委員會紀錄
立法院第9屆第4會期司法及法制委員會第22次全體委員會議紀錄
時 間 中華民國106年12月20日(星期三)9時7分至16時59分
地 點 本院紅樓302會議室
主 席 蔡委員易餘
主席:出席委員已足法定人數,現在開會。
進行報告事項。
報 告 事 項
宣讀上次會議議事錄。
立法院第9屆第4會期司法及法制委員會第21次全體委員會議議事錄
時 間:中華民國106年12月18日(星期一)上午9時至11時39分
地 點:本院紅樓302會議室
出席委員:吳志揚 葉宜津 鍾孔炤 李俊俋 王育敏 蔡易餘 段宜康 林為洲 尤美女 劉櫂豪 楊鎮浯 柯建銘 廖國棟Sufin.Siluko
委員出席13人
列席委員:黃偉哲 林德福 吳玉琴 蕭美琴 孔文吉 蔣乃辛 張麗善 劉世芳 周陳秀霞 張廖萬堅 羅明才 王惠美
委員列席12人
|
列席官員: |
司法院秘書長 呂太郎 |
|
金融監督管理委員會副主任委員 鄭貞茂(主任委員請假) |
|
法務部法制司檢察官 蔡麗清 |
|
經濟部商業司副參事 朱一萍 |
|
財政部庫務管理組組長 陳曉鈴 |
|
原住民族委員會土地管理處專門委員 陳乃榕 |
主 席:蔡召集委員易餘
專門委員:張智為
主任秘書:楊育純
紀 錄:簡任秘書 彭定民
簡任編審 周厚增
科 長 鄧可容
專 員 蔡國治
報 告 事 項
宣讀上次會議議事錄。
決定:確定。
討 論 事 項
一、審查司法院、行政院函請審議「消費者債務清理條例部分條文修正草案」案。
二、審查委員吳玉琴等20人擬具「消費者債務清理條例部分條文修正草案」案。
三、審查委員蔡易餘等16人擬具「消費者債務清理條例部分條文修正草案」案。
四、審查委員張廖萬堅等19人擬具「消費者債務清理條例第七十五條條文修正草案」案。
(本次會議有委員吳志揚、葉宜津、李俊俋、王育敏、鍾孔炤、蔡易餘、段宜康、尤美女、吳玉琴、林為洲、楊鎮浯提出質詢;委員張廖萬堅提出書面質詢。)
決議:
一、報告及詢答完畢。
二、以上各案均另定期繼續審查
三、委員質詢時,要求提供相關資料或以書面答復者,請相關機關儘速送交個別委員及本委員會。
提 案
為便利本院司法及法制委員會就《消費者債務清理條例部分條文修正草案》之後續審查,爰建請金融監督管理委員會(下稱金管會)就卡債族之相關統計資料(諸如卡債數額級距與人數)與金管會之因應對策,提供書面報告供司法及法制委員會所屬委員參考。
提案人:李俊俋 蔡易餘 尤美女 段宜康 鍾孔炤
決議:照案通過。
散會
主席:請問各位,上次會議議事錄有無錯誤?(無)無錯誤,確定。
進行討論事項。
討 論 事 項
繼續併案審查(一)行政院函請審議「資通安全管理法草案」、(二)時代力量黨團擬具「資通安全管理法草案」、(三)委員陳亭妃等23人擬具「資通安全管理法草案」、(四)委員許毓仁等17人擬具「資通安全管理法草案」、(五)委員余宛如等18人擬具「資通安全法草案」及(六)親民黨黨團擬具「資通安全管理法草案」案。
主席:報告委員會,本案曾於106年11月6日第9屆第4會期本會第12次全體委員會議報告及詢答完畢,如果各位委員沒有意見的話,今天就省略大體討論,直接進入逐條討論。好,大家都沒有意見,現在進行逐條討論。
宣讀提案條文及相關修正動議。
主席:所有提案條文及修正動議均已宣讀完畢,現在開始進行逐條討論。
進行法案名稱「資通安全管理法」,唯一跟大家版本不一樣的是余委員宛如所提的「資通安全法」,余委員堅持嗎?如果不堅持,名稱就以行政院提案名稱「資通安全管理法」通過。
接下來是第一章章名「總則」。時代力量版本是「總論」,如果沒有意見,章名就照行政院提案章名「總則」通過。
處理第一條。除了各委員版本之外,第一條也有委員提出修正動議。
第6頁的修正動議3是我今天提出來的版本,這部分請行政院先就各委員的版本表示意見。
何副秘書長佩珊:主席、各位委員。感謝委員的支持,委員這邊也有提案,即把帶動資通安全產業發展刪除,這部分我們是可以尊重委員的意見。
主席:其他委員有什麼意見嗎?
請尤委員美女發言。
尤委員美女:主席、各位列席官員、各位同仁。因為這個是資通安全管理法,最主要是在講資通安全的管理,跟這個產業的推動其實是兩回事,所以在這個開宗明義的地方寫說要帶動自動安全產業的發展,本席認為這應該跟我們這部法的宗旨比較不符,所以把這個部分先刪掉。
主席:好,謝謝。
請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。我的提案特別之處在於我是參考美國的FISMA,以FISMA的架構而言,它一方面在促進美國國土資安防護之外,一方面也在提升美國資安產業的能量,它是以一個認證的機制來做這件事情。不過,經詢問過行政院方面,他們現在已經在推動一個資安產業的體系,因為已有另外的option,所以本席就可以不堅持放進這樣的文字,也尊重其他委員把這一句刪掉。
主席:好。謝謝。
請許委員毓仁發言。
許委員毓仁:主席、各位列席官員、各位同仁。我這邊也表達一下意見,基本上這是一個資通安全管理辦法,故不應該與產業的發展混為一談,這樣子會造成球員兼裁判的問題。另外,在第一條的說明裡面,也不應該弄得太複雜,所以我這邊也贊成這個修正動議,把「帶動資通安全產業發展」這個文字拿掉,然後再另做其他的安排。謝謝。
主席:謝謝。
請周陳委員秀霞發言。
周陳委員秀霞:主席、各位列席官員、各位同仁。雖然政府機關負擔的公共服務對民眾的生活及經濟活動有重大的影響,但是也應避免不當地侵犯人民的權利,在這個前提之下務必要保障公共的利益,並且要健全政府機構整體的資通安全,而不是以國家安全為理由來打造一個1984年解嚴前的白色恐怖台灣。所以,親民黨反對擴大管制產業,更不應該對產業技術不合理的強制性規範,而資安政策在民間的推動上,政府應該在公私協力的原則之下提供一些經濟的誘因,採取鼓勵性的措施,以達成政府跟民間的合作。「國家關鍵基礎設施安全防護指導綱要」明示,各部門應積極與民間關鍵基礎設施業者建立合作關係,致力於資訊分享,以提升整體的防護工作成效。因此,親民黨主張在公私協力的原則要入法,政府應該是抱持與民間合作的心態,而不是以以上對下的管理模式,更不應該要以不當處罰的這些條文來對待民間。
主席:針對周陳委員的說明,……
周陳委員秀霞:公私協力的原則要入法。
主席:這是一個總則,如果你們認為有需要入法的一些條文,是不是可以在後面的條文再處理?我們現在只是在討論立法目的架構。
周陳委員秀霞:好,OK。
主席:立法目的的部分,是不是就按照今天我所提出修正動議3的版本通過?請問各位,有無異議?(無)無異議,通過。
進行第二條。
關於本條,除了各位委員的版本外,另有曾委員銘宗提出修正動議1,主要是在第六項第六款的關鍵基礎設施以及增訂第八款。另外加上修正動議3的部分,總共有兩個修正動議案,我們先請行政院就各版本以及修正動議表示意見。
何副秘書長佩珊:關於曾委員銘宗提案的部分,在關鍵基礎設施的部分,謝謝蔡易餘委員提出第三版的修正動議,其中針對關鍵基礎設施的定義跟曾銘宗委員的版本大概類同,不過我們比較傾向採用蔡易餘委員提出的修正動議版本。至於曾銘宗委員提案中增訂第八款的資通安全事件部分,我們比較不建議採納,因為這個是本來就會做的事情,比較沒有需要一定要把它寫在法條裡面,所以整體而言,我們拜託各位委員,可以共同來支持蔡易餘召委所提出的修正動議版本。感謝。
主席:請問各位委員還有無其他意見?
許委員毓仁:主席,可否解釋一下你所提修正動議的精神?
主席:我稍後會說明,先請段委員宜康發言。
段委員宜康:主席、各位列席官員、各位同仁。建議曾銘宗委員等人提的修正動議1的第六款和蔡易餘委員所提修正動議第六款的差別是將中央與地方政府機關入法,將中央與地方政府機關放在第六款會與第四款的公務機關重疊,關鍵基礎設施所指的應該不是一個機關,而是一個通路或設備,設備的提供者有可能是公務機關或非公務機關,所以條文規範的關鍵基礎設施就會把政府機關變成關鍵基礎設施,但政府機關未必是一個設施,而是特定設施的提供者,所以將中央與地方政府機關入法,可能會與關鍵基礎設施、公務機關及關鍵基礎設施提供者混淆,有關曾委員所提修正動議1,建議不要將中央與地方政府機關入法,以避免混淆。
主席:請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。我們對於關鍵基礎設施的想像,應該是一個pipe或是infrastructure,而不是像地方政府這樣明顯的標的。
對於將關鍵基礎設施的制定放入法規,有疑義的是目前關鍵基礎設施主要參考國土辦所指定的關鍵基礎設施,但這並不是資訊的思考方式,而是實體的思考方式,因為沒有明定,所以把政府機關及高科技園區劃進一個園圈裡,是不是在這裡面所有做網路設備及網路應用服務廠商都是關鍵基礎設施?而且所謂關鍵基礎設施範圍以後有可能會變動,如直接入法,可能會產生一些問題,這些都必須要再做說明。
主席:本席所提修正動議有關關鍵基礎設施部分,建議不要將目前行政院國土辦所公告「國家關鍵基礎設施安全防護指導綱要」所列舉的八大功能領域直接入法,如同剛才余委員所說的這是指一個地區、一個實體,但如果要進入資通的概念,是否能完全符合?不無疑問。其次,如果未來科技進步,關鍵基礎設施會不會超出這八大領域,也是現在所無法想像的,所以,我認為不應將這八個項目定義在關鍵基礎設施中。
主席:請許委員毓仁發言。
許委員毓仁:主席、各位列席官員、各位同仁。對關鍵基礎設施定義不明確之前,是不是放進本法,本席有疑慮。
國土辦所提出的八大功能領域,其實在行政院版的說明欄也有指出就是能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關及高科技園區,基本上,這是二、三十年前的定義,所以這部法不論規範現有的或是未來的關鍵基礎設施,甚至連將關鍵基礎設施這幾個字入法都是有相當大的問題。
資安處應該要說明如果關鍵基礎設施不入法,不明文載明哪些是關鍵基礎設施,是不是會有擴大行使職權的疑慮,如果入法的話,是不是只限制在說明欄所寫的這幾個,而這又是功能性的領域。但事實上,設施和功能是不同的,功能是代表它的行為,設施是代表有明顯的疆界及地理的限制,以及清楚的硬體設施,這部分請行政院資安處說明。
主席:請陳委員怡潔發言。
陳委員怡潔:主席、各位列席官員、各位同仁。有關關鍵基礎設施目前看起來只限定在七大類,但是法條並沒有說明是依據什麼樣準則來劃定其範圍,若只將關鍵基礎設施提供者留下來,會給予行政單位很大的權力去劃定其範圍。
例如國外業者開發的某通訊軟體,市占率在臺灣號稱有一千萬人在使用,平常政府官員溝通或政府體系的運作都很依賴這套通訊軟體,甚至透過軟體進行相對決策,當軟體遭受攻擊或不明資安問題時,有沒有辦法提供完善的服務?看起來是沒有辦法的,甚至質疑是否會影響到整個社會功能的運作。另這業者未在國內有登記,其機房也不在國內,所以類似這樣的業者,是不是應該列入關鍵基礎設施的提供者,如果列入了,以後要如何進行管理,管理之後,要怎麼樣去稽核。
要如何依據行政院版的第十八條得派員攜帶執行職務證明文件,進入非公務機關場所檢查,這部分會引起很大的疑慮,所以親民黨的版本認為這部分是不應該納入的。
主席:請曾委員銘宗發言。
曾委員銘宗:主席、各位列席官員、各位同仁。有關第二條本席所提修正動議,完全是基於好意,希望資通安全法案能更可行,能達到第一條訂定的目的。
有關第六款部分,我們希望能將關鍵基礎設施明確定義出來,因為有了定義後,才能讓整部法律在適用上會更明確及更可行。假設第六款沒定,就直接跳到第七款關鍵基礎設施提供者,前面沒有定義關鍵基礎設施,那提供者是誰?會更不清楚。另本席也在第八款對資通安全事件做定義,若不將這兩個名詞定義清楚,後續的執行會衍生很多困擾。
這沒有任何政治上的考慮,我只是純粹讓整部資通安全法能更可行而已。
主席:請行政院資安處簡處長說明。
簡處長宏偉:主席、各位委員。有關關鍵基礎設施並不是包括整個的組織,以電來說並不是將所有民營電廠或是台電整個公司都納入,而是以最關鍵會影響到運作,也就是單一失敗點的概念,同時若無法運作,會影響國家整個運作時才會納入。
舉例來說,在電力方面主要來就是台電,台電的關鍵基礎設施就是輸配電系統,因為輸配電系統無法運作,電就無法輸出,所以,關鍵基礎設施並不是整個公司都納入,而是從風險管理的概念來看。
誠如剛才委員所說,如果要明列的話,希望能保持彈性,並能定期檢視並公告;有關關鍵基礎設施運作的相關程序,會先由主管機關依照風險管理的方式去評鑑他的風險,之後報到行政院後,行政院會邀集相關部會以及專家委員一起檢視核定,這在程序上是很嚴謹的,請委員能多支持本案。
主席:請許委員毓仁發言。
許委員毓仁:主席、各位列席官員、各位同仁。我覺得這還是難以界定,譬如八大關鍵基礎設施中有一個科學園區,到底科學園區裡面的哪些東西是關鍵基礎設施?如果台積電被駭客入侵或資安處覺得台積電有可能被駭客入侵,因為它是科學園區的一間公司,資安處是不是可以大批人馬進入台積電搜索並扣查機房?所以這是非常奇怪的作法,是摸不著邊際、毫無疆界式的擴權。
主席:請王委員育敏發言。
王委員育敏:主席、各位列席官員、各位同仁。行政院提出修正的條文中有規範特定的非公務機關,就是現在我們討論的關鍵基礎設施提供者,又劃定關鍵基礎設施指的是這些項目,我的疑慮是這些範圍有明確化了嗎?所謂特定的非公務機關特別是關鍵基礎設施提供者,你們劃定的範圍明確化了嗎?將來會不會產生爭議?又,通訊傳播指的是什麼?這部分應該要花多一點時間討論,這同時也是外界的疑慮。
今天管制的範圍到底在哪裡?如果法律的界定不夠明確,將來執法一定會衍生很多爭議。如同最近大家討論的行政權力或司法權力,如果沒有節制的話,將會侵害人民的權益,這是目前台灣社會所不允許的。我們認為,行政部門不能打著資安的大旗,變成將來介入私人單位的依據,這在社會上是不被支持的,所以主管機關有必要每項都說清楚,例如範圍到底是什麼,尤其是包含那些項目,應該要解釋更清楚。
主席:請曾委員銘宗發言。
曾委員銘宗:主席、各位列席官員、各位同仁。剛才處長有提到,程序上要經過行政院公告,但是資通安全法是適用公家機關及民營機構,所以要訂的愈清楚愈好,不要每人看完以後都有不同的解讀,我的修正動議是將八大項入法後再履行一定的法定程序。
主席:請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。我的版本原本是參考國土辦所定的八大關鍵基礎設施,八大基礎設施等實體或虛擬資產之營運所需之重要資通訊系統或調度,但後面部分在這次修改版本中反而不見了,這會不會讓大家覺得是指定實體。
我直接有個提議,原本行政院提案的關鍵基礎設施是指實體或虛擬資產……,並經行政院公告者,但目前民間尤其是網路治理的社群,他們最大的疑慮是要我們要怎樣訂出關鍵基礎設施的程序,所以我在修正動議的第三條有提出,關鍵基礎設施提出的程序是彙整主管機關、產業部門及民間學者意見,制定與關鍵基礎設施有關之資安政策及原則及辦理關鍵基礎設施之公告,而不是由政府做單方面的指定。雖然修正動議是修在第三條,但建議可放在原本行政院提案的第六款下方,取代「並經行政院公告者」。
主席:請林委員為洲發言。
林委員為洲:主席、各位列席官員、各位同仁。這是一條關鍵性的條文,因為第六款的定義後會影響到第七款,第七款又會影響到後面非公務機關的民間企業若碰到資安問題時,政府的介入可到什麼程度,這也是外界最關心的問題。我認為應該統整大家的意見,儘量要訂定嚴格及明確些。
公務機關在第四款已經確定了,公務機關若碰到資安問題,政府該怎麼處理就怎麼處理,但是若是私人企業時,該如何處理?所以我支持第六款先訂定領域,然後再訂定領域裡面的設施。先訂定領域才能顯現何者為關鍵設施,譬如電線電纜、網路、道路、自來水及所有公共設施,這些都屬於基礎設施,但是要「關鍵」,也就是要很關鍵的才能納入,所謂很關鍵的就是要很重大的,所以才有領域的限制。
要先設定能源、水資源、通訊傳播、交通、銀行等領域,因為要符合關鍵及重大,如果將這個刪除,到時任何領域都可以當作關鍵基礎設施的範圍。所以要先設定足以影響民生及國家安全等等重大關鍵的領域,然後再訂定領域裡的設施。現在看起來雖然修正動議有把領域這部分納入,但還是不夠明確。剛剛許毓仁委員所提到的高科技園區,就設定在領域裡面,而這個領域有公有私,公與私都要算在這個範圍領域裡面嗎?對此我們會很擔心,而且這看起來也不容易,因為只要牽涉到涵蓋私人企業的部分,如果過度寬鬆,所有私人企業,只要是關於通訊傳播,不管有線或無線,就統統涵蓋在內了,將來都要被資安法所限制與介入,這是不可想像的。如果要限制,要限制到什麼樣的程度?我覺得這很困難。如果能把私人企業與公法人、公務機關切割開來,這是最有效且簡單的方式,如果要把私人企業納入,我們在設定其範圍及界定關鍵不關鍵、基礎不基礎,就個就很難去界定了。
主席:請吳委員志揚發言。
吳委員志揚:主席、各位列席官員、各位同仁。這是大多數民眾最憂慮的,也是私人網路業者非常憂慮的,首先第六款定義非常不清楚,如果只是把指導綱領的八項領域放進去,是比較清楚,但還是有疑慮,就是剛剛提到的資訊傳播這一塊,因為這一塊涉及到民眾一般的通訊,隨便舉幾個例子來說,例如PTT掛掉了,LINE掛掉了,FB掛掉了,甚至大家常用的Gmail掛掉了,都會符合所謂對國民生活有重大影響,對於商業經濟活動也會有影響,畢竟很多商情的探討都是透過這些管道在研究的。但這是私人領域受損害,會不會因此造成國家資通安全方面的問題?是要由業者請求相關偵辦單位協助破案,還是國家可以以資通安全為理由主動介入?一旦介入,在商業方面可能會有商業機密問題,在民眾個人方面則有私人隱私問題,在經營者方面就會有營業秘密問題,所以這個需要很慎重去考量。我倒是我覺得,如果沒有更好的方法,就是採用曾銘宗委員的第二條第六款修正動議,再加上余宛如委員第三條公告前的行政程序,這樣比較周延一點。也就是說,至少要符合業界一般認為需要政府介入的部分,而不是政府根據這八個領域認為有需要介入就直接公告,所以我具體建議採用曾銘宗委員版第二條第六款,再加上余宛如委員版第三條,一起合起來考慮,謝謝。
主席:關鍵基礎設施在定義上,曾委員與本席的修正動議都是先把領域劃出來,這個領域就是國土辦所公告「國家關鍵基礎設施安全防護指導綱要」的八大領域,接下來大家比較質疑的是,在這八大領域內到底有什麼項目是關鍵基礎設施,聽起來很多委員還是有疑慮的,吳委員的意見是把行政院經過核定再公告的程序也訂定於條文中,這個部分稍後再請行政院一併表示意見。
接下來請李委員俊俋發言。
李委員俊俋:主席、各位列席官員、各位同仁。我想要請教一個問題,關鍵基礎設施的定義到底是什麼?因為我們現在討論的其實是不同的內容。我們討論的是關鍵基礎設施的領域還是關鍵基礎設施的項目?還是說關鍵基礎設施根本就是一個區域?如果這個部分沒有先定義清楚,會引發後面的爭議。
其次,有關第五款與第六款,第五款特別規定「非公務機關」的定義,之所以如此規定的原本概念,舉例來說,有用到電信、通訊傳播等不一定是公務機關,但也有所謂資通安全的問題,這些資通安全會影響的層面也相當大,原來的出發點是這樣,可是如果沒有把關鍵基礎設施定義清楚的話,公領域與私領域的管轄的概念是完全不同的。對於這個部分,我覺得還是應該先定義清楚所謂關鍵基礎設施指的是什麼。國土辦所提供的這八大項領域,原來只是國土部分的處理而已,是不是在網路領域、資通安全領域上能夠涵蓋,我想這也必須說明清楚。關鍵基礎設施原本的定義是什麼?會不會造成國土辦的關鍵基礎設施定義與資通處對此的定義與範圍使用不一樣?到底講的是項目、區域還是其他什麼?這個部分如果沒有清楚的規定,可能會造成後面大家所提出的問題,也就是公領域與私領域的問題。以上。
主席:請陳委員怡潔發言。
陳委員怡潔:主席、各位列席官員、各位同仁。我覺得李委員講的很正確,大家一直在討論關鍵基礎設施定義的範疇是什麼,除此之外,我覺得重點還有指定程序到底是不是公開透明。如果指定程序不公開透明,會不會讓外界覺得未來的處理方式是黑箱作業?今天行政院版草案條文比較矛盾的是,針對私有關鍵基礎設施的提供者採用高強度的行政管理,而不是採取鼓勵參與的方式納管。關於這個部分,稍後請他們做更明確的說明,這樣大家才能進行完善的討論。本席舉歐盟的情況為例,對於網路與資訊系統的安全指令就是採取正面表列的方式,具體列出關鍵基礎設施的樣態,正面表列的非常清楚,例如電業、石油業、天然氣事業、航空運輸業、飛航管制機構、航空站經營者等等,正面表列的非常清楚。所以在整個定義上或是指定程序的公開透明上,相對的也就比較不會有疑慮產生,而且他們非常清楚的在條文中訂定次部門的分類,我覺得這個部分其實也可以採納,而不是像我們現在的作法,可能會造成給予行政單位很大的權力去進行劃定或任意指定,我覺得這個部分,未來在條文規定上應該要做相對的防範。
主席:請尤委員美女發言。
尤委員美女:主席、各位列席官員、各位同仁。原本行政院訂定的指導綱要中的八大領域有包括中央與地方政府機關,但是中央與地方政府機關已經被「公務機關」定義涵蓋了,所以在關鍵基礎設施中應該把這個部分刪除掉。
另外,蔡易餘委員所提修正動議已經把這些領域明白列出來,而且已經把中央及地方政府機關去除掉,同時還加上要經過行政院的定期檢視。至於公告的領域,曾銘宗委員的版本及余宛如委員的版本都有,只是行政院還加上了定期檢視。另外,余宛如委員版本有提到公告時應該彙整主管機關、產業部門與民間學者的意見,制定關鍵基礎設施有關的資安政策原則辦理關鍵基礎設施的公告,這個部分是不是有可以參考的地方?如果有,是不是要把這個部分放在第七款?第六款先定義關鍵基礎設施,也就是這八大領域,但要先把中央及地方政府機關拿掉,只剩下七個領域,這七個領域的提供者並不是屬於這領域的就全部都包括,所以在第七款會有所謂「關鍵基礎設施提供者」的定義,是指經中央目的事業主管機關指定,並報行政院核定者,所以指定時是不是能夠余宛如委員版本的第十四款要彙整民間產業的意見納入,有沒有這樣的可能?這是綜合大家所疑慮的,也就是關鍵基礎設施到底是什麼?提供者是什麼?這個部分如果這樣規定是不是會比較明確?
主席:請鍾委員孔炤發言。
鍾委員孔炤:主席、各位列席官員、各位同仁。有關於第二條的爭議,大概就是所謂公領域與私領域的關鍵基礎建設,這些設施進入私領域時到底會不會有其他相關問題?其實我們針對第十八條有提出修正動議,就是針對未來要進入私人領域去進行檢查時到底是不是可以進入,這在第十八條會討論到。至於第二條,因為主席有提出一個修正動議,有關於關鍵基礎建設的定義,大概跟曾銘宗委員的版本同樣都是以列舉方式來處理,我支持這個修正動議。以上說明。
主席:請許委員毓仁發言。
許委員毓仁:主席、各位列席官員、各位同仁。剛才幾位委員其實也講得滿清楚了,行政院指導綱要的八大領域其實是八大功能領域,是屬於功能性的概括區分,等於是把功能講出來,但對於功能裡面什麼是關鍵基礎設施並沒有很明確的提出來。我的看法是行政院資安處要回去再好好思考這一條到底要怎麼訂定,以目前的作法來說,相信民間、民意代表及各個資安產業的相關人員比較沒有辦法接受,甚至於我們在審查這些法條的過程中,因為IVOD有直播,所以同時會有很多訊息進來,對目前我們在討論的部分有相當大的疑慮。
行政院版第二條第五款「非公務機關」,「非公務機關」這幾個字的使用也造成大家對於關鍵基礎設施所涵蓋的範圍感到非常困惑。以功能性來說,如果通訊傳播功能類的機關當機了,被駭客侵入了,所有提供服務的上下游廠商是不是要一併連帶受罰?如果牽扯到非常複雜的機關時,是不是就會變成沒有辦法解決的問題?所以我認為行政院資安處在訂定這一條時並沒有思考清楚,我建議這一條應該先保留,讓行政院回去再想清楚,等到協商時大家才會有比較清楚該如何做的方式,以上。
主席:請段委員宜康發言。
段委員宜康:主席、各位列席官員、各位同仁。聽了各位的高見,坦白說,如果我們對於審查的法案不了解,邏輯都搞不清楚的話,莫怪在看轉播的民眾會感到糊裡糊塗了。我們應該要先決定的是,究竟要讓政府多管還是少管?剛剛討論到所謂的關鍵基礎設施,但我們對於非公務機關的關鍵基礎設施與關鍵基礎設施的提供者會有很多的想像,但這些其實都不是關鍵基礎設施。以我們所說的通訊軟體來說,通訊軟體並不是自己成為一個網絡,而是依附在關鍵基礎設施上的程式,它是沒有辦法單獨存在的,例如電力,台電公司的供電電網是個單獨存在的網絡,這就可能是關鍵基礎設施,而這個關鍵基礎設施因為資訊受到影響,例如被攻擊了,將使得社會受到重大的影響。
又例如高鐵,高鐵的軌道網絡會對國家與社會造成重大影響,所以如果高鐵的電腦被攻擊,造成售票系統癱瘓或是發車系統癱瘓,對我們就會造成重大影響。如果是證交所被攻擊而癱瘓了,後果嚴重不嚴重?很嚴重,但證交所是依附在關鍵基礎設施上,它是依附在電信公司這個關鍵基礎設施提供者,證交所沒有自己的網絡,不會連結到你家的電腦,不是段宜康、林為洲要買股票,電腦就會跟證交所有個網絡存在,其實是沒有的,我們是透過網路的線上交易或是打電話給營業員,由營業員透過網路下單,所以是與電信公司這個關鍵基礎設施提供者相關。但現在我們都把它和在一起了,所以就產生很多想像,覺得這怎麼得了,擔心還有很多事項沒有被規定到,或是擔心什麼都會管到,其實並沒有。
關鍵基礎設施如果能夠清楚定義的話,我們可以想像一下它會是什麼,它其實不是銀行,因為不會所有銀行都被駭客攻擊,除非被攻擊的是電信公司,所有的網路都癱瘓了,所以有可能被攻擊的是某家銀行,它的資料被不當存取、被盜領,但不是所有銀行,所以銀行當然就不會是關鍵基礎設施的提供者。誰會是關鍵基礎設施的提供者?這個我們必須先搞清楚,否則現在討論這個部分將會非常錯亂。關鍵基礎設施的提供者非常少,因為我們大部分的想像都不是關鍵基礎設施,只是關鍵基礎設施的使用者,這個使用者會對我們的生活產生很大的影響沒有錯,但它不是關鍵基礎設施的提供者,這是第一點,所以請行政院要再次說明清楚,這個觀念必須要釐清。
第二點,我們很多人的想像是,關鍵基礎設施的提供者如果被檢查了,很多資料就會外洩,其實並不會去檢查你的業務。以中華電信為例,如果我們要去看它對資訊安全的維護計畫,或是對其硬體的保護、對機房做充分保護,我們不會去看中華電信的客戶名單,也不會去看段宜康在中華電信有幾支電話,打了哪些電話,不會檢查到這個部分嘛,只是會檢查或要求查看計畫,看看有沒有充分保護資通安全,因為你是關鍵基礎設施的提供者,而不是去檢查你的業務。以台電為例,不會去查看為什麼蔡易餘家的電費這麼高,不會去看這個東西,因為這不在授權範圍之內。
不好意思,我花了比較多的時間,希望行政院把這個部分講清楚,否則大家會擔心,我們討論時也會不斷岔出去。如果是這樣的話,我建議行政院要回到原本的版本,如果採取列舉的方式,第一,未必能列舉周全,第二,列舉的很多都不是關鍵基礎設施提供者,如果做這樣的列舉,反而會引起爭議,所以我的建議是說,不要去列舉,而是把它有可能造成的影響,如果大家覺得還不夠明確,再定清楚一點,你列舉出來之後,因為大家對什麼叫做關鍵基礎設施不是很清楚,就會去想像了,說水資源、什麼會不會影響到要來檢查我家的自來水表,這個東西其實是非常荒唐的一件事情,但是我們會花很多的時間在處理這種荒唐的定義,你定義不清楚造成這些爭議,這兩點請你們講清楚。
主席:請曾委員銘宗發言。
曾委員銘宗:主席、各位列席官員、各位同仁。剛剛段委員講得有道理,也講得很清楚,以在座的國會議員都分不清楚、搞不清楚,更要定清楚,假設連國會議員參與立法都各自解釋11:10:59,到時候定出來了,人家看條文,誰清楚啊?但是我也承認,這條文定了是相對清楚,不會完全清楚。剛剛段委員提到證交所的部分,當然是關鍵措施啊!主要的交易系統是關鍵措施,不是你買股票進來那些券商的部分,證交所的關鍵─它的主機交易系統,當然是關鍵措施;銀行的部分、財經公司的跨行系統當然是關鍵措施。其實段委員剛剛講的是錯了,證交所的主要交易系統,還有財經公司的跨行系統當然是,個別銀行當然不是。我的建議是,儘量讓它定清楚,不可能完全清楚,假設在座的國會議員都各自解讀了,到時候這個法條不清不楚,到時候怎麼執行?這是第一點。
第二點是第八款的資通安全事件,這涉及第十三條的公務機關要回報、第十七條民間的事業要回報,什麼叫做資通安全事件?還有第十八條要去檢查呢!你連資通安全事件都不定義,人家到時候怎麼回報?怎麼執行?剛剛行政院講說,已經都在做了。以前在做的是公務機關,現在民間的有要它回報、通知嗎?以後可以檢查嗎?內容完全不一樣,所以我希望定清楚,定清楚以後執行上比較沒有疑義。謝謝!
主席:我們先把整個事情釐清楚,目前第六款所定的八大領域,指的是這個領域,就是這八個領域裡面可能裡面有部分設施或通路屬於關鍵基礎設施,不管是曾委員,還是我的這八個,事實上它只是一個領域,表示這八個是我們想像上比較重要的地方,未必這裡的東西就是關鍵基礎設施啊!
如果按照段委員的意見也很好,因為這個領域事實上是沒有意義的,未必這個領域上的所有東西都是關鍵基礎設施,如果回到你們最原始的版本,就是由你們再重新去定義並且公告,到底你們未來要納入管理的關鍵基礎設施是什麼?這個東西也許已經超過了這八個領域之外,但是你們認為那一項的通路屬於關鍵基礎設施。我覺得行政院在這一點的立場你們必須思考清楚,未來這個法案上路所管轄的範圍,因為它在這一個定義上,如果不清楚的話,接下來很多條文是走不下去的。
曾委員銘宗:可不可請行政院就它想像中的關鍵基礎設施是哪些,講清楚。
主席:對啊!我們要讓它講,現在就是要讓行政院講。
林委員為洲:而且要針對非公務機關的部分,到底是哪一些?
主席:先讓行政院說明一下,請行政院何副秘書長說明。
何副秘書長佩珊:主席、各位委員,我們先請資安處就八大領域裡面,哪一些會去規範的?先請他說明。
主席:請行政院資安處簡處長說明。
簡處長宏偉:主席、各位委員。在關鍵基礎設施裡面,我就把涉及民間的部分唸出來,涉及民間的部分能源領域沒有;水資源沒有;通訊傳播就是中華電信、新世紀資通、台固、全球光網、國際環球、亞太電信;交通的部分就是臺灣高速鐵路股份有限公司、高雄捷運股份有限公司;金融與銀行在民間的部分就是財經資訊股份有限公司;緊急救援與醫院,中央與地方政府機關及科技園區與工業區在民間的部分都沒有。其實我們針對關鍵基礎設施一級的部分,如同剛才段委員所講的,在上面的舉例來講,剛才的LINE、Facebook這個都不會是關鍵基礎設施。曾委員所提到的證交所,這個是關鍵基礎設施的第二級關鍵基礎設施裡面;銀行的部分其實二級、三級都沒有。
其實關鍵基礎設施如同剛才段委員所提的,它是一個基本運作的設施、通路,如果這個設施、通路服務沒有的時候,上面都無法運作,所以我們剛才講通訊傳播,各位委員都在提的通訊傳播,在一級設施裡面只有中華電信、新世紀資通、台固、全球光網、國際環球、亞太電信,它就是最基礎的服務;金融、銀行就是財經。其實實際上民間會納入的很多是真正關鍵中的,它真的無法運作的時候,上面完全無法運作。
剛才委員有提到高科技園區的部分,高科技園區我們不是去規範高科技園區裡面的廠商,我們規範的是高科技園區裡面的基礎運作,譬如高科技園區裡面的水、電,這對園區的廠商非常重要,所以必須維持它的運作,還有它的交通運輸非常重要,所以高科技園區裡面我們定義的是這個。
至於剛才大家也在提的,針對這些關鍵基礎設施我們要管的是什麼?其實我們管的不是它的email、作業系統,這些都不是,我們管的是所謂的工業控制系統,這一類系統譬如電的配送、水的配送能夠正常運作,這些都不是因為他用了某個mail,就去管這個mail,我們管的是真正涉及到整個運作的部分。以上是針對剛才各位委員所提的我們做報告,謝謝!
主席:如果照行政院的說法,這樣是很清楚,所謂關鍵基礎設施,它想像上並不是這家公司怎麼經營,不是那個重點,比較有一點像通路的概念,我要怎麼讓整個電在高科技園區是可以順暢的,所以它有一個通路;我要怎麼讓資訊暢通?必須有網路上的頻寬,有這樣的頻寬,整個網路在證交所才能運作,它想像上是這樣的一個概念,比較類似像設施之間的通路。如果這樣的話,我們真的有必要把八大領域定義在關鍵基礎設施嗎?感覺上是不必要的,這是我初步的想法。
請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。我還是提議這一條還是回到院版好不好?我覺得院版的定義是可以的;另外加上我剛剛修正的部分,就是它的程序部分是要經過一個公開的方式,跟產業、專家討論之後公告之,是不是可以請大家接受這樣子的提議?
主席:請林委員為洲發言。
林委員為洲:主席、各位列席官員、各位同仁。剛剛行政院給我們說明的講得很清楚,如果照這樣的精神是沒有什麼問題,現在問題是,法律的條文裡面講不清楚,可是你的說明講得很清楚,但是你的說明沒有辦法在法律條文裡面看清楚你講的這個意思耶!所謂七大領域或八大領域,不管有沒有放,有放還是不清楚,你看裡面有通訊的部分,或許一般民眾認為通訊的範圍很廣,包括LINE、WeChat等但事實上,通訊並不能代表最關鍵基礎設施的概念,而且用「最關鍵基礎設施」一詞,其本身定義就不是很清楚,本席以為,整個條文內容不如說明欄內的文字來得那麼清楚,所以,可預見未來法律適用時,必然會引發許多爭議,各界也會有不同的解釋,一般民眾不一定認同你們今天所做的詮釋,這是我們非常擔心的問題,請問到時候如何釐清疑義?如果要把八大功能領域全部列舉出來,我看也不一定能列舉得很完整,比如你們剛才提到的中華電信、資通等等,將來是否都有可能變成新公司,當然,也有一些是舊的公司,在倒掉之後又成立新的公司,所以若要列舉也未必列舉得很完整,這個問題怎麼解決?
雖然你們在說明欄中已表達得很清楚,但如何將說明的內容明確入法,你們還有努力的空間,這樣我們才會清楚知道將來你們一定會照說明的內容去執行,針對法律條文的文字要怎麼寫,行政部門還有什麼意見?
主席:請曾委員銘宗發言。
曾委員銘宗:主席、各位列席官員、各位同仁。我贊成林委員的意見,像屬於第一級的最關鍵基礎設施,固然是針對現狀來說的,但事實上,它是屬於一種動態,隨著未來數位化時代的來臨,還是會產生革命性的影響,所以,這個問題到底怎麼解決,請行政院提出說明。
主席:請段委員宜康發言。
段委員宜康:主席、各位列席官員、各位同仁。我了解大家對此有疑慮的原因,是擔心如果我們今天不在法律上訂清楚,將來行政機關可能會有濫權的情事發生,其實,若站在我們的立場上來看,只怕行政機關不肯管,過去他們就是不肯管,現今立這個法逼得他們不得不去訂出來,各位會認為行政機關有可能多管嗎?坦白說,站在他們的立場,多管就要多費力氣、多負責,可以說是一件很麻煩的事情;你跟他們講這樣可以對中華電信等知名通訊業產生影響力,可是他們還是管不到通訊業者的業務,只能盯著他們在資安方面有無照著規定來做而已,如果出問題就要追究責任,這對業者或行政機關來說,都只是增加他們的負擔,並沒有增加他們的權力。
固然大家的疑慮不是沒有道理,但如果我們設身處地站在行政院的立場來看,他們何嘗不是希望多一事不如少一事,所以,有委員擔心他們可能會多訂或是多管,試問他們有那麼多的人力去管嗎?老實說,大家做這樣的考慮都是基於一片好意,試想如果我們很清楚地列舉了十幾項,最後還不是要加一個「等」字,或是增訂一款「其他經主管機關認定為需要之項目」,因為在立法上我們不可能規定除明文列舉之項目,其他都不能再擴大,所以,到最後還是要加列授權條款,也許這樣明文列舉出來會讓大家安心,但我們這樣的安心其實是很虛的,反而會給我們的社會帶來困擾,質疑某個項目為什麼未被列名其中,而被列舉在其中的也同樣會被人質疑,像剛才行政院資安處的說明就明白指出能源的部分目前並沒有規劃在內,既然沒有規劃,你們又為什麼把它放在條文裡面?這樣一來不是變得很麻煩嗎?也許大家擔心行政機關濫權,基於好意希望能將所有都在條文明白列舉出來,可是就這個法律來看,要行政機關濫權的可能性確實很低,因為他們真的很怕麻煩,在此情況下,他們怎麼可能多生事?畢竟多生事就要多負責,過去我們一直要他們後訂,但他們遲遲訂不出來,原因即在此,因為一旦訂出來之後,依法他們就要負起責任!現在既然他們已被迫訂出來了,我們又要他們限縮到很具體,我個人覺得未來一定會滋生疑義,且會引發更大的爭議,所以,我認為沒有必要在條文中一一列舉出來。
主席:請陳委員怡潔發言。
陳委員怡潔:主席、各位列席官員、各位同仁。對這個條文,我們親民黨黨團所擔心的除了剛才提到的濫權之外,還有其他問題,不過,在經過段委員的說明之後,我發現濫權的部分應該還好,至於另外一個值得我們擔心的就是空白授權的問題,也就是現在條文內或是未來要依據什麼來增訂一些表列的項目,其實,相關行政部門都可以這樣做,因此,對這樣的空白授權並不具有法律的明確性,這部分才是我們比較反對的。
主席:請許委員毓仁發言。
許委員毓仁:主席、各位列席官員、各位同仁。對這部分,我覺得真的很難處理,固然剛才資安處對條文所規範的八大功能領域有做了說明,但我還是覺得實在太含糊不清,因為功能跟關鍵基礎設施之間究竟有什麼牽扯,就連我們立法委員都搞不清楚,所以,是不是把剛才資安處說沒有的部分給拿掉?總而言之,你們應該要有一個好的方式來解釋究竟哪些才算是關鍵基礎設施,光就文字表面的字義來看,所謂「八大功能領域」一定是比設施更為廣義,我相信非法律專業出身的人一定沒有辦法理解,加上執法上也會有相當程度的困難,有點像頭跟身體分開的那種感覺,因為在制定條文的當時,並沒有針對這部分做出明確的說明,所以,這部分還是要做處理。
主席:就我的想像,如果把「八大功能領域」入法之後的狀況可能更可怕。
許委員毓仁:這在行政院版的說明欄中已有講過。
主席:我覺得這在說明欄裡面都不該提到「八大功能領域」,否則,未來只要是跟八大功能領域有關的都是行政部門業管的範圍,到時候行政部門真的管不完了!
至於這樣規範會不會有空白授權的問題,我覺得這要看我們接下來要怎樣規定行政院應如何公告關鍵基礎設施的程序,俾讓這部分的授權更為嚴謹,所以,對剛才余委員提到她有另外提出修正動議,用以規範授權行政院的部分,我反而覺得這部分非常重要。
現在行政院版提出八大功能領域,請問定義為何?又,這個領域裡面的核心項目是什麼?這些問題將來一定會吵不完,所以,本席具體建議我們還是回到行政院的原始版本,請各位繼續表達意見,接下來請尤委員美女發言。
尤委員美女:主席、各位列席官員、各位同仁。經過剛才幾位委員的討論,以及資安處的說明,我也覺得應該要回到原來的定義,但行政院版本只在說明欄內將八大功能領域寫出來,我倒覺得應該在立法理由中把剛才資安處說明時提到目前已經公告或指定中華電信等幾家業者,以及為何指定這幾家的理由寫清楚,至於說明欄裡面所提到的內容只是舉例而已,未來會做定期檢視並做彈性調整,至於原來的定義仍繼續維持;只是對說明欄內提到的八大功能領域,確實會引起大家非常大的恐慌,可是根據資安處的說明,有好幾個領域跟民間業者完全無關,所以,我們不用再去提那八大功能領域,只要舉例說明目前有指定哪幾家,將來有可能還會做彈性調整,不過,對行政院如何指定與公告,我覺得仍須回到原來的定義,而且要把第四款、第五款、第六款及第七款合併一起來看,基於上述,本席提議增訂第三項規定,即對行政院指定公告究竟要經過什麼樣的程序應予以明文規定。
主席:請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。謝謝各位委員的意見和資安處的回應,我聽完之後覺得這次討論明顯的點出一件事情,我們依照資安處的法規去參考國土辦所指定的八大功能領域和我們談的關鍵基礎設施是不太一樣的概念,所以我建議不要再用這些字眼或參考這個部分,就是直接拿掉,連說明欄都不要。
剛才簡處長公布的關鍵基礎設施,我在網站上找不到,到底有沒有公告設施的內容是大家比較關心的,就是因為你們沒有公告所以大家找不到,我參考你們的法案去看了國土辦的八大功能領域後就以為科技園區要整個被政府管。我還是要再講一次,資通安全法在美國、台灣或其他國家修正時,公共利益重大的部分主要還是歸管於公務機關,絕對不會是私人企業,只要將這部分的界線劃分清楚,大家有疑慮的地方能夠作一釐清,對這個法案而言才是最重要的。
主席:請鍾委員孔炤發言。
鍾委員孔炤:主席、各位列席官員、各位同仁。所謂的關鍵基礎設施、元件設施,最主要的是被攻擊到停止運作時會造成國家安全重大影響才會被列為關鍵的基礎設施,如果被攻擊而有損害但不是國家安全等級的影響就不是所謂的關鍵基礎設施。依照行政院的版本,只要定期檢視並公告,現行的行政程序法就有一定的合法程序,這樣就沒有什麼疑慮。
主席:請吳委員志揚發言。
吳委員志揚:主席、各位列席官員、各位同仁。有人覺得越討論越清楚,我覺得越討論越模糊。我現在在想資通安全為什麼會跟國土安全扯在一起?其實,兩者可以搭在一起也可以分開,可以討論所有東西的資通安全而不必考慮國土的安全,也可以說是在處理國土安全八大領域裡的資通安全,如果是這樣當然就是要將兩者扣在一起,所以要先將法律的原始意義講清楚。如果是廣泛的討論資通安全,我們反而比較擔心關鍵基礎設施被指定的範圍是否有個限制?如果討論的是國土安全的八個領域中有很多要用資訊安全的方式去管理的部分,當然會涉及一些私人的領域,如果我們要管的是這一塊的話就要將這八個領域放進去,這八個領域反而限縮了可能被調查的範圍,因為沒有這八大領域的話,可能就會有二十個領域甚至一百個領域。
這八個領域中民間非公務機關會處理的部分,就如剛才資安處所講的有些部門是沒有,但不表示未來不會有。至於能源的部分,將來或許會有由民間經營的電業網或智慧電網。如果立法目的是國土安全裡面的資通安全,那還是要勾在一起,至少將領域限縮在八個,至於目前會跟非公務機關,跟私人有關的幾個可以在說明欄中講解,這樣大家比較不會擔心你們會亂指定,加上剛才余委員提出的第三條的指定情形,我們就比較放心。至於大家比較害怕的第十八條,我們看是要刪除還是要加以修正,這樣對私人領域應該比較清楚也比較放心。
主席:請段委員宜康發言。
段委員宜康:主席、各位列席官員、各位同仁。剛才黨團助理提供了一個修法方向,我覺得可行,請各位斟酌。
我建議各位先不要看第六款,因為第六款是對關鍵基礎設施的定義,我們想像的部分都列到第七款了,包括剛才行政院報告的如中華電信、新世紀製作等等都是關鍵基礎設施的提供者,所以我建議第六款照行政院原來的版本,事實上它也沒有辦法規定得多詳細。徐委員的意見是要規定得更具體一點,但它對何謂關鍵基礎設施不可能定義得太具體,它真正可以具體規定的是關鍵基礎設施的提供者,如台灣高鐵等等。我們可以參照毒品防制條例第二條的體例,毒品防制條例第二條條文是這樣規定的:「前項毒品分級之品項由法務部會同行政院衛生署組成審議委員會,每三個月定期檢討,報由行政院公告調整增減之,並送請立法院查照。」,也就是在條文中訂定附表,但這個附表不必每三個月定期檢討,因為這和毒品不一樣,這個的變動可能性不高,但仍要由行政院檢討,如有增減的話要公告並送立法院查照,不需經過立法院同意。這個應該是在有重大變化時才會調整,比如吳委員所說的智慧電網,智慧電網對台電的地位可能改變,遇有類似這種情況時就送來立法院查照,有必要改成審議時我們再來審議,我們可以在法條中這樣訂定,所以我建議這個條文暫予保留,請行政院研究、規劃,到後面可以處理的話我們再回頭來處理。
主席:請行政院何副秘書長說明。
何副秘書長佩珊:主席、各位委員。謝謝委員們的關心和垂詢,剛才段委員與余委員建議的方向是我們可以接受的,也就是回到原來的院版再加上余委員的修正意見,由行政院彙整主管機關、產業部門、民間學者意見制定關鍵基礎設施有關之資安政策及原則,及理關鍵基礎設施之公告後送立院查照。我們是不是可透過用更開放的程序?各位最害怕的是行政擴權、行政濫權,我們把民間意見也列入審查機制中,這樣委員是不是可以更放心?
主席:請尤委員美女發言。
尤委員美女:主席、各位列席官員、各位同仁。我建議這條暫時保留,請行政院儘快將條文擬出,下午再回過頭來討論這個條文及其立法理由。
主席:雖然這一條討論得非常廣,但大家對於方向應該有共識了,今天上午開會到12點休息,下午兩點半繼續開會,請行政院在這段時間內將第二條或第三條如何修正、未來公告的程序訂出,說明欄的部分也需要做調整,第二條保留。
現在處理行政院提案第三條,時代力量黨團有提一個獨立的第三條,我們先看第53頁第三條條文,另外,余委員宛如有提修正動議,請行政院何副秘書長就各版本條文及修正動議說明。
何副秘書長佩珊:主席、各位委員。我們建議支持蔡召委易餘所提修正動議。
主席:請尤委員美女發言。
尤委員美女:主席、各位列席官員、各位同仁。第7頁蔡委員易餘所提修正動議第一項已規定「並推動下列事項」,為文句嚴謹起見,我建議下面各款的「推動」予以刪除,你們在左邊畫線表示要刪除,但在右邊又抄進去了,所以是否將第二款中的「之推動」、第三款中的「及推動」、第四款中的「及推動」刪除,並增列第二項。
主席:好,做文字上的調整。
請鍾委員孔炤發言。
鍾委員孔炤:沒有其他意見了,把原條文中的「推動」刪除就好了。
主席:請尤委員美女發言。
尤委員美女:余委員所提第三條中有「主管機關」,這裡要不要定「主管機關」?
主席:請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。這是我的版本和行政院最不一樣的地方,也是等一下進入院版第三條要討論的,主管機關的明定對於資安的治理架構而言是非常重要的,院版只有提到「行政院」、「公務機關」,其實在談資安治理時會有制定標準的人、實際執行的人、技術支援的單位及稽核的單位,我們在行政院版本中沒有看到這樣的治理架構,所以我建議等一下進行時可以一起討論這個部分,也希望行政院能給予回應。
主席:請鍾委員孔炤發言。
鍾委員孔炤:主席、各位列席官員、各位同仁。尤委員建議將原條文第二款、第三款、第四款中的「推動」與「及推動」等字刪除,主席的修正動議特別建議增列一項:「前項相關事項之推動由行政院以國家資通安全發展方案定之。」。
主席:對。請尤委員美女發言。
尤委員美女:主席、各位列席官員、各位同仁。余委員的版本將資安治理機關掌理的事項列得非常詳細,這裡是否也要這樣鉅細靡遺的列舉,或者只要規定「行政院以國家資通安全方案定之」,不必列得那麼詳細,只是將要推動的事項列大項出來,其他的細節……
主席:我先說明一下。余委員的版本是對應行政院版本的第四條,所以行政院版本、本席所提修正動議第三條和余委員版本的第三條不是相對應的條文。
請余委員宛如發言。
余委員宛如:我同意召委所講的,我剛才仔細看了一下,第三條主要是規定國內產業資安人才之提升,現在的修正動議內容符合這一條,第四條主要是規定國家資安治理機構的權責,這部分比較適合討論我提案的內容。
主席:第三條按照蔡委員易餘的版本,並依照余委員所提做文字修正後通過,請問各位有無異議?
請林委員為洲發言。
林委員為洲:主席、各位列席官員、各位同仁。增加第二項有什麼特別的意義?有差別嗎?所謂的由行政院以國家資通安全發展方案定之,現在已經有這樣的方案嗎?是不是要在這個架構下訂定?
主席:請行政院資安處簡處長說明。
簡處長宏偉:主席、各位委員。我們現在就有這樣的方案,每四年一期,而且法中有規定要定期公告。第三條如照主席的版本再增列這一項其實是賦予我們更大的責任,國內人才、研發等等都必須在資通安全發展方案中推動,對我們而言是課予我們比較大的責任去提昇國內的資安。
主席:第三條照蔡委員易餘的修正動議,然後文字再修正後通過。
現在回頭處理第52頁時代力量所提第三條條文:「政府每年應編列相關預算執行法令及政策」,行政院對此有什麼意見?請行政院何副秘書長說明。
何副秘書長佩珊:主席、各位委員。我們要回去詢問一下主計總處的意見。
主席:你們現在應該已經有在運作了。
何副秘書長佩珊:對,現在行政院資安處的預算編列在院本部。
主席:既然是用院本部的預算就不必再訂定這一條。
何副秘書長佩珊:應該是這樣。
主席:時代力量黨團所提第三條不予採納。
現在處理第58頁的行政院提案第四條,對應的是時代力量黨團的第五條,許委員毓仁和陳委員亭妃都有提出版本,這條也對應余委員宛如的第三條、第四條、第五條、第六條及親民黨版本的第三條,另外在第3頁和第14頁有余委員宛如所提第四條的修正動議。
請行政院何副秘書長說明。
何副秘書長佩珊:主席、各位委員。這個條文牽涉到主管機關,如果委員認為還是必須要有主管機關,我們建議把主管機關放在行政院,因為行政院底下的資安處和國土辦都是與此相關的內部單位。
主席:請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。第四條不但沒有明定主管機關且直接賦予任務,其實資通安全彙整任務是非常細膩、綿長的,國外從來沒有單是一個中央主管機關就可以做完所有的事情,所以我比較希望能夠用分工的方式,這樣比較完整,也因此我們在第三條規定資安主管機關就是行政院資通安全處而不指定國土辦,因為我們談的是資安,當然我有規定一些他們該盡的責任,對他們課以責任。
另一個部分是資安除了要有治理的主管機關負責政策擬定、評估、稽核等工作外,還要有管理機關,所以我將管理機關定為在中央為二級機關、行政院直屬三級機關,以及公法人、公營事業與政府捐助之財團法人為該法人及事業。我以修正動議將地方機關、地方直轄市政府刪除,因為資安的部分還是由中央統籌比較妥適,目前資安的能量在各地方政府是不足的。
我們再看第五條有關資安標準的主管機關,國外資安標準的主管機關是獨立機構,這件事情為什麼這麼重要,因為訂定標準、稽核、執行、技術的單位如果都是同一個機關會有球員兼裁判的可能,所以獨立的標準主管機關是參考國外架構提出的,以我國目前的組織架構來看,最適合的是經濟部標準檢驗局。
第六條有關技術支援的部分,目前我們的技術支援部分是委託技服中心卻沒有明確的法律依據,現在政院版本裡面有規定可委託法人做技術等等工作。我覺得資安是非常重要的事情,不能隨便委辦,應該給予法律定位,讓它可以長期做這件事情,這對台灣資安的穩定及累積發展能量是比較好的。
我針對我提出的第三條、第四條、第五條、第六條,以及整個組織架構提出一些看法,希望政院和各位同仁都能支持。
主席:請段委員宜康發言。
段委員宜康:主席、各位列席官員、各位同仁。余委員的版本提供了一個不同的思考和路徑,余委員顯然是期待有個更完備的架構,但我覺得以現狀來看,行政院的能量大概沒有辦法做到這點,我們可能必須一步一步的來。
余委員提到行政院資安處,事實上行政院資安處無法當主管機關,因為它不是機關,沒有辦法當主管機關、無法行使公權力,如果它是主管機關,那也只能是一級機關,但現在一級機關只有行政院,而且我們也沒有二級、三級獨立機關可用,所以只有行政院可用。我的猜測是這樣,當初行政院沒有訂定主管機關,實質上這條條文是把行政院當做推動的主體,我們當然也可以明定主管機關為行政院,這樣責任比較清楚,行政院可以指揮、協調資安處執行,總之就是無法將資安處定為主管機關,除非我們修正組織法將資安處變成一個機關。
主席:請行政院何副秘書長就余委員提出的第三條、第四條、第五條和第六條說明。
何副秘書長佩珊:主席、各位委員。非常謝謝余委員非常細膩的思考,不過,就實務執行層次而言,我們還是建議採納段委員的意見,如果真的要明定主管機關是不是就將主管機關回歸到行政院?
主席:請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。我要進一步的請教,因為這會牽涉到組織法的修正,所以主管機關必須是行政院,那麼其他分工的部分如何處理?我的意思是如果主管機關要是資安處的話可能就要修正組織法,這樣資安處才能變成主管機關。如果主管機關還是行政院,那麼我要知道完整的資安防護架構是否能夠在法律上顯現出來而不是只規定「行政院」?事實上不是這樣分工的,我希望在這個法案上它能夠更透明。
主席:請行政院資安處簡處長說明。
簡處長宏偉:主席、各位委員。現在資安的推動其實在資通安全會報整個組織架構裡面都有,這一部分有公布,所以它也是公開的資訊。剛才委員提到標準的訂定、規範的規定、由誰稽核及防護等等在整個組織架構上都有,我們有一個比FIDMA更完整的架構。
主席:請余委員宛如發言。
余委員宛如:主席、各位列席官員、各位同仁。我請求這條先保留,請他們將組織架構的資料送給我,我思考是不是可以放入法律中,如果可以的話我就接受。
主席:請段委員宜康發言。
段委員宜康:主席、各位列席官員、各位同仁。我建議余委員在思考時看看行政院提出的說明,我們在處理法律條文時要訂定得非常具體可行,行,也就是說必須是具體的而不只是一個宣示性的目標,如果只是一個宣示性的目標,比如「要有足夠的經費、足夠的人力」,這樣的條文沒有意義,因為何謂足夠的經費、足夠的人力,沒有一定的標準,所以要將要求訂定得非常清楚,否則主管機關一定說自己很盡力,他們對於足夠經費的標準和你們的不一樣,這樣就會有爭議,也會讓人更加覺得我們只是訂定了一個宣示性的目標或說法而不是法律的要求,所以我建議余委員在思考條文時也做一個篩檢,將法律聚焦在可以具體要求且主管機關必須執行的方向。
主席:請余委員宛如發言。
余委員宛如:我同意段委員的看法,我希望從這一條可以明確的知道我國資安防護的分工架構,可以簡要的解釋標準的制定是由哪個單位負責,負責哪個部分,我們希望在法律中可以看到這樣的實質架構而不只是宣示性的。
主席:第四條先保留,等一下休息時間請行政院和余委員討論如何將她所列舉的多個項目具體的併入行政院版本第四條完整的展現出來。同時,行政院也必須做一個判斷,因為我們剛剛在處理第二條的時候有提到關鍵基礎設施定義的這件事,我們現在要整合余委員本來所定的第三條第十四款的部分,如果要納入民間或產業的意見,做為未來定義關鍵基礎設施的公告的話,你們這樣的文字展現究竟是要在第二條或第四條處理?我想你們等一下都要一併決定。
請周陳委員秀霞發言。
周陳委員秀霞:關於剛剛余委員所說的分工架構的問題,是不是請大家參考親民黨的第三條?
主席:親民黨對主管機關也有不同的設計。
周陳委員秀霞:可以參考一下親民黨的第三條。
主席:所以第四條和親民黨第三條先保留,行政院等一下趁中午休息時間可能要跟周陳委員及余委員討論好你們希望的架構型態,這樣這條條文待會兒才有辦法順暢地處理。
現在先休息,下午2時30分繼續開會。
休息
繼續開會
主席:現在繼續開會。還是先回到第二條的處理,把關鍵基礎設施定義好,接下來的條文就比較走得下去。我們還是回到第二條,行政院中午擬出了一些修正的建議,如果大家同意的話,我們再一起將它做成修正動議。根據行政院的規劃,第二條第六款關鍵基礎設施的定義,要由行政院定期檢視並公告領域,這一條要搭配接下來會處理的第十五條,第十五條有一個建議的修正,中央目的事業主管機關,也就是行政院,應該要徵詢相關公務機關、民間團體及專家學者的意見,指定關鍵基礎設施提供者,報請行政院核定,並以書面通知受核定者。行政院應將前項關鍵基礎設施提供者之名單,送立法院備查,也就是說,關鍵基礎設施的領域不必受限於國土辦匡列的八個項目的領域,而是由行政院這邊來做盤整及公告,在盤整的過程中必須徵詢相關公務機關、民間團體及專家學者,剛剛余宛如委員與吳志揚委員也都有這樣的提議,在程序面上還要求必須以書面通知受核定者,行政院最後就是報請立法院備查。
如果關鍵基礎設施做這樣的定義,相關的委員是否還有其他的意見?
曾委員銘宗:本席想確認一個文字,「經行政院定期檢視並公告之領域」,這個文字確定沒有問題嗎?「公告之領域」沒有問題,對嗎?領域這幾個字,我們常常使用,基本上,這個是軟體或硬體都有,對不對?
何副秘書長佩珊:這只是一個討論。
曾委員銘宗:本席只是要確認,看法務部的看法,這裡的「領域」與一般法律用語上使用的「領域」,不知道與傳統的用法是否不一樣?本席知道你們所指的內容也不一樣,現在本席只是問你們用的精不精確,對於文字並沒有意見,這裡的「領域」與我們想像中、法律現有的「領域」相比,現有法律使用「領域」兩個字的有非常多,本席是問這樣使用有沒有問題?
第二個,向主席報告,本席建議,「資通安全事件」還是要納進去,行政院那邊也已經初步同意,再看看文字怎麼修。因為這個涉及到後面的第十三條及第十七條,你們要訂清楚,讓這些公家機關,因為他們已經在通報了……
主席:曾委員,本席知道你的意見,你認為資通安全事件的定義也要納入第二條,這個部分等一下再討論,好不好?
曾委員銘宗:好,先處理……
主席:我們先處理第六款,如果第六款沒有先出來,接下來的條文就很難處理。現在請行政院就曾委員所提「領域」的定義提出說明?
何副秘書長佩珊:我請資安處來做說明。
主席:好。
簡處長宏偉:「領域」是我們與國土辦在這邊的通用名稱。
曾委員銘宗:因為你們都是資訊人員,在你們的用詞與法律用詞之間,基於你們的專業認為可以這樣用,domain本席也知道啊!但是,有許多法律條文都會使用「領域」2個字,究竟這樣的用詞精不精確,是不是請法務部表示一下意見?
主席:請法務部說明。
陳副司長大偉:因為沒有法律特別對「領域」做出定義,只要在這個法條中能夠看出它所指的意涵,應該是沒有法制上的問題,報告完畢。
主席:如果法務部也認為這樣的用語並不會涉及與其他法律用語相衝突的情況,第六款是不是就按照今天行政院提的修正建議來處理?曾委員是否同意?
曾委員銘宗:好。
主席:其他委員是否還有意見?
鍾委員孔炤:曾委員沒有意見的話,本席就沒有意見。
主席:關於第六款的部分,等我們討論完之後,還是要擬出一份修正動議,這樣才有辦法接續處理。
接下來是曾委員所提的修正動議,其中第八款有所謂的資通安全事件,同樣地他希望能將資通安全事件的這個名詞做一個定義,請行政院對這個部分先表示意見。
何副秘書長佩珊:關於曾委員的建議,基本上我們是可以同意,不過,曾委員建議的資通安全事件定義是「指系統、服務或網路狀態經鑑別而顯示可能有違反資訊安全政策或保護措施失效之狀態發生」,接下來的這句話是不是可以刪掉,直接就接到「影響資通系統機能運作,構成資通安全政策之威脅」,因為所謂「或可能與資通安全有關但事先未知狀況的產生」的不確定性太高……
曾委員銘宗:OK。
主席:曾委員也同意行政院這邊的再修正意見?
曾委員銘宗:好。
主席:其他委員還有意見嗎?
周陳委員秀霞:本席認為,還是先保留,好不好?
主席:先保留?
周陳委員秀霞:對,先保留。
主席:你是指這一款,還是?
周陳委員秀霞:第二條的第六款,我們還是先保留,好不好?
曾委員銘宗:如果你認為要保留,應該要講出你的意見,不能就只說要保留,對不對?
主席:周陳委員,這個第六款要去搭配第十五條,而第十五條就是未來所謂關鍵基礎設施提供者必須要由行政院核定,並以書面通知受核定者,也就是說,這些提供者會事先知道自己被行政院核定要去做資通安全受檢查的項目,在做這個核定的時候,必須要有相關的公務機關、民間團體、專家學者及產業一併參與討論。
周陳委員秀霞:我們怕會有空白授權的疑慮。
主席:對,所以第十五條……
曾委員銘宗:周陳委員,你弄錯了!有這樣的規定會更清楚、更不會空白授權。原本在沒有這樣的定義之下,反而會授權更大,本席就是擔心會有您所講的顧慮,所以要把它寫清楚。
主席:基本上,第十五條就是把它的核定程序定義清楚之後,這樣就比較不會有空白授權的狀況,關於這個部分,你可以再斟酌一下。因為第二條是我們這次要處理的比較重要的一個……
鍾委員孔炤:主席,第二條……
主席:鍾委員,關於第二條的部分,現在就是有增訂第八款,行政院可能要先處理這個部分的文字。不過,本席也提了關於政府捐助財團法人的定義,如果對於這個部分的文字沒有其他意見,是不是就把它順為第九款?好不好?關於第二條的部分,請行政院依照剛剛大家所提的意見擬一份修正動議,這段時間就讓周陳委員再思考一下。
何副秘書長佩珊:我補充說明一下,剛剛曾銘宗委員的第八款,如果基於條次順序的邏輯來看,是不是要移列為第四款?也就是在第三款的資通安全後面,第四款增列曾銘宗委員那一款,關於資安事件的定義,原本的第四款就移列為第五款,以下……
主席:以下就順著下去。
何副秘書長佩珊:是。
主席:這個部分就請你們先將修正動議提出來。
何副秘書長佩珊:好,我們先……
主席:尤委員,有意見嗎?
尤委員美女:原本的第五款要變成第六款,那個要加「特定」啊!
主席:對,這個「特定」,事實上是希望將非公務機關的範圍更加限縮,如果從整體的文字邏輯來講,就是限縮在經過核定的才屬於特定非公務機關。
麻煩行政院先處理文字的部分,我們等下再回過頭來處理。
接下來處理上午保留的第四條,關於主管機關的定義,各位委員的版本大概都是認為由行政院擔任主管機關,余宛如委員定義得更加細膩,這個部分就看余委員與行政院是否能溝通出一個方向,先請行政院提出說明。
何副秘書長佩珊:院裡準備了行政院國家資通安全會報設置要點提供給各位委員,基本上就是我們的整個資安層級架構,滿詳細的。行政院設置了國家資通安全會報,這是最頂層的設計,它的幕僚單位是資安處,資安處會委託給資策會的技服中心來執行。在資安會報底下有行政院資安處,還有內政部與法務部的網際網路犯罪偵防體系,以及行政院國土安全辦公室與其他資安相關體系的主管機關,我在此也先向各位委員報告,這個大概就是屬於國安體系的部分,以下就各單位、各主管機關都有詳列,請委員們參考。其實,這個部分在我們行政部門的部分已經相當完備,是不是就不必在法條裡面明列,以利行政部門的運作?
其次,關於主管機關的部分,請委員們參閱我們剛剛提的修正建議,是不是能夠放在第二條,規定本法之主管機關為行政院?
主席:如果你們要訂在第二條的話,剛剛的條文都要往下了。
何副秘書長佩珊:對,往下再調整條次。
主席:沒關係,這個部分等到最後再來處理。
何副秘書長佩珊:好。
主席:請余委員宛如發言。
余委員宛如:剛剛本席與行政院資安處再做了一次溝通,目前行政院的資安通訊會報的確是囊括了剛剛本席提到的一些單位,基本上,本席要求的一些架構與組織都有進入這個體系中。另外,第二個部分,現在資通安全這個部分是一個過渡期,未來可能還會朝向更精確的方向去修,因此,本席對於這個部分是可以接受。不過,本席想要問一個問題,因為你們提到IoT的部分,所以本席以IoT的部分再確認一次這個架構,假設我的IoT要訂資安防護標準,到執行作業、到監督、到稽核,你們這個會報要怎麼做?
簡處長宏偉:謝謝委員,以IoT而言,在整個會報的運作底下,關於政策的部分,當然是由資安處陳報行政院來訂定政策,接下來經濟部這邊會訂定相關的標準,再來就走入驗證體系,而驗證體系現在是在經濟部標檢局底下的TAF進行驗證實驗室的認證,之後整個驗證體系就會開始運作,其實標檢局就有這樣一個制度,因此以IoT為例,這一套是可以這樣round,現在已經開始在round了,謝謝。
余委員宛如:你們的標準防護做了之後,其他人要去做驗證,到時候是誰來確認各個機關有沒有去做這件事情?這次總統府的府會資安週,光是財經公司Taiwan Pay的http沒有s,就是一個資安漏洞,因此,本席想問的是該如何落實這件事情?
簡處長宏偉:以https為例,根據我們現在的作法,政府機關這邊當然是由國發會處理,至於財經這邊就是由其主管機關去處理,因此,以這個為例,現在回歸到事權統一,都會有一個主管機關去盯著它底下在處理的這些事,其實,這整個架構就是資安管理法與資安會報體系的具體呈現。
余委員宛如:你說落實的部分是由主管機關去要求,那麼是由誰去稽核?
簡處長宏偉:如果以現在的資安管理法規範來講,主管機關必須要負責稽核,我們有賦予主管機關這個義務,他們必須要負起稽核的責任。
余委員宛如:好,了解。本席希望,這個部分只是過渡期,未來能夠修得更精確一些,好不好?
主席:請曾委員銘宗發言。
曾委員銘宗:關於第四條的部分,行政院的版本是要定期公布國家資通安全情勢報告及資通安全發展方案,但是沒有提到所謂的定期是1年、2年或3年?本席建議,參照現在的國家關鍵基礎設施安全防護指導綱要,每2年定期檢視調整並公布國家資通安全情勢報告,現行的規定是2年,因此,本席建議就明定為2年,不然,所謂的定期到底是1年、2年或3年?現行的規定就是2年,本席建議就寫清楚是2年,謝謝。
主席:行政院的意見呢?
簡處長宏偉:我們之所以寫定期,因為情勢報告是每年公布,資通安全發展方案則是四年一次,但是每一年都會滾動修正,發展方案是四年……
曾委員銘宗:兩者不一樣?
簡處長宏偉:對,我們之所以會寫定期,就是希望我們能做得更多,因此,情勢報告是每年公布,而資通安全發展方案是每四年一次,但是,每年都會檢討。
曾委員銘宗:乾脆就改成每一年,既然你們每一年都會滾動檢討,而且在滾動檢討之後也要公布,這裡就改成每年公布,本席認為這樣是OK的,對不對?
主席:本席問一下行政院,你說資通安全發展方案沒有公布,基於什麼樣的理由不公布?
簡處長宏偉:報告委員,我們的發展方案有公布。
主席:發展方案有公布?
簡處長宏偉:對。
主席:剛剛你是說什麼沒有公布?
簡處長宏偉:剛才是說情勢報告每年要公布,資通安全發展方案是每四年訂定一次,但是,每年都會滾動修正。
主席:滾動修正,也是會公布嗎?
簡處長宏偉:對,也會公布。
主席:因此,公布對你們而言,並不會涉及到產業的機密,都不會嗎?
簡處長宏偉:不會。
主席:既然如此,如果是每年公布呢?
簡處長宏偉:我們的考量如下,因為資通安全發展方案是以四年為一期,如果改成每年公布,這樣會造成外界誤認為每年都要訂定一個新的資通安全發展方案,由於考量到這樣會比較不精準,我們才會寫「定期」,基本上,我們就會按照剛才所講的方式公布。
主席:曾委員,反正現狀就是每年,我們可以在立法說明這邊……
曾委員銘宗:OK,本席尊重主席的意見,如果要更清楚的話,你就把它寫明,每年公布資通安全情勢報告,每年滾動檢討這個方案,這樣不是很好、寫得更清楚嗎?不過,本席尊重主席最後的結論,好不好?
主席:既然如此,主席也尊重行政院的意見,就讓他們用「定期」,好不好?
尤委員美女:在立法理由裡面寫清楚即可。
主席:對啊!在立法理由這邊要求每年必須做檢討,好不好?因為現階段就是每年都在做了,就在立法理由這裡寫清楚。關於第四條的部分,如果大家都同意的話,表示我們確認主管機關就是行政院,等所有條文都處理完畢之後,再來處理第二條的部分,行政院希望將第二條改為「本法之主管機關為行政院」,如此一來,等下的所有條文都會依次順延,我們最後再回來處理。
第四條的條文就按照行政院的版本通過,立法理由部分請再參酌曾委員的意見。
曾委員銘宗:報告主席,第二條能不能也處理一下?其實,周陳委員是贊成的。
主席:我們先等行政院的修正動議、等條文整理好,可以嗎?
曾委員銘宗:OK。
主席:接下來要處理另外兩個提案,時代力量的提案在第77頁,因為它整個法案的架構與各位委員的架構基本上是比較不一樣的,而且列了第二章「職務職掌」,這個也是比較細的部分,行政院對這個條文有什麼意見?
何副秘書長佩珊:我們是建議不採納,還是維持原本的主管機關是行政院即可。
主席:現在並沒有時代力量的委員在場,本席認為,整個架構是否還是回到行政院這個版本,至於時代力量這個版本就不予採納。
請大家翻到第86頁,余委員另外提了一個第十三條,提出了治理機關市場之協助義務,這個協助義務的概念……
余委員宛如:因為已經納入剛才第三條有關促進人才市場的這些部分,所以本席就不堅持了。
主席:如果余委員不堅持的話,這個條文就不予採納。
現在就回到行政院的第五條,也就是在第87頁,相對應的是陳亭妃委員的提案條文,沒有其他的修正動議,就這兩個版本,行政院是否要先表示意見?或是處長要先說明?
簡處長宏偉:其實我們的條文內容與陳亭妃委員的條文內容幾乎是一樣的。
主席:架構是差不多的。
簡處長宏偉:對,但是我們的文字比較精簡,因此我們建議採用文字比較精簡的版本,謝謝。
主席:各位委員有其他意見嗎?如果沒有意見,我們就依行政院的版本通過?
鍾委員孔炤:好。
主席:第五條就依行政院的條文通過。
接下來處理第88頁余委員提出的第七條、第91頁是第八條,這個部分就請余委員先做說明。
余委員宛如:其實,這兩個條文是關於資安管理機關的課責內容,明定他們什麼時候要向主管機關,也就是向行政院提出報告,另外一個是有關審計部去做稽核的角色及課責的內容,因此,也想聽聽看行政院對這兩個條文的意見。本席認為,如果沒有影響的話,其實是可以保留的。
主席:請行政院這邊表示意見。
簡處長宏偉:關於每年報告的部分,其實,我們會在情勢報告中去處理這一塊。至於審計部權責的部分,依照目前政府的分工,當我們有這個職責的時候,審計部就會依照我們有的這個職責去看我們有沒有做。依照目前的體制而言,審計部已經在做這件事了,因此,我們建議第七條與第八條的部分就不要列進來,謝謝。
主席:余委員會堅持嗎?
余委員宛如:本席想要確認一下,因為本席這邊寫得比較細,譬如第七條有一、二、三、四款,這個部分也是在你們目前要求的報告裡面嗎?是喔!另外,既然審計部已經在做的話,其實,本席這邊比較強調的是他們繳交報告之後2個月內,因為這是對立法院要提出結果的報告,如果不影響你們作業的話,本席還是希望這個對於審計部的要求能夠放在這邊。
主席:請尤委員美女發言。
尤委員美女:其實,余委員的版本比較強調的是稽核,剛剛的第四條講的是資通安全的情勢報告與發展方案,本席認為,兩者之間好像不太一樣。如果要依照FISMA,它的年度獨立評價作業以及獨立稽核好像蠻重要的,因此,這個部分是不是請行政院參考,以精簡的文字把它弄出來?
簡處長宏偉:其實,如果從稽核的角度來講,我們現在就已經在辦理年度的稽核,也會針對年度稽核產生稽核報告,不會只有一本,而是滿多的,因此,以稽核來講,我們現在就已經在做了,等於是行政院以外部稽核的角度去稽核所屬機關,這是針對第七條的部分。至於審計部的部分,是不是就請審計部來回答?
主席:審計部這邊要不要表達意見?
李廳長順保:其實,審計部在每個年度大概是7月底的時候,依據憲法第一百零五條與決算法第二十六條的規定,我們會提送中央政府總決算審核報告到大院審議。這個審核報告就包括了所有相關的法律各機關遵循之情形,當然也包括本法在內,如果這個法律完成立法之後,審計部就會去了解相關的主管機關實際遵循的情形,這是從外部審計機關的角度出具審計意見,因此,審計部比較建議第八條的條文可以不必入法,我們一定會依照規定來做,對於各機關實際的情況,每年都會在審核報告中充分的揭露,以上報告。
主席:現在看起來,行政機關對於這樣的條文入法是比較不支持,你們認為現階段就是會這樣做;余委員的想法是在條文中明定,如此可以更加確認,至少行政機關每年要到立法院報告這件事情以及審計部有這樣的檢查義務,有可能用一個比較精簡的條文表達出余委員的想法嗎?
何副秘書長佩珊:或者我們加列在第四條,把每年公布的資通安全情勢報告及資通安全發展方案也向立院報告?
主席:好,本席懂你的意思。
余委員,如果我們把它訂在第四條這邊,也就是將你的第七條及第八條放在行政院版的第四條中展現出來,這樣你可以接受嗎?如果可以的話,我們等一下來處理文字。
余委員宛如:好,可以。本席建議「國家資通安全情勢報告、稽核報告及資通安全發展方案」,並向立法院報備,也就是到立法院來報告,好不好?加上「稽核」2個字。
主席:如果大家都同意的話,我們就先回到第四條,這個文字再處理一下。
鍾委員孔炤:原條文後面,「並應定期公布國家資通安全情勢報告及資通安全發展方案,並向立法院做報告。」,這樣可以嗎?
余委員宛如:還要再加上「稽核」2個字,也就是「國家資通安全情勢報告、稽核報告及資通安全發展方案,並向立法院報告。」,應該是多加「稽核報告」4個字。
許委員毓仁:稽核是什麼意思,與報告之間的差別是什麼,可不可以解釋一下?
余委員宛如:情勢與稽核一定是不一樣,你可以看一下在第……
許委員毓仁:稽核是經過立法院同意的意思嗎?可以這樣說嗎?
余委員宛如:對,當我們立了這個法之後,審計部每年都會依照這個法去確認相關的主管機關有沒有依照這個法在做事,而且會提出一份報告。我們是希望能將資通安全法裡面稽核的部分也納入,以完善它的法規,但是,因為文字太多了,所以我們想精簡到第四條……
主席:如果行政院同意這樣的修正,文字的部分就要再處理一下,不然會有太多贅字,譬如「並」字就有2個,這個部分請行政院這邊整理一下文字,我們等下再回過頭來處理。
許委員毓仁:不好意思,因為隔壁在審預算,本席要回去一下。關於早上談的第二條,資安處這邊會提供施行細則及辦法,對不對?我們這邊可不可做出一個決議,這些施行細則、辦法要請資安處送立法院審查,通過之後才能夠施行,至少我們能夠知道,在這個法立完之後他們在實際上該怎麼做。
主席:施行細則?
許委員毓仁:對。
主席:許委員,剛才的第二條並不是用施行細則的架構,再向你說明一下,第二條主要是規定關鍵基礎設施是由行政院來盤整,而且要再另外公告,看搭配的是還未處理到的第十五條。也就是說,行政院在盤整關鍵基礎設施提供者的時候,必須要徵詢公務機關、民間團體及專家學者的意見,指定關鍵基礎設施的提供者,報請行政院核定,並以書面通知受核定者,之後還要把關鍵基礎設施提供者的名單送至立法院備查。因此,關鍵基礎設施未來該如何定調以及是指哪些設施,這件事情要經過這樣的程序。不過,這個條文剛才也還沒處理完,等下我們還會回過頭來處理,好不好?
許委員毓仁:好,我等一下再過來。
主席:請尤委員美女發言。
尤委員美女:剛才是說在第四條裡面加上「稽核報告」,但是,事實上,稽核報告並不是由行政院提出,而是由審計部來提,對不對?如果是這樣的話,本席建議,在第四條加上一項,否則,像這樣把稽核報告混在「國家資通安全情勢報告、稽核報告」就會變成是行政院要提出稽核報告,本席認為這樣是有點怪!
不過,本席會去呼應余委員的條文,事實上,當我們訂定資通安全管理法的時候,稽核這一塊是蠻重要的,既然現實已經在做了,我們就訂在條文裡面,表示這是一個完整的條文,因此,本席建議,是不是就在第四條加上第二項?
主席:稽核的部分就放在第二項。
尤委員美女:對,稽核的部分。關於這個條文,是不是請資安處把比較簡潔的部分放在第二項?
主席:請行政院說明。
何副秘書長佩珊:我們請資安處說明一下,好嗎?
主席:好。
簡處長宏偉:我們這邊所提的稽核報告,其實是行政院會對所屬各機關進行資安的稽核,同時針對這些稽核產出稽核的報告,因此,加在第四條這邊的稽核報告,是指行政院對所屬各機關做的資安稽核的稽核報告。如果是以這樣的角度所談的稽核報告,加在第四條的「情勢報告、稽核報告」是OK的。
主席:看起來,你們所指的稽核報告,主詞與受詞是不一樣的,他們現在講的是審計部稽核行政院有沒有善盡資安工作的這件事情,而你們講的是你們去稽核這些關鍵基礎設施的提供者有沒有做好資安的稽核報告,這是兩個不一樣的東西。
何副秘書長佩珊:應該是說行政院本身會對所屬機關進行稽核,審計部也會對行政院的相關單位進行稽核,但是,審計部是屬於監察院底下的單位,因此,審計部有沒有辦法比照行政院每年都到立院報告,我們聽一下審計部的意見好了。
主席:好。
李廳長順保:針對委員關切的問題,其實,剛才副秘書長已經點出了問題的關鍵,一般我們界定所謂資安的稽核報告,這是屬於就行政院部分基於主管機關的立場,對相關主管機關或其他所屬機關,當然也包括剛才我們界定的民間相關企業,提出稽核的總體報告,這是他們的稽核報告。審計部出具的是就整個國家這樣的機制運行,在資通安全管理法架構的運作之下,針對運行結果,我們要出具一個完整的審計意見。剛剛委員關切的這一項,如果確實需要把相關文字入法,審計部也擬出了參考文字,現在我就先宣讀一下,等下我們再會同行政院討論要放在什麼地方比較適合,再將它併進去。審計部所擬的參考文字為「審計部應於各年度中央政府總決算審核報告,就行政院推動國家資通安全管理情形,提出審計意見」。這樣我們部裡就不必另外再出具一份報告,而是併著年度提報到大院審議的中央政府總決算審核報告中就會涵蓋資安這一塊的審計意見,以上報告,謝謝。
主席:如果依照審計部的說法、依照他們的建議……
余委員宛如:謝謝尤委員剛才的提醒及說明,本席認為,主要重點還是在於行政院與FISMA檢察總署一樣的角色,對所屬的這些機關做稽核的報告,這是要向立法院報告的,所以是這個地方要放進第四條。至於審計部的部分,其實,並不需要特別放進來,因為審計部依法就必須要做稽核,而且要向立法院報告。第四條最主要是行政院的部分,還是一樣要加稽核報告以及向立法院報告。
主席:所以就是要依照剛剛提的架構?
余委員宛如:對。
主席:這個行政院的條文,等下就由你們來擬。余宛如委員的第七條及第八條已經併入第四條合併處理,因此,這兩條條文就不予採納。
處理行政院提案的第六條,有一份修正動議。
尤委員美女:主席,剛剛的第四條是指要到立法院來報告,或是向立法院提出報告即可?
文句的部分,你們自己寫好了,等下再提出來。
主席:文字先出來,我們等一下回過頭再來討論。
第六條有一份本席提出的修正動議,這是要因應第二條的條文,已經把名稱定為「特定非公務機關」,才會提出這樣的修正,但是,本席的修正動議中有文字上的錯誤,「直轄市、縣(市)政府」的部分是否要拿掉?就是第三項的部分,因為在整個架構上,直轄市、縣(市)政府的部分都沒有了,因此,第三項就改成「應向行政院提出改善報告,並送中央目的事業主管機關。」,這樣就可以了,是不是如此?各位委員還有其他意見嗎?如果沒有的話,就按照修正……
請周陳委員秀霞發言。
周陳委員秀霞:關於第六條的部分,只要是納入非公務機關的,親民黨就持反對意見。
主席:有納入非公務機關?
周陳委員秀霞:對。
尤委員美女:現在是把它加上「特定」,也就是剛才我們講的,有指定的那個才是。
周陳委員秀霞:那就OK了。
主席:第六條就按照修正動議的文字再修正通過。
處理行政院版本的第七條,在第97頁,第七條的條文總共有4個版本,沒有其他修正動議。其實,每個版本的架構是差不多的,只是親民黨的版本增訂了第二項,「第一項之業務由行政院委任行政院國家資通安全會報技術服務中心辦理。」,針對兩者之間的差異,行政院這邊是不是要先說明一下?
何副秘書長佩珊:請資安處說明。
簡處長宏偉:親民黨版本提到委任行政院國家資通安全會報技術服務中心辦理,我們是建議不用,基本上,在資通安全會報的架構中,技服中心就是在資安處底下,它是直屬由我們統一指揮,不需要在法裡特別去訂定,以上報告,謝謝。
主席:周陳委員,能否不要增列第二項?因為資安處原本就會指揮技服中心辦理了。
周陳委員秀霞:好,沒意見。
主席:第七條就按照行政院的版本通過。
處理第八條,第八條的條文總共有4個版本與1個修正動議,這個修正動議一樣是要因應第二條將非公務機關改為特定非公務機關而做修正,針對這個部分的所有版本,是不是請行政院表示意見?
何副秘書長佩珊:我們建請是否能採納蔡易餘召委提出的第八條修正動議?
主席:請問各位委員,有沒有意見?沒有意見的話,第八條就按照蔡易餘委員所提的修正動議版本通過。
處理第102頁第二章章名「公務機關資通安全管理」,第二章是針對公務機關的部分,所有的版本大概都一樣,這個部分是不是就按照行政院的版本通過?沒有意見的話,第二章的章名就按照行政院版本通過。
處理第九條,第九條的條文總共有4個版本,這4個版本在文字上都是一樣的,請問各位委員,有沒有其他意見?沒有其他意見的話,第九條就按照行政院版本通過。
處理第十條,在第107頁,一樣有4個版本,文字架構也是都一樣,請問各位委員,有沒有其他意見?沒有其他意見的話,第十條就按照行政院版本通過。
處理第十一條,4個版本中只有陳亭妃委員版本的文字不一樣,請行政院先表示意見。雖然文字內容看起來不一樣,但精神是一樣的。
何副秘書長佩珊:我們建請採用本院提出的版本。
主席:請問各位委員,有沒有意見?
鍾委員孔炤:其實,關於這個條文,許毓仁委員、親民黨及行政院所提的版本都一樣。
主席:只有陳亭妃委員的……
鍾委員孔炤:那就按照……
主席:第十一條就按照行政院版本通過。
處理第十二條,在4個版本中也是陳亭妃委員版本的文字架構比較不一樣,基本上,只是把機關改為公務機關、只是增加這2個字,行政院認為有沒有這個必要?在名詞上就按照你們版本稱為機關即可,或是要稱為公務機關?
簡處長宏偉:建議採用行政院的版本,謝謝。
主席:請問各位委員,有沒有意見?沒有的話,第十二條按照行政院的版本通過。
處理第十三條,總共有5個版本,在文字架構上,除了余宛如委員的提案比較不一樣,其他版本的文字架構都是比較類似的,是不是請余委員先做說明?
余委員宛如:本席這邊有提到要通報,但是,關於通報的部分,院版主要就是通報行政院,而本席所提的通報包含了國安會秘書處,你們是否接受這樣的建議?或是不需要?能不能給本席回應?另外,資安治理機關應於最遲?日內立法院提出報告的這件事情,還有重大資安事件的定義應該是要訂定之後,但是,在你們的條文中都沒有?是否能針對上述3個疑慮提出說明,謝謝。
簡處長宏偉:首先就向國安會報告的這件事而言,基本上,目前涉及外交及國防、兩岸的重大資安事件,我們都會向國安會報告,但是,並不是國安會秘書處,而是向負責資安的資委會報告,也會同步與國安會的資安辦保持協調,因此,我們建議不用把這個部分加進去。
再者,我們現在的版本是向行政院通報,等於是由行政院統籌所有的這些通報,包括其他四院、包括府都會向這邊通報,如同剛才所講的,除了外交及國防、兩岸的部分之外,在通報之後,我們會即時與國安會這邊一致,目前為止的運作都是正常的,而且是很順利的。
接下來是7日內向立法院提出報告,就目前的狀況而言,在整個通報體系中,如果有重大資安事件發生時,我們是有一個向上通報的體系,而且是即時的,不會是到7天,除了立刻通知之外,還會有初報、續報到最後的結報,在過程中只要是重大資安事件都會循著這樣的體系通報。至於通報的對象,行政院就是秘書長以上全部要通報,如果涉及到國安會,我們也會同步通報,其實,我們的通報是會更即時的,因此,我們建議採用行政院的版本。至於剛才所講資安事件的定義,已經在前面的第二條加進去了,我們建議不需要再加在這邊,謝謝。
余委員宛如:這一條就依照院版的條文。
主席:如果各位委員都同意的話,第十三條就按照行政院的版本通過。
接下來請大家翻到第130頁,有余宛如委員提出的第十一條條文,關於認證機關的一些事項,是不是請余委員說明一下?
余委員宛如:國外在建立國內資安能量的時候,通常會用一個認證的體系協助建立,其實,在美國的綠能就可以看到這樣的運用,因此,本席建議,這邊並沒有設定認證體系是由誰建立、要不要建立,是否可以考量留下這一條?但是,本席想知道這個認證由技服中心來做是否可行?
主席:請行政院說明。
簡處長宏偉:其實,以現在的認證而言,我們比較建議循現在的認證體系,也就是說,如果這個認證體系是屬於國家標準或是銜接國際,其實就循著剛才余委員所建議的標檢局認證體系即可,因為標檢局這邊有一個很完整的認證體系,並不建議在標檢局的國家認證體系之外,又跑出一個技服中心來建立認證體系。現在像是通傳會及經濟部這些相關的認證體系都已經回歸到整個國家的認證體系,因此,我們比較建議第十一條的部分就回歸到國家的認證體系,也就是資通安全會報底下有整個標準驗證這一塊,謝謝。
余委員宛如:既然資通安全會報已經有這樣的功用,這一條本席就不堅持了。
主席:其他委員還有其他意見嗎?沒有的話,這一條的條文就不予採納。
處理第十四條,第十四條的條文是關於公務人員辦理資安的獎懲規定,總共有4個版本,也有1個修正動議,在第7頁,這是本席提出來的,獎懲事項的辦法就由行政院定之,也就是直接授權行政院。針對這4個版本及修正動議,是不是請行政院先做說明?
何副秘書長佩珊:我們建請採納蔡易餘召委提出的修正動議,因為我們將關於懲罰的條文移列到後面處理,前面這一條就單純講獎勵的部分。
主席:其他委員還有其他意見嗎?如果沒有其他意見的話,第十四條就按照蔡易餘委員的修正動議通過。
周陳委員秀霞:對不起,本席對於第二條第六款的部分有一些問題,法律規定的內容如果涉及人民權利義務的時候,就必須要清楚的界定它的範圍,這樣才能合乎法律保留原則以及法律明確性的原則,否則,就違反了法治國的基本原則了。這個關鍵基礎建設的定義,本席認為一定要明確,剛才本席反對的是關鍵基礎建設的定義,而且採取正面表列,具體列出關鍵基礎設施之樣態,像是電業、石油業及天然氣事業等等,其他的行業都是不可以的,而且要有就醫措施,因此,本席還是建議第六款要保留,並送朝野協商。至於曾銘宗委員所提的部分,他是增列第八款資安事件的定義,我們是支持的,我們反對的是關鍵基礎設施建設的這個部分,在此說明一下。
主席:周陳委員,第二條還沒有通過,等下我們會回頭再處理。第二條是你比較在意的名詞定義,這個部分一直都還沒有處理過。
周陳委員秀霞:好,謝謝。
主席:現在進入第三章,章名是「非公務機關資通安全管理」,有必要將它改成「特定非公務機關」嗎?
曾委員銘宗:主席,不好意思!剛剛沒有提到,關於第十四條的部分,基本上,本席也贊成您提的修正動議,就是第二項的「前項獎勵事項之辦法由行政院定之」,那有關懲處的部分呢?既然第十四條有獎勵,假設做錯事要懲處,這部分到哪裡去了?
主席:懲處的部分在本席訂出來的第9頁。
曾委員銘宗:有,是嗎?
主席:對,在第9頁,處罰的部分就訂在這個條文裡面。有一個新增的第十八條。
曾委員銘宗:OK,有就好。
主席:獎勵的部分授權行政院,懲處的部分就訂在條文裡面。
曾委員銘宗:OK,好,謝謝。
主席:如果沒有意見的話,還是回到這個章名,有必要將「特定」2個字加上去嗎?有需要嘛?
尤委員美女:需要。
主席:章名的部分就按照本席所提的修正動議版本通過。
處理第十五條,因為第十五條的條文與第二條是有一點連動關係,我們先參考文字的部分。關於第十五條,請大家先參酌行政院剛剛提出的修正建議,未來如果要定調關鍵基礎設施的一個提供者,它必須有這樣一個程序─報請行政院核定、書面通知,然後送立法院備查;至於下面的條文則有一些文字修正,與本席所提出的修正動議版本一樣,主要是將目的事業主管機關定調為行政院,並拿掉地方政府的部分。第十五條的架構大概是如此,請問各位,有無異議?
段委員宜康:沒有。
主席:如無異議的話,最後一項中之「第二項至第五項」就必須修正為「第三項至第六項」,請行政部門把修正動議的文字整理一下,讓大家簽名。第十五條先保留,回頭再來處理。
繼續處理第十六條。
鍾委員孔炤:就是把「特定」加上去?
主席:對,本條文只是對非公務機關再增加「特定」二字,如果大家同意的話,是不是就按照本席的修正動議版本通過?
尤委員美女:本條也把「直轄市、縣(市)政府」刪除,只限於中央目的事業主管機關,不及於地方政府?
主席:對,修正動議都把它拿掉了。
鍾委員孔炤:好。
主席:第十六條照修正動議通過。
繼續處理第十七條。第十七條有兩個版本和一個修正動議,修正動議裡面一樣增加「特定」二字,並將第二項、第三項、第五項中之「直轄市、縣(市)政府」拿掉。請問各位,第十七條是否照修正動議文字再修正通過?
鍾委員孔炤:好。
尤委員美女:最後一項是否要加「或」字─行政院或中央目的事業主管機關?
主席:修正動議裡面原本就有「或」字。如果沒有其他意見,第十七條照修正動議文字再修正通過。
繼續處理第十八條。本條有兩個版本和二個修正動議。
曾委員銘宗:針對本條,本席的修正動議是增加第二項,行政院希望將它刪除,可否說明原因何在?
主席:請簡處長說明。
簡處長宏偉:基本上,行政院尊重各位委員對第十八條的意見,我們會同意刪除,係基於事權統一的邏輯,因為就目前來說,中央目的事業主管機關其實都有相關的法令,比如金管會之下的檢查局,在它的組織法裡面,即明定其業務職掌是針對金融體系的檢查;通傳會在電信法裡面也有;經濟部針對油、水、電也有相關規定。當初我們訂定這一條是希望行政院這邊可以有一致性的作法,如果將它刪除的話,在整個推動上,就回歸各目的事業主管機關,也就是現行法規的規定,執行上仍然可行。所以我們尊重委員的意見,將本條刪除。
曾委員銘宗:本席認為你可能需要再看一下第十八條的內容─中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大資通安全事件,而認為有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
發生這些重大缺失或重大資安事件時,你剛剛說金管會大概沒問題,NCC、經濟部也沒有問題,其他部會你又沒有檢討清楚說一定有,這樣會不會有漏洞?對於第十八條,你們原本想要檢查的範圍有哪些?
簡處長宏偉:基本上,第十八條在整個法的檢查範圍裡面,包括政府機關、關鍵基礎設施提供者、公營事業及財團法人;從這個角度來看,我們對政府機關本來就有稽核的權力,至於公營事業或財團法人、關鍵基礎設施提供者部分,它們都有主管機關,法裡面本來就要求主管機關必須定期對它做稽核。從這個角度來看,第十八條如果刪除的話,即使發生重大缺失,我們還是可以稽核,請它做改善。
曾委員銘宗:我不知道,經濟部能不能去檢查所有公營事業?交通部可不可以?退輔會可不可以?很多部會都有國營事業,它的範圍很廣;而且它不一定有這個法令。像金管會、NCC都沒有問題,因為它們掌控的是高度監理的行業,本來就有這樣的權責,至於經濟部、交通部是不是有這樣的權責?
主席:回到關鍵基礎設施提供者的部分來看,交通部可否對高鐵進行業務檢查?
簡處長宏偉:以交通部來看,交通部之下有高鐵局,在它的業務範圍內,還是有一個管理的功能。
曾委員銘宗:高鐵局未必能去檢查;就以財政部為例,有國營事業、有泛公股,它也不能去檢查,得由金管會才行。財政部還有一些非關鍵基礎設施,關鍵基礎設施才要檢查是不是?央行能不能查緝呢?我是好意,看你們要怎麼訂,我的意思是你們要檢查清楚,萬一有漏洞到時候還要再補。
主席:我們懂曾委員的意見,請許委員發言。
許委員毓仁:大家對第十八條都非常有意見,我特別肯定資安處同意刪除,事實上,這個法案的這一條出來的時候,我個人覺得非常不能接受,尤其是行政院資安處將這部分入法,包括原本使用的文字「得派員攜帶職務證明文件進入非公務機關場所檢查,並得命相關人員必要之說明、配合措施或提供相關證明之資料,並且對於檢查不得迴避、妨礙或拒絕。」我覺得你們當初的立法意圖相當不妥,資安處有必要說明。我不知道你們沒有做說明,但如果國家資安是用這樣的態度在做事的話,中華民國政府就不用玩了,這是相當糟糕的一個立法。
第二、第四章罰則的部分應該全數刪除。全世界沒有一個政府是罰受害者,罰則必須拿來對付加害者,不能拿來對付被害者,哪有機關自己都已經遭到駭客侵入受到傷害,好心去舉報,結果政府要來抓他們,這是莫名奇妙的作法非常奇怪的立法。我不曉得資安處當初為什麼會這樣寫?再來,通報必須合理,今天我們在這邊審法案,其實此時此刻,甚至是每一分每一秒,我們國家基礎設施都有可能被駭,哪一個網站每天沒有遭受到數百次、數千次,甚至上萬次的駭客攻擊?請問對於通報你們要怎麼去合理化?資安處是這個法案的主責單位,針對你們當初立法的意圖必須要講清楚,我認為一般人沒有辦法接受。
主席:請段委員發言。
段委員宜康:許委員的意見,我有一部分同意,有一部分我有點保留。因為關鍵基礎設施提供者的範圍非常小,它為什麼會被認為是關鍵基礎設施?就是因為它很關鍵,是基礎設施,而且有一個非常重要的原則,大部分都是特許行業,電信、高鐵都是特許,即今天取得政府許可,經營這個行業跟設施,假設我們所做的都是要求這些關鍵基礎設施提供者要增加投資,他們必須要多花錢去處理資安設備且應該有一些作為,站在商業行為的從事者來說,如果我是電信公司老闆,當然不會願意多花錢啊!花錢要花到怎樣程度你們才會滿意呢?
如果今天電信業者沒有善盡義務,比如他們沒有清除病毒郵件沒有隨時更新用最新的方式,我們也都知道「道高一尺、魔高一丈」,那他們要不要負責?如果沒有罰則的話,我們這些作為或這麼嚴格的規定其實是形同具文,我們並沒有要處罰每一個民間業者,我們要處罰的、要求的、約束的其實就是關鍵基礎設施的提供者,他們都是我們國家特許的行業,並不是每一個人。今天許毓仁、段宜康要開一個電信公司就可以開嗎?要有特許啊!他們取得這個特許資格,提供這個關鍵基礎設施,如果今天政府訂定這樣的法條,把它講得這麼偉大,但是當他們不遵守的時候,你們對他們是無可奈何的,那你們是否可以不罰他們的錢,取消他們的執照呢?你們也沒有這樣做啊!那政府剩下什麼?坦白講,我本來想講,我是反對把第十八條取消,為什麼?今天他們不投資、為了省麻煩,他們到底有沒有照這樣做,或者他們的保護措施到底做得夠不夠,你們都不能發動突擊檢查,今天沒有要看他們的個資,只是要看他們有沒有具體地防護、防護做得夠不夠,你們都不能這樣做,我覺得這其實是把政府保護資通安全的牙齒拔掉!
但如果行政院去跟其他委員協調說你們願意接受把它拿掉,雖然我有意見,但是我可以不講話。但如果不但把第十八條拿掉,連罰則都要拿掉的話,那就兩個牙齒都拔掉了,我覺得這個法就不用訂了,也不用規範什麼叫做關鍵基礎設施的提供者,因為你們手上沒有任何武器可以去對付他們!今天電信公司也好、高鐵也好,他們違規、沒有照你的規定來做,你們能把他們怎麼樣?你們能把高鐵沒收嗎?能把中華電信的執照取消掉嗎?你們不敢這樣做,也不會這樣做!但是政府手上至少要有工具可以去加以約束。坦白講,我覺得這個罰則都太輕了,他們這麼有錢還會在乎嗎?
主席:我再補充一下,剛剛許委員說這個法好像在處罰被害者,他們已經受到駭客的攻擊,怎麼還要處罰他們?可是我們從第十八條、第十九條的架構來看,第十八條是處罰沒有善盡事先預防的義務,亦即他們連資通安全的計畫都沒有訂,或是發生事情後要有改善報告及緊急應變的措施,第十八條是處罰連事先預防都不做的部分。
第十九條的處罰是針對已經被駭客入侵而沒有通報的部分,它是處罰沒有通報的這個行為,而不是處罰被駭客入侵的行為,我覺得這部分必須要說明清楚,否則會誤導我們是處罰被駭客入侵的提供者。
請許委員發言。
許委員毓仁:謝謝召委的解釋以及段委員的說明,我同意,如果我們要討論罰則,就必須比較合理地來看幾件事情,第一個,罰則要怎樣訂才算是合理?然後,什麼叫做延遲通報,多久時間算延遲通報?現在每個企業被駭客侵入的回復時間是多久,現場有人知道嗎?是180天,而公務機關高達350天。請問一下,如果按照這個通報標準,延遲通報的話,是不是幾乎每一間企業、每一個公務機關都要被處罰?我想我們應該要討論一下,我也同意不能夠把兩個牙齒都拔掉,但是要怎麼做?我相信資安處一定有相當的思考,是不是我們來討論一下這個要怎麼做?
主席:現在好像有點跳到第十九條、第二十條的部分了喔!
請尤委員美女發言。
尤委員美女:對啊!那個是在後面的部分,你太急了。而且我們也限定是特定非公務機關,那個範圍已經限縮地非常小了。所以那個部分是等一下審到第十九條的時候再去討論嘛!或者我們還是回到第十八條,好不好?
主席:請余委員宛如發言。
余委員宛如:非常多的民營企業、網路公司對於行政擴權有疑慮,可是我覺得這是奠基於對法條的誤解。我們今天花了很多時間討論第二條,其實第二條跟第十八條一直都是連動的,尤其所謂的「遇重大資通安全事件,而認有必要時……進入非公務機關場所」,其實是指特定非公務機關。換句話說,就像剛剛段委員講的,它是指特許行業,而且是非常少數;早上簡處長也講了,關鍵基礎設施的行業,也就是特定非公務機關事實上是屈指可數的。
我覺得許委員在思考這件事情的時候可能稍微擴大解釋,把一些不相干的私人企業也放在這裡面討論,因此就會變成我們一直在討論的部分就像是兩條平行線,是不是可以再回到今天從早上到現在我們一直在討論的主軸?謝謝。
主席:請許委員毓仁發言。
許委員毓仁:我並非不清楚,我想我對這件事情比誰都清楚。必須要討論的是,既然對於這些關鍵基礎設施我們有定義了,那麼要如何通報?而通報了之後的處理,其罰則為何?這是我要求資安處要說明的部分,這部分資安處也有義務讓所有人知道。各位要知道,我們一整天在這邊就每一個條文、每一個字進行討論,但並不是每一個民眾都像我們這樣子全程參與。今天我們的工作就是讓這個法送出去之後,任何一個人只要讀到這個法,他都沒有恐懼的這個理由、他都知道自己在讀的這個法條是受到政府立意良善的保護,我覺得這是最重要的。
主席:請曾委員銘宗發言。
曾委員銘宗:有關第十八條,其實要先確定檢查的對象是誰啊!請教行政院,「進入非公務機關場所檢查」,是不是就是回到第二條的「非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。」?假如是這樣,對象也就不多啦!假如這樣子,要留下的話,我們贊成,但是我跟各位報告,上次在審查的時候我就提出來了、也有修正動議,之所以提修正動議,是因為目前在政府機關裡面,講難聽一點,包括金管會都沒有這樣的人才啦!所以必須加第二項。為什麼?對於這些高科技資訊,政府機關沒這種人才,上次銀行發現駭客也是藉助趨勢科技的專業,民間才有這個能力,所以我增加這一項:「前項檢查,中央目的事業主管機關或直轄市、縣(市)政府亦得委託適當機構或指定專門職業及技術人員進行,並要求提出報告,其費用由受檢查人負擔。」部長,這是配套,假如要留的話要有配套,你要這些政府官員去檢查,我不騙你,他們去了什麼都看不到,只是做個檢查就回來了啦!現在的銀行法、證交法都有類似的條文,就像金管會也沒有這樣能力、能量,要藉助會計事務所、律師事務所的專業而進入檢查,費用是由受檢查人負擔。
主席:請段委員宜康發言。
段委員宜康:曾委員的意見,我基本上是支持,因為他的意見符合我的立場,他要加第二項我也支持,但是我提一個修改的建議,由於現在並沒有給直轄市、縣(市)政府這個權力,這個法的主管機關照早上的討論,包括行政院,譬如高鐵的部分就是交通部;如果是中華電信,那就應該是NCC,他們可以找專業的人去檢查。這個對象不會多啦!因為必須要公告,所以對象非常少。
我覺得我們處理這個法律有一個基本的原則,就是要知道「誰是被害者」,如果駭客入侵,被害者是誰?我不認為被害者是關鍵基礎設施的提供者,而是關鍵基礎設施的使用者。如果因為中華電信沒有「照起工」來做,結果被駭了、我的手機不能用,那麼被害者是中華電信還是我個人?是我啊!是中華電信沒有提供給我這個使用者應有的保護,結果我這個關鍵基礎設施的使用者因此而受害,包括主管機關跟中央目的事業主管機關,政府的責任是什麼?應該是要替我這個使用者去要求提供者把關,所以你們要去檢查,讓我免於受害,我覺得這是我們在處理這個法條時應有的邏輯。
基本上我贊成曾委員的處理方向,只是要看行政院的評估,如果照曾委員的意見增訂第二項,我們做一些修改,委託其他機構或專門技術人員,你們在執行方面,或者在法律上會不會有問題?就是他們可以被委託、拿著一個證件……曾委員知道我的意思嗎?
曾委員銘宗:我知道。
段委員宜康:委託一個協會或什麼的,他們拿著一個證件就
跑去檢查中華電信!他們沒有公權力,可不可以就這樣委託給他們?或者他們不能單獨去,譬如交通部或NCC要找資訊專業人員過去,但是該機關的人必須要在那邊帶隊,受委託者做為顧問、幫機關過濾,這樣是不是比較可行?如何處理這個條文,是不是我們來衡量一下?
主席:請曾委員銘宗發言。
曾委員銘宗:謝謝段委員的說法,其實沒有問題,現在證交法及銀行法都有這個機制,尤其是委託會計師去查,這是第一個。
第二個,您剛剛講了到底誰是受害人,被害的銀行或者被害的公司也是受害人,你說他們沒有好好做,說對也對、說不對也不對,為什麼?有關防止駭客的做法,沒有最好、只有更好,要做到點滴不漏,那就要投入非常、非常多的成本!
段委員宜康:就是因為成本很高啦!
曾委員銘宗:真的,沒有最好、只有更好,每一天都在進步,不可能都維持在世界一流的水準。成本非常地高,銀行做不到,中華電信也做不到,任何公司都做不到,被駭的結果是公司受害,當然消費者也都受害了。我做這樣的說明,謝謝。
主席:就第十八條我們要先做一個決定,要不要保留?就是到底要不要賦予行政機關有這樣的檢查義務,還是回歸到其他的內部法規……
段委員宜康:就是第十八條到底……
主席:對,我想我們先休息10分鐘,就第十八條大家再交換一下意見,看要不要保留,如果要保留,再來處理曾委員所提的修正文字。
曾委員銘宗:我沒意見啦!尊重……
主席:沒關係,大家討論一下。像剛剛許委員的意思是,他也不贊成要有這樣的條文嘛!那大家再討論一下。現在休息。
休息
繼續開會
主席:現在繼續開會。剛剛經過非常熱烈的討論,第十八條的部分可說是非常關鍵,到底要不要賦予行政院對於資安關鍵基礎設施有檢查的權力,還是要回歸到各個目的事業主管機關?比方高鐵部分回歸至交通部內部做檢查,最後再由行政院判斷其是否有違反資訊安全的情事。剛剛大家經過充分的討論,我們建議還是把它刪除,也就是不要訂入這部法律之中,回歸到各個子法、其他的相關法規去加以解決,行政院有沒有其他的意見?請問各位,有無異議?
段委員宜康:沒有。
主席:好,沒有的話,第十八條條文就按照修正動議予以刪除。
接下來處理新增的第十八條。在修正動議資料的第9頁,是針對公務人員的懲處規定,請大家參酌。請問各位,有無異議?(無)無異議。如果按照這樣的修正動議,行政院這邊應該也同意嘛?好,那就按照蔡易餘委員所提的修正動議版本通過。
處理第四章章名「罰則」,在164頁,章名就按照行政院的版本通過,請問各位,有無異議?(無)無異議,按照行政院的版本通過。
處理第十九條,總共有兩個版本,並有修正動議,在修正動議資料的第10頁,請問各位,有無異議?
尤委員美女:修正動議第10頁裡面的「直轄市、縣(市)政府」都要劃掉。
主席:沒錯。如果各位委員對修正動議沒有意見的話,修正動議的第十九條第一項以及第一項第二款、第三款、第五款的「直轄市、縣(市)政府」都要拿掉,那就按照修正條文的文字再修正……
葉委員宜津:應該是按照行政院版修正,就是劃掉「直轄市、縣(市)政府」……
主席:第十九條還有一個問題,就是我們剛剛要處理的第十五條,事實上項次部分已經有所更正了,所以我們在修正第十九條的時候,第十五條的條文也必須要對應做更正,這部分是不是就授權議事人員處理?所以第十九條就按照修正動議版本的文字再修正通過。
處理第二十條,是關於特定非公務機關的通報義務,就這部分有修正動議,是在修正動議資料的第10頁,一樣要再做文字的修正,也就是「直轄市、縣(市)政府」必須拿掉,並增加「特定」兩個字。請問各位,對按照修正動議的文字再修正通過,有無異議?(無)無異議,第二十條就按照修正動議的文字再修正通過。
處理第二十一條。
葉委員宜津:一樣是「直轄市、縣(市)政府」要拿掉。
鍾委員孔炤:那個跟第十八條有關……
尤委員美女:剛剛第二十條的罰則會不會太輕?資通處……
主席:我們先回到第二十條,就罰則的部分……
尤委員美女:因為現在我們已經限定了是特定非公務機關,如果他們不肯去做,只有罰「十萬元以上一百萬元以下」,這個太少了吧!
主席:行政院說明一下。
簡處長宏偉:第二十條是針對他們發現資安事件未通報的部分,這個部分罰10萬元至100萬元應該是合適的,符合比例原則。
葉委員宜津:他們發現了還不通報,怎麼會合適哩!
何副秘書長佩珊:尊重委員好了,看委員覺得怎麼樣比較合適。
主席:狀況輕微的時候是很輕,如果嚴重的話事實上是很嚴重的。
葉委員宜津:把range拉大一點,但是我覺得只到100萬元真的太少了,1,000萬元好了。
主席:「十萬元以上一千萬元以下」,能不能拉大……
葉委員宜津:好,500萬元啦!明明他們知道、發現了還不通報,這是明知故犯耶!
許委員毓仁:對啊!這個我同意,而且其實有國安疑慮啦!就資安而言,這個是滿大的問題。
主席:如果修正為「十萬元以上五百萬元以下」呢?
葉委員宜津:好啦!
主席:同意嗎?
鍾委員孔炤:裁量權……
主席:裁量權很大。請尤委員美女發言。
尤委員美女:這個好像有一定的range……
葉委員宜津:沒有關係,法律有特別規定的話就依特別規定啦!
段委員宜康:問一下法務部。
尤委員美女:法務部的代表在場嗎?
主席:請法務部說明。
陳副司長大偉:關於罰鍰的部分,其額度並沒有金額上的限制,純粹看主管機關要達到什麼施政的目標、可以自訂額度。一般來講,所謂的range大概最低跟最高是在3倍至5倍之間,但目前有很多法律其實也沒有完全依照這一個range來規定,所以應該是沒有問題的。
葉委員宜津:剛才在交通委員會還有罰2,000萬元至2億元的,真的,所以這個OK啦!
主席:請余委員宛如發言。
余委員宛如:我這邊有個參考值,德國是10萬歐元。如果今天我們訂到500萬元,雖然用意良善、接近啦!但會變成是全球罰款最高的國家。
葉委員宜津:國情不同,我們資安的威脅比較大啊!
余委員宛如:好啊!那就500萬元好了。
段委員宜康:30萬元到300萬元啦……
葉委員宜津:500萬元啦!
主席:段委員是建議30萬元到300萬元啦!就是最低的部分也提高。
葉委員宜津:30萬元到500萬元,我堅持要500萬元,因為我覺得這是明知故犯,這可大可小……
段委員宜康:30萬元到500萬元。
主席:30萬元到500萬元,還有沒有其他的意見?沒有的話,那就……
段委員宜康:回頭問一下,如果是這樣,那第十九條的……
主席:對啊!第十九條。
段委員宜康:是罰「十萬元以上一百萬元以下」,但不一定要一樣,就兩個條文所規定的狀況之比例情形,可能大家再花時間看一下,好不好?
主席:是不是請資安處說明一下,針對罰則,第十九條你們所列舉的這六款是指哪些狀況?這樣大家會比較清楚。
簡處長宏偉:這部分都是針對關鍵基礎設施提供者,也就是第十九條第一項第一款,他們未依第十五條第二項等規定,訂定、修正或實施資通安全維護計畫,中央目的事業主管機關所處的罰鍰,等於是預防性的。
段委員宜康:簡單來說是這樣,這是針對他們應做出計畫;還是其計畫不夠完善,經要求改善也沒有改善;或者是他們所有應變的作為、SOP做得不好,經要求改善,結果沒有改善的部分。這是針對他們做計畫的時候沒有做好,或者沒有照要求而只是做紙上作業等等所做的規定,相對來說這部分可以罰得比較輕,我覺得這個還好啦!
葉委員宜津:對啊!
簡處長宏偉:以我們來講,如果第二十條是罰30萬元到500萬元,因為第十九條是針對他們未實施或依照程序的部分,那我建議維持10萬元到100萬元就可以了,謝謝。
葉委員宜津:程度不同啦!一個是明知故犯,一個是……
主席:這樣子的話,第十九條就按照剛剛所宣讀的處理方式。第二十條是按照修正動議的文字再修正,金額部分變成「三十萬元以上五百萬以下」。
處理第二十一條,就按照修正動議予以刪除。
請大家翻到第174頁,這個是時代力量的版本,因為他們的架構跟我們今天討論的架構有滿大的不同,如果……
葉委員宜津:這就不予處理了啦……
主席:時代力量的部分,是不是就都不予處理?因為他們的架構已經不一樣了。
葉委員宜津:對啊!都已經到最後了。
主席:好,時代力量所提的第三章章名不予採納;以下的第八條、第九條不予採納。
接下來處理第五章章名「附則」,在第177頁,這應該沒有問題,是不是就按照行政院的版本通過?好。
處理第二十二條,「施行細則由行政院定之。」請問各位,有無異議?
葉委員宜津:沒有意見。
主席:沒有意見的話,就按照行政院的版本通過。
接下來一樣是時代力量所提的條文,包括第十條、第十一條、第十二條,因為這大概也跟我們討論一整天的體例都不一樣,所以這3條不予採納。
處理第二十三條,是關於施行日期的部分,如果各位沒有意見的話,也是按照行政院的版本通過。
葉委員宜津:好。
主席:好。回過頭來,關於剛剛講的第二條、第四條以及第十五條。各位委員大概都拿到修正動議5的資料了,其中增訂第二條,定義主管機關為行政院,所以後面的條文次序都要連動做更動,如果大家沒有意見的話,就授權議事人員處理。
大家可以先看未來的第三條,就是原本的第二條,在第四款的部分,針對曾銘宗委員的意見做部分調整後有所修正,第六款是限定為「特定」非公務機關;第七款就是今天講了一天的關鍵基礎設施之定義,修正文字為「經行政院定期檢視並公告之領域」;第九款的部分,針對政府捐助之財團法法人此一名詞也做了定義。請問各位,對此一修正動議有無異議?
請許委員毓仁發言。
許委員毓仁:我只看到一個問題,修正動議條文的第二條應該是第三條……
主席:應該要變成第三條,不過這部分等一下都授權議事人員調整。
許委員毓仁:好。
主席:請尤委員美女發言。
尤委員美女:我有一個疑問,曾銘宗委員的版本,就是資通安全事件的定義,其中有「或可能與資通安全有關但事先未知狀況的產生」的文字,這部分現在是拿掉了,是不是可以請資安處說明一下?
主席:請資安處說明。
簡處長宏偉:有關曾銘宗委員所提「或可能與資通安全有關但事先未知狀況的產生」的部分,它的不確定性非常高,我們認為,如果資通安全事件是朝未知、較不確定的一個方向來定義的話,在執行上也會有困難。
主席:這個剛剛也有講到,就是它的不確定性太高,所以我們希望在定義名詞的時候可以稍微明確一些。
針對第二條的修正動議條文,各位委員還有意見嗎?
請陳委員怡潔發言。
陳委員怡潔:這個我想請教一下,因為這裡有幾個要件,譬如「對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞」,即使現在它還沒有被指定為關鍵基礎設施,如果未來都符合這些要件,它還是有可能會被指定為關鍵基礎設施。
主席:現在陳委員講的就是大家擔心的會有空白授權的問題,所以……
陳委員怡潔:但「定期檢視」是什麼樣的一個方式……
主席:那就是回到第十五條,請你參酌第十五條第一項……
葉委員宜津:第十五條有明定,而且還要公告。
主席:現在陳委員擔心的是,未來有沒有可能行政院又核定了我們現在所……
陳委員怡潔:我補充一下,親民黨黨團的版本原本只針對公家機關,其實沒有民間的問題,這個版本是最簡單的。即使現在明定的條文、程序看起來好像都很完備,但未來如果民間企業符合這些要件之時,會不會自然而然地它就會被公告而成為關鍵基礎設施,會不會發生這樣的問題?如果會的話,有沒有無限或空白授權的問題,未來會不會發生這樣的狀況?
葉委員宜津:還有立法院在把關。
尤委員美女:第十五條第一項、第二項……
陳委員怡潔:我知道,其實第十五條第一項就是早上我們在討論的嘛!
主席:對啊!納入一個……
陳委員怡潔:我們原來的態度就是反對納入的嘛!我們不希望擴大成空白授權,如果未來它符合這些要件的話就直接被公告而成為基礎設施了,這樣就不是我們所要的。
主席:跟陳委員報告,照早上所講的,現在可以進入關鍵基礎設施的項目在想像上真的沒有那麼多,比方高鐵,以及中華電信所提供的網路服務。未來是不是會產生新的項目,對於國家安全、民生經濟有很大的影響,現在我們大概也沒有辦法想像得出來。
陳委員怡潔:這就是我們會比較擔心的問題嘛……
主席:可是未來如果真的有這樣的東西,有必要的話它還是需要被納入關鍵基礎設施啊!這個東西被指定為關鍵基礎設施,以及其提供者到底合不合理,我們要審查的應該是這個部分。也就是說,可能很多項目都會被討論,比方水資源、電,如果照早上的說法,這兩個都還沒有進入到關鍵基礎設施。
陳委員怡潔:所以我是想確認,即使是民間企業,但未來它符合這些要件的時候,有可能就會直接被公告而成為所謂的關鍵基礎設施,對不對?這樣……
主席:應該也不是直接公告,還是要經過……
陳委員怡潔:還是要來立法院嗎……
主席:經過程序的討論。
陳委員怡潔:看似這個程序是很完備的,但的確它還是有很多空白授權的空間。早上我們有舉例,像歐盟在網路與資訊系統安全指令的部分是採取正面表列的方式、有具體列出來,譬如關鍵基礎設施的樣態,他們有明定表列出電業、石油業、天然氣事業、航空運輸業、飛航管制機構等等,這當中可能很多是民間企業,也可能間接影響整個國家的一些運作,但他們有正面表列,我覺得這也是一個退而求其次的辦法啦!
主席:陳委員,我們現在要處理的也是正面表列的喔!因為公告後就會有……
陳委員怡潔:因為這是我們黨團的態度嘛!我也知道你現在已經把它放在第十五條、就是會去呈現一個讓大家比較能夠平衡的狀態。可是,我還……
主席:公告之後,事實上就是正面表列。
陳委員,這部分我還是說明一下,如果完全不要任何非公務機關、任何民間團體進入這一部法律的話,基本上我們就不用定了嘛!這樣的話這部法律就失去它的意義了。比方中華電信現在是民營的企業,但如果我們只針對公務機關,那我們就沒有辦法去處理中華電信這樣的一個基礎設施啊!今天花了一整天的時間在討論,但整部法律的意義就沒辦法彰顯出來了。
請行政院說明。
何副秘書長佩珊:我們請資安處回答一下委員的問題,好不
好?
主席:好。請資安處說明。
簡處長宏偉:在我們今天的討論裡面,其實就第二條的定義及第五條的程序部分,如果未來有關鍵基礎設施,要符合這些要件,要變成關鍵基礎設施的話還是必須有一個嚴謹的程序,它不會自動進入而變成關鍵基礎設施,不會!而且這個程序除了中央目的事業主管機關確認以後,他們要送給行政院,行政院還要再重新檢視,核定以後會以書面通知,之後也要送立法院備查。
葉委員宜津:好啦!他表達立場了啦!
主席:好啦!沒關係,我們了解,今天親民黨黨團就非公務機關的部分實際上是充分表達你們的反對意見……
陳委員怡潔:第二條我們本來……
葉委員宜津:他一定要再表達一次立場啦!他只是表達立場啦!因為立法院也負有監督的責任,到時候行政院自己審查通過送到立法院備查的時候,我們就再加以把關,社會自有公評,也不可能亂列,是這樣啦!所以我們就負責,就這樣讓它送出去啦!
主席:請尤委員美女發言。
尤委員美女:我覺得在這裡必須要把它講清楚,不要說這個法案送出去以後又被過度的擴張解釋,結果引起恐慌。其實在第二條,也就是未來可能是第三條的關鍵基礎設施之定義部分,今天經過一整個早上的討論,原來是如同陳委員所講的,希望把八大領域明定進去,但後來發現這八大領域並未將全部的民間業者都涵蓋在內,只有幾個國營事業跟實體或是虛擬資產,其系統或是網路上的功能一旦停止運作或效能降低,對整個國家安全、社會公共利益或國民生活經濟活動有重大影響者,這個部分會列在立法理由裡面,也就是目前已經被列進來的是有哪些,所以對一般的民營業者來說其實都不會有影響。如果將來行政院定期檢視的結果,覺得應該要再加哪些東西,在檢視的過程,依照第十五條第一項規定,中央目的事業主管機關必須要徵詢相關公務機關、民間團體、專家學者的意見後,才能夠指定關鍵基礎設施的提供者是哪些,然後要報行政院核定,而且還要通知受核定者。所以不可能有民間業者不知道自己被指定、後續受到處罰,這絕對不可能,因為他們一定會被通知到。另外,行政院還要將名單送立法院備查,所以並不會有親民黨黨團所擔心的空白授權、讓行政機關擴權而妨害到民間業者的情形,這是不可能的事情。
主席:我想我們也有讓陳委員以及周陳委員都充分表示意見,如果各位委員沒有其他意見的話,第二條條文是不是還是按照最新的修正動議通過?
葉委員宜津:好。
段委員宜康:好。
主席:好,可以的話,那就通過。立法理由……
陳委員怡潔:我們想表達一下,我們在司法及法制委員會沒有委員,當然在這裡不能說要保留或是什麼的,但基本上我們的態度是,對於這個部分我們還是會交給院會去協商啦!
主席:好,沒關係,這部分未來在協商的時候可以再處理。
針對第二條,也就是未來的第三條之立法理由,請行政院要處理,包括八大領域,事實上有很多已經不是關鍵基礎設施,所以你們就不要再把它寫在立法理由裡面,不然的話,看起來好像範圍是很大的。
接下來處理第四條,依照我們上午的討論,就是把余宛如委員所提相對應的一些條文納入第四條。針對這樣的修正,各位委員有其他意見嗎?
葉委員宜津:沒有。
主席:沒有的話,就按照修正動議通過,文字上的部分做一個調整,在「應送立法院備查」前面是不是先有一個逗號?好,那就按照修正動議的文字再修正通過。
處理第十五條,是為了要對應第二條的處理而做了文字的修正,請問各位,有無異議?好,如果沒有的話,第十五條也是按照修正動議通過。
再補充宣告,有關第十二條、第四條之立法說明,請行政院參照先前討論時委員所提意見,事後提交給委員會。
資通安全管理法草案等6案已經處理完畢,現有1項附帶決議,請宣讀。
委員段宜康等附帶決議:
有鑑於資通安全是維護國家安全和公共利益上非常重要之議題,隨著資通科技之發展蓬勃隨之資通安全風險也逐漸增大,國際近年來已逐漸以訂立專法之方式對資通安全之保護加以規範,我國亦需要對整體資通環境制定相關法規以降低並防範相關之資通安全風險。
然而相關資通安全管理法規,除母法之資通安全管理法外,該法授權訂定之子法亦牽涉到人民權利,為妥善研議擬定子法方案,政府應與各界進行溝通,爰此,要求行政院應召開資通安全管理法相關子法之研討會並邀請產官學及相關民間團體討論以健全法規。
提案人:段宜康 尤美女 鍾孔炤
主席:請問各位,對段委員所提附帶決議,有無異議?(無)無異議,照案通過。
本案審查完竣,擬具審查報告,提報院會處理。本案須交由黨團協商。院會討論時由蔡召集易餘委員說明。附帶決議1項一併提報院會處理。條次、引述條文部分、文字及法制用字用語授權主席及議事人員整理。
本次會議到此結束,現在散會,謝謝大家。
散會(16時59分)