管控資訊安全、防堵駭客惡意入侵癱瘓網路系統，行政院力推《資通安全管理法》草案，但最初版本卻遭批評管太大，政府甚至有權指定任一民間企業納管。經半年來多次研修，最新修正版本出爐！《上報》取得行政院資安處提供立委的最新版草案，備受爭議的「非公務機關」範圍，已決定只限縮在三大類，除了關鍵基礎設施、公營事業，未來只要是公務機關或公營事業捐助比例50%以上的財團法人，也明確入法、一併納管。

避免擴權質疑，新版草案也決定刪除「政府有權指定民間企業」、「司法警察人員陪同行政檢查」等條款。

政府遇2大狀況有權「行政檢查」

不過，這些非公務機關，未來當發現重大缺失、或遇重大資通安全事件等兩大狀況時，政府仍有權進入這些場所行政檢查，若規避、妨礙或拒檢，可直接開罰10到100萬元。若未依法訂定、實施資通安全維護計畫，將要求限期改善，若不改善，也可開罰10到100萬元。

行政院官員轉述，資安處今天已邀各機關討論草案內容，儘管內容文字略有微調，但各機關都同意此版本的內容方向，資安處打算力拼下周四送行政院會通過。

關於「非公務機關」，不少民間團體及學者曾舉美國的資安專法「FISMA」為例，認為國外都僅規範公務機關，因此民間業者不宜納入；有學者則建議應採「日出條款」分批納管。

行政院資通安全處長簡宏偉透露，資安處採納部分民間意見，已打算「分階段上路」；新法通過後，第一波將先鎖定政府公務機關，接著才會依序處理關鍵基礎設施、公營事業，最後才會是政府捐助50％以上的財團法人。

此外，政府有權進入民間公司或財團行政檢查也遭質疑侵權。簡宏偉澄清，行政檢查與司法封鎖不同，司法封鎖需要「搜索票」，但現行行政規則就有行政檢查規定，甚至包括《漁業法》、《動保法》、《電業法》、《個資保護法》等都有類似規定，若公司有財務損失報警，才會報警交由警方處理。至於進入公司或機關主要只是「協助」，也就是確認到底是如何被駭客入侵、檢視損失，絕對不會索取個資或公司資料，而檢查人員也要簽保密文件，不可對外透露。

有人質疑「重大資安事件」該怎麼認定？政府權限是否太大？他也說，資安事件「不是我們說重大就重大」，嚴重性區可分一到四級，三、四級才屬於重大資安事件，例如大量個資外洩，或整個機關遭癱瘓無法運作；這類事件去年有9件、今年至今有3件，「比例很低」。

簡宏偉舉例，過去曾有A公司被駭客當跳板入侵、打算再入侵其他公司，但A自己並不知道，而是政府介入告知才知道，這類狀況就是政府必須介入協助及保護的案例。

新版草案在條文明確定義「非公務機關」三大類。簡宏偉說，因民間及學者專家對一次納管民間企業有疑慮，因此資安處評估後決定刪除，將非公務機關限縮並清楚定義；財團法人的部份初步研擬納入政府或公營事業捐助、捐贈比例50％以上的財團法人，但未來將會與正研擬的《財團法人法》標準一致，之後定案後再調整。

關鍵基礎設施部分，在第一版草案原本清楚寫入「八大類」，但資安處參考美國等國家，認為定義因應環境與時代變遷會有不同，甚至調整範圍，因此未來將配合行政院訂定的「國家關鍵基礎設施安全防護指導綱要」，每2年定期檢視調整。

外界關心像是臉書（Facebook）或Line等通訊軟體是否納管？簡宏偉說，資安重點在於「網路系統提供者」，臉書、Line或google等比較像是網路的「使用者」，因此不會是納管重點。

至於政府捐助的財團法人，簡宏偉表示，過去政府捐助的財團法人只能用「勸導」，未來入法可明確規範，但並非每個財團法人或關鍵基礎設施提供者的風險管理強度都一樣，而是授權主管機關來決定、並採分級方式管理，例如電業部分，供應50%以上的電廠，與供應10％的民營電廠，規定及資安管理的強度就會不同，層級低的就先從輔導開始做起，財團法人亦同，不必擔心侵權、管太嚴。

●資安專法草案最新版本　

【延伸閱讀】

●一銀ATM遭駭　專家：系統應獨立管理

●駭客替中國探路？　川習會前夕駭入美國重要商業機構​

●完美駭入Yahoo信箱　俄國聯邦安全局深諳潛規則

【熱門影片推薦】

●敘利亞撤離車隊遇襲112死　聯合國：已觸戰爭罪
●英國政壇震撼彈　梅伊宣布6月8日大選