台灣《資通安全管理法》修法草案的資料整理

2018年時曾經吵吵鬧鬧的《資通安全管理法》(資安法)，現在要修法了。5 年過後再回頭看這部法，覺得它和民間私部門沒有太大的關係，在草擬這部法時沒有數位發展部(數位部)，所以預設的主管機關是行政院，在當時的情況下，有些權責劃分很模糊，或是管理的層級也不清楚，有些單位無法明正言順的做事。現在有數位部了，藉這次修法把當時定義、層級弄清楚，也能那些原本負責的單位有依據做事，也加強所有政府各層級部門資通安全聯防、管理的機制。

預設讀這篇的都已讀過修正草案的內容，所以就把自己看過後的重點整理以下，只有第11條是我覺得需要寫清楚或規範清楚的，其他就只是資料整理：

1. 資安法的對象其實是公務機關和特定非公務機關，所以有些企業會很擔心資安法會管到他們，除非他們是特定非公務機關，但修法後的對象非常清楚，建議可以再向請教自己公司的法遵部門。現行資安法裡的的公務機關定義擴及到公法人(國家、地方自治團體、行政法人)，修正後只有到行政法人。修正後草案將特定非公務機關則依據《財團法人法》修正(現行僅政府補捐助的財團法人)。
2. 修正法草案明確寫出這部法的層級及管轄的範圍與層級、資通安全事件的通報層級、稽核的管理，不會像以前一樣都模糊的寫主管機關。修正後就會明確的寫出主管機關的哪個單位。修法後也明確是由行政院公告關鍵基礎設施清單，而不是由主管機關(數位部)來決定哪些是關鍵基礎設施。
3. 修正後新增：第5、8、11、23、25、29、31條
4. 現行第6條移到第30條，讓所監督的行政法人名正言順的做事，例如(資通安全)國際交流合作，台灣政府部門間的資通安全分享與分析中心(ISAC)都有在進行國際交流，另外如2023年終於成立的國家資通安全研究院(資安院)，就是行政法人。
5. 修正後第9條：資通安全情資分享機制由主管機關變成資安署。原本政府的部門間、關鍵基礎設施之間都有資通安全分享與分析中心(ISAC)，這次修法可能是讓資安署可以名正言順的全權管理ISACs之間的情資分享與管理機制。
6. 修正後第23條：規範特定非公務機關應設資通安全長，人選由代表人、管理人優先於其他代表權人，或再指派適當人員擔任。
7. 修正後第29條：特定非公務機關規避、防礙、拒絕接受調查者，處罰10萬元以上，100萬元以下罰鍰。
8. 修正草案通過後可能會出現的問題：
• 修正後第10條：移除「委外應考量受託者之專業能力與經驗」，直接選任適當受託者。可能需要明確的定義什麼是有效的資通安全管理機制？由誰(主管機關？資安署？)定義有效？
• 第4條的目的應是要鼓勵推動資安產業發展，如果不寫進去，可能沒有公務機關、特定非公務機關願意配合，但寫進去後，也沒有在罰則說明如果公務機關、特定非公務機關不配合那會怎麼處罰。
• 第11條目的是為了避免採購及使用危害國家資通安全的產品，但公務機關可能要再看有沒有和政府採購法衝突或是採購法裡的規範，視《資通安全管理法》是特別法還是普通法，在規範的範圍重疊時，公務機關、特定非公務機關要先參考哪個法規？
• 修正條文的第一項提到了舉辦活動用的場地也要遵守，是指場地內的資通安全設備(例如連網設備)？一般硬體設施？
• 修正條文的第二項限制公務用資通訊設備不能安裝危害國家資通安全的產品，但會建議限制公務資通訊設備僅用於公務，不能用於私人用途，這也是符合 Cyber Hygiene 的觀念。在看過許多國內外資料外洩、社交工程資安事件實務都是起因於公私不分，在公務工具上做私人事情或私人工具上處理公務，例如收發私人電子郵件、公務用的通訊軟體裡使用私人帳號、加入私人的群組，以致於常發生釣魚或是從私人訊息裡的社交工程導致資安事件。
• 由於限制了產品和場地，所以在第三項裡，公務機關可以向主管機關(數位部)查詢第一項的產品和廠商，但建議加上場地，以和第一項的規範一致。

這次的資安法修正應該也一併修正其施行細則的相關項目，這樣會比較一致。

關於《資通安全管理法》修正案的討論，請回到JOIN平台上討論、提供意見才是正當的管道。