跳至主要內容

台灣《資通安全管理法》修法草案的資料整理

2018年時曾經吵吵鬧鬧的《資通安全管理法》(資安法),現在要修法了。5 年過後再回頭看這部法,覺得它和民間私部門沒有太大的關係,在草擬這部法時沒有數位發展部(數位部),所以預設的主管機關是行政院,在當時的情況下,有些權責劃分很模糊,或是管理的層級也不清楚,有些單位無法明正言順的做事。現在有數位部了,藉這次修法把當時定義、層級弄清楚,也能那些原本負責的單位有依據做事,也加強所有政府各層級部門資通安全聯防、管理的機制。

預設讀這篇的都已讀過修正草案的內容,所以就把自己看過後的重點整理以下,只有第11條是我覺得需要寫清楚或規範清楚的,其他就只是資料整理:

  1. 資安法的對象其實是公務機關特定非公務機關,所以有些企業會很擔心資安法會管到他們,除非他們是特定非公務機關,但修法後的對象非常清楚,建議可以再向請教自己公司的法遵部門。現行資安法裡的的公務機關定義擴及到公法人(國家、地方自治團體、行政法人),修正後只有到行政法人。修正後草案將特定非公務機關則依據《財團法人法》修正(現行僅政府補捐助的財團法人)。
  2. 修正法草案明確寫出這部法的層級及管轄的範圍與層級、資通安全事件的通報層級、稽核的管理,不會像以前一樣都模糊的寫主管機關。修正後就會明確的寫出主管機關的哪個單位。修法後也明確是由行政院公告關鍵基礎設施清單,而不是由主管機關(數位部)來決定哪些是關鍵基礎設施。
  3. 修正後新增:第5、8、11、23、25、29、31條
  4. 現行第6條移到第30條,讓所監督的行政法人名正言順的做事,例如(資通安全)國際交流合作,台灣政府部門間的資通安全分享與分析中心(ISAC)都有在進行國際交流,另外如2023年終於成立的國家資通安全研究院(資安院),就是行政法人。
  5. 修正後第9條:資通安全情資分享機制由主管機關變成資安署。原本政府的部門間、關鍵基礎設施之間都有資通安全分享與分析中心(ISAC),這次修法可能是讓資安署可以名正言順的全權管理ISACs之間的情資分享與管理機制。
  6. 修正後第23條:規範特定非公務機關應設資通安全長,人選由代表人、管理人優先於其他代表權人,或再指派適當人員擔任。
  7. 修正後第29條:特定非公務機關規避、防礙、拒絕接受調查者,處罰10萬元以上,100萬元以下罰鍰。
  8. 修正草案通過後可能會出現的問題:
    • 修正後第10條:移除「委外應考量受託者之專業能力與經驗」,直接選任適當受託者。可能需要明確的定義什麼是有效的資通安全管理機制?由誰(主管機關?資安署?)定義有效?
    • 第4條的目的應是要鼓勵推動資安產業發展,如果不寫進去,可能沒有公務機關、特定非公務機關願意配合,但寫進去後,也沒有在罰則說明如果公務機關、特定非公務機關不配合那會怎麼處罰。
    • 第11條目的是為了避免採購及使用危害國家資通安全的產品,但公務機關可能要再看有沒有和政府採購法衝突或是採購法裡的規範,視《資通安全管理法》是特別法還是普通法,在規範的範圍重疊時,公務機關、特定非公務機關要先參考哪個法規?
      • 修正條文的第一項提到了舉辦活動用的場地也要遵守,是指場地內的資通安全設備(例如連網設備)?一般硬體設施?
      • 修正條文的第二項限制公務用資通訊設備不能安裝危害國家資通安全的產品,但會建議限制公務資通訊設備僅用於公務,不能用於私人用途,這也是符合 Cyber Hygiene 的觀念。在看過許多國內外資料外洩、社交工程資安事件實務都是起因於公私不分,在公務工具上做私人事情或私人工具上處理公務,例如收發私人電子郵件、公務用的通訊軟體裡使用私人帳號、加入私人的群組,以致於常發生釣魚或是從私人訊息裡的社交工程導致資安事件。
      • 由於限制了產品和場地,所以在第三項裡,公務機關可以向主管機關(數位部)查詢第一項的產品和廠商,但建議加上場地,以和第一項的規範一致。

這次的資安法修正應該也一併修正其施行細則的相關項目,這樣會比較一致。

關於《資通安全管理法》修正案的討論,請回到JOIN平台上討論、提供意見才是正當的管道。

留言

此網誌的熱門文章

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法...

在醫院時的心得和讀書心得

因為一些原因,最近去醫院動了個手術。對我來說是一個大手術,出院至今還沒一個星期,但許多事情的過程、變化、讀了一點點書,讓我想寫些什麼。 先感謝有耐心的耕莘醫院的醫師和護士們,在醫院的期間對我各種有的沒的問題皆耐心的有問必答和細心照護,所以我在出院時幾乎是充滿活力的。醫院病房也很乾淨整潔,而病人們也很互相體貼,給予彼此尊重和隱私。辦理住院時也告知不公開,所以僅有家人在探病時間來看我,讓我覺得非常安靜,可以不用面對不必要的社交。也十分感謝台灣有健保制度,把醫療費用在減少未來風險的醫材,而這在我住院期間時閱讀到相關內容時,也有所感慨。 還有謝謝公司和同事,沒有健檢制度的話,我就不會發現身體的警訊,如果沒有公司內部的護理人員,我不知道要問醫生哪些問題,如果沒有主管和同事的協助,我不可能有機會去治療。 接下來則是一些個人心得,從決定進行手術時的心慌意亂到手術後躺在病床上回想一切經驗後的心得。 相信醫生和護理人員的建議,不要過度依賴網路上的資訊 在決定進行手術後,從公司的護理人員到網路上各種手術心得,如同一般人透過網路找尋相關資訊,最後反而是公司的護理人員提供的資訊相對實用,例如要問哪些問題、想到要隨時記下。 由於網路上資訊豐富,許多有相同手術經驗的病人都樂於公開分享自己治療的經驗、自己的感受,無意中也分享自己的隱私,加上不少是過時的資訊,且每個醫師的治療方式、醫院的資源也不同,所以一些過期的資訊、不必要的干擾會減少醫生與病人之間的信任感。在我問醫生需要準備什麼、治療過程是否有哪些方式時,醫生肯定的告訴我,不會使用我提問的方式,且準確的告訴我手術的時間、方法、需要的醫材及自費的預算,反而讓我覺得自己透過網路找資訊的行為很可笑,如果網路這麼厲害,那怎麼不讓網路醫生來做就好? 術後,因為一些會議需求,我向醫生請教交通、日常照護上需要注意的相關事項,醫生也把相關的事項告訴我,這些都讓我覺得,有問題還是問醫生,網路就只是個參考。 在這個資訊過量的年代裡,部落格、社群平台讓人的情緒有個出口,但總在無意間這些「情緒」會影響其他視聽者的判斷。病人需要相信的是治療自己的醫生,而不是道聽途說的個人感受,如果無法信任對方,則是換一位醫生、換一家醫院。 老人照顧老人、病人照顧病人的社會 在住院的時間裡,我要求家人在家休息,只在探病時間過來即可,另外再請看護人員來照顧。在現今少子化且許多家庭是雙薪無子...

讀《時代的噪音》

朱利安.巴恩斯(Julian Barnes)所著的《時代的噪音》(The Noise of Time)是以蘇聯體制時期的作曲家 蕭士塔高維契 (Dmitriy Dmitrievich Shostakovich)的視角,從自己出生時的命名、年輕時因為政治因素,過著每晚心驚膽顫的生活,到年老變成自己厭惡的樣子。書裡描寫了一個藝術家在創作時需要考量政治因素,因為這些作品需要經過審查,通過審查的作品才能公開表演。 我對20世紀的古典樂作曲者不熟悉,更不用說蘇聯體制時期的樂曲及音樂家的一生。這是一本值得現代未經歷過共產主義、戒嚴年代的年輕人閱讀的書籍,這本書講得不只是蕭士塔高維契或是共產主義國家對藝術發展的影響,而是講權力對藝術與人生的干預。從蕭士塔高維契出生時的命名,他的父親為他取了名字,卻被教會要求改名,到自己的情人、婚姻的對象、說話交往的對象,成為蘇聯對外宣傳的代表,「權力」都是影響他在政治上的聲譽或是創作的因素。 如果藝術家跟人類的靈魂無關,那藝術家還能做什麼?除非藝術家只想成為裝飾,或只是權貴的走狗。 我在大學最後一年修了一門課,課程中的幾個章節是簡介馬克思主義與其經濟理論,馬克司主義敘述與內容是一個看似理想化的經濟學。資本主義走到現在也許造成整個社會呈現兩極化,但不可否認資本主義提供激勵,提供誘因讓人參與經濟活動,成為生產要素。馬克思主義對於理想化、想改變世界,少經世事的學生是很迷人的,也能觸及勞動階級參與改革社會。 一位醫生曾與我聊到馬克思主義帶給社會的影響,醫生轉述一篇文章的內容,該篇文章的作者認為馬克思主義試圖藉由知識分子帶領容易服從的勞動階層,發動革命以改革社會。中國共產黨與中國國民黨的歷史,就是近代清楚明確的案例。毛澤東是當時的知識分子,許多知識分子跟著他,操弄著相對知識缺乏的農民、勞動階層,與過度理想化的學生與青少年,發動革命反抗蔣介石,在1949年把中國國民黨趕到台灣來。但如果馬克思主義真的這麼好,那我們可以看看那些曾經實施馬克思主義政權的人民們過得是什麼樣的生活--中國曾經歷過十分艱辛的時代,直到鄧小平在晚年的開放,改變中國的經濟發展。 書中談到蕭士塔高維契回憶自己的一生與生活的共產主義年代,作者以這段文字描述共產主義: 它給了你夢想,再給你夢魘,而它讓所有人--不論大人小孩都感到恐懼。 台灣的戒嚴時期就與書中描寫的狀態一致,由中國國民黨統治的台灣...