立院初審》特定非公務機關未通報資安事件 最重罰1千萬
〔記者謝君臨/台北報導〕立法院交通委員會今初審通過「資通安全管理法修正草案」,增訂中央目的事業主管機關對特定非公務機關下載、安裝或使用危害國家資通安全產品,得予以限制或禁止;但針對公務機關部分的相關條文,則因在野黨立委仍有疑義,予以保留。此外,特定非公務機關若知悉資通安全事件卻未通報,最高罰鍰則從500萬元提高為1000萬元。本案須交由黨團協商。
行政院院會於去年7月通過「資安法修正草案」,明定主管機關為數位發展部及各機關權責。立院交通委員會於4月24日完成詢答程序,今續逐條審查條文。
行政院版草案原載明,「本法之主管機關為數位發展部。國家資通安全業務,由數位部資通安全署辦理。」但國民黨立委葛如鈞認為,將全國資安業務交由1個人數僅逾百人的三級機關辦理,其權力及業務太重,應由數位部統籌相關分工。
經協調,初審通過條文修改為,「本法之主管機關為數位部。資通安全業務之執行,由數位部指定資安專責機關辦理。」而後續有「資安署」的相關條文,也都改為「主管機關」。
另,初審也通過新增條文,為辦理國家資通安全政策、應變機制與重大計畫的諮詢審議,協調各政府機關、中央及地方間的資通安全相關事務,行政院應定期召開國家資通安全會報,由行政院長或副院長擔任召集人,得邀請專家學者及民間團體代表出席,必要時得召開臨時會議,
再者,初審通過增訂條文,主管機關得於資通安全人員任用考試榜示後,對錄取人員之適任性進行查核。拒絕查核或經用人機關認定未通過者,不得辦理涉及國家機密、軍事機密及國防秘密的資通安全業務。
初審通過條文也增訂,特定非公務機關應置資通安全長,由該機關的代表人、管理人、其他有代表權人或其指派的適當人員擔任,負責推動及監督機關內資通安全相關事務。修法也提高其相關刑責,明定特定非公務機關知悉資通安全事件卻未向中央目的事業主管機關通報,最高罰鍰從500萬元調整為1000萬元。
此外,有關「公務機關不得下載、安裝或使用危害國家資通安全產品。」之關鍵條文,民進黨立委黃捷建議,行政院於2020年12月已下令公務機關禁止使用、採購中國廠牌的資通訊產品,既然已明確化,是否直接入法?民進黨立委沈伯洋也說,入法和放在說明欄的意義不同,詢問數位部意見。
對此,數位部次長葉寧表示,因為這有其他法令明定,是否在說明欄說清楚,政府政策也宣示很多次,這部分國家政策是很明確的。
葛如鈞則質疑,「危害國家資通安全產品」到底要如何認定?其審查程序為何、誰來審查、標準為何、多久進行一次,資安署無法提出完整配套措施,如同空白授權。
由於朝野立委對於該條條文仍有疑義,會議主席、民進黨籍召委許智傑裁示保留送朝野黨團協商。