段委員宜康：主席、各位列席官員、各位同仁。我要向行政院請教幾個關於資通安全管理法的問題<br />
。第 1，這項法律所規範的對象到底是什麼樣的單位？非公務機關除了公營事業與政府捐助之財<br />
團法人以外，就只有一種，就是關鍵基礎設施提供者。至於什麼是關鍵基礎設施，剛才尤委員已<br />
經講過，我就不再重複，但必須是在提供的功能停止運作或效能降低的情況下才適用，那就排除<br />
了個資外洩，因為個資外洩其實並不影響設施的功能。我舉個例子好了，剛才我聽到，證交所的<br />
目的事業主管機關是金管會，而證交所應該會被認為是關鍵基礎設施的提供者，對不對？我應該<br />
沒有聽錯。那我們假設一種狀況，就是證交所的名單外洩。證交所雖然被視為關鍵基礎設施的提<br />
供者，但就其名單、也就是個資，包括所有交易資料外洩一事來說，應該不被視為關鍵基礎設施<br />
遭到破壞，對不對？就法條來說是這樣吧？請行政院宋副秘書長說明一下。<br />
主席：請行政院宋副秘書長說明。<br />
宋副秘書長餘俠：主席、各位委員。現行個人資料保護法其實有類似的檢查條文，根據條文，形成<br />
要件是資料檔案、安全維護業務中止、資料處理方法、國際傳輸等資訊有外洩情形。本法的重點<br />
確實還是在停止運作與效能降低，但有時很難界定症狀會不會持續影響，導致關鍵基礎設施停止<br />
運作，所以我們必須與個資法的主管機關法務部密切聯繫。<br />
段委員宜康：假設我把取得的個資賣掉，也許做其他商業使用，或用來詐騙，但並不影響關鍵基礎<br />
設施的原有功能啊！例如證券交易繼續進行，除非可以證明這起資安事件造成關鍵基礎設施的原<br />
有功能停頓，照你們的法條定義，這樣推論沒有錯吧！<br />
我也要請問另外一個問題，是關於名詞定義的第二條，其中第一項第三款針對資通安全提到<br />
「洩漏」，在定義上，關鍵基礎設施一定要遭受攻擊到功能停止運作與效能降低的程度才適用本<br />
法，如果只是資料的洩漏，看來就不包括在內。<br />
主席：請行政院資安處簡處長說明。<br />
簡處長宏偉：主席、各位委員。剛才委員提到的問題，在我們的分級事件中列為第三級，屬於重大<br />
事件，也就是說，資料外洩了……<br />
段委員宜康：不，你不了解我的意思。<br />
簡處長宏偉：這類事件就屬於本法適用範圍。<br />
段委員宜康：我是說，本法規範的範圍，在非公務機關只規範關鍵基礎設施提供者，對不對？以銀<br />
行為例好了，我剛才如果沒有聽錯的話，金管會不把銀行視為關鍵基礎設施的提供者，對不對？<br />
<br />
是，還是不是？銀行是不是關鍵基礎設施的提供者？不是吧！<br />
宋副秘書長餘俠：金管會副處長也在座。<br />
段委員宜康：假設某銀行遭到資安攻擊，導致交易功能停頓，畢竟現在銀行都要使用電腦，一旦電<br />
腦被駭、導致當機，交易功能是不是停頓？包括匯款、甚至連存提款也無法進行了。存提款或許<br />
還可以，但跨行轉帳就不行了。這會不會對社會公共利益或經濟活動造成重大影響，或是對社會<br />
造成重大衝擊？我想會吧！可是，如果我們提報的名單沒有銀行，因為銀行最常發生的資安問題<br />
是個資外洩，所以我們就不把銀行視為關鍵基礎設施的提供者，一旦某銀行遭到攻擊，導致電腦<br />
當機，各位可以想像，對於其客戶或商業活動會有多大影響。所以，我認為本法在定義的處理上<br />
有點混亂，不確定到底想規範什麼樣的事件、規範的層次是什麼，以及要達到的目的是什麼。<br />
我再問一個問題，是關於地方主管機關。我們給地方主管機關什麼樣的權限呢？剛才余委員<br />
宛如也問了，地方主管機關可以檢查、可以處罰，該非公務機關要把資安計畫提報給地方，包括<br />
直轄市與縣市政府。但我們為什麼相信他們有能力處理這些問題？假設如同剛才行政院所報告的<br />
，美國與日本的關鍵基礎設施提供者數目這麼少，那我們為什麼不能要求行政院擔起所有責任，<br />
為什麼要讓縣市政府處理？你要我們相信縣市政府有能力？或者我們可以期待，把這麼重大的責<br />
任交給縣市政府是合理的嗎？退一萬步說，我相信中華電信應該會是關鍵基礎設施提供者，因為<br />
它是電信公司。中華電信在各地都有機房、都有分公司，那是不是任何縣市政府都可以去中華電<br />
信機房突擊檢查，或者都可以要求中華電信提報其資安計畫，對於中華電信來說有保障嗎？而業<br />
者又能相信地方政府有能力處理這些資安危機，或有能力審查業者的資安報告嗎？地方政府的資<br />
安到底做得好不好，你們自己清楚啊！縣市政府連自己都做不好，還有辦法審查他人的資安計畫<br />
嗎？你們在法條中制定的管制功能也太草率了吧！<br />
我再問第 3 個問題。第五條規範委任與委託其他公務機關法人或團體，其中當然也包括公司<br />
，辦理資通安全整體防護國際交流等資通安全相關事務，那代表什麼？代表行政院可以將全國所<br />
有單位，包括非公務機關的資通安全事務委託給其他法人，包含民營企業。那要不要依照採購法<br />
公開招標？也就是針對中華民國所有關鍵基礎設施與政府資通安全照採購法招標，交給一家公司<br />
，這未免也太草率了吧！你們制定這項條文的目的到底是什麼？行政院把資安講得那麼重要，那<br />
為什麼不能自己做？就算要委託或委任，那條文有沒有明定承包商的資格與條件？你不要跟我說<br />
會訂在施行細則，因為這類條文沒有獲得那麼大的授權，最合理的方式就是按照採購法公開招標<br />
，否則，會不會有資訊公司來質問行政院為什麼沒有公開招標，直接交給資策會，或為什麼直接<br />
給哪一個法人？對不對？你不要只是點頭，要回答我的問題啊！<br />
宋副秘書長餘俠：謝謝段委員的指教，我想針對第五條，您關心的是委託這個部分。由於在實務上<br />
，不只行政院院本部，在各目的事業主管機關、也就是部會，甚至地方政府，為了建立資訊交流<br />
等機制，都成立了資安中心，大概都是委託辦理。<br />
段委員宜康：如果只是要從事資訊交流、只是要處理資訊業務，或只是提供資訊服務，或許我可以<br />
接受，但是在資安管理法中談的資安，是要去追究地方政府或中央其他目的事業主管機關所做的<br />
委託有沒有漏洞、委託對象是否有問題，或者是否有能力，這些都應該訂在法條裡，重新檢視。<br />
<br />
以衛福部為例，不是把健保資料委託給某一家資訊公司管理就可以了，重點是有沒有去追究該資<br />
訊公司的資安能力到底有沒有到達標準，這些細節都要訂在法條裡啊！<br />
宋副秘書長餘俠：所以第八條特別提及，委外辦理的建置維護……<br />
段委員宜康：我就問你，第五條的部分，如果要委託的話，是不是要依照採購法？<br />
宋副秘書長餘俠：是，如果是委託，必須按照採購法。<br />
段委員宜康：所以，就是先公告，讓各界來投標整個政府、整個國家資訊安全這個最重要的工作嘛<br />
！<br />
宋副秘書長餘俠：對，其實針對受託者的專業能力經驗、對於資通需求之選任與適當作法，我們在<br />
第八條中也是這樣要求。<br />
段委員宜康：通過這個法條之後，我們就應該相信你們會去要求，所以，我才要問為什麼要委託。<br />
如果這件事這麼重要，你們卻把這項核心業務、這麼關鍵的事務都委託出去，那政府到底累積了<br />
什麼？<br />
宋副秘書長餘俠：目前政府受限於資安人力與預算，長期以來都將資訊作業委外。<br />
段委員宜康：這就是問題，我們的政府把核心業務一塊一塊地委託出去了，讓大家標來做生意。<br />
宋副秘書長餘俠：不過，基本上，專案管理仍然由資訊單位同仁辦理。<br />
段委員宜康：今天時間有限，等進入逐條再來處理這件事。