針對風傳媒日前刊登讀者投書,就「資通安全管理法草案」提出疑慮,行政院資安處今(20)日澄清並強調,「資通安全管理法」主要立法目的,是為有效規劃我國資通安全管理政策,並落實於公、私部門,以建構安全的資通環境,進而保障國家安全,維護社會公共利益。目前所擬條文內容,如有易讓外界誤解之處,將配合檢討,並持續徵詢及蒐集各界意見,以加速建構完善國家資通安全環境。
行政院資安處指出,該法草案以風險管理為核心,訂定資通安全維護計畫及通報應變機制,以確保資通安全,進而逐步提升自身資通安全能量。目前規範對象以組織為主,非及於個人,且須經風險評估,確認有相當風險才予以納管。草案中所提對象除公務機關外,非公務機關僅屬特定範圍,是指關鍵基礎設施提供者、公營事業及政府捐助達一定比例的財團法人,並不及於所有民間企業。另考量軍事及情報機關任務性質特殊,其管理機制宜由該機關依任務屬性另定,亦不在該法草案規範範圍內。
行政院資安處表示,有關委外事項,該法草案第5條係規範行政院委任或委託的依據,除政策制定或核心業務等本質上不宜委任或委託辦理的事務外,資通安全相關事務權限的委任或委託,如資通安全技術研發、教育訓練等,可依行政程序法相關規定辦理。此外,第8條也針對其他公務機關或特定非公務機關,於委外辦理資通系統建置、維運或資通服務時,應選任適當受託者,並監督受託者的資通安全維護情形。
有關第18條檢查的疑義,行政院資安處強調,檢查目的在協助組織釐清資通安全事件,或阻止資通安全事件進一步擴大。為避免影響民間業者正常運作,查核資通安全維護情形發現重大缺失,或發生重大資通安全事件時,必須符合二項要件之一,方可進入非公務機關執行檢查,此目的即在限制機關擴權,並無存有增加執法人員濫權風險疑慮。此外,參與檢查人員也應負保密義務。倘若涉及犯罪並經報案,即由警調單位執行調查進入司法程序。