今天在部分媒體與BBS瘋傳,行政院藉《資通安全法》草案第 18 條對民間機構進行「老大哥式」的資安管制。雖然我自己對該條文也不滿意,並有自己的版本,但將「非公務機關」與「民間機構」畫上等號,是一種刻意的誤導,有必要澄清一下。
《資通安全法》草案行政院版本第 2 條明訂了,「非公務機關」是指「關鍵基礎設施提供者、公營事業及政府捐助之財團法人」。所以第 18 條的「非公務機關」並不是常識中的「民間機構」。
行政院版本《資通安全法》草案第 18 條確實有各方意見。有業者反應「關鍵基礎設施提供者」定義不清,也有業者反應要全然避免「行政檢查」,無論如何確有爭議,但今天惡意把「非公務機關」與「民間機構」畫上等號,以訛傳訛,試圖帶風向,並無法讓大家專注到真正的問題上。
我自己的《資通安全法》版本也提到「私有關鍵基礎設施提供者」,我選擇的做法是,參考美國聯邦資訊安全管理法,給予了更明確的定義,並著重被指定的業者與政府之間的合作夥伴關係,讓兩者共同負有維護關鍵基礎設施安全的權利義務,但行政院在這點上,並未敘明政府該負的責任。
而另外是否真的應該要「行政檢查」,我也抱持了疑慮。我依然還是傾向回歸到 「業者自律」,並僅規範「私有關鍵基礎設施提供者」需要在重大資安事件發生時,七天內向主管機關報告即可。
我期待這篇發文,能使討論回歸正軌。今天僅是詢答,法案審查才剛要開始,行政院資安處也抱持開放的心態,我們應該把握這樣的機會,與行政單位多加溝通。而我自己也將密切關注《資通安全法》草案行政院版本第 18 條的後續,並隨時讓大家知道。