(作者:陳韋含律師)
當資通科技成為國家發展的基石,物聯網系統的加速推展、巨量資料的管理利用,甚至是電子交易系統的日漸普及,均象徵著我國發展對於網路通訊的仰賴與渴求。然而,在享受科技應用帶來的高價值時,同樣也必須確保資通安全受到周延保護,包含關鍵基礎設施及個人資料等管理、利用,透過相關法規作為資通安全的風險管理,才是資訊科技成功並穩定發展不可過缺的關鍵。
因此,行政院自104年起,針對資通安全法規的建置及配套措施,草擬「資通安全管理法」,力邀政府機關、專家學者等進行座談會,以徵求各界意見,立法院終於在今年(107年)5月11日三讀通過本法,期望能藉本法推動國家資通安全政策,加速建構國家資通安全環境,並落實於公、私部門,以保障國家安全,維護社會公共利益。
那這部新法「資訊安全管理法」(簡稱:資安法)究竟規範了那些內容,讓本文來好好介紹:
首先,資安法保護的對象是什麼?
答案是:「資通安全」
而所謂「資通安全」則是指防止資通系統或資訊遭受未經授權之存取、使用、 控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、 完整性及可用性。
哪些機關受到資安法的規範?
1.「公務機關」:
指中央、地方機關或公法人,包含如總統府、五院、 直轄市政府、縣(市)政府、公立社會教育機構、公立文化機構、公立醫療機構或行政法人等均為規範對象。
2.「特定非公務機關」 :
其中包含「關鍵基礎設施提供者」及「公營事業及政府捐助之財團法人」。
所謂「關鍵基礎設施提供者」,指實體或虛擬電子系統或網路服務,他們的功能一旦停止運作或效能降低,對全台民眾甚至是國家安全將有重大影響之領域。包含能源、水資源、 通訊傳播、交通、金融、高科技園區等,考量到關鍵基礎設施可能因環境和時代變遷,因此法規授權由行政院公告受規範者名單。
但指定關鍵基礎設施提供者也不是任由行政院隨意指定,法規仍明定須由主管機關徵詢相關公務機關、民間團體、專家學者之意見後,才能指定關鍵基礎設施提供者,並且須報請主管機關核定,再以書面通知受核定者,才符合程序規定。
資安法規定了機關什麼義務呢?
資安法規定特定非公務機關兩種不同面向的義務
首先,是提出「資通安全維護計畫」的義務,並且須提出「年度資通安全維護計畫之實施情形」而該計畫及實施情形必須接受主管機關查核,受查核者則於查核後尚須提出「改善報告」。
另外,則是須訂定「通報及應變機制」,機關在發現、知悉資通安全事件時,依法須如實向主管機關「通報」並「提出資通安全事件之調查、處理及改善報告」。
義務機關未遵守資安法將受到什麼處罰?
資安法規定特定非公務機關未履行法定義務、安份地訂定並實施「資通安全維護計畫」,或未向主關機關提出實施情形,又或者未提出改善報告者,得限期改正,屆期未改正者,將「按次」處罰10萬元至100萬元的罰鍰。
更須注意的是,資安法考量到過往業者有遭駭卻知情不報,因而造成損害擴大之情形,而將此種未依法通報資通安全事件之情形,處以30萬元~500萬元之高額罰鍰。
資安法日前雖已三讀通過,但正式的施行日期,將由行政院另行公布。其實是因為「資安法」還有許多子法必須研擬與討論,包含資安責任的分級制度、資安稽核、資安事件通報應變以及如何建立情資分享機制等,各界均十分關心這部新法是否得一次到位,順應時代的趨勢,也值得民眾持續關注!
(聲明:本文章內容僅供參考,不得作為其他用途。另因相關法令隨時間會有變動,關於具體個案如有任何需求,仍應先洽詢專業律師之法律意見。)