產官學3方資安管理法建言大整理

william77

政府機關希望減輕作業確保預算、企業則要求明訂遵循標準，增加獎勵，學者儘管支持租稅獎勵，但也要求提高罰則，甚可勒令營業。三方共同要求是明訂非公務機關納管定義，釐清與他法間的重疊關係。

行政院資安處在網路上公開「資通安全管理法草案」徵求各界建議，也將9月6場產、官、學界座談會建言上網公開。

為了趕在今年底前能夠完成資安管理法三讀，行政院資安處8月底一完成法案初稿，就一連舉辦了6場法案座談會，不只找來政府機關資訊與資安業務相關的主管參與，也照例向法界和資訊界學者請益，還特別舉辦2場向民間意見領袖和業界資訊、資安主管請教。9月底更進一步將法案草案上網公開向全民徵求意見，行政院資安處處長簡宏偉表示，為了就是希望能匯集更多的立法修法意見，來加速立法過程。6場座談會三方（政府機關、業界、學界）角度的建議彙整摘要如下：
政府機關建言

建議1

考量政府機關資安人力不足或專業不足，建議減少例行文書作業，如免定資通安全維護計畫，或是明文列出應投入適當資安資源的規定，以充裕各機關資安預算及人力。

建議2

電子商務業者資安防護不足，建議也納入規範。

建議3

行政檢查作業面上，一來因無急迫危急人身安全，建議刪除警察陪同，改有危害才報警，另可增加遭遇大規模攻擊時，可尋求國軍支援的項目。

建議4

草案第8條規定政府採購需特別考量資安需求，恐與現行採購法規定採整體評選作法衝突需解決。

建議5

未來訂定通報應變辦法時，應納入證據保全程序。資安通報可以和法務部調查局現行通報整合來簡化程序。

建議6

產業權責主管機關除中央目的事業主管機關之外，可以增列轄管機關。

建議7

草案獎少懲罰多，建議調整比例。
民間團體建言

建議1

應釐清所有納管產業的主管機關並統一權責單位，並訂定業者遵循標準，以利衡量是否善盡責任，或提供完整資安維護範本。

建議2

關鍵基礎設施定義需更清楚，如通訊軟體是否納入？高科技園區內企業是否納入？也應明訂重大資通安全事件之定義。或是限縮非公務機關規範範圍，排除與關鍵基礎設施無關之企業。

建議3

委外監督應訂標準，並限縮於受委託範圍。

建議4

罰則較重，應提供更多獎勵和輔導措施，例如將資安投資納入投資抵免範疇。也建議採比例原則，先輔導改善再課罰。

建議5

資安事件往往事後才能發現，規定未通報就開罰恐對業者負擔過大。另外，企業通報後，應可獲得政府部門支援來改善。

建議6

政府應保障相關預算和人力，並提供資安人才培育機制。

建議7

政府應建立整體資安防護系統，抵抗境外攻擊。

建議8

不宜增加國軍介入的項目。

建議9

不需訂定行政檢查，或刪除司法警察陪同之條文。

建議10

資安維護規定與現有法律多有重疊，應進一步調整，避免提高企業法尊成本或一事多罰。

建議11

應釐清境外單位是否納管，尤其協助外商遵守本法。
學者專家建言

建議1

立法目的、達成實際作法、私部門規範之必要應有更詳細說明，例如納入資安預防、資安保護、證據保全與專業鑑識，或適度納入管理、技術、稽核及風險評估等面向。草案架構可考慮部分內容分開立法。

建議2

建議法條先以政府機關規範為主，不列入民間企業。

建議3

行政院應籌組諮詢委員會，協助政府掌握資安高速變動。

建議4

應釐清資訊和資安業務各自的主管機關。

建議5

關鍵基礎設施指定若有爭議，行政院應增設爭議協調機制。

建議6

主管機關可指定納管企業的範圍過廣。關鍵基礎設施提供者之界定應有一套判別基準，而非只由主管機關指定，或統一由行政院公告訂定關鍵基礎設施定義。

建議7

加強對非公務機關之義務規範，包括通知當事人義務、目的外利用或再識別行為。

建議8

對企業罰則強度不足，罰則額度小於個資法，難發揮效果。建議可增加，對其他之事業、機關或個人之資料安全、財產、生命或其他之資訊運作有重大影響者，主管機關得要求停止全部或部分業務的營業。也可要求負責人應接受教育講習。

建議9

罰則應涵蓋公務機關，另避免圖利資安業者。

建議10

建議對民間資安投資可給予租稅優惠。

建議11

應設立國家級資安長，另對各級機關資安長，可訂定符合資格條件來遴選。

建議12

建議將定期稽核、檢查、復原及動員計畫納入草案。

建議13

可訂定日出條款，逐步納入不同規範對象。

建議14

法案要求應更明確、簡化、有效之基本條文，日後再修法增列規範事項。

建議15

應注意本法與個資法的競合，以及本法與其他法規的關係，如國安法。

建議16

應考量法尊成本，避免產業外移。

建議17

行政檢查發動時機的合宜性需考慮。