有什麼特別的意義?有差別嗎?所謂的由行政院以國家資通安全發展方案定之,現在已經有這樣的方案嗎?是不是要在這個架構下訂定?

主席:請行政院資安處簡處長說明。

簡處長宏偉:主席、各位委員。我們現在就有這樣的方案,每四年一期,而且法中有規定要定期公告。第三條如照主席的版本再增列這一項其實是賦予我們更大的責任,國內人才、研發等等都必須在資通安全發展方案中推動,對我們而言是課予我們比較大的責任去提昇國內的資安。

主席:第三條照蔡委員易餘的修正動議,然後文字再修正後通過。

現在回頭處理第52頁時代力量所提第三條條文:「政府每年應編列相關預算執行法令及政策」,行政院對此有什麼意見?請行政院何副秘書長說明。

何副秘書長佩珊:主席、各位委員。我們要回去詢問一下主計總處的意見。

主席:你們現在應該已經有在運作了。

何副秘書長佩珊:對,現在行政院資安處的預算編列在院本部。

主席:既然是用院本部的預算就不必再訂定這一條。

何副秘書長佩珊:應該是這樣。

主席:時代力量黨團所提第三條不予採納。

現在處理第58頁的行政院提案第四條,對應的是時代力量黨團的第五條,許委員毓仁和陳委員亭妃都有提出版本,這條也對應余委員宛如的第三條、第四條、第五條、第六條及親民黨版本的第三條,另外在第3頁和第14頁有余委員宛如所提第四條的修正動議。

請行政院何副秘書長說明。

何副秘書長佩珊:主席、各位委員。這個條文牽涉到主管機關,如果委員認為還是必須要有主管機關,我們建議把主管機關放在行政院,因為行政院底下的資安處和國土辦都是與此相關的內部單位。

主席:請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。第四條不但沒有明定主管機關且直接賦予任務,其實資通安全彙整任務是非常細膩、綿長的,國外從來沒有單是一個中央主管機關就可以做完所有的事情,所以我比較希望能夠用分工的方式,這樣比較完整,也因此我們在第三條規定資安主管機關就是行政院資通安全處而不指定國土辦,因為我們談的是資安,當然我有規定一些他們該盡的責任,對他們課以責任。

另一個部分是資安除了要有治理的主管機關負責政策擬定、評估、稽核等工作外,還要有管理機關,所以我將管理機關定為在中央為二級機關、行政院直屬三級機關,以及公法人、公營事業與政府捐助之財團法人為該法人及事業。我以修正動議將地方機關、地方直轄市政府刪除,因為資安的部分還是由中央統籌比較妥適,目前資安的能量在各地方政府是不足的。

我們再看第五條有關資安標準的主管機關,國外資安標準的主管機關是獨立機構,這件事情為什麼這麼重要,因為訂定標準、稽核、執行、技術的單位如果都是同一個機關會有球員兼裁判的可能,所以獨立的標準主管機關是參考國外架構提出的,以我國目前的組織架構來看,最適合的是經濟部標準檢驗局。

第六條有關技術支援的部分,目前我們的技術支援部分是委託技服中心卻沒有明確的法律依據,現在政院版本裡面有規定可委託法人做技術等等工作。我覺得資安是非常重要的事情,不能隨便委辦,應該給予法律定位,讓它可以長期做這件事情,這對台灣資安的穩定及累積發展能量是比較好的。

我針對我提出的第三條、第四條、第五條、第六條,以及整個組織架構提出一些看法,希望政院和各位同仁都能支持。

主席:請段委員宜康發言。

段委員宜康:主席、各位列席官員、各位同仁。余委員的版本提供了一個不同的思考和路徑,余委員顯然是期待有個更完備的架構,但我覺得以現狀來看,行政院的能量大概沒有辦法做到這點,我們可能必須一步一步的來。

余委員提到行政院資安處,事實上行政院資安處無法當主管機關,因為它不是機關,沒有辦法當主管機關、無法行使公權力,如果它是主管機關,那也只能是一級機關,但現在一級機關只有行政院,而且我們也沒有二級、三級獨立機關可用,所以只有行政院可用。我的猜測是這樣,當初行政院沒有訂定主管機關,實質上這條條文是把行政院當做推動的主體,我們當然也可以明定主管機關為行政院,這樣責任比較清楚,行政院可以指揮、協調資安處執行,總之就是無法將資安處定為主管機關,除非我們修正組織法將資安處變成一個機關。

主席:請行政院何副秘書長就余委員提出的第三條、第四條、第五條和第六條說明。

何副秘書長佩珊:主席、各位委員。非常謝謝余委員非常細膩的思考,不過,就實務執行層次而言,我們還是建議採納段委員的意見,如果真的要明定主管機關是不是就將主管機關回歸到行政院?

主席:請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。我要進一步的請教,因為這會牽涉到組織法的修正,所以主管機關必須是行政院,那麼其他分工的部分如何處理?我的意思是如果主管機關要是資安處的話可能就要修正組織法,這樣資安處才能變成主管機關。如果主管機關還是行政院,那麼我要知道完整的資安防護架構是否能夠在法律上顯現出來而不是只規定「行政院」?事實上不是這樣分工的,我希望在這個法案上它能夠更透明。

主席:請行政院資安處簡處長說明。

簡處長宏偉:主席、各位委員。現在資安的推動其實在資通安全會報整個組織架構裡面都有,這一部分有公布,所以它也是公開的資訊。剛才委員提到標準的訂定、規範的規定、由誰稽核及防護等等在整個組織架構上都有,我們有一個比FIDMA更完整的架構。

主席:請余委員宛如發言。

余委員宛如:主席、各位列席官員、各位同仁。我請求這條先保留,請他們將組織架構的資料送給我,我思考是不是可以放入法律中,如果可以的話我就接受。

主席:請段委員宜康發言。

段委員宜康:主席、各位列席官員、各位同仁。我建議余委員在思考時看看行政院提出的說明,我們在處理法律條文時要訂定得非常具體可行,行,也就是說必須是具體的而不只是一個宣示性的目標,如果只是一個宣示性的目標,比如「要有足夠的經費、足夠的人力」,這樣的條文沒有意義,因為何謂足夠的經費、足夠的人力,沒有一定的標準,所以要將要求訂定得非常清楚,否則主管機關一定說自己很盡力,他們對於足夠經費的標準和你們的不一樣,這樣就會有爭議,也會讓人更加覺得我們只是訂定了一個宣示性的目標或說法而不是法律的要求,所以我建議余委員在思考條文時也做一個篩檢,將法律聚焦在可以具體要求且主管機關必須執行的方向。

主席:請余委員宛如發言。

余委員宛如:我同意段委員的看法,我希望從這一條可以明確的知道我國資安防護的分工架構,可以簡要的解釋標準的制定是由哪個單位負責,負責哪個部分,我們希望在法律中可以看到這樣的實質架構而不只是宣示性的。

主席:第四條先保留,等一下休息時間請行政院和余委員討論如何將她所列舉的多個項目具體的併入行政院版本第四條完整的展現出來。同時,行政院也必須做一個判斷,因為我們剛剛在處理第二條的時候有提到關鍵基礎設施定義的這件事,我們現在要整合余委員本來所定的第三條第十四款的部分,如果要納入民間或產業的意見,做為未來定義關鍵基礎設施的公告的話,你們這樣的文字展現究竟是要在第二條或第四條處理?我想你們等一下都要一併決定。

請周陳委員秀霞發言。

周陳委員秀霞:關於剛剛余委員所說的分工架構的問題,是不是請大家參考親民黨的第三條?

主席:親民黨對主管機關也有不同的設計。

周陳委員秀霞:可以參考一下親民黨的第三條。

主席:所以第四條和親民黨第三條先保留,行政院等一下趁中午休息時間可能要跟周陳委員及余委員討論好你們希望的架構型態,這樣這條條文待會兒才有辦法順暢地處理。

現在先休息,下午2時30分繼續開會。

休息

繼續開會

主席:現在繼續開會。還是先回到第二條的處理,把關鍵基礎設施定義好,接下來的條文就比較走得下去。我們還是回到第二條,行政院中午擬出了一些修正的建議,如果大家同意的話,我們再一起將它做成修正動議。根據行政院的規劃,第二條第六款關鍵基礎設施的定義,要由行政院定期檢視並公告領域,這一條要搭配接下來會處理的第十五條,第十五條有一個建議的修正,中央目的事業主管機關,也就是行政院,應該要徵詢相關公務機關、民間團體及專家學者的意見,指定關鍵基礎設施提供者,報請行政院核定,並以書面通知受核定者。行政院應將前項關鍵基礎設施提供者之名單,送立法院備查,也就是說,關鍵基礎設施的領域不必受限於國土辦匡列的八個項目的領域,而是由行政院這邊來做盤整及公告,在盤整的過程中必須徵詢相關公務機關、民間團體及專家學者,剛剛余宛如委員與吳志揚委員也都有這樣的提議,在程序面上還要求必須以書面通知受核定者,行政院最後就是報請立法院備查。

如果關鍵基礎設施做這樣的定義,相關的委員是否還有其他的意見?

曾委員銘宗:本席想確認一個文字,「經行政院定期檢視並公告之領域」,這個文字確定沒有問題嗎?「公告之領域」沒有問題,對嗎?領域這幾個字,我們常常使用,基本上,這個是軟體或硬體都有,對不對?

何副秘書長佩珊:這只是一個討論。

曾委員銘宗:本席只是要確認,看法務部的看法,這裡的「領域」與一般法律用語上使用的「領域」,不知道與傳統的用法是否不一樣?本席知道你們所指的內容也不一樣,現在本席只是問你們用的精不精確,對於文字並沒有意見,這裡的「領域」與我們想像中、法律現有的「領域」相比,現有法律使用「領域」兩個字的有非常多,本席是問這樣使用有沒有問題?

第二個,向主席報告,本席建議,「資通安全事件」還是要納進去,行政院那邊也已經初步同意,再看看文字怎麼修。因為這個涉及到後面的第十三條及第十七條,你們要訂清楚,讓這些公家機關,因為他們已經在通報了……

主席:曾委員,本席知道你的意見,你認為資通安全事件的定義也要納入第二條,這個部分等一下再討論,好不好?

曾委員銘宗:好,先處理……

主席:我們先處理第六款,如果第六款沒有先出來,接下來的條文就很難處理。現在請行政院就曾委員所提「領域」的定義提出說明?

何副秘書長佩珊:我請資安處來做說明。

主席:好。

簡處長宏偉:「領域」是我們與國土辦在這邊的通用名稱。

曾委員銘宗:因為你們都是資訊人員,在你們的用詞與法律用詞之間,基於你們的專業認為可以這樣用,domain本席也知道啊!但是,有許多法律條文都會使用「領域」2個字,究竟這樣的用詞精不精確,是不是請法務部表示一下意見?

主席:請法務部說明。

陳副司長大偉:因為沒有法律特別對「領域」做出定義,只要在這個法條中能夠看出它所指的意涵,應該是沒有法制上的問題,報告完畢。

主席:如果法務部也認為這樣的用語並不會涉及與其他法律用語相衝突的情況,第六款是不是就按照今天行政院提的修正建議來處理?曾委員是否同意?

曾委員銘宗:好。

主席:其他委員是否還有意見?

鍾委員孔炤:曾委員沒有意見的話,本席就沒有意見。

主席:關於第六款的部分,等我們討論完之後,還是要擬出一份修正動議,這樣才有辦法接續處理。

接下來是曾委員所提的修正動議,其中第八款有所謂的資通安全事件,同樣地他希望能將資通安全事件的這個名詞做一個定義,請行政院對這個部分先表示意見。

何副秘書長佩珊:關於曾委員的建議,基本上我們是可以同意,不過,曾委員建議的資通安全事件定義是「指系統、服務或網路狀態經鑑別而顯示可能有違反資訊安全政策或保護措施失效之狀態發生」,接下來的這句話是不是可以刪掉,直接就接到「影響資通系統機能運作,構成資通安全政策之威脅」,因為所謂「或可能與資通安全有關但事先未知狀況的產生」的不確定性太高……

曾委員銘宗:OK。

主席:曾委員也同意行政院這邊的再修正意見?

曾委員銘宗:好。

主席:其他委員還有意見嗎?

周陳委員秀霞:本席認為,還是先保留,好不好?

主席:先保留?

周陳委員秀霞:對,先保留。

主席:你是指這一款,還是?

周陳委員秀霞:第二條的第六款,我們還是先保留,好不好?

曾委員銘宗:如果你認為要保留,應該要講出你的意見,不能就只說要保留,對不對?

主席:周陳委員,這個第六款要去搭配第十五條,而第十五條就是未來所謂關鍵基礎設施提供者必須要由行政院核定,並以書面通知受核定者,也就是說,這些提供者會事先知道自己被行政院核定要去做資通安全受檢查的項目,在做這個核定的時候,必須要有相關的公務機關、民間團體、專家學者及產業一併參與討論。

周陳委員秀霞:我們怕會有空白授權的疑慮。

主席:對,所以第十五條……

曾委員銘宗:周陳委員,你弄錯了!有這樣的規定會更清楚、更不會空白授權。原本在沒有這樣的定義之下,反而會授權更大,本席就是擔心會有您所講的顧慮,所以要把它寫清楚。

主席:基本上,第十五條就是把它的核定程序定義清楚之後,這樣就比較不會有空白授權的狀況,關於這個部分,你可以再斟酌一下。因為第二條是我們這次要處理的比較重要的一個……

鍾委員孔炤:主席,第二條……

主席:鍾委員,關於第二條的部分,現在就是有增訂第八款,行政院可能要先處理這個部分的文字。不過,本席也提了關於政府捐助財團法人的定義,如果對於這個部分的文字沒有其他意見,是不是就把它順為第九款?好不好?關於第二條的部分,請行政院依照剛剛大家所提的意見擬一份修正動議,這段時間就讓周陳委員再思考一下。

何副秘書長佩珊:我補充說明一下,剛剛曾銘宗委員的第八款,如果基於條次順序的邏輯來看,是不是要移列為第四款?也就是在第三款的資通安全後面,第四款增列曾銘宗委員那一款,關於資安事件的定義,原本的第四款就移列為第五款,以下……

主席:以下就順著下去。

何副秘書長佩珊:是。

主席:這個部分就請你們先將修正動議提出來。

何副秘書長佩珊:好,我們先……

主席:尤委員,有意見嗎?

尤委員美女:原本的第五款要變成第六款,那個要加「特定」啊!

主席:對,這個「特定」,事實上是希望將非公務機關的範圍更加限縮,如果從整體的文字邏輯來講,就是限縮在經過核定的才屬於特定非公務機關。

麻煩行政院先處理文字的部分,我們等下再回過頭來處理。

接下來處理上午保留的第四條,關於主管機關的定義,各位委員的版本大概都是認為由行政院擔任主管機關,余宛如委員定義得更加細膩,這個部分就看余委員與行政院是否能溝通出一個方向,先請行政院提出說明。

何副秘書長佩珊:院裡準備了行政院國家資通安全會報設置要點提供給各位委員,基本上就是我們的整個資安層級架構,滿詳細的。行政院設置了國家資通安全會報,這是最頂層的設計,它的幕僚單位是資安處,資安處會委託給資策會的技服中心來執行。在資安會報底下有行政院資安處,還有內政部與法務部的網際網路犯罪偵防體系,以及行政院國土安全辦公室與其他資安相關體系的主管機關,我在此也先向各位委員報告,這個大概就是屬於國安體系的部分,以下就各單位、各主管機關都有詳列,請委員們參考。其實,這個部分在我們行政部門的部分已經相當完備,是不是就不必在法條裡面明列,以利行政部門的運作?

其次,關於主管機關的部分,請委員們參閱我們剛剛提的修正建議,是不是能夠放在第二條,規定本法之主管機關為行政院?

主席:如果你們要訂在第二條的話,剛剛的條文都要往下了。

何副秘書長佩珊:對,往下再調整條次。

主席:沒關係,這個部分等到最後再來處理。

何副秘書長佩珊:好。

主席:請余委員宛如發言。

余委員宛如:剛剛本席與行政院資安處再做了一次溝通,目前行政院的資安通訊會報的確是囊括了剛剛本席提到的一些單位,基本上,本席要求的一些架構與組織都有進入這個體系中。另外,第二個部分,現在資通安全這個部分是一個過渡期,未來可能還會朝向更精確的方向去修,因此,本席對於這個部分是可以接受。不過,本席想要問一個問題,因為你們提到IoT的部分,所以本席以IoT的部分再確認一次這個架構,假設我的IoT要訂資安防護標準,到執行作業、到監督、到稽核,你們這個會報要怎麼做?

簡處長宏偉:謝謝委員,以IoT而言,在整個會報的運作底下,關於政策的部分,當然是由資安處陳報行政院來訂定政策,接下來經濟部這邊會訂定相關的標準,再來就走入驗證體系,而驗證體系現在是在經濟部標檢局底下的TAF進行驗證實驗室的認證,之後整個驗證體系就會開始運作,其實標檢局就有這樣一個制度,因此以IoT為例,這一套是可以這樣round,現在已經開始在round了,謝謝。

余委員宛如:你們的標準防護做了之後,其他人要去做驗證,到時候是誰來確認各個機關有沒有去做這件事情?這次總統府的府會資安週,光是財經公司Taiwan Pay的http沒有s,就是一個資安漏洞,因此,本席想問的是該如何落實這件事情?

簡處長宏偉:以https為例,根據我們現在的作法,政府機關這邊當然是由國發會處理,至於財經這邊就是由其主管機關去處理,因此,以這個為例,現在回歸到事權統一,都會有一個主管機關去盯著它底下在處理的這些事,其實,這整個架構就是資安管理法與資安會報體系的具體呈現。

余委員宛如:你說落實的部分是由主管機關去要求,那麼是由誰去稽核?

簡處長宏偉:如果以現在的資安管理法規範來講,主管機關必須要負責稽核,我們有賦予主管機關這個義務,他們必須要負起稽核的責任。

余委員宛如:好,了解。本席希望,這個部分只是過渡期,未來能夠修得更精確一些,好不好?

主席:請曾委員銘宗發言。

曾委員銘宗:關於第四條的部分,行政院的版本是要定期公布國家資通安全情勢報告及資通安全發展方案,但是沒有提到所謂的定期是1年、2年或3年?本席建議,參照現在的國家關鍵基礎設施安全防護指導綱要,每2年定期檢視調整並公布國家資通安全情勢報告,現行的規定是2年,因此,本席建議就明定為2年,不然,所謂的定期到底是1年、2年或3年?現行的規定就是2年,本席建議就寫清楚是2年,謝謝。

主席:行政院的意見呢?

簡處長宏偉:我們之所以寫定期,因為情勢報告是每年公布,資通安全發展方案則是四年一次,但是每一年都會滾動修正,發展方案是四年……

曾委員銘宗:兩者不一樣?

簡處長宏偉:對,我們之所以會寫定期,就是希望我們能做得更多,因此,情勢報告是每年公布,而資通安全發展方案是每四年一次,但是,每年都會檢討。

曾委員銘宗:乾脆就改成每一年,既然你們每一年都會滾動檢討,而且在滾動檢討之後也要公布,這裡就改成每年公布,本席認為這樣是OK的,對不對?

主席:本席問一下行政院,你說資通安全發展方案沒有公布,基於什麼樣的理由不公布?

簡處長宏偉:報告委員,我們的發展方案有公布。

主席:發展方案有公布?

簡處長宏偉:對。

主席:剛剛你是說什麼沒有公布?

簡處長宏偉:剛才是說情勢報告每年要公布,資通安全發展方案是每四年訂定一次,但是,每年都會滾動修正。

主席:滾動修正,也是會公布嗎?

簡處長宏偉:對,也會公布。

主席:因此,公布對你們而言,並不會涉及到產業的機密,都不會嗎?

簡處長宏偉:不會。

主席:既然如此,如果是每年公布呢?

簡處長宏偉:我們的考量如下,因為資通安全發展方案是以四年為一期,如果改成每年公布,這樣會造成外界誤認為每年都要訂定一個新的資通安全發展方案,由於考量到這樣會比較不精準,我們才會寫「定期」,基本上,我們就會按照剛才所講的方式公布。

主席:曾委員,反正現狀就是每年,我們可以在立法說明這邊……

曾委員銘宗:OK,本席尊重主席的意見,如果要更清楚的話,你就把它寫明,每年公布資通安全情勢報告,每年滾動檢討這個方案,這樣不是很好、寫得更清楚嗎?不過,本席尊重主席最後的結論,好不好?

主席:既然如此,主席也尊重行政院的意見,就讓他們用「定期」,好不好?

尤委員美女:在立法理由裡面寫清楚即可。

主席:對啊!在立法理由這邊要求每年必須做檢討,好不好?因為現階段就是每年都在做了,就在立法理由這裡寫清楚。關於第四條的部分,如果大家都同意的話,表示我們確認主管機關就是行政院,等所有條文都處理完畢之後,再來處理第二條的部分,行政院希望將第二條改為「本法之主管機關為行政院」,如此一來,等下的所有條文都會依次順延,我們最後再回來處理。

第四條的條文就按照行政院的版本通過,立法理由部分請再參酌曾委員的意見。

曾委員銘宗:報告主席,第二條能不能也處理一下?其實,周陳委員是贊成的。

主席:我們先等行政院的修正動議、等條文整理好,可以嗎?

曾委員銘宗:OK。

主席:接下來要處理另外兩個提案,時代力量的提案在第77頁,因為它整個法案的架構與各位委員的架構基本上是比較不一樣的,而且列了第二章「職務職掌」,這個也是比較細的部分,行政院對這個條文有什麼意見?

何副秘書長佩珊:我們是建議不採納,還是維持原本的主管機關是行政院即可。

主席:現在並沒有時代力量的委員在場,本席認為,整個架構是否還是回到行政院這個版本,至於時代力量這個版本就不予採納。

請大家翻到第86頁,余委員另外提了一個第十三條,提出了治理機關市場之協助義務,這個協助義務的概念……

余委員宛如:因為已經納入剛才第三條有關促進人才市場的這些部分,所以本席就不堅持了。

主席:如果余委員不堅持的話,這個條文就不予採納。

現在就回到行政院的第五條,也就是在第87頁,相對應的是陳亭妃委員的提案條文,沒有其他的修正動議,就這兩個版本,行政院是否要先表示意見?或是處長要先說明?

簡處長宏偉:其實我們的條文內容與陳亭妃委員的條文內容幾乎是一樣的。

主席:架構是差不多的。

簡處長宏偉:對,但是我們的文字比較精簡,因此我們建議採用文字比較精簡的版本,謝謝。

主席:各位委員有其他意見嗎?如果沒有意見,我們就依行政院的版本通過?

鍾委員孔炤:好。

主席:第五條就依行政院的條文通過。

接下來處理第88頁余委員提出的第七條、第91頁是第八條,這個部分就請余委員先做說明。

余委員宛如:其實,這兩個條文是關於資安管理機關的課責內容,明定他們什麼時候要向主管機關,也就是向行政院提出報告,另外一個是有關審計部去做稽核的角色及課責的內容,因此,也想聽聽看行政院對這兩個條文的意見。本席認為,如果沒有影響的話,其實是可以保留的。

主席:請行政院這邊表示意見。

簡處長宏偉:關於每年報告的部分,其實,我們會在情勢報告中去處理這一塊。至於審計部權責的部分,依照目前政府的分工,當我們有這個職責的時候,審計部就會依照我們有的這個職責去看我們有沒有做。依照目前的體制而言,審計部已經在做這件事了,因此,我們建議第七條與第八條的部分就不要列進來,謝謝。

主席:余委員會堅持嗎?

余委員宛如:本席想要確認一下,因為本席這邊寫得比較細,譬如第七條有一、二、三、四款,這個部分也是在你們目前要求的報告裡面嗎?是喔!另外,既然審計部已經在做的話,其實,本席這邊比較強調的是他們繳交報告之後2個月內,因為這是對立法院要提出結果的報告,如果不影響你們作業的話,本席還是希望這個對於審計部的要求能夠放在這邊。

主席:請尤委員美女發言。

尤委員美女:其實,余委員的版本比較強調的是稽核,剛剛的第四條講的是資通安全的情勢報告與發展方案,本席認為,兩者之間好像不太一樣。如果要依照FISMA,它的年度獨立評價作業以及獨立稽核好像蠻重要的,因此,這個部分是不是請行政院參考,以精簡的文字把它弄出來?

簡處長宏偉:其實,如果從稽核的角度來講,我們現在就已經在辦理年度的稽核,也會針對年度稽核產生稽核報告,不會只有一本,而是滿多的,因此,以稽核來講,我們現在就已經在做了,等於是行政院以外部稽核的角度去稽核所屬機關,這是針對第七條的部分。至於審計部的部分,是不是就請審計部來回答?

主席:審計部這邊要不要表達意見?

李廳長順保:其實,審計部在每個年度大概是7月底的時候,依據憲法第一百零五條與決算法第二十六條的規定,我們會提送中央政府總決算審核報告到大院審議。這個審核報告就包括了所有相關的法律各機關遵循之情形,當然也包括本法在內,如果這個法律完成立法之後,審計部就會去了解相關的主管機關實際遵循的情形,這是從外部審計機關的角度出具審計意見,因此,審計部比較建議第八條的條文可以不必入法,我們一定會依照規定來做,對於各機關實際的情況,每年都會在審核報告中充分的揭露,以上報告。

主席:現在看起來,行政機關對於這樣的條文入法是比較不支持,你們認為現階段就是會這樣做;余委員的想法是在條文中明定,如此可以更加確認,至少行政機關每年要到立法院報告這件事情以及審計部有這樣的檢查義務,有可能用一個比較精簡的條文表達出余委員的想法嗎?

何副秘書長佩珊:或者我們加列在第四條,把每年公布的資通安全情勢報告及資通安全發展方案也向立院報告?

主席:好,本席懂你的意思。

余委員,如果我們把它訂在第四條這邊,也就是將你的第七條及第八條放在行政院版的第四條中展現出來,這樣你可以接受嗎?如果可以的話,我們等一下來處理文字。

余委員宛如:好,可以。本席建議「國家資通安全情勢報告、稽核報告及資通安全發展方案」,並向立法院報備,也就是到立法院來報告,好不好?加上「稽核」2個字。

主席:如果大家都同意的話,我們就先回到第四條,這個文字再處理一下。

鍾委員孔炤:原條文後面,「並應定期公布國家資通安全情勢報告及資通安全發展方案,並向立法院做報告。」,這樣可以嗎?

余委員宛如:還要再加上「稽核」2個字,也就是「國家資通安全情勢報告、稽核報告及資通安全發展方案,並向立法院報告。」,應該是多加「稽核報告」4個字。

許委員毓仁:稽核是什麼意思,與報告之間的差別是什麼,可不可以解釋一下?

余委員宛如:情勢與稽核一定是不一樣,你可以看一下在第……

許委員毓仁:稽核是經過立法院同意的意思嗎?可以這樣說嗎?

余委員宛如:對,當我們立了這個法之後,審計部每年都會依照這個法去確認相關的主管機關有沒有依照這個法在做事,而且會提出一份報告。我們是希望能將資通安全法裡面稽核的部分也納入,以完善它的法規,但是,因為文字太多了,所以我們想精簡到第四條……

主席:如果行政院同意這樣的修正,文字的部分就要再處理一下,不然會有太多贅字,譬如「並」字就有2個,這個部分請行政院這邊整理一下文字,我們等下再回過頭來處理。

許委員毓仁:不好意思,因為隔壁在審預算,本席要回去一下。關於早上談的第二條,資安處這邊會提供施行細則及辦法,對不對?我們這邊可不可做出一個決議,這些施行細則、辦法要請資安處送立法院審查,通過之後才能夠施行,至少我們能夠知道,在這個法立完之後他們在實際上該怎麼做。

主席:施行細則?

許委員毓仁:對。

主席:許委員,剛才的第二條並不是用施行細則的架構,再向你說明一下,第二條主要是規定關鍵基礎設施是由行政院來盤整,而且要再另外公告,看搭配的是還未處理到的第十五條。也就是說,行政院在盤整關鍵基礎設施提供者的時候,必須要徵詢公務機關、民間團體及專家學者的意見,指定關鍵基礎設施的提供者,報請行政院核定,並以書面通知受核定者,之後還要把關鍵基礎設施提供者的名單送至立法院備查。因此,關鍵基礎設施未來該如何定調以及是指哪些設施,這件事情要經過這樣的程序。不過,這個條文剛才也還沒處理完,等下我們還會回過頭來處理,好不好?

許委員毓仁:好,我等一下再過來。

主席:請尤委員美女發言。

尤委員美女:剛才是說在第四條裡面加上「稽核報告」,但是,事實上,稽核報告並不是由行政院提出,而是由審計部來提,對不對?如果是這樣的話,本席建議,在第四條加上一項,否則,像這樣把稽核報告混在「國家資通安全情勢報告、稽核報告」就會變成是行政院要提出稽核報告,本席認為這樣是有點怪!

不過,本席會去呼應余委員的條文,事實上,當我們訂定資通安全管理法的時候,稽核這一塊是蠻重要的,既然現實已經在做了,我們就訂在條文裡面,表示這是一個完整的條文,因此,本席建議,是不是就在第四條加上第二項?

主席:稽核的部分就放在第二項。

尤委員美女:對,稽核的部分。關於這個條文,是不是請資安處把比較簡潔的部分放在第二項?

主席:請行政院說明。

何副秘書長佩珊:我們請資安處說明一下,好嗎?

主席:好。

簡處長宏偉:我們這邊所提的稽核報告,其實是行政院會對所屬各機關進行資安的稽核,同時針對這些稽核產出稽核的報告,因此,加在第四條這邊的稽核報告,是指行政院對所屬各機關做的資安稽核的稽核報告。如果是以這樣的角度所談的稽核報告,加在第四條的「情勢報告、稽核報告」是OK的。

主席:看起來,你們所指的稽核報告,主詞與受詞是不一樣的,他們現在講的是審計部稽核行政院有沒有善盡資安工作的這件事情,而你們講的是你們去稽核這些關鍵基礎設施的提供者有沒有做好資安的稽核報告,這是兩個不一樣的東西。

何副秘書長佩珊:應該是說行政院本身會對所屬機關進行稽核,審計部也會對行政院的相關單位進行稽核,但是,審計部是屬於監察院底下的單位,因此,審計部有沒有辦法比照行政院每年都到立院報告,我們聽一下審計部的意見好了。

主席:好。

李廳長順保:針對委員關切的問題,其實,剛才副秘書長已經點出了問題的關鍵,一般我們界定所謂資安的稽核報告,這是屬於就行政院部分基於主管機關的立場,對相關主管機關或其他所屬機關,當然也包括剛才我們界定的民間相關企業,提出稽核的總體報告,這是他們的稽核報告。審計部出具的是就整個國家這樣的機制運行,在資通安全管理法架構的運作之下,針對運行結果,我們要出具一個完整的審計意見。剛剛委員關切的這一項,如果確實需要把相關文字入法,審計部也擬出了參考文字,現在我就先宣讀一下,等下我們再會同行政院討論要放在什麼地方比較適合,再將它併進去。審計部所擬的參考文字為「審計部應於各年度中央政府總決算審核報告,就行政院推動國家資通安全管理情形,提出審計意見」。這樣我們部裡就不必另外再出具一份報告,而是併著年度提報到大院審議的中央政府總決算審核報告中就會涵蓋資安這一塊的審計意見,以上報告,謝謝。

主席:如果依照審計部的說法、依照他們的建議……

余委員宛如:謝謝尤委員剛才的提醒及說明,本席認為,主要重點還是在於行政院與FISMA檢察總署一樣的角色,對所屬的這些機關做稽核的報告,這是要向立法院報告的,所以是這個地方要放進第四條。至於審計部的部分,其實,並不需要特別放進來,因為審計部依法就必須要做稽核,而且要向立法院報告。第四條最主要是行政院的部分,還是一樣要加稽核報告以及向立法院報告。

主席:所以就是要依照剛剛提的架構?

余委員宛如:對。

主席:這個行政院的條文,等下就由你們來擬。余宛如委員的第七條及第八條已經併入第四條合併處理,因此,這兩條條文就不予採納。

處理行政院提案的第六條,有一份修正動議。

尤委員美女:主席,剛剛的第四條是指要到立法院來報告,或是向立法院提出報告即可?

文句的部分,你們自己寫好了,等下再提出來。

主席:文字先出來,我們等一下回過頭再來討論。

第六條有一份本席提出的修正動議,這是要因應第二條的條文,已經把名稱定為「特定非公務機關」,才會提出這樣的修正,但是,本席的修正動議中有文字上的錯誤,「直轄市、縣(市)政府」的部分是否要拿掉?就是第三項的部分,因為在整個架構上,直轄市、縣(市)政府的部分都沒有了,因此,第三項就改成「應向行政院提出改善報告,並送中央目的事業主管機關。」,這樣就可以了,是不是如此?各位委員還有其他意見嗎?如果沒有的話,就按照修正……

請周陳委員秀霞發言。

周陳委員秀霞:關於第六條的部分,只要是納入非公務機關的,親民黨就持反對意見。

主席:有納入非公務機關?

周陳委員秀霞:對。

尤委員美女:現在是把它加上「特定」,也就是剛才我們講的,有指定的那個才是。

周陳委員秀霞:那就OK了。

主席:第六條就按照修正動議的文字再修正通過。

處理行政院版本的第七條,在第97頁,第七條的條文總共有4個版本,沒有其他修正動議。其實,每個版本的架構是差不多的,只是親民黨的版本增訂了第二項,「第一項之業務由行政院委任行政院國家資通安全會報技術服務中心辦理。」,針對兩者之間的差異,行政院這邊是不是要先說明一下?

何副秘書長佩珊:請資安處說明。

簡處長宏偉:親民黨版本提到委任行政院國家資通安全會報技術服務中心辦理,我們是建議不用,基本上,在資通安全會報的架構中,技服中心就是在資安處底下,它是直屬由我們統一指揮,不需要在法裡特別去訂定,以上報告,謝謝。

主席:周陳委員,能否不要增列第二項?因為資安處原本就會指揮技服中心辦理了。

周陳委員秀霞:好,沒意見。

主席:第七條就按照行政院的版本通過。

處理第八條,第八條的條文總共有4個版本與1個修正動議,這個修正動議一樣是要因應第二條將非公務機關改為特定非公務機關而做修正,針對這個部分的所有版本,是不是請行政院表示意見?

何副秘書長佩珊:我們建請是否能採納蔡易餘召委提出的第八條修正動議?

主席:請問各位委員,有沒有意見?沒有意見的話,第八條就按照蔡易餘委員所提的修正動議版本通過。

處理第102頁第二章章名「公務機關資通安全管理」,第二章是針對公務機關的部分,所有的版本大概都一樣,這個部分是不是就按照行政院的版本通過?沒有意見的話,第二章的章名就按照行政院版本通過。

處理第九條,第九條的條文總共有4個版本,這4個版本在文字上都是一樣的,請問各位委員,有沒有其他意見?沒有其他意見的話,第九條就按照行政院版本通過。

處理第十條,在第107頁,一樣有4個版本,文字架構也是都一樣,請問各位委員,有沒有其他意見?沒有其他意見的話,第十條就按照行政院版本通過。

處理第十一條,4個版本中只有陳亭妃委員版本的文字不一樣,請行政院先表示意見。雖然文字內容看起來不一樣,但精神是一樣的。

何副秘書長佩珊:我們建請採用本院提出的版本。

主席:請問各位委員,有沒有意見?

鍾委員孔炤:其實,關於這個條文,許毓仁委員、親民黨及行政院所提的版本都一樣。

主席:只有陳亭妃委員的……

鍾委員孔炤:那就按照……

主席:第十一條就按照行政院版本通過。

處理第十二條,在4個版本中也是陳亭妃委員版本的文字架構比較不一樣,基本上,只是把機關改為公務機關、只是增加這2個字,行政院認為有沒有這個必要?在名詞上就按照你們版本稱為機關即可,或是要稱為公務機關?

簡處長宏偉:建議採用行政院的版本,謝謝。

主席:請問各位委員,有沒有意見?沒有的話,第十二條按照行政院的版本通過。

處理第十三條,總共有5個版本,在文字架構上,除了余宛如委員的提案比較不一樣,其他版本的文字架構都是比較類似的,是不是請余委員先做說明?

余委員宛如:本席這邊有提到要通報,但是,關於通報的部分,院版主要就是通報行政院,而本席所提的通報包含了國安會秘書處,你們是否接受這樣的建議?或是不需要?能不能給本席回應?另外,資安治理機關應於最遲?日內立法院提出報告的這件事情,還有重大資安事件的定義應該是要訂定之後,但是,在你們的條文中都沒有?是否能針對上述3個疑慮提出說明,謝謝。

簡處長宏偉:首先就向國安會報告的這件事而言,基本上,目前涉及外交及國防、兩岸的重大資安事件,我們都會向國安會報告,但是,並不是國安會秘書處,而是向負責資安的資委會報告,也會同步與國安會的資安辦保持協調,因此,我們建議不用把這個部分加進去。

再者,我們現在的版本是向行政院通報,等於是由行政院統籌所有的這些通報,包括其他四院、包括府都會向這邊通報,如同剛才所講的,除了外交及國防、兩岸的部分之外,在通報之後,我們會即時與國安會這邊一致,目前為止的運作都是正常的,而且是很順利的。

接下來是7日內向立法院提出報告,就目前的狀況而言,在整個通報體系中,如果有重大資安事件發生時,我們是有一個向上通報的體系,而且是即時的,不會是到7天,除了立刻通知之外,還會有初報、續報到最後的結報,在過程中只要是重大資安事件都會循著這樣的體系通報。至於通報的對象,行政院就是秘書長以上全部要通報,如果涉及到國安會,我們也會同步通報,其實,我們的通報是會更即時的,因此,我們建議採用行政院的版本。至於剛才所講資安事件的定義,已經在前面的第二條加進去了,我們建議不需要再加在這邊,謝謝。

余委員宛如:這一條就依照院版的條文。

主席:如果各位委員都同意的話,第十三條就按照行政院的版本通過。

接下來請大家翻到第130頁,有余宛如委員提出的第十一條條文,關於認證機關的一些事項,是不是請余委員說明一下?

余委員宛如:國外在建立國內資安能量的時候,通常會用一個認證的體系協助建立,其實,在美國的綠能就可以看到這樣的運用,因此,本席建議,這邊並沒有設定認證體系是由誰建立、要不要建立,是否可以考量留下這一條?但是,本席想知道這個認證由技服中心來做是否可行?

主席:請行政院說明。

簡處長宏偉:其實,以現在的認證而言,我們比較建議循現在的認證體系,也就是說,如果這個認證體系是屬於國家標準或是銜接國際,其實就循著剛才余委員所建議的標檢局認證體系即可,因為標檢局這邊有一個很完整的認證體系,並不建議在標檢局的國家認證體系之外,又跑出一個技服中心來建立認證體系。現在像是通傳會及經濟部這些相關的認證體系都已經回歸到整個國家的認證體系,因此,我們比較建議第十一條的部分就回歸到國家的認證體系,也就是資通安全會報底下有整個標準驗證這一塊,謝謝。

余委員宛如:既然資通安全會報已經有這樣的功用,這一條本席就不堅持了。

主席:其他委員還有其他意見嗎?沒有的話,這一條的條文就不予採納。

處理第十四條,第十四條的條文是關於公務人員辦理資安的獎懲規定,總共有4個版本,也有1個修正動議,在第7頁,這是本席提出來的,獎懲事項的辦法就由行政院定之,也就是直接授權行政院。針對這4個版本及修正動議,是不是請行政院先做說明?

何副秘書長佩珊:我們建請採納蔡易餘召委提出的修正動議,因為我們將關於懲罰的條文移列到後面處理,前面這一條就單純講獎勵的部分。

主席:其他委員還有其他意見嗎?如果沒有其他意見的話,第十四條就按照蔡易餘委員的修正動議通過。

周陳委員秀霞:對不起,本席對於第二條第六款的部分有一些問題,法律規定的內容如果涉及人民權利義務的時候,就必須要清楚的界定它的範圍,這樣才能合乎法律保留原則以及法律明確性的原則,否則,就違反了法治國的基本原則了。這個關鍵基礎建設的定義,本席認為一定要明確,剛才本席反對的是關鍵基礎建設的定義,而且採取正面表列,具體列出關鍵基礎設施之樣態,像是電業、石油業及天然氣事業等等,其他的行業都是不可以的,而且要有就醫措施,因此,本席還是建議第六款要保留,並送朝野協商。至於曾銘宗委員所提的部分,他是增列第八款資安事件的定義,我們是支持的,我們反對的是關鍵基礎設施建設的這個部分,在此說明一下。

主席:周陳委員,第二條還沒有通過,等下我們會回頭再處理。第二條是你比較在意的名詞定義,這個部分一直都還沒有處理過。

周陳委員秀霞:好,謝謝。

主席:現在進入第三章,章名是「非公務機關資通安全管理」,有必要將它改成「特定非公務機關」嗎?

曾委員銘宗:主席,不好意思!剛剛沒有提到,關於第十四條的部分,基本上,本席也贊成您提的修正動議,就是第二項的「前項獎勵事項之辦法由行政院定之」,那有關懲處的部分呢?既然第十四條有獎勵,假設做錯事要懲處,這部分到哪裡去了?

主席:懲處的部分在本席訂出來的第9頁。

曾委員銘宗:有,是嗎?

主席:對,在第9頁,處罰的部分就訂在這個條文裡面。有一個新增的第十八條。

曾委員銘宗:OK,有就好。

主席:獎勵的部分授權行政院,懲處的部分就訂在條文裡面。

曾委員銘宗:OK,好,謝謝。

主席:如果沒有意見的話,還是回到這個章名,有必要將「特定」2個字加上去嗎?有需要嘛?

尤委員美女:需要。

主席:章名的部分就按照本席所提的修正動議版本通過。

處理第十五條,因為第十五條的條文與第二條是有一點連動關係,我們先參考文字的部分。關於第十五條,請大家先參酌行政院剛剛提出的修正建議,未來如果要定調關鍵基礎設施的一個提供者,它必須有這樣一個程序─報請行政院核定、書面通知,然後送立法院備查;至於下面的條文則有一些文字修正,與本席所提出的修正動議版本一樣,主要是將目的事業主管機關定調為行政院,並拿掉地方政府的部分。第十五條的架構大概是如此,請問各位,有無異議?

段委員宜康:沒有。

主席:如無異議的話,最後一項中之「第二項至第五項」就必須修正為「第三項至第六項」,請行政部門把修正動議的文字整理一下,讓大家簽名。第十五條先保留,回頭再來處理。

繼續處理第十六條。

鍾委員孔炤:就是把「特定」加上去?

主席:對,本條文只是對非公務機關再增加「特定」二字,如果大家同意的話,是不是就按照本席的修正動議版本通過?

尤委員美女:本條也把「直轄市、縣(市)政府」刪除,只限於中央目的事業主管機關,不及於地方政府?

主席:對,修正動議都把它拿掉了。

鍾委員孔炤:好。

主席:第十六條照修正動議通過。

繼續處理第十七條。第十七條有兩個版本和一個修正動議,修正動議裡面一樣增加「特定」二字,並將第二項、第三項、第五項中之「直轄市、縣(市)政府」拿掉。請問各位,第十七條是否照修正動議文字再修正通過?

鍾委員孔炤:好。

尤委員美女:最後一項是否要加「或」字─行政院或中央目的事業主管機關?

主席:修正動議裡面原本就有「或」字。如果沒有其他意見,第十七條照修正動議文字再修正通過。

繼續處理第十八條。本條有兩個版本和二個修正動議。

曾委員銘宗:針對本條,本席的修正動議是增加第二項,行政院希望將它刪除,可否說明原因何在?

主席:請簡處長說明。

簡處長宏偉:基本上,行政院尊重各位委員對第十八條的意見,我們會同意刪除,係基於事權統一的邏輯,因為就目前來說,中央目的事業主管機關其實都有相關的法令,比如金管會之下的檢查局,在它的組織法裡面,即明定其業務職掌是針對金融體系的檢查;通傳會在電信法裡面也有;經濟部針對油、水、電也有相關規定。當初我們訂定這一條是希望行政院這邊可以有一致性的作法,如果將它刪除的話,在整個推動上,就回歸各目的事業主管機關,也就是現行法規的規定,執行上仍然可行。所以我們尊重委員的意見,將本條刪除。

曾委員銘宗:本席認為你可能需要再看一下第十八條的內容─中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大資通安全事件,而認為有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。

發生這些重大缺失或重大資安事件時,你剛剛說金管會大概沒問題,NCC、經濟部也沒有問題,其他部會你又沒有檢討清楚說一定有,這樣會不會有漏洞?對於第十八條,你們原本想要檢查的範圍有哪些?

簡處長宏偉:基本上,第十八條在整個法的檢查範圍裡面,包括政府機關、關鍵基礎設施提供者、公營事業及財團法人;從這個角度來看,我們對政府機關本來就有稽核的權力,至於公營事業或財團法人、關鍵基礎設施提供者部分,它們都有主管機關,法裡面本來就要求主管機關必須定期對它做稽核。從這個角度來看,第十八條如果刪除的話,即使發生重大缺失,我們還是可以稽核,請它做改善。

曾委員銘宗:我不知道,經濟部能不能去檢查所有公營事業?交通部可不可以?退輔會可不可以?很多部會都有國營事業,它的範圍很廣;而且它不一定有這個法令。像金管會、NCC都沒有問題,因為它們掌控的是高度監理的行業,本來就有這樣的權責,至於經濟部、交通部是不是有這樣的權責?

主席:回到關鍵基礎設施提供者的部分來看,交通部可否對高鐵進行業務檢查?

簡處長宏偉:以交通部來看,交通部之下有高鐵局,在它的業務範圍內,還是有一個管理的功能。

曾委員銘宗:高鐵局未必能去檢查;就以財政部為例,有國營事業、有泛公股,它也不能去檢查,得由金管會才行。財政部還有一些非關鍵基礎設施,關鍵基礎設施才要檢查是不是?央行能不能查緝呢?我是好意,看你們要怎麼訂,我的意思是你們要檢查清楚,萬一有漏洞到時候還要再補。

主席:我們懂曾委員的意見,請許委員發言。

許委員毓仁:大家對第十八條都非常有意見,我特別肯定資安處同意刪除,事實上,這個法案的這一條出來的時候,我個人覺得非常不能接受,尤其是行政院資安處將這部分入法,包括原本使用的文字「得派員攜帶職務證明文件進入非公務機關場所檢查,並得命相關人員必要之說明、配合措施或提供相關證明之資料,並且對於檢查不得迴避、妨礙或拒絕。」我覺得你們當初的立法意圖相當不妥,資安處有必要說明。我不知道你們沒有做說明,但如果國家資安是用這樣的態度在做事的話,中華民國政府就不用玩了,這是相當糟糕的一個立法。

第二、第四章罰則的部分應該全數刪除。全世界沒有一個政府是罰受害者,罰則必須拿來對付加害者,不能拿來對付被害者,哪有機關自己都已經遭到駭客侵入受到傷害,好心去舉報,結果政府要來抓他們,這是莫名奇妙的作法非常奇怪的立法。我不曉得資安處當初為什麼會這樣寫?再來,通報必須合理,今天我們在這邊審法案,其實此時此刻,甚至是每一分每一秒,我們國家基礎設施都有可能被駭,哪一個網站每天沒有遭受到數百次、數千次,甚至上萬次的駭客攻擊?請問對於通報你們要怎麼去合理化?資安處是這個法案的主責單位,針對你們當初立法的意圖必須要講清楚,我認為一般人沒有辦法接受。

主席:請段委員發言。

段委員宜康:許委員的意見,我有一部分同意,有一部分我有點保留。因為關鍵基礎設施提供者的範圍非常小,它為什麼會被認為是關鍵基礎設施?就是因為它很關鍵,是基礎設施,而且有一個非常重要的原則,大部分都是特許行業,電信、高鐵都是特許,即今天取得政府許可,經營這個行業跟設施,假設我們所做的都是要求這些關鍵基礎設施提供者要增加投資,他們必須要多花錢去處理資安設備且應該有一些作為,站在商業行為的從事者來說,如果我是電信公司老闆,當然不會願意多花錢啊!花錢要花到怎樣程度你們才會滿意呢?

如果今天電信業者沒有善盡義務,比如他們沒有清除病毒郵件沒有隨時更新用最新的方式,我們也都知道「道高一尺、魔高一丈」,那他們要不要負責?如果沒有罰則的話,我們這些作為或這麼嚴格的規定其實是形同具文,我們並沒有要處罰每一個民間業者,我們要處罰的、要求的、約束的其實就是關鍵基礎設施的提供者,他們都是我們國家特許的行業,並不是每一個人。今天許毓仁、段宜康要開一個電信公司就可以開嗎?要有特許啊!他們取得這個特許資格,提供這個關鍵基礎設施,如果今天政府訂定這樣的法條,把它講得這麼偉大,但是當他們不遵守的時候,你們對他們是無可奈何的,那你們是否可以不罰他們的錢,取消他們的執照呢?你們也沒有這樣做啊!那政府剩下什麼?坦白講,我本來想講,我是反對把第十八條取消,為什麼?今天他們不投資、為了省麻煩,他們到底有沒有照這樣做,或者他們的保護措施到底做得夠不夠,你們都不能發動突擊檢查,今天沒有要看他們的個資,只是要看他們有沒有具體地防護、防護做得夠不夠,你們都不能這樣做,我覺得這其實是把政府保護資通安全的牙齒拔掉!

但如果行政院去跟其他委員協調說你們願意接受把它拿掉,雖然我有意見,但是我可以不講話。但如果不但把第十八條拿掉,連罰則都要拿掉的話,那就兩個牙齒都拔掉了,我覺得這個法就不用訂了,也不用規範什麼叫做關鍵基礎設施的提供者,因為你們手上沒有任何武器可以去對付他們!今天電信公司也好、高鐵也好,他們違規、沒有照你的規定來做,你們能把他們怎麼樣?你們能把高鐵沒收嗎?能把中華電信的執照取消掉嗎?你們不敢這樣做,也不會這樣做!但是政府手上至少要有工具可以去加以約束。坦白講,我覺得這個罰則都太輕了,他們這麼有錢還會在乎嗎?

主席:我再補充一下,剛剛許委員說這個法好像在處罰被害者,他們已經受到駭客的攻擊,怎麼還要處罰他們?可是我們從第十八條、第十九條的架構來看,第十八條是處罰沒有善盡事先預防的義務,亦即他們連資通安全的計畫都沒有訂,或是發生事情後要有改善報告及緊急應變的措施,第十八條是處罰連事先預防都不做的部分。

第十九條的處罰是針對已經被駭客入侵而沒有通報的部分,它是處罰沒有通報的這個行為,而不是處罰被駭客入侵的行為,我覺得這部分必須要說明清楚,否則會誤導我們是處罰被駭客入侵的提供者。

請許委員發言。

許委員毓仁:謝謝召委的解釋以及段委員的說明,我同意,如果我們要討論罰則,就必須比較合理地來看幾件事情,第一個,罰則要怎樣訂才算是合理?然後,什麼叫做延遲通報,多久時間算延遲通報?現在每個企業被駭客侵入的回復時間是多久,現場有人知道嗎?是180天,而公務機關高達350天。請問一下,如果按照這個通報標準,延遲通報的話,是不是幾乎每一間企業、每一個公務機關都要被處罰?我想我們應該要討論一下,我也同意不能夠把兩個牙齒都拔掉,但是要怎麼做?我相信資安處一定有相當的思考,是不是我們來討論一下這個要怎麼做?

主席:現在好像有點跳到第十九條、第二十條的部分了喔!

請尤委員美女發言。

尤委員美女:對啊!那個是在後面的部分,你太急了。而且我們也限定是特定非公務機關,那個範圍已經限縮地非常小了。所以那個部分是等一下審到第十九條的時候再去討論嘛!或者我們還是回到第十八條,好不好?

主席:請余委員宛如發言。

余委員宛如:非常多的民營企業、網路公司對於行政擴權有疑慮,可是我覺得這是奠基於對法條的誤解。我們今天花了很多時間討論第二條,其實第二條跟第十八條一直都是連動的,尤其所謂的「遇重大資通安全事件,而認有必要時……進入非公務機關場所」,其實是指特定非公務機關。換句話說,就像剛剛段委員講的,它是指特許行業,而且是非常少數;早上簡處長也講了,關鍵基礎設施的行業,也就是特定非公務機關事實上是屈指可數的。

我覺得許委員在思考這件事情的時候可能稍微擴大解釋,把一些不相干的私人企業也放在這裡面討論,因此就會變成我們一直在討論的部分就像是兩條平行線,是不是可以再回到今天從早上到現在我們一直在討論的主軸?謝謝。

主席:請許委員毓仁發言。

許委員毓仁:我並非不清楚,我想我對這件事情比誰都清楚。必須要討論的是,既然對於這些關鍵基礎設施我們有定義了,那麼要如何通報?而通報了之後的處理,其罰則為何?這是我要求資安處要說明的部分,這部分資安處也有義務讓所有人知道。各位要知道,我們一整天在這邊就每一個條文、每一個字進行討論,但並不是每一個民眾都像我們這樣子全程參與。今天我們的工作就是讓這個法送出去之後,任何一個人只要讀到這個法,他都沒有恐懼的這個理由、他都知道自己在讀的這個法條是受到政府立意良善的保護,我覺得這是最重要的。

主席:請曾委員銘宗發言。

曾委員銘宗:有關第十八條,其實要先確定檢查的對象是誰啊!請教行政院,「進入非公務機關場所檢查」,是不是就是回到第二條的「非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。」?假如是這樣,對象也就不多啦!假如這樣子,要留下的話,我們贊成,但是我跟各位報告,上次在審查的時候我就提出來了、也有修正動議,之所以提修正動議,是因為目前在政府機關裡面,講難聽一點,包括金管會都沒有這樣的人才啦!所以必須加第二項。為什麼?對於這些高科技資訊,政府機關沒這種人才,上次銀行發現駭客也是藉助趨勢科技的專業,民間才有這個能力,所以我增加這一項:「前項檢查,中央目的事業主管機關或直轄市、縣(市)政府亦得委託適當機構或指定專門職業及技術人員進行,並要求提出報告,其費用由受檢查人負擔。」部長,這是配套,假如要留的話要有配套,你要這些政府官員去檢查,我不騙你,他們去了什麼都看不到,只是做個檢查就回來了啦!現在的銀行法、證交法都有類似的條文,就像金管會也沒有這樣能力、能量,要藉助會計事務所、律師事務所的專業而進入檢查,費用是由受檢查人負擔。

主席:請段委員宜康發言。

段委員宜康:曾委員的意見,我基本上是支持,因為他的意見符合我的立場,他要加第二項我也支持,但是我提一個修改的建議,由於現在並沒有給直轄市、縣(市)政府這個權力,這個法的主管機關照早上的討論,包括行政院,譬如高鐵的部分就是交通部;如果是中華電信,那就應該是NCC,他們可以找專業的人去檢查。這個對象不會多啦!因為必須要公告,所以對象非常少。

我覺得我們處理這個法律有一個基本的原則,就是要知道「誰是被害者」,如果駭客入侵,被害者是誰?我不認為被害者是關鍵基礎設施的提供者,而是關鍵基礎設施的使用者。如果因為中華電信沒有「照起工」來做,結果被駭了、我的手機不能用,那麼被害者是中華電信還是我個人?是我啊!是中華電信沒有提供給我這個使用者應有的保護,結果我這個關鍵基礎設施的使用者因此而受害,包括主管機關跟中央目的事業主管機關,政府的責任是什麼?應該是要替我這個使用者去要求提供者把關,所以你們要去檢查,讓我免於受害,我覺得這是我們在處理這個法條時應有的邏輯。

基本上我贊成曾委員的處理方向,只是要看行政院的評估,如果照曾委員的意見增訂第二項,我們做一些修改,委託其他機構或專門技術人員,你們在執行方面,或者在法律上會不會有問題?就是他們可以被委託、拿著一個證件……曾委員知道我的意思嗎?

曾委員銘宗:我知道。

段委員宜康:委託一個協會或什麼的,他們拿著一個證件就

跑去檢查中華電信!他們沒有公權力,可不可以就這樣委託給他們?或者他們不能單獨去,譬如交通部或NCC要找資訊專業人員過去,但是該機關的人必須要在那邊帶隊,受委託者做為顧問、幫機關過濾,這樣是不是比較可行?如何處理這個條文,是不是我們來衡量一下?

主席:請曾委員銘宗發言。

曾委員銘宗:謝謝段委員的說法,其實沒有問題,現在證交法及銀行法都有這個機制,尤其是委託會計師去查,這是第一個。

第二個,您剛剛講了到底誰是受害人,被害的銀行或者被害的公司也是受害人,你說他們沒有好好做,說對也對、說不對也不對,為什麼?有關防止駭客的做法,沒有最好、只有更好,要做到點滴不漏,那就要投入非常、非常多的成本!

段委員宜康:就是因為成本很高啦!

曾委員銘宗:真的,沒有最好、只有更好,每一天都在進步,不可能都維持在世界一流的水準。成本非常地高,銀行做不到,中華電信也做不到,任何公司都做不到,被駭的結果是公司受害,當然消費者也都受害了。我做這樣的說明,謝謝。

主席:就第十八條我們要先做一個決定,要不要保留?就是到底要不要賦予行政機關有這樣的檢查義務,還是回歸到其他的內部法規……

段委員宜康:就是第十八條到底……

主席:對,我想我們先休息10分鐘,就第十八條大家再交換一下意見,看要不要保留,如果要保留,再來處理曾委員所提的修正文字。

曾委員銘宗:我沒意見啦!尊重……

主席:沒關係,大家討論一下。像剛剛許委員的意思是,他也不贊成要有這樣的條文嘛!那大家再討論一下。現在休息。

休息

繼續開會

主席:現在繼續開會。剛剛經過非常熱烈的討論,第十八條的部分可說是非常關鍵,到底要不要賦予行政院對於資安關鍵基礎設施有檢查的權力,還是要回歸到各個目的事業主管機關?比方高鐵部分回歸至交通部內部做檢查,最後再由行政院判斷其是否有違反資訊安全的情事。剛剛大家經過充分的討論,我們建議還是把它刪除,也就是不要訂入這部法律之中,回歸到各個子法、其他的相關法規去加以解決,行政院有沒有其他的意見?請問各位,有無異議?

段委員宜康:沒有。

主席:好,沒有的話,第十八條條文就按照修正動議予以刪除。

接下來處理新增的第十八條。在修正動議資料的第9頁,是針對公務人員的懲處規定,請大家參酌。請問各位,有無異議?(無)無異議。如果按照這樣的修正動議,行政院這邊應該也同意嘛?好,那就按照蔡易餘委員所提的修正動議版本通過。

處理第四章章名「罰則」,在164頁,章名就按照行政院的版本通過,請問各位,有無異議?(無)無異議,按照行政院的版本通過。

處理第十九條,總共有兩個版本,並有修正動議,在修正動議資料的第10頁,請問各位,有無異議?

尤委員美女:修正動議第10頁裡面的「直轄市、縣(市)政府」都要劃掉。

主席:沒錯。如果各位委員對修正動議沒有意見的話,修正動議的第十九條第一項以及第一項第二款、第三款、第五款的「直轄市、縣(市)政府」都要拿掉,那就按照修正條文的文字再修正……

葉委員宜津:應該是按照行政院版修正,就是劃掉「直轄市、縣(市)政府」……

主席:第十九條還有一個問題,就是我們剛剛要處理的第十五條,事實上項次部分已經有所更正了,所以我們在修正第十九條的時候,第十五條的條文也必須要對應做更正,這部分是不是就授權議事人員處理?所以第十九條就按照修正動議版本的文字再修正通過。

處理第二十條,是關於特定非公務機關的通報義務,就這部分有修正動議,是在修正動議資料的第10頁,一樣要再做文字的修正,也就是「直轄市、縣(市)政府」必須拿掉,並增加「特定」兩個字。請問各位,對按照修正動議的文字再修正通過,有無異議?(無)無異議,第二十條就按照修正動議的文字再修正通過。

處理第二十一條。

葉委員宜津:一樣是「直轄市、縣(市)政府」要拿掉。

鍾委員孔炤:那個跟第十八條有關……

尤委員美女:剛剛第二十條的罰則會不會太輕?資通處……

主席:我們先回到第二十條,就罰則的部分……

尤委員美女:因為現在我們已經限定了是特定非公務機關,如果他們不肯去做,只有罰「十萬元以上一百萬元以下」,這個太少了吧!

主席:行政院說明一下。

簡處長宏偉:第二十條是針對他們發現資安事件未通報的部分,這個部分罰10萬元至100萬元應該是合適的,符合比例原則。

葉委員宜津:他們發現了還不通報,怎麼會合適哩!

何副秘書長佩珊:尊重委員好了,看委員覺得怎麼樣比較合適。

主席:狀況輕微的時候是很輕,如果嚴重的話事實上是很嚴重的。

葉委員宜津:把range拉大一點,但是我覺得只到100萬元真的太少了,1,000萬元好了。

主席:「十萬元以上一千萬元以下」,能不能拉大……

葉委員宜津:好,500萬元啦!明明他們知道、發現了還不通報,這是明知故犯耶!

許委員毓仁:對啊!這個我同意,而且其實有國安疑慮啦!就資安而言,這個是滿大的問題。

主席:如果修正為「十萬元以上五百萬元以下」呢?

葉委員宜津:好啦!

主席:同意嗎?

鍾委員孔炤:裁量權……

主席:裁量權很大。請尤委員美女發言。

尤委員美女:這個好像有一定的range……

葉委員宜津:沒有關係,法律有特別規定的話就依特別規定啦!

段委員宜康:問一下法務部。

尤委員美女:法務部的代表在場嗎?

主席:請法務部說明。

陳副司長大偉:關於罰鍰的部分,其額度並沒有金額上的限制,純粹看主管機關要達到什麼施政的目標、可以自訂額度。一般來講,所謂的range大概最低跟最高是在3倍至5倍之間,但目前有很多法律其實也沒有完全依照這一個range來規定,所以應該是沒有問題的。

葉委員宜津:剛才在交通委員會還有罰2,000萬元至2億元的,真的,所以這個OK啦!

主席:請余委員宛如發言。

余委員宛如:我這邊有個參考值,德國是10萬歐元。如果今天我們訂到500萬元,雖然用意良善、接近啦!但會變成是全球罰款最高的國家。

葉委員宜津:國情不同,我們資安的威脅比較大啊!

余委員宛如:好啊!那就500萬元好了。

段委員宜康:30萬元到300萬元啦……

葉委員宜津:500萬元啦!

主席:段委員是建議30萬元到300萬元啦!就是最低的部分也提高。

葉委員宜津:30萬元到500萬元,我堅持要500萬元,因為我覺得這是明知故犯,這可大可小……

段委員宜康:30萬元到500萬元。

主席:30萬元到500萬元,還有沒有其他的意見?沒有的話,那就……

段委員宜康:回頭問一下,如果是這樣,那第十九條的……

主席:對啊!第十九條。

段委員宜康:是罰「十萬元以上一百萬元以下」,但不一定要一樣,就兩個條文所規定的狀況之比例情形,可能大家再花時間看一下,好不好?

主席:是不是請資安處說明一下,針對罰則,第十九條你們所列舉的這六款是指哪些狀況?這樣大家會比較清楚。

簡處長宏偉:這部分都是針對關鍵基礎設施提供者,也就是第十九條第一項第一款,他們未依第十五條第二項等規定,訂定、修正或實施資通安全維護計畫,中央目的事業主管機關所處的罰鍰,等於是預防性的。

段委員宜康:簡單來說是這樣,這是針對他們應做出計畫;還是其計畫不夠完善,經要求改善也沒有改善;或者是他們所有應變的作為、SOP做得不好,經要求改善,結果沒有改善的部分。這是針對他們做計畫的時候沒有做好,或者沒有照要求而只是做紙上作業等等所做的規定,相對來說這部分可以罰得比較輕,我覺得這個還好啦!

葉委員宜津:對啊!

簡處長宏偉:以我們來講,如果第二十條是罰30萬元到500萬元,因為第十九條是針對他們未實施或依照程序的部分,那我建議維持10萬元到100萬元就可以了,謝謝。

葉委員宜津:程度不同啦!一個是明知故犯,一個是……

主席:這樣子的話,第十九條就按照剛剛所宣讀的處理方式。第二十條是按照修正動議的文字再修正,金額部分變成「三十萬元以上五百萬以下」。

處理第二十一條,就按照修正動議予以刪除。

請大家翻到第174頁,這個是時代力量的版本,因為他們的架構跟我們今天討論的架構有滿大的不同,如果……

葉委員宜津:這就不予處理了啦……

主席:時代力量的部分,是不是就都不予處理?因為他們的架構已經不一樣了。

葉委員宜津:對啊!都已經到最後了。

主席:好,時代力量所提的第三章章名不予採納;以下的第八條、第九條不予採納。

接下來處理第五章章名「附則」,在第177頁,這應該沒有問題,是不是就按照行政院的版本通過?好。

處理第二十二條,「施行細則由行政院定之。」請問各位,有無異議?

葉委員宜津:沒有意見。

主席:沒有意見的話,就按照行政院的版本通過。

接下來一樣是時代力量所提的條文,包括第十條、第十一條、第十二條,因為這大概也跟我們討論一整天的體例都不一樣,所以這3條不予採納。

處理第二十三條,是關於施行日期的部分,如果各位沒有意見的話,也是按照行政院的版本通過。

葉委員宜津:好。

主席:好。回過頭來,關於剛剛講的第二條、第四條以及第十五條。各位委員大概都拿到修正動議5的資料了,其中增訂第二條,定義主管機關為行政院,所以後面的條文次序都要連動做更動,如果大家沒有意見的話,就授權議事人員處理。

大家可以先看未來的第三條,就是原本的第二條,在第四款的部分,針對曾銘宗委員的意見做部分調整後有所修正,第六款是限定為「特定」非公務機關;第七款就是今天講了一天的關鍵基礎設施之定義,修正文字為「經行政院定期檢視並公告之領域」;第九款的部分,針對政府捐助之財團法法人此一名詞也做了定義。請問各位,對此一修正動議有無異議?

請許委員毓仁發言。

許委員毓仁:我只看到一個問題,修正動議條文的第二條應該是第三條……

主席:應該要變成第三條,不過這部分等一下都授權議事人員調整。

許委員毓仁:好。

主席:請尤委員美女發言。

尤委員美女:我有一個疑問,曾銘宗委員的版本,就是資通安全事件的定義,其中有「或可能與資通安全有關但事先未知狀況的產生」的文字,這部分現在是拿掉了,是不是可以請資安處說明一下?

主席:請資安處說明。

簡處長宏偉:有關曾銘宗委員所提「或可能與資通安全有關但事先未知狀況的產生」的部分,它的不確定性非常高,我們認為,如果資通安全事件是朝未知、較不確定的一個方向來定義的話,在執行上也會有困難。

主席:這個剛剛也有講到,就是它的不確定性太高,所以我們希望在定義名詞的時候可以稍微明確一些。

針對第二條的修正動議條文,各位委員還有意見嗎?

請陳委員怡潔發言。

陳委員怡潔:這個我想請教一下,因為這裡有幾個要件,譬如「對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞」,即使現在它還沒有被指定為關鍵基礎設施,如果未來都符合這些要件,它還是有可能會被指定為關鍵基礎設施。

主席:現在陳委員講的就是大家擔心的會有空白授權的問題,所以……

陳委員怡潔:但「定期檢視」是什麼樣的一個方式……

主席:那就是回到第十五條,請你參酌第十五條第一項……

葉委員宜津:第十五條有明定,而且還要公告。

主席:現在陳委員擔心的是,未來有沒有可能行政院又核定了我們現在所……

陳委員怡潔:我補充一下,親民黨黨團的版本原本只針對公家機關,其實沒有民間的問題,這個版本是最簡單的。即使現在明定的條文、程序看起來好像都很完備,但未來如果民間企業符合這些要件之時,會不會自然而然地它就會被公告而成為關鍵基礎設施,會不會發生這樣的問題?如果會的話,有沒有無限或空白授權的問題,未來會不會發生這樣的狀況?

葉委員宜津:還有立法院在把關。

尤委員美女:第十五條第一項、第二項……

陳委員怡潔:我知道,其實第十五條第一項就是早上我們在討論的嘛!

主席:對啊!納入一個……

陳委員怡潔:我們原來的態度就是反對納入的嘛!我們不希望擴大成空白授權,如果未來它符合這些要件的話就直接被公告而成為基礎設施了,這樣就不是我們所要的。

主席:跟陳委員報告,照早上所講的,現在可以進入關鍵基礎設施的項目在想像上真的沒有那麼多,比方高鐵,以及中華電信所提供的網路服務。未來是不是會產生新的項目,對於國家安全、民生經濟有很大的影響,現在我們大概也沒有辦法想像得出來。

陳委員怡潔:這就是我們會比較擔心的問題嘛……

主席:可是未來如果真的有這樣的東西,有必要的話它還是需要被納入關鍵基礎設施啊!這個東西被指定為關鍵基礎設施,以及其提供者到底合不合理,我們要審查的應該是這個部分。也就是說,可能很多項目都會被討論,比方水資源、電,如果照早上的說法,這兩個都還沒有進入到關鍵基礎設施。

陳委員怡潔:所以我是想確認,即使是民間企業,但未來它符合這些要件的時候,有可能就會直接被公告而成為所謂的關鍵基礎設施,對不對?這樣……

主席:應該也不是直接公告,還是要經過……

陳委員怡潔:還是要來立法院嗎……

主席:經過程序的討論。

陳委員怡潔:看似這個程序是很完備的,但的確它還是有很多空白授權的空間。早上我們有舉例,像歐盟在網路與資訊系統安全指令的部分是採取正面表列的方式、有具體列出來,譬如關鍵基礎設施的樣態,他們有明定表列出電業、石油業、天然氣事業、航空運輸業、飛航管制機構等等,這當中可能很多是民間企業,也可能間接影響整個國家的一些運作,但他們有正面表列,我覺得這也是一個退而求其次的辦法啦!

主席:陳委員,我們現在要處理的也是正面表列的喔!因為公告後就會有……

陳委員怡潔:因為這是我們黨團的態度嘛!我也知道你現在已經把它放在第十五條、就是會去呈現一個讓大家比較能夠平衡的狀態。可是,我還……

主席:公告之後,事實上就是正面表列。

陳委員,這部分我還是說明一下,如果完全不要任何非公務機關、任何民間團體進入這一部法律的話,基本上我們就不用定了嘛!這樣的話這部法律就失去它的意義了。比方中華電信現在是民營的企業,但如果我們只針對公務機關,那我們就沒有辦法去處理中華電信這樣的一個基礎設施啊!今天花了一整天的時間在討論,但整部法律的意義就沒辦法彰顯出來了。

請行政院說明。

何副秘書長佩珊:我們請資安處回答一下委員的問題,好不

好?

主席:好。請資安處說明。

簡處長宏偉:在我們今天的討論裡面,其實就第二條的定義及第五條的程序部分,如果未來有關鍵基礎設施,要符合這些要件,要變成關鍵基礎設施的話還是必須有一個嚴謹的程序,它不會自動進入而變成關鍵基礎設施,不會!而且這個程序除了中央目的事業主管機關確認以後,他們要送給行政院,行政院還要再重新檢視,核定以後會以書面通知,之後也要送立法院備查。

葉委員宜津:好啦!他表達立場了啦!

主席:好啦!沒關係,我們了解,今天親民黨黨團就非公務機關的部分實際上是充分表達你們的反對意見……

陳委員怡潔:第二條我們本來……

葉委員宜津:他一定要再表達一次立場啦!他只是表達立場啦!因為立法院也負有監督的責任,到時候行政院自己審查通過送到立法院備查的時候,我們就再加以把關,社會自有公評,也不可能亂列,是這樣啦!所以我們就負責,就這樣讓它送出去啦!

主席:請尤委員美女發言。

尤委員美女:我覺得在這裡必須要把它講清楚,不要說這個法案送出去以後又被過度的擴張解釋,結果引起恐慌。其實在第二條,也就是未來可能是第三條的關鍵基礎設施之定義部分,今天經過一整個早上的討論,原來是如同陳委員所講的,希望把八大領域明定進去,但後來發現這八大領域並未將全部的民間業者都涵蓋在內,只有幾個國營事業跟實體或是虛擬資產,其系統或是網路上的功能一旦停止運作或效能降低,對整個國家安全、社會公共利益或國民生活經濟活動有重大影響者,這個部分會列在立法理由裡面,也就是目前已經被列進來的是有哪些,所以對一般的民營業者來說其實都不會有影響。如果將來行政院定期檢視的結果,覺得應該要再加哪些東西,在檢視的過程,依照第十五條第一項規定,中央目的事業主管機關必須要徵詢相關公務機關、民間團體、專家學者的意見後,才能夠指定關鍵基礎設施的提供者是哪些,然後要報行政院核定,而且還要通知受核定者。所以不可能有民間業者不知道自己被指定、後續受到處罰,這絕對不可能,因為他們一定會被通知到。另外,行政院還要將名單送立法院備查,所以並不會有親民黨黨團所擔心的空白授權、讓行政機關擴權而妨害到民間業者的情形,這是不可能的事情。

主席:我想我們也有讓陳委員以及周陳委員都充分表示意見,如果各位委員沒有其他意見的話,第二條條文是不是還是按照最新的修正動議通過?

葉委員宜津:好。

段委員宜康:好。

主席:好,可以的話,那就通過。立法理由……

陳委員怡潔:我們想表達一下,我們在司法及法制委員會沒有委員,當然在這裡不能說要保留或是什麼的,但基本上我們的態度是,對於這個部分我們還是會交給院會去協商啦!

主席:好,沒關係,這部分未來在協商的時候可以再處理。

針對第二條,也就是未來的第三條之立法理由,請行政院要處理,包括八大領域,事實上有很多已經不是關鍵基礎設施,所以你們就不要再把它寫在立法理由裡面,不然的話,看起來好像範圍是很大的。

接下來處理第四條,依照我們上午的討論,就是把余宛如委員所提相對應的一些條文納入第四條。針對這樣的修正,各位委員有其他意見嗎?

葉委員宜津:沒有。

主席:沒有的話,就按照修正動議通過,文字上的部分做一個調整,在「應送立法院備查」前面是不是先有一個逗號?好,那就按照修正動議的文字再修正通過。

處理第十五條,是為了要對應第二條的處理而做了文字的修正,請問各位,有無異議?好,如果沒有的話,第十五條也是按照修正動議通過。

再補充宣告,有關第十二條、第四條之立法說明,請行政院參照先前討論時委員所提意見,事後提交給委員會。

資通安全管理法草案等6案已經處理完畢,現有1項附帶決議,請宣讀。

委員段宜康等附帶決議:

有鑑於資通安全是維護國家安全和公共利益上非常重要之議題,隨著資通科技之發展蓬勃隨之資通安全風險也逐漸增大,國際近年來已逐漸以訂立專法之方式對資通安全之保護加以規範,我國亦需要對整體資通環境制定相關法規以降低並防範相關之資通安全風險。

然而相關資通安全管理法規,除母法之資通安全管理法外,該法授權訂定之子法亦牽涉到人民權利,為妥善研議擬定子法方案,政府應與各界進行溝通,爰此,要求行政院應召開資通安全管理法相關子法之研討會並邀請產官學及相關民間團體討論以健全法規。

提案人:段宜康  尤美女  鍾孔炤  

主席:請問各位,對段委員所提附帶決議,有無異議?(無)無異議,照案通過。

本案審查完竣,擬具審查報告,提報院會處理。本案須交由黨團協商。院會討論時由蔡召集易餘委員說明。附帶決議1項一併提報院會處理。條次、引述條文部分、文字及法制用字用語授權主席及議事人員整理。

本次會議到此結束,現在散會,謝謝大家。

散會(16時59分)