資安周報第37期：資安處的新挑戰：資安管理法年底三讀過

jis2577

行政院科技政委吳政忠要求，在八月一日成立的行政院資通安全處，成立後最重要的任務之一就是，要在今年年底前，完成資安管理法的立法院三讀程序。資安處預計在八月底會先有一份草案出爐，之後也會召開相關座談會彙整意見後，才推出行政院版法案送交立法院。

今年八月一日行政院正式成立資安處，處長由簡宏偉擔任。而他上任後的第一優先要務就是，要在年底前，完成資安管理法的立法院三讀程序，預計八月點會先有一份修正過的草案出爐。

行政院政務委員吳政忠在行政院資安處正式成立後，也正式下達指令，要求新接任資安處處長簡宏偉，務必在年底前，將資通安全管理法（簡稱資安管理法）完成立法院的三讀程序。而科技政委的軍令狀，也成為資安處正式成立之後，除了國家資安政策的研擬和日常資安事件的處理之外，勢必要做出一番成績的壓力來源。
簡宏偉也對他自己和資安處同仁訂出一個概略的時程，預計在八月底會推出一個由資安處草擬的資安管理法版本，也會和各個部會進行討論，請他們提出對於草擬資安管理法的意見後，預計在九月時，召開針對部會、民間企業和學界等不同單位的座談會，彙整大家的意見後，便會提出一個草案版本作為行政院版，送交立法院進行三讀程序。
至於資安管理法為什麼重要？答案其實很簡單，資安管理法的目的，就是讓人做正確的事情，可以在法令規定下，好好處理對的事情。也就是說，當政府通過資安管理法後，就可以規範各個目的事業主管機關對於資安事件所賦予的權利義務，法律本身還是比較採用原則性的規範，避免有任何異動，就必須付諸修法。像是，對於中央目的事業主管機關的權責，就應該清楚規範，避免無限上綱；中央目的事業主管機關也應該針對資安管理法的規範，各自訂定相關的施行細則以供參考。有這了這樣的法律之後，不會造成公部門過度濫權或擴權的疑慮，也確保各個機關和民間企業面對應該負起的「資安」責任時，有一個參考的依據。
資安處將大幅修改二月份的草案版本
在馬政府時期，當時的行政院長張善政對於資安非常重視，也積極要求當時的資通安全辦公室要彙整各方的意見後，先提出一個草案版本，再轉交給當時規定的資安主管機關科技部，進行後續的提案和立法程序。
只不過，這個二月份的草案版本，因為還是以當時成立的行政法人作為主要立法的依據，加上當時指定科技部作為資安主管機關，所以，資安處在八月底推出的新版資安管理法草案，將會大幅修改相關的法條內容，以期能符合現在的政府法制現況。
由於資安管理法最早的立法精神是仿效個資法，同時規範政府機關和非政府機關的資安作為，但也因此，資安管理法從一剛開始的討論過程和草案草擬過程，資通安全辦公室一直承受很大的壓力，因為有許多來自不同勢力的遊說力量，都透過各種方式施壓，希望逼迫當時的資通安全辦公室，應該要把這個資安管理法的適用對象，限縮在只要規範公務機關即可，政府的「魔掌」不需要深入到非公務機關等民間企業。
一般而言，個資到底有沒有外洩，基本上是一種可以「量化」的損失，對於受害者或者是企業而言，都相對好定義，也容易有共識；但是，企業的資安到底有沒有做好，是否有使用者因此而遭受到一些權利義務上的損害，其實很難有明確的規範，加上，近年來，臺灣企業將本求利，以降低成本（Cost Down）作為最高的營運目標時，也難怪當時的資通安全辦公室必須承受一些遊說的壓力。
即便吳政忠下令資安管理法是列為優先法案之一，簡宏偉接任資安處處長還不到一個月的時間，加上新版本的資安管理法草案還沒有出爐，可能的遊說壓力也還沒有降臨資安處。一切將等到八月底這份資安管理法草案出爐後，是否會有更多包括部會和來自民間企業對相關法條的爭議，才會更為明朗。
資安處應為資安管理法的主管機關
舊版資安管理法草案中，當時是指定科技部作為資安的主管機關，也引發諸多爭議。而在行政院依照處務規章的修訂，正式新增資安處後，資安管理法按理就應該明定，該法的主管機關就是資安處，一旦有任何資安事件的判定或者是解釋、疑義時，都應該以資安處作為最後做決策的主管機關。
當年修訂個資法時，因為缺乏統一的「個資法」主管機關，一旦遇到有各種意見爭論時，因為沒有統一的個資法主管機關，所以，那時候就是受害者和企業互比神通的時候，誰可以說理明確清楚、誰可以清楚呈現已經善盡管理之責等，都可以大幅降低法官因為企業違反個資法時，對於企業的懲處力道。
反觀，資安管理法一旦清楚明定資安主管機關就是資安處後，一旦有目的事業主管機關或縣市政府要對沒能落實資安作為的企業進行行政檢查時，就會有一個統一的主管機關出面裁定，受檢查的企業是否的確有違反資安管理法的規範，也會對所有爭議有所判定。
以資安管理法設定的行政檢查權而言，主要是以民眾安全和國家安全息息相關的關鍵基礎建設做為主要的檢查對象，當除了警察和調查局外，目的事業主管機關也有權檢查時，中間的權責一定要清楚定義，才可以避免政府擴權和濫權。
畢竟，以前沒有法令規範時主管機關因為無法被動要求法規遵循，也無法主動出擊要求業者修補資安漏洞，但當有資安管理法作為法規遵循的基礎時，預計將大幅改變既有的資安現況，可以更具有主動性和積極性。
例如，以近期高通（Qualcomm）晶片組驅動程式有4個漏洞，保守估計，全球有超過九億臺Android裝置會受到這些漏洞的影響，駭客就可以利用這四個漏洞，掌控使用者的Android裝置安全性。如果有資安管理法的法律規範，國家通訊傳播委員會（NCC）就可以根據資安管理法對於製造業者的要求，強制手機業者應該要立即發布這些裝置的更新修補程式，以確保裝置和使用者的安全性。資安管理法便賦予NCC作為主管機關，可以強制廠商發布更新程式的權利，這也類似美國產品回收或汽車召回檢修的制度，以確保使用者在使用相關設備時的安全性。
不論是誰，現在如果想要盤點政府或企業的資安現況，以及面臨的風險程度等等，都是相當困難的。舉例而言，美國因為有法律明定，企業一旦發生資安事件，依法都必須對外完整說明公告發生的情況和處理的進度。
反觀臺灣，不論是資安處或者是目的事業主管機關接獲有人檢舉某間公司，因為資安作為不當，導致該公司的使用者權益受到損害時，除了檢警調單位可以有司法檢查權外，其他還有誰有權利介入調查或者是行政檢查呢？而一旦面對這些資安事件本質都涉及到商業行為時，不論是資安處或者是目的事業主管機關，又該如何介入呢？如果未來的資安管理法，也可以對這樣的行政檢查範圍有明確的規範時，不僅可以確保主管機關不致於濫權，也有助於即時遏止資安事件持續爆發，進而能設立一個停損點。
當然，資安管理法並非萬能，中間仍有許多細節有賴進一步草案版本釋出後，才會有更多的討論空間。但可以確定的是，資安管理法的制定將是臺灣資安管理邁入法制化的第一步。