政院修資安法納管特定非公務機關 規避調查最重罰百萬

行政院今天举行例行记者会。记者黄婉婷／摄影

「资通安全管理法」上路5年首度大调整，修正草案今天通过行政院会，草案赋予主管机关遇到重大资安事件，可调度其他机关的资安人员共同联防，对有危害资安之虞的资通讯产品，限制力道从产品扩大到使用；各部会可对管理的特定非公务机关重大资安事件进行行政调查，若妨碍或拒绝调查，最高可罚100万元。

此次修法纳管范围大致不变，适用范围为政府公部门跟特定非公务机关，未纳入一般民间企业。特定非公务机关分为2类，一是行政院核定的八大关键基础设施提供者，如中华电信，以及公营事业或特定财团法人，如电信技术中心。资安法主要规范机关使用情形，若是公共设备标案出现陆制设备，就回归政府采购法。

修法共有3大重点，第一是明确机关权责强化合作协力。资安法主管机关原为行政院，配合组织改造后，主管机关改为数位部，国家资通安全业务将由数位部资安署办理；草案并将现行行政院设置国家资通安全会报入法明文化，强化横向沟通与联防。

强化纳管机关资通安全管理，包含扩大稽核范围，增订资安署得定期或不定期稽核纳管机关的资通安全维护计划实施情形，

第二为强化纳管机关资安管理。草案明确要求公务机关不可采购与使用危害国家资通安全产品，提供公众视听或使用的传播设备及网际网路接取服务场所亦在限制范围，并明定公务人员获配的公务设备，不可以下载、安装或使用危害国家资通安全产品，若因业务需求且无其他替代方案，可专案使用。

针对特定非公务机关，除了限制机关本身不得使用危害国家资通安全产品，提供公众视听或使用的传播设备及网际网路接取服务的场所，基于维护资通安全之必要可纳入限制；数位部可对特定非公务机关下载、安装或使用危害国家资通安全产品，得予以限制或禁止。但因业务需求且无其他替代方案者，可专案使用。

为强化公务机关资安，草案导入地方联防、采分层监管模式。如果受稽核机关的资安维护计划实施有缺失或待改善，必须向稽核机关提出改善报告外，也要送到资安署，以利资安署掌握全台资安现况。

第三为精进资安人力，根据草案，公务机关应符合资通安全责任等级要求，设置专职资通安全人员。资安署应妥善规划推动资安人员职能训练，若有重大资安事件，资安署可直接调度各级机关资通安全人员支援，且可对涉及国家机密、军事机密及国防秘密的资通安全业务人员进行「适任性查核」。

另为强化特定非公务机关的资安管理，将比照公务机关规定，要求特定非公务机关设置「资安专职人员」及「资安长」；若遇到重大资安事件，各部会可对管理的特定非公务机关进行行政调查，规避、妨碍或拒绝行政调查，可开罚10万到100万元。

资安署长谢翠娟补充，适任性查核是要确定处理机敏业务的人员有无犯罪纪录；至于重大资安事件定义，她举例，是影响层面超过县市政府，或影响民众权益过大的事件；资安署稽核结果将定期公布在网站上，每年也会送到立法院。