《資安法》原先主管機關為行政院，但數位發展部在2022年8月27日揭牌成立後，並設立辦理國家資通安全業務的數位發展部資通安全署，趁此次修法重新調整主管機關。（／數發部）

修法重點之一，在於重新指定《資安法》的主管機關。張紹斌表示，過去的《資安法》將主管機關設為行政院，這樣的規定導致民眾在面對資安事件時，沒有其他救濟途徑，一旦有爭議，就只能依據《行政訴訟法》直接提起行政訴訟。這種作法雖然保障了人民的權益，但也使得訴訟成為解決爭端的唯一手段，無形中增加了行政爭訟的負擔，也限制了民眾在法律上的選擇。

此次修法將主管機關從行政院改為數位發展部，並設立數位發展部下的資通安全署來負責資安事務。張紹斌認為，這樣的改變不僅符合數位發展部成立的宗旨，也能讓《資安法》在法律救濟層面更加完善。

他認為，透過將主管機關調整為數位發展部，政府可以在處理資安相關事務時，提供更具專業性和針對性的服務，提升行政效率。同時，當民眾或企業與政府之間產生資安爭議時，也能夠先透過資通安全署或其他行政機關進行溝通與調解，而非立即進入訴訟程序。

這樣的修法帶來更為靈活的處理模式，避免訴訟成為唯一的解決方式。張紹斌指出，行政訴訟雖然保障人民對於行政行為的監督權，但一旦進入訴訟程序，雙方耗費的時間與資源都極大，對於一般民眾和企業來說，過於繁瑣且昂貴。因此，修法通過後，讓民眾和企業在面對資安爭議時，有更多選擇，包括在行政系統內進行爭議調解與訴願，避免進一步激化矛盾。

數位發展部資通安全署的設立，對於處理資安事件將更加專業。張紹斌表示，過去行政院負責的範疇過於廣泛，無法針對性處理每一項資安問題；透過設立專責的資通安全署後，政府可以更有效針對資安法規範的落實情況，進行審查、執法與調解，讓資安管理更具精準性。此外，這樣的架構調整也使得政府部門間的權責劃分更加清晰，避免因資安問題涉及多個部門時，出現權責不明或推諉的情況。

張紹斌進一步指出，數位發展部的成立正是為了應對日益複雜的數位發展與資通安全挑戰。隨著數位經濟的快速發展，資安威脅與日俱增，此次修法的調整，讓資安事務由專責機構管理，不僅提升了法規的執行效率，也讓政府在處理資安問題上更具前瞻性與靈活性。

此次修法將資安法主管機關調整為數位發展部，並成立專責的資通安全署，不僅是組織架構的改變，更是資安治理邏輯的轉變。張紹斌認為，這提供更靈活的行政救濟渠道，減少了行政訴訟的壓力，並透過專業機構來管理國家的資通安全事務，進一步提升政府處理資安事件的效率與專業度。

第三：特定非公務機關公告的必要性

張紹斌進一步表示，政府應該公告「特定非公務機關」的名單，而不應該因為擔心中共得知而選擇隱瞞。根據《資安法》第三條第六項與第八項的規定，這些機關涉及維護關鍵基礎設施，必須經中央目的事業主管機關指定並送行政院核定。張紹斌對於政府因種種原因不願公告名單，持保留意見。

他強調，美國和中國都已經公告各自的關鍵基礎設施名單，這樣做是為了確保這些設施的法律權利和義務得以明確，從而促進合法和有效的管理。如果名單不公開，這些設施的權利與義務將無法確認，導致管理上的漏洞。

張紹斌提出一個情境：當主管機關發函給關鍵基礎設施時，如果只有少數高階主管或負責人知道該公司屬於關鍵基礎設施，這封來函可能會在一般公司內部流轉，增加機密外洩的風險。尤其在涉及密件的情況下，如果權利和義務不清，相關人員的資安意識不足，將無法保證法規遵循。

他指出，關鍵基礎設施涉及的供應鏈合作業者、資訊委外業者，甚至IT駐點人員，也需要知道這些設施的權利和義務，才能真正做到知法守法。因此，他對政府堅持不公告名單的做法表示不解，並認為應該根據國家安全、社會公共利益、國民生活或經濟活動的影響，公開這些設施的名單。

不同類別的關鍵基礎設施有眾多主管機關，指定名單之前，不應該只是坐在辦公室討論，而是應該要真正理解這些關鍵基礎設施，對於國家安全、社會公共利益、國民生活或經濟活動，是否會造成重大影響。

他說：「主管機關才是最了解關鍵基礎設施重要性的上級機關，最好的方式是，當主管機關指定關鍵基礎設施後，送交行政院備查並統一公告即可，行政院的核定與否意義並不大。」

第四：資通安全會報的明文化

《資安法》修法的第四個重點，是將資通安全會報的地位明文化。根據《資安法》第五條規定，「為辦理國家資通安全政策、應變機制與重大計畫之諮詢審議，協調各政府機關、中央及地方間之資通安全相關事務，行政院應召開國家資通安全會報，其幕僚作業由主管機關辦理。」

張紹斌解釋，自數位發展部及資安署成立後，立法院曾傳出廢止資通安全會報的聲音。這種呼聲的理由是，在已經設立相關主管機關和執行單位的情況下，資通安全會報可能被視為多餘，增加了行政負擔。然而，張紹斌強調，若發生需要跨部會溝通的資安事件，數位發展部或資安署的行政層級可能不足以有效協調，這時資通安全會報的存在就顯得尤為重要。

資安會報由行政院副院長擔任召集人，並由指定的政務委員或部會首長擔任副召集人。這樣的安排，使得資安會報成為一個適合跨部會溝通的平臺，能夠有效處理涉及多個部門的資安問題。

然而，張紹斌也提醒，這種委員會的架構存在一定的限制。雖然資安會報做出的決議可以約束政府機關，但由於委員會本身不承擔政治責任，可能導致權責不相符的情況。這種「有權無責」的狀況，可能削弱資通安全會報在實際操作中的效果。因此，他呼籲，在明文化資安會報地位的同時，也應考慮如何賦予其更明確的權責，以確保其在資通安全領域發揮應有的作用。

第五：資安稽核法制化的重要性

修法的第五個重點，在於將資安稽核法制化。根據《資安法》第八條第一項的規定，「資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形。」然而，資安署目前面臨的挑戰是，公務機關及特定非公務機關的數量龐大，資安署本身的稽核能力有限，難以全面覆蓋。因此，資安署只能依靠資安院及外聘專家學者，協助稽核工作。

目前的資安稽核涵蓋三個層面：策略面、管理面和技術面。然而，張紹斌指出，策略面和管理面實際上只是管理學中的概念，缺乏明確的定義。至於技術面，雖然稽核人員可能具備技術專業，但他們往往不熟悉被稽核單位的核心業務和業務範圍。此外，由於缺乏法律層面的配套措施，稽核工作也缺乏一致的標準。

張紹斌進一步強調，「稽核」這一概念本身並不是法律用語。公務機關內並沒有專門的稽核單位，通常只有政風單位。相比之下，《個資法》提到的「行政檢查」才是真正的法律用語。

由於稽核缺乏明確的律定標準，稽核結果的好壞往往受到稽核人員素質的影響。不同稽核員對同一問題的判斷可能存在較大差異，甚至可能發生私相授受的情況，這些都導致了目前臺灣資安稽核中的偏差現象。

除此之外，有些公務機關對於核心業務範圍的定義存在問題，為了規避檢查，他們可能故意縮小業務範圍，這也會對稽核工作造成困難。張紹斌舉例，有一個鄉鎮公所的人員在面對稽核時，表示他們沒有核心業務，所有業務都是為了服務民眾。這種說法顯然不合理，稽核員對此當場提出質疑：「如果鄉鎮公所沒有核心業務，那其存在的價值是什麼？」

現階段，資安稽核主要針對公務機關進行，特定公務機關則由中央目的事業主管機關負責。資安署得依法對公務機關及特定非公務機關進行稽核，確認其資通安全維護計畫的實施情況。

張紹斌指出，稽核的本質在於確認實際行為是否與計畫內容一致，這也與法規遵循的精神相符。然而，由於目前擬定資通安全維護計畫缺乏法制人員的參與，如何將實際作為落實到資通安全維護計畫，成為一大挑戰。

張紹斌進一步解釋，稽核實際上是一種督導或查核的形式，資通安全「管理」法並非資通安全「檢查」法，應該推動公務機關和特定非公務機關的自律，透過自查來實現自律，再由外部稽核來法制化自查程序。

他強調，稽核並不一定能夠防止所有問題的發生，但不進行稽核肯定會出問題。他引用了一項報告指出，稽核發現舞弊的機率只有4％，其餘96％的舞弊案件是由警調調查或吹哨者揭露的。他總結道：「雖然查核不一定能防弊，但至少可以讓那些有意圖作惡的人保持警覺。」

第六：研考功能的保留與資安署的責任分工

張紹斌認為，應該讓公務機關發揮原有的研考功能，而不是讓資安署承擔所有相關責任。根據《資安法》第八條第二項規定，「受稽核機關資通安全維護計畫實施情形有缺失或待改善者，應提出改善報告。公務機關應將報告送交依第十四條規定收受其實施情形之機關，特定非公務機關則應送交中央目的事業主管機關審查後，再由該審查機關送交資安署。」

儘管中央部會已將研考會轉型為國發會，許多機關部會甚至地方政府仍保有負責研考相關業務的部門。研考的意義在於運用科學方法，負責政策研究與規劃，並追蹤、管制及考核政府施政計畫的執行情況。

張紹斌指出，《資安法》第七條規定，「公務機關及特定非公務機關應根據其業務重要性與機敏性、機關層級、保有或處理的資訊種類、數量、性質、資通系統的規模及性質等條件，報由資安署核定或備查其資通安全責任等級。」此外，《資安法》第八條第三項也規定，「收受改善報告的機關認為有必要時，得要求受稽核機關進行說明或調整。」同條第五項則規定，「資安署應擬訂年度計畫，並送由主管機關報請行政院核定後辦理，年度計畫及成果報告應送交國家資通安全會報備查。」

張紹斌認為，這些法條的規範內容本來就應屬於公務機關的研考機制範疇，當資安署的管理量能無法承擔如此龐大的業務時，應由相關部會機關的研考單位承擔資安稽核的責任，特別是在法遵方面的稽核。

至於資安技術專業部分，他建議可以委由具備專業技能且忠誠可靠的業者負責。這樣將技術面稽核與策略面、管理面及法遵面切割開來，能更好地落實資安稽核的各個層面。

攝影／洪政偉

第七：《資安法》應以情資分享為核心

修法的重點之一，在於應該將情資分享作為《資安法》的核心，而不僅僅是偏重於稽核。根據《資安法》第九條第一項的規定，資安署應建立資通安全情資分享機制。然而，張紹斌指出，目前的《資安法》更偏向於落實稽核的法制化，並在多條條文中對此進行了詳細規範，然而，情資分享的部分卻只有一條規定。從法的結構來看，這實際上削弱情資分享在《資安法》的重要性。

情資分享是資通安全的關鍵環節，涉及國內外資通安全資訊的交流，以及資通安全警訊的發布等技術性事務。張紹斌認為，《資安法》應該將情資分享視為真正的核心，因為只有通過有效的情資分享，才能夠及時識別和應對潛在的資安威脅。然而，目前的法律結構過度強調稽核，使得情資分享的功能被弱化，這是不利於整體資通安全的。

在情資分享的基礎上，如果發生資安事件，通報應變就變得至關重要。根據修法重點的第二十四條第二項規定，特定非公務機關在知悉資通安全事件後，應立即向中央目的事業主管機關通報。這一規定強調了在資安事件發生後，迅速通報的重要性，以便相關部門能夠及時采取應對措施，減少損失。

然而，如果未能按照規定進行通報，將面臨嚴重的法律後果。根據《資安法》第二十九條的規定，特定非公務機關未依規定通報資通安全事件的，將由中央目的事業主管機關處以新臺幣三十萬元以上、五百萬元以下的罰鍰，並令其限期改正。若在規定期限內未能改正，將按次處罰，進一步加重處罰力度。

此外，《資安法》第三十條進一步強調了對違反資通安全維護計畫或通報應變機制的懲罰措施。根據該條款，特定非公務機關如果違反相關規定，將被中央目的事業主管機關令其限期改正，屆期未改正者，將按次處以新臺幣十萬元以上、一百萬元以下的罰鍰。

這些罰則的設立，目的在強化資通安全管理，確保各機關和單位在資安事件發生後能夠及時通報並采取有效的應對措施。張紹斌認為，雖然法制化稽核能夠提高對資安的監管力度，但若沒有強有力的情資分享機制作為支撐，資通安全的整體效能將大打折扣。因此，修法應更加重視情資分享，確保其在資安法中能夠發揮應有的作用，以達到真正的資通安全保護目標。

第八：重新檢視罰則是否符合比例原則

張紹斌認為，修法的第八個重點應該是重新檢視特定非公務機關違反資安通報義務，與違反資通安全維護計畫的罰則。他指出，根據現行法律，未能通報資安事件的處罰為新臺幣三十萬元以上、五百萬元以下罰鍰，而違反資通安全維護計畫的罰款則僅為十萬元以上、一百萬元以下。這樣的懲處安排，顯示出通報義務的罰則明顯更為嚴厲。

他質疑，雖然強化非公務機關的資安通報義務是有必要的，但從法律的處罰角度來看，這種設置似乎違反了比例原則。資通安全維護計畫的違反，理應也是對企業內部資安管理的重大疏失，但其處罰卻遠低於通報義務的違反。

比例原則要求，法律處罰應與違規行為的嚴重程度相符，過重或過輕的處罰都可能產生不公平的情況。張紹斌認為，目前的罰則設置對違反資通安全維護計畫的行為懲罰過輕，可能導致一些機構在實際操作中缺乏遵守這些規範的積極性。與此同時，對於通報義務的過重處罰則可能會讓機構過度恐懼，不敢主動揭露潛在的資安風險。

他建議，應該重新檢討這些罰則，確保處罰的設置更加合理且符合比例原則，既要保障資通安全通報機制的有效運行，又不應過度懲罰違規者。這樣的調整不僅有助於提高《資安法》的執行效率，也能夠促使更多企業主動遵守資安規範，從而達到更好的資通安全保護效果。

第九：資安業務可委外，但責任不可委外

資安法修法重點之一，應該是強調資安業務雖然可以委外，但公務機關或特定非公務機關的責任不能委外。根據《資安法》第十條第一項規定，公務機關或特定非公務機關在委外進行資通系統建置、維運或資通服務時，應選擇適當的受託者，並要求其建立有效的資通安全管理機制，同時負責監督該機制的實施。同條第二項進一步規定，委外時必須簽訂書面契約，明確雙方的權利義務及違約責任。

張紹斌指出，《資安法》的條文雖然允許委外，但實務上，委外的責任畫分往往模糊不清。當公務機關發生資安事件時，常常將責任推給外包廠商，無論是因為設定錯誤還是系統老舊未更新，總是廠商被指為過失的主因。他強調，機關或特定非公務機關應該承擔更多的資安責任，而不應僅依賴外包廠商。

為進一步說明責任畫分的問題，張紹斌拿《資安法》與《個資法》進行比較。《個資法》第四條規定，受公務機關或非公務機關委託處理個人資料的單位，應視同委託機關，這意味著，儘管業務可以外包，但委託者仍需負全責。相比之下，《資安法》在這方面的規範較為模糊，導致機關或非公務機關在遇到資安問題時，可能傾向於將責任推卸給外部廠商，而未能承擔應有的法律責任。

張紹斌認為，這樣的責任界定不僅在實務中產生了問題，也違背了「責任不可外包」的原則。他呼籲，立法院應在此次《資安法》修法過程中，參考《個資法》的具體條文，明確規範資安責任不能委外。這樣可以確保無論是公務機關還是特定非公務機關，都能在委外執行資安業務時，依然對其資安防護承擔最終責任。

此外，張紹斌進一步指出，除了明確委外責任，監管機構在稽核過程中也應該更加關注委託機關的監督責任。儘管受託者在合同中承擔了違約責任，真正的資安防護還需要委託機關具備相應的監管能力。這不僅是對外包廠商的要求，更是對機關自身資安管理能力的檢驗。

總之，修法應當重申「資安業務可以委外，但責任不可委外」的原則，強化機關的自律與監管責任，這樣才能在日益複雜的數位環境中，維護國家與企業的資通安全。

第十：禁用危害國家資通安全產品

美國前眾議院議長裴洛西於2022年8月訪臺後，發生統一超商以及臺鐵火車站電子看板遭駭事件，《資安法》也在此次修法中，要求公務機關及特定非公務機關委外營運的公共場所的視聽設備，禁用危害國家的資通安全產品。（／王浩宇臉書）

修法的第十條，是各界關注的焦點之一，主要針對新增的「禁用危害國家資通安全產品」條文。

根據《資安法》第十一條第一項的規定，公務機關不得下載、安裝或使用危害國家資通安全的產品；即使是在自行或委外營運場所提供公眾視聽或網路接取服務，這樣的產品也被禁止使用。唯一的例外是當業務需求無法替代，且經機關資通安全長核可後，才能專案方式使用並列冊管理。

此外，《資安法》第二十七條第一項對特定非公務機關也有類似的限制。該條款明確指出，中央目的事業主管機關得限制或禁止特定非公務機關使用危害國家資通安全的產品，尤其是在公共視聽設備或網路接取服務中。同樣地，如果業務需求無法替代，且經核可，特定非公務機關也可以專案方式使用並列冊管理。

然而，張紹斌指出，這項修法存在的最大問題是，政府至今尚未公布明確的「危害國家資通安全」產品清單。雖然法律要求公務機關與特定非公務機關不得使用這些產品，但目前外界多以禁用中國品牌產品作為參考標準。

這樣的標準，雖然直觀，但並不完善，因為現代的許多3C產品，包括蘋果手機，都是在中國製造。政府擔心公布禁用清單後，可能會出現企業改貼牌、代工、鑽法律漏洞等問題，進一步影響政策實效。

目前條文中的「不得下載、安裝或使用危害國家資通安全產品」主要針對的是軟體和應用程式（App），尤其是那些可能涉及國家安全的工具。張紹斌建議，政府應該對網路產品進行分類，並根據重要性來進行分級管理。這樣的分級系統可以包括強制性標準、自願性標準。針對最關鍵的網通產品，應制定強制性標準，公務機關不得採購抑或排除在下載清單外，以確保國家安全；而對於影響相對較小的產品，則可以列為自願性規範。

張紹斌進一步指出，中國的《網路安全法》已經針對不同類別的網通產品進行了重要性分級，並依照這些級別制定了不同的安全標準。而台灣目前的《資安法》，僅僅針對公務機關和特定非公務機關的資通系統，基於資安和國安考量來限制或禁用軟、硬體與App。然而，這樣的制度其實可以再細緻化分類與管理精細度。

此外，張紹斌認為，資安署目前不願公布禁用清單，導致公務機關和特定非公務機關在使用產品時，無法明確判斷該產品是否存在於禁用範圍內。雖然他們可以向資安署進行諮詢，但這樣的行政流程繁瑣且效率低下，增加了不必要的負擔。他認為，與其進行如此低效的流程，不如直接公布清單，並由經濟部標準局統一公告，讓各機關能夠快速判斷，從而提高整體運作效率。

最後，他提醒，僅以「中國品牌」作為禁用標準並不合理。現代許多關鍵3C產品已經在中國製造，單憑產地來限制產品的使用，並不能有效保障國家資通安全。最理想的方式還是要根據網通產品的內容並重要性進行分級，並制定不同強度的標準，來作為安全管理的依據。這樣既可以避免過於僵化的禁用規定，也能更靈活地應對現代複雜的資安挑戰。

從《資安法》第十條制定禁用「危害國家資通安全產品」的規範，但若要真正落實並提高資通安全水平，應該更明確界定產品範圍，並採用更為精細化的分級管理系統。這不僅有助於提升政策的執行效果，也能在全球供應鏈日益複雜的情況下，平衡安全與技術發展的需求。

第十一：檢視資安專職人員的適任性查核是否妥適

《資安法》第十九條對資通安全專職人員的適任性查核做了規範，其中提到「公務機關得對所屬資通安全專職人員進行適任性查核」，以及「主管機關得於錄取資通安全人員後，進行適任性查核」。這一條文的制定，旨在確保國家機密不受洩露，特別是在委外廠商或特定人員涉入機密業務時，必須進行嚴密的背景檢查，以確認其具備相應的可信度與資格。

對於適任性查核的具體內容，張紹斌指出，這通常包括查核人員是否有洩密之可能或有其他重大犯罪記錄，並評估該業務的機密等級與人員是否符合規範。這樣的查核雖然在國家安全層面有其必要，但張紹斌認為，只有業務單位和用人機關才最了解哪些工作涉及機密，這與公務人員的職等或位階無關。

他說，但是在「榜示後」即實施此種安全調查，無疑就是對其在應公職考試前的家庭背景、就學經過、生活及交友狀況予以全盤性的檢視；縱有此種必要，應該在報考公職的簡章中明文揭示。此種查核，連報考軍校都極為罕見，這樣的查核應該由誰來發起、如何進行，成為一個值得討論的問題。

此外，張紹斌也質疑，《資安法》新增的適任性查核規定，是否已經超越了現有的人事機關職權範疇。他強調，公務人員在通過考試院的相關考試後，已經接受過身份及能力的查核。銓敘部、行政院人事總處負責的現行公務員任用制度，已經確保了人員的合法性與適任性，果真有此種必要或實施的效益，有應該在應考資格上予以明確記載不得報考，否則無異對該「榜示後」之考生貼上「不忠誠」之標籤，嚴重影響該考生考評及未來的陞遷，因此，他對《資安法》新增的這一查核條文，是否會破壞現行制度的設計有所懷疑。

事實上，公務人員的任用和考核制度早已有一套完整的體系。張紹斌進一步指出，公職人員的任用流程本來就應該由行政院人事總處與銓敘部負責，這套系統已經能夠確保任用人員的資格審核。如果《資安法》要求數發部進行額外的適任性調查，這是否會造成機關間職權重疊，影響現有的文官任用運作？

《資安法》第十九條的修訂，針對資安專職人員的適任性查核做了強化規定，然而，適任性查核的實施細節、查核的發起者以及是否與現行人事制度重疊，成為此修法條文的焦點與挑戰。他認為，對於如何避免制度上的衝突，並且在保障國家安全的同時，不損害公務人員的權利，仍有待進一步討論和細化規範。

 專家剖析《資安法》修法11大重點 

 第一  應打破官民分治法律框架

 第二  主管機關從行政院更替為數位發展部

 第三  特定非公務機關公告的必要性

 第四  資通安全會報的明文化

 第五  資安稽核法制化的重要性

 第六  研考功能的保留與資安署的責任分工

 第七  應以情資分享為核心

 第八  重新檢視罰則是否符合比例原則

 第九  資安業務可委外，但責任不可委外

 第十  禁用危害國家資通安全產品

 第十一  檢視資安專職人員的適任性查核是否妥適

／iThome整理，2024年9月