跳至主要內容

台灣《資通安全管理法》修法草案的資料整理

2018年時曾經吵吵鬧鬧的《資通安全管理法》(資安法),現在要修法了。5 年過後再回頭看這部法,覺得它和民間私部門沒有太大的關係,在草擬這部法時沒有數位發展部(數位部),所以預設的主管機關是行政院,在當時的情況下,有些權責劃分很模糊,或是管理的層級也不清楚,有些單位無法明正言順的做事。現在有數位部了,藉這次修法把當時定義、層級弄清楚,也能那些原本負責的單位有依據做事,也加強所有政府各層級部門資通安全聯防、管理的機制。

預設讀這篇的都已讀過修正草案的內容,所以就把自己看過後的重點整理以下,只有第11條是我覺得需要寫清楚或規範清楚的,其他就只是資料整理:

  1. 資安法的對象其實是公務機關特定非公務機關,所以有些企業會很擔心資安法會管到他們,除非他們是特定非公務機關,但修法後的對象非常清楚,建議可以再向請教自己公司的法遵部門。現行資安法裡的的公務機關定義擴及到公法人(國家、地方自治團體、行政法人),修正後只有到行政法人。修正後草案將特定非公務機關則依據《財團法人法》修正(現行僅政府補捐助的財團法人)。
  2. 修正法草案明確寫出這部法的層級及管轄的範圍與層級、資通安全事件的通報層級、稽核的管理,不會像以前一樣都模糊的寫主管機關。修正後就會明確的寫出主管機關的哪個單位。修法後也明確是由行政院公告關鍵基礎設施清單,而不是由主管機關(數位部)來決定哪些是關鍵基礎設施。
  3. 修正後新增:第5、8、11、23、25、29、31條
  4. 現行第6條移到第30條,讓所監督的行政法人名正言順的做事,例如(資通安全)國際交流合作,台灣政府部門間的資通安全分享與分析中心(ISAC)都有在進行國際交流,另外如2023年終於成立的國家資通安全研究院(資安院),就是行政法人。
  5. 修正後第9條:資通安全情資分享機制由主管機關變成資安署。原本政府的部門間、關鍵基礎設施之間都有資通安全分享與分析中心(ISAC),這次修法可能是讓資安署可以名正言順的全權管理ISACs之間的情資分享與管理機制。
  6. 修正後第23條:規範特定非公務機關應設資通安全長,人選由代表人、管理人優先於其他代表權人,或再指派適當人員擔任。
  7. 修正後第29條:特定非公務機關規避、防礙、拒絕接受調查者,處罰10萬元以上,100萬元以下罰鍰。
  8. 修正草案通過後可能會出現的問題:
    • 修正後第10條:移除「委外應考量受託者之專業能力與經驗」,直接選任適當受託者。可能需要明確的定義什麼是有效的資通安全管理機制?由誰(主管機關?資安署?)定義有效?
    • 第4條的目的應是要鼓勵推動資安產業發展,如果不寫進去,可能沒有公務機關、特定非公務機關願意配合,但寫進去後,也沒有在罰則說明如果公務機關、特定非公務機關不配合那會怎麼處罰。
    • 第11條目的是為了避免採購及使用危害國家資通安全的產品,但公務機關可能要再看有沒有和政府採購法衝突或是採購法裡的規範,視《資通安全管理法》是特別法還是普通法,在規範的範圍重疊時,公務機關、特定非公務機關要先參考哪個法規?
      • 修正條文的第一項提到了舉辦活動用的場地也要遵守,是指場地內的資通安全設備(例如連網設備)?一般硬體設施?
      • 修正條文的第二項限制公務用資通訊設備不能安裝危害國家資通安全的產品,但會建議限制公務資通訊設備僅用於公務,不能用於私人用途,這也是符合 Cyber Hygiene 的觀念。在看過許多國內外資料外洩、社交工程資安事件實務都是起因於公私不分,在公務工具上做私人事情或私人工具上處理公務,例如收發私人電子郵件、公務用的通訊軟體裡使用私人帳號、加入私人的群組,以致於常發生釣魚或是從私人訊息裡的社交工程導致資安事件。
      • 由於限制了產品和場地,所以在第三項裡,公務機關可以向主管機關(數位部)查詢第一項的產品和廠商,但建議加上場地,以和第一項的規範一致。

這次的資安法修正應該也一併修正其施行細則的相關項目,這樣會比較一致。

關於《資通安全管理法》修正案的討論,請回到JOIN平台上討論、提供意見才是正當的管道。

留言

此網誌的熱門文章

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法可管,例如《兒童與

Some reflections when I see those internet giants controlling our daily lives

DALL·E - A vibrant, detailed scene capturing the essence of technology monopolies, represented by towering skyscrapers with logos of major tech companies. Twenty years ago, I was a student in a 5-year college. My major was international trade. The world was wild for globalization, and the internet was beginning. We studied international trade rules in the commercial college, L/C, insurance of the cargo (on board or before on board, or other conditions), the difference between container terminals and freight stations, etc. Some rules are still workable in e-commerce. E-commerce or online shopping is still working on the basics of international trade. As a student, I learned what we should pay attention to when a company wants to set up a branch company or expand its subsidiary in another country; the company needs to follow the local law and customs and respect the local culture, especially when a company needs to have advertisement or marketing events to promote their products. Also, t

聽死神說故事--偷書賊

書名:偷書賊(THE Book Thief) 作者:Markus Zusak ISBN:9789866973420 作者網站: Markus Zusak 譯者:呂玉嬋 出版:木馬文化 封面取自博客來網路書局。 購買於小小書房。 這個夏天讀《偷書賊》和《失物之書》,會在兩本不同的故事裡看到同一個時空背景所發生的故事,同樣是發生在孩子身上的事,同樣在說文字的力量,但《偷書賊》的節奏比《失物之書》緩慢一些。我盡量不要比較這兩本書,因為這是很無聊的事,但在閱讀的過程裡總驚訝這兩個故事有那麼多巧合之處,不是情節上的相似,而是在人物角色和背景總是有相似或是對立的情況出現。 《偷書賊》的女主角是被德國夫妻領養的莉賽爾,原本也要一同被領養的莉賽爾的弟弟卻死於火車上,莉賽爾在遭受與父母分離及弟弟的死亡後,在精神上受了極大的創傷,幸運的是領養她的父母是故事書中最仁慈的角色,給了莉賽爾完整的愛,不同於此時期裡其他的孩子可能瀕臨餓死或是送入集中營或是在街頭流浪被流彈波及,莉賽爾因為養父母的照顧和周遭的朋友、躲在地下室的猶太人…還有偏愛她的死神。 這個故事的特別處之一,敘述者不是主角或是任何一個書中的角色,而是沒有時空限制,總是旁觀的第三者,特別是在二戰的年代,無所不在的死神,戰場、集中營、巷弄裡,特別的是,這個死神總是想要表現祂冷酷無情和輕蔑人類的一面,但實際上我們從書中讀到的,是祂憐憫人類、輕視、無奈、驚訝人類的個性,也像人類一樣會抱怨工作、具有詩意、幽默感,也就是具有人性的一面: 人類只有在一天的開始與結束時,才會觀察顏色的變化。 但是對我而言,一天當中,每個短暫片刻都呈現出不同的色度與調性。 光是一個小時的時間,就包含了幾千種不同的顏色:蜜蠟黃、柔絲藍、陰鬱黑。 我是做這行的,當然特別注意顏色的變化。 …她貫徹始終,只要經過三十三號的門口,從沒有忘記吐痰,還會外加一句「死豬」。我發現德國人有個特點:他們真的很愛豬。 這個具有人性的死神成了說書者,祂說著在戰時會發生在任何一個角落的故事,然而我們透過祂的眼睛,看到一個帶著色彩、煙硝味濃厚、心驚膽跳與眼淚的故事,祂不儘是旁觀者,同時也是貫穿整個故事的主要角色之一。 整個故事讀起來有對納粹主義的不滿也有對當時情況的無奈。裡面對於創傷後壓力症候群( PTSD )的描寫也很貼切,莉賽爾和猶太人麥克斯分別經歷了不同程度的打擊,也產生了同樣的症狀,