針對今（8）日風傳媒有關「資通安全管理法草案」相關報導，行政院資通安全處特澄清說明如下：

行政院通過的「資通安全管理法草案」並無違背整體立法精神及基本原則，亦無刻意排除公務機關罰則及增加執法人員濫權風險的疑慮。

「資通安全管理法草案」主要是以對於民眾生活、經濟活動及公眾或國家安全有重大影響者為規範對象，包括公務機關、關鍵基礎設施提供者、公營事業及政府捐助的財團法人。為明確賦予政府機關善盡資安管理與防護責任，展現政府防護國家資通安全決心，期透過本草案的要求，協助受規範對象訂定及實施資通安全維護計畫，以確保其資通安全，逐步提升自身資通安全能量。

本草案第15條及第16條部分，係規範非公務機關應符合其所屬資通安全責任等級之要求及相關條件，訂定、修正及實施資通安全維護計畫。本草案所稱非公務機關包括關鍵基礎設施提供者、公營事業及政府捐助的財團法人，但並非所有非公務機關均須符合資通安全責任等級的要求，而是受本草案規範對象者才應考量。

本草案第17條部分，有關機關知悉重大資通安全事件時，於適當時機得公告與事件相關的必要內容及因應措施，並得提供相關協助。主要係考量該事件相關內容倘涉及個人資料或營業秘密，則不應強制公開；另考量當發生重大資通安全事件時所涉範圍及程度，仍應衡酌機關實際資源，方可由該機關提供所需協助。惟為協助釐清資通安全事件並阻止進一步擴大，當發生重大資通安全事件時，行政院仍將極力協調有關機關，以提供必要協助為原則。

行政檢查目的在協助組織釐清資通安全事件，或是阻止資通安全事件進一步擴大。為避免影響民間業者正常運作，對此訂定二項要件，因查核資通安全維護情形發現重大缺失，或發生重大資通安全事件時，必須符合二項要件之一，方可進入非公務機關執行檢查，此目的即在限制機關擴權，並無存有增加執法人員濫權風險的疑慮，此外，參與檢查人員也應負保密義務。倘若涉及犯罪並經報案，即由警調單位執行調查進入司法程序。

本草案對非公務機關係以輔導及協助為主要目的，並非以處罰為目的。罰則包括未訂定資通安全維護計畫、通報應變機制，或知道發生資通安全事件而未通報及拒絕行政檢查，始課予相關罰鍰。另為避免民間業者存有疑慮，特別針對未訂定資通安全維護計畫、通報應變機制，訂有限期改正的規定，即遲未改正時才會受罰。

為加速建構完善國家資通安全環境，亦期盼外界給予支持，以讓本草案儘速完成立法程序。