为了强化中央目的事业主管机关对特定非公务机关,发生重大资通安全事件的调查权,《资安法》修正草案新增条文第二十五条,增订中央目的事业主管机关行政调查的权限,也就是把现在主管机关对所管辖的相关产业,一旦发生重大资安事件甚至是个资外泄事件时,都会由主管机关执行的行政检查机制。
而这项权限的订定正式纳入《资安法》的法律规范中,可以有效精进资通安全管理。
同时,为了避免特定非公务机关拒绝中央目的事业主管机关的行政检查,也在修正草案中新增了罚则第二十九条,亦即「拒绝行政检查者,将处以罚锾十万元以上、一百万元以下」。
发生重大资安事件就是启动行政检查的时机
如果中央目的事业主管机关要对特定非公务机关启动行政检查,最重要的两个启动关键时机,一个是在稽核资通安全维护情形,发现重大缺失,另一个是遇到重大资通安全事件。
所谓的「重大缺失」是指:特定非公务机关未能落实其自订的资通安全维护计划,因此让组织的资安维护机制失效,导致发生损害,并且产生不可回复的风险。
至于「重大资通安全事件」则是指:发生了现行国家资通安全通报应变作业纲要所定义的第3、4级资安事件,例如:关键或核心资讯基础设施系统或资料遭到窜改、运作遭影响,或是系统停顿导致无法在可容忍中断时间内,回复正常运作者等都是。
为了能够更进一步落实特定非公务机关资通安全的维护,同时,也强化中央目的事业主管机关的监督权责,所以,中央目的事业主管机关针对特定非公务机关发生的重大资安事件进行调查,就是在执行行政检查。
但公共政策网路参与平台「众开讲」的网友对此表示质疑,他们提到,如果发生资安事件牵涉的面向很广,不论谁是当事人或关系人,该条文看似要究责,但该对谁进行究责,却不清楚交代,实务上有窒碍难行之处。
为免行政检查滥权,将检查程序范围等全部法制化
由于这次修法,将正式赋予中央目的事业主管机关权限,使其针对特定非公务机关发生的重大资安事件进行调查,但是,为了避免行政机关滥权,也必须制定一定的调查程序。
所以在《资安法》新增修正草案第二十五条第一项便规定,进行行政检查时,除了要通知当事人或关系人到场陈述意见外;也要通知当事人及关系人,提出独立第三方机构出具的鉴识或调查报告;甚至中央目的事业主管机关也可以派员、委任或委托其他机关(构),前往当事人及关系人的处所实施必要的检查。
至于所谓的关系人,也在条文中定义,协助特定非公务机关办理资通系统建置、维运或提供资通服务的受委托者,且与重大资安事件相关者,都可以作为接受调查的特定非公务机关当事人或关系人,到场陈述意见。
此外,为了保护接受调查对象应该有的权益,修正草案中也明订:执行调查的人员应该出示有关执行职务的证明文件,如果不能出示证明文件者,接受调查的人同样可以拒绝这些要求。
同时,对于负责执行行政检查的对象或机关(构),对于接受委托或执行行政检查时,所得知非特定公务机关的秘密,都负有相关的保密义务。
因为是执行公务,所以,接受调查的对象对于中央目的事业主管机关的行政检查,不得规避、妨碍或拒绝,否则就须受罚,例如,新增修正草案第二十九条就制定相关罚则,「如果规避、妨碍或拒绝调查者,由中央目的事业主管机关处新台币十万元以上、一百万元以下罚锾。」
行政检查具有行政救济方式,资安稽核则没有
行政检查的范围就是,检查机关职掌与受检查单位是否有依法应办理事项的内容,并且是以通知陈述意见、要求提供文书及资料等「行政程序法」的规定方式进行。
曾经协助政府执行行政检查的资安专家表示,行政检查是有其限制范畴与方法救济,不仅可以避免检调滥权、任意进行搜查,受检查单位若对行政检查结果不满,也可以启动行政诉讼的救济,不至于像现在的资安稽核,只要稽核人员检查出来的结果,就必须被迫接受,因为目前接受稽核的单位,本身并没有申诉救济的机会。
有资安专家表示,因为是代中央目的事业主管机关行资安检查之责,不只要具备资安技术能力,最好还具有法律素养,可以将法条作为行政检查的依据,「至少要开缺失的时候,可以于法有据。」该资安专家笑说。
此次修法虽然加强中央目的事业主管机关的监督权责,但众开讲平台当中有网友表示,中央目的事业主管机关的资安人力和技术能力,势必不如资安署理想,因此,资安署应在本条文中扮演重要角色,建议可加入:经中央目的事业主管机关函请资安署协助时,资安署应提供所要求的协助。
由于《资安法》规范的是公务机关,以及特定非公务机关的资通安全管理,但如果涉及个资外泄时,该修正草案也新增第三十一条,必须依照《个人资料保护法》及相关法规办理。
毕竟「资通安全维护计划」与「个人资料档案安全维护计划」都规定要有适当安全措施,但两者构成要件不同,也没有普通法与特别法的差异,为了让个资外泄资安事件也受《个资法》规范,于是透过新增法律条文来达成目的。
对于行政检查颇有研究心得的政治大学法律系兼任助理教授万幼筠表示,一般在执行行政检查时,他都会追问接受检查单位,出事后的通报应变程序怎么设计,这往往也是一般人忽略的地方。
特定非公务机关都负有通报资安事件的责任和义务
在本次资安法修正草案,大家可以发现:只要是针对公务机关的规范,也同样适用于特定非公务机关,务求《资安法》适用对象的法律规范能够一致。
举例而言,像是修正草案第十七条和第二十四条就规定:不论是公务机关或是特定非公务机关,为了因应资安事件,都应该订定通报及应变机制。
如果公务机关得知发生资安事件时,除了要向上级机关或监督机关及资安署进行资安通报外,也要一并提交该次资安事件的调查、处理及改善报告;如果是特定非公务机关知道发生资安事件时,除了要向中央目的事业主管机关进行通报外,也要提交该次资安事件的调查、处理及改善报告,若该次是重大资安事件的话,相关调查报告则应该同时送交资安署。
不过,关于通报与应变机制的必要事项、通报内容、报告提出、演练作业及其他相关事项办法等,公务机关是由主管机关订定相关内容,而特定非公务机关则由中央目的事业主管机关制定。
倘若中央目的事业主管机关或是资安署得知,特定非公务机关发生重大资安事件时,除了得提供该单位相关协助外,也会在适当时机点,得公告与事件相关的必要内容及因应措施。
因为公务机关发生重大资安全事件,极有可能会影响多数民众的生命、身体或财产安全,所以也明文规定,由接获资安通报的机关协同受骇的公务机关,分别或共同公告必要的内容,例如:发生原因、影响程度及目前控制的情形等,以及后续的因应措施,并提供相关的协助,以利后续防范、避免损害进一步扩大。
对于上述状况,「众开讲」平台的网友认为应加重资安署权责,特定非公务机关若发生重大资通安全事件,并提出协助需求时,资安署「应」提供相关协助,而非「得」提供协助,「资安署不是只负责收报告而已。」该名网友说。
所有的演练作业都要留存记录,没通报最高开罚五百万元
为了增进公务机关及特定非公务机关因应资安事件的处理能力,所以,在修正草案第十七条和第二十四条当中,都增订「演练作业」的项目,透过实施模拟演练,熟悉应变程序,以便提升处理资安事故的技能。
资安专家建议,不论公务机关或特定非公务机关,平时不只要做好演练作业,也要做好相关记录,否则一旦不幸爆发资安事件,受骇单位被通知需提交平时的演练记录给主管机关和资安署,如果平常演练都没有做好记录,就算临时抱佛脚进行赶工作业,恐怕还是无法产出相关报告,届时只能面临被主管机关裁罚的命运。
至于裁罚的部份,因为公务机关原本就是依法行政,所以不会对「机关」进行惩处,只会处罚「公务人员」,依照《资安法》的规定,视其情节的轻重程度,会对公务人员进行惩戒或惩处。
至于针对特定非公务机关的处罚,则会以机关单位为主。
像是修正草案第二十七条规定,特定非公务机关如果没有做到「限期改正」的事项时,会被按次处以罚锾十万元以上、一百万元以下;其他像是没有制定、实施或违反资通安全维护计划,或是未依规定,将资安改善计划送给中央目的事业主管机关及资安署,或是没有向有关单位提出资安事件调查报告、或违反通报内容或演练作业的规定等,都会受到相同的惩处。
为了强化特定非公务机关向主管机关通报发生资安事件的责任和义务,《资安法》修正草案第二十八条规定:如果没有按规定通报资安事件,中央目的事业主管机关可以开罚三十万元以上、五佰万元以下罚锾,并下令限期改正,若届期没有改正的话,可以按次处罚。
《资安法》这样按次处罚的方式,其实,也是强迫特定非公务机关必须正视问题,一旦遇到资安事件时,必须要做到相关的通报应变的责任,以外力要求特定非公务机关能够更重视资安,不会想著因循苟且。
资安通报不等于发布重讯
因为证交所要求上市柜公司,一旦发生资安事件时,必须即时发布重讯。然而,证交所要求的公司重讯发布,以及《资安法》规定的资安事件通报义务,两者之间有什么差异呢?
万幼筠表示,依照10月19日刚公布的《数位经济产业个人资料档案安全维护办法(安维办法)》,以及《资安法》修正草案中的规定,特定非公务机关有通报中央目的事业主管机关的义务。
像是上市柜公司如果发生资安事件,通报义务就是告知投资人(发表重讯),说明资安事件是否会影响业务营运以及可能造成的财物损失,这也是金管会在意的内容。
只不过,要通报《资安法》主管机关数位发展部的话,不只要通知该起资安事件发生的来源、通报和应变等后续流程,连是否有引起个资外泄事件等,也都在通报的范围之中。
所以,万幼筠认为,资安通报应该有三种分流,第一种是与营业秘密相关的资安事件,第二种是与个人资料相关的资安事件,最后一种则是影像作业运作、资讯系统中断的资安事件。
至于,特定非公务机关甚至是一般上市柜公司,要进行资安事件通报的流程,根据万幼筠的观察,首先是资安通报应变或是个资通报应变,必须要通报中央目的事业主管机关,这时候也会确认是否要刑事局或调查局(牵涉国安项目的资安)报案。
接著,如果是上市柜公司,还必须通报证交所,依照上市柜合约要求进行重大事件公告,说明该起资安事件是否影响公司的营运、对财务是否造成冲击,以及相关的应变方式。
最后,就是要通知当事人,如果是个资外泄事件的通知当事人,依照行政命令规定,必须在72小时内通知,但是,以往有许多机构当下虽然表示「查明后要告知」,但一查就查了N年,甚至没下文,所以改在「安维办法」要求,出事72小时内要通知主管机关,然后要通知当事人。
但他也说,目前因为法律没有强制完成通报的限制,只要求必须通报,所以,目前来看,通报和事件发生之间还是存在时间差。
因为资安通报不等于发布重讯,万幼筠指出,不论《资安法》、《个资安维办法》、《个人资料档案安全维护计划》等,都要求必须查明相关攻击来源、应变状况等详情,毕竟后续还有安排行政检查的任务,而证交所的通报内容就没有这么细致。
《资安法》修正草案重点之四的条文内容
【第十七条】
公务机关为因应资通安全事件,应订定通报及应变机制。
公务机关知悉资通安全事件时,应向第十四条规定收受其实施情形之机关及资安署通报。
公务机关应向前项接获通报机关提出资通安全事件调查、处理及改善报告。
前三项通报与应变机制之必要事项、通报内容、报告之提出、演练作业及其他相关事项之办法,由主管机关定之。
第二项接获通报机关知悉重大资通安全事件时,得提供公务机关相关协助,并于适当时机得公告与事件相关之必要内容及因应措施。
【第二十四条】
特定非公务机关为因应资通安全事件,应订定通报及应变机制。
特定非公务机关于知悉资通安全事件时,应向中央目的事业主管机关通报。
特定非公务机关应向中央目的事业主管机关提出资通安全事件调查、处理及改善报告;如为重大资通安全事件者,并应送交资安署。
前三项通报与应变机制之必要事项、通报内容、报告之提出、送交、演练作业及其他应遵行事项之办法,由主管机关定之。
中央目的事业主管机关或资安署知悉重大资通安全事件时,得提供特定非公务机关相关协助,并于适当时机得公告与事件相关之必要内容及因应措施。
【第二十五条】
中央目的事业主管机关为办理特定非公务机关发生重大资通安全事件之调查,得依下列程序办理:
一、通知当事人或关系人到场陈述意见。
二、通知当事人及关系人提出独立第三方机构出具之鉴识或调查报告。
三、派员、委任或委托其他机关(构)前往当事人及关系人之处所实施必要之检查。前项所定关系人,以第一项特定非公务机关委托办理资通系统之建置、维运或资通服务之提供之受托者,且与重大资通安全事件相关者为限。
受调查者对于中央目的事业主管机关依第一项所为之调查,不得规避、妨碍或拒绝。
执行调查之人员应出示有关执行职务之证明文件;其未出示者,受调查者得拒绝之。
第一项第三款受委任或委托之机关(构)对于办理受任或受托事务所获悉特定非公务机关之秘密,不得泄漏。
【第二十七条】
特定非公务机关有下列情形之一者,由中央目的事业主管机关令限期改正;届期未改正者,按次处新台币十万元以上一百万元以下罚锾:
一、未依第二十条第一项或第二十一条第一项规定,订定、修正或实施资通安全维护计划,或违反第二十二条所定办法中有关资通安全维护计划必要事项之规定。
二、未依第二十条第二项或第二十一条第二项规定,向中央目的事业主管机关提出资通安全维护计划之实施情形,或违反第二十二条所定办法中有关资通安全维护计划实施情形提出之规定。
三、未依第八条第二项、第二十条第四项或第二十一条第三项规定,提出改善报告送交资安署、中央目的事业主管机关,或违反第二十二条所定办法中有关改善报告提出之规定。
四、未依第二十四条第一项规定,订定资通安全事件之通报及应变机制,或违反第二十四条第四项所定办法中有关通报及应变机制必要事项之规定。
五、未依第二十四条第三项规定,向中央目的事业主管机关提出或向资安署送交资通安全事件之调查、处理及改善报告,或违反第二十四条第四项所定办法中有关报告提出、送交之规定。
六、违反第二十四条第四项所定办法中有关通报内容、演练作业之规定。
【第二十八条】
特定非公务机关未依第二十四条第二项规定,通报资通安全事件,由中央目的事业主管机关处新台币三十万元以上五百万元以下罚锾,并令限期改正;届期未改正者,按次处罚之。
【第二十九条】
违反第二十五条第三项规定,规避、妨碍或拒绝调查者,由中央目的事业主管机关处新台币十万元以上一百万元以下罚锾。
【第三十一条】
本法所定资通安全事件,涉及个人资料档案外泄时,公务机关及特定非公务机关应另依个人资料保护法及其相关法令规定办理