林委員為洲：主席、各位列席官員、各位同仁。今天我們主要是討論資通安全管理法草案，對於這<br />
項草案的提出，大家針對 2 個方向探討，一方面認為資通安全不管對政府機關部門來講，或對民<br />
營機構、私人企業而言，都會影響到民眾權益，當然也會影響國家安全與國家機密等等，所以，<br />
這項法律是很重要的，必須能解決問題。我們除了看到正面意義，包括現在網路使用之頻繁，幾<br />
乎遍及絕大部分的人，不跟網路連結恐怕不太可能，所以，無論是個資也好、國家資訊也好，也<br />
不論是在公家機關或私人企業的伺服器裡，資通安全當然都非常重要。以銀行為例，最近我們也<br />
看到，不論是資料外洩或被駭客入侵、存款被盜領也好，都嚴重影響國家安全與民眾權益，所以<br />
，訂定本法有其正面意義。<br />
另一方面，本法也有其爭議性，在於我們要介入多深，因為基於本法，可能會有一些措施介<br />
入，無論是調查也好、要求提供資訊也好、或是要求提供改善措施計畫也好，這些介入行為如果<br />
是在政府機關，大概都沒有太大爭議；但牽涉到非純粹政府機關時，例如一些政府投資之公共事<br />
業或純私人機關，這樣的介入會不會有侵犯個人隱私或另行開闢司法調查以外的準司法權力機構<br />
這樣的問題？對於這個部分，我想先聽一下行政單位的說明，因為這部分不只包含公務機關。請<br />
問行政院宋副秘書長，你們認為，前述負面效應會不會因為本法通過而顯現？有什麼防制措施？<br />
主席：請行政院宋副秘書長說明。<br />
宋副秘書長餘俠：主席、各位委員。謝謝委員的指教，我稍後再請本院資安處簡處長補充。本法最<br />
主要的概念正如委員提示，是要抓到平衡，要怎麼做呢？就是事前要有資安維護計畫，假如發生<br />
重大資安事件，或者發現維護計畫有重大缺失，我們希望能夠改正或改善。假如一再不改善或重<br />
<br />
大資安事件情勢擴大，我們就會進行檢查，不過我也要強調，所謂的檢查是基於行政程序法的概<br />
念，有拜訪、查詢、查察、驗證這樣的內涵，諸如個人資料保護法中也都是這樣明定的。或許，<br />
今天這項草案不像個人資料保護法那麼詳盡，我們可以檢討，但我們也希望取得平衡，就是在出<br />
現重大缺失或發生重大資安事件時先通知對方改善，一旦改善又沒有達到一定效果，我們才會針<br />
對剛才委員提到的，也就是非公務機關中的關鍵設施提供者加以要求，所以範圍也限縮了。<br />
林委員為洲：討論條文時，我們還會再討論這部分，我認為界線必須畫得很清楚，不能侵犯司法獨<br />
立的領域，就是不要混淆。行政調查歸行政調查，界線要畫得很清楚，不要因為資通安全法通過<br />
，就侵犯司法調查權限，這條線要畫得很清楚。<br />
我也要以國外的例子請教，畢竟時有所聞，我們常常看到雅虎或 Google 遭到駭客入侵、竊取<br />
客戶資料。以國外的例子來看，政府能介入什麼？這種事情常常看到啊！但他們的政府介入了什<br />
麼？相關事件侵犯了民眾權利，民眾當然可以提告，包括集體訴訟等等，但仍是透過司法，難道<br />
政府可以因為雅虎等業者遭到駭客入侵，就掌管業者的資安訊息，或者介入了解？以國外的例子<br />
來看，可以嗎？<br />
宋副秘書長餘俠：我請本院資安處簡處長說明。<br />
主席：請行政院資安處簡處長說明。<br />
簡處長宏偉：主席、各位委員。如果以雅虎的情形對比台灣的情況，基本上，就要回歸個資法處理<br />
，至於洩漏數量等資料當然不會由政府介入調查。以台灣來講，雅虎並非關鍵基礎設施提供者，<br />
所以政府也不會介入，大概處理方式是這樣。<br />
林委員為洲：在界定是否為關鍵基礎設施提供者部分，有必要做更嚴格的認定，否則很容易就跨到<br />
界線之外。剛剛我們也聽到其他委員質疑到時候要如何執行，所以這也是另外一個問題，因為政<br />
府沒有這麼大能量可以介入這麼多公民營事業，也沒有一個獨立機構有這樣的專業、能量去做檢<br />
核或要求，最後還是要委外，委外的話，等於又是另外一個民營機構或公司來承包這些業務，這<br />
也會產生一些負面效應，反而可能讓他們可以掌握到一些相關的資料，或是民營事業最擔心的業<br />
務機密，這部分要如何克服？剛剛段委員也講了，到時候都可能要委外，這部分要如何處理？<br />
宋副秘書長餘俠：條文講得很清楚，就是必須由目的事業主管機關派員攜帶執行職務證明文件，或<br />
許為了便於相關資料的鑑識，有可能會請學者專家共同執行，但基本上，還是公務機關的同仁。<br />
另外，條文也明定，參加的人員應該要保密，這些都明定在規範裡。<br />
林委員為洲：委外的部分是委外什麼？你現在講的，好像統統是政府機關……<br />
宋副秘書長餘俠：還是以政府機關為主，但還是會請學者……<br />
林委員為洲：到底要委外什麼？是哪一部分的業務要委外？<br />
宋副秘書長餘俠：比方講，政府機關為了建立資安資訊的分享機制，可能會委外建立一個資訊交流<br />
中心，這部分就由委外單位來執行，但是我們會更明確規定，就是在檢查時，是不適合由委外人<br />
員執行，不過我們也不排除學者專家的參與，因為有時候這些資訊的鑑識或是資料證據的保存，<br />
還是需要學者專家來協助政府機關。<br />
林委員為洲：我的具體建議是，這應該要有逐步實施的期程跟計畫，先對自己政府機關做好資安管<br />
<br />
理，這是首要的，至於跟民間有關的那部分，則有所保留，如果我們沒有辦法克服一些負面效應<br />
的話，恐怕大家是非常有疑慮的，不管是從人權觀點，資訊外漏、個人資料保護觀點，或是介入<br />
民營企業的業務機密考量點來看，都會有很大的爭議，所以等到真正進入條文審查時，我們會更<br />
有效的要求掌握民間非常多資訊的這些政府機關，本身先做好資安管理工作，這才是這次修法的<br />
主要目的。<br />
宋副秘書長餘俠：這部分，請簡處長再詳細跟委員說明。<br />
簡處長宏偉：跟委員報告，在整個法的推動上，的確也是想要採用分階段實施的方式，我們所安排<br />
的時程概念是，如果這個法可以在大院支持下通過，我們預計通過後半年，先從政府機關實施，<br />
之後再半年，才是關鍵基礎設施，然後再半年，才是公營事業及政府補捐助之財團法人，我們就<br />
是想分階段施行，這跟委員的意見是一樣的。<br />
林委員為洲：好，這部分到逐條審查時再來討論。謝謝。