政院修《資安法》納管特定非公務機關 重大事件拒調查最重罰百萬
《資通安全管理法》上路5年首度調整,行政院會今(4)日通過修正草案,內容直指資安署得稽核所有納管的公務機關或特定非公務機關,當發生重大資安事件時,若規避、妨礙或拒絕調查,最高可開罰100萬元罰鍰。
行政院會今(4日)通過《資通安全管理法》修正草案,行政院長卓榮泰表示,資安就是國安,確保民眾個資安全,推動民生經濟發展不可或缺的要素,且台灣是遭受境外網路攻擊、全球資安攻防的一級戰區,為因應不斷升級進化的資安威脅及數位發展部的成立,《資通安全管理法》修正草案將進一步強化國家整體資通安全法律規範。
卓榮泰指出,明確化法律位階,促進政府跨機關的合作及區域聯防,有效落實納管機關及關鍵基礎設施的資安管理及防護,並推動資安人員培力機制,解決實務執行落差,請相關部會配合本次修法積極辦理。卓也提及,本案送請立法院審議後,請數位發展部積極與立法院朝野各黨團溝通協調,早日完成修法程序,以符合社會各界的期待。
針對修法方向,數位發展部說明,第一,明定本法主管機關及各機關權責。第二,強化納管機關資通安全管理,包含擴大稽核範圍,增訂資通安全署得定期或不定期稽核納管機關之資通安全維護計畫實施情形,並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用之相關規範。
數位發展部進一步指出,第三,增訂應符合資通安全責任等級之要求設置資通安全專職人員、強化並提升資通安全人員之專業知能及重大資通安全事件之調度支援等規定。第四,增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限。
未來修法後,如果遇到重大資安事件,資安署得稽核所有納管的公務機關或特定非公務機關,依程序通知當事人或關係人到場陳述、提出第三方機構調查報告,且主管機關可派員、委任其他機關前往當事人及關係人之處所實施必要之檢查;不過若規避、妨礙或拒絕調查者,可開罰10萬以上、100萬元以下罰鍰。
此次修法適用範圍為政府公部門跟特定非公務機關,未納入一般民間企業;至於特定非公務機關則分為2類,行政院核定的八大關鍵基礎設施提供者如中華電信,及公營事業或特定財團法人如電信技術中心。數發部次長闕河鳴也指出,基本上關鍵基礎設施都包含在特定非公務機關的範圍中,諸如新竹科學園區,但科學園區中的企業則屬私領域,不在此範疇。
本草案修正要點如下:
- 修正本法之主管機關為數位部,並明定國家資通安全業務由資安署辦理。(修正條文第2條)
- 修正資通安全、資通安全事件、特定非公務機關、關鍵基礎設施、特定關鍵基礎設施提供者及特定財團法人之定義。(修正條文第3條)
- 為建構我國資通安全整體環境,協調各政府機關、中央及地方間資通安全相關事務,健全我國整體資通安全管理,強化橫向溝通聯繫機制,將現行國家資通安全會報入法明文化。(修正條文第5條)
- 擴大稽核範圍,增訂資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形。(修正條文第8條)
- 強化各機關落實委外辦理資通系統建置、維運、服務提供之監督管理機制。(修正條文第10條)
- 增訂公務機關及特定非公務機關對於危害國家資通安全產品有關下載、安裝或使用之相關規定。(修正條文第11條及第27條)
- 修正公務機關資通安全維護計畫實施情形之收受機關及稽核機關。(修正條文第14條及第15條)
- 增訂公務機關之稽核發現有缺失時,稽核結果及改善報告之收受機關,以及該等機關得要求受稽核機關進行說明或調整之規定。(修正條文第16條)
- 定明公務機關及特定非公務機關應配合辦理資通安全事件及應變機制之演練作業授權項目。(修正條文第17條及第24條)
- 增訂強化資通安全人員專業知能及重大資通安全事件之調度支援等規定。(修正條文第18條)
- 增訂對資通安全專職人員、資通安全人員任用考試錄取人員之適任性查核相關規定。(修正條文第19條)
- 增訂中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署之規定。(修正條文第20條及第21條)
- 增訂特定非公務機關應置資通安全長及應符合資通安全責任等級之要求設置專職人員。(修正條文第20條、第21條及第23條)
- 為強化特定非公務機關重大資通安全事件應處,增訂中央目的事業主管機關行政調查之權限,受調查者不得規避、妨害或拒絕,並明定相關罰則,以精進資通安全風險管理。(修正條文第25條及第31條)
- 增訂特定非公務機關對所屬人員辦理資通安全業務之獎勵及懲處。(修正條文第26條及第28條)
- 增訂資安署辦理本法所定事項委託之依據,定明受委託者之保密義務,並增訂主管機關協調指定中央目的事業主管機關之權責。(修正條文第32條)
- 增訂資通安全事件如涉個人資料外洩,應另依個人資料保護法及其相關法令規定辦理。(修正條文第33條)