文/ iThome 黃彥棻 | 2017-11-08發表

目前立法院總共有6個版本的資安法草案,多數立法委員普遍認為,行政院版資安法中規定的「行政檢查」有侵犯人權之虞,不具備公權力的稽核員到場進行行政檢查,也可能會造成企業機敏資料外洩的隱憂。立法院要求行政院資安處應該針對法規文字再行修正,但立法委員認為修正難度過高,未來進行法條逐條討論審查時,才會是最終戰場。但是,第一線實務資安工程師對於立法委員期待「企業自律」以落實資安保護的想法,普遍認為立委想法過度理想化、並不符合現實。

 

當「資安等於國安」是國家重要的發展方針時,也讓資安逐漸成為臺灣的顯學。立法院也首度在11月6日召開的司法及法制委員會的會議中,針對現有六個《資通安全法草案》版本進行公開詢答。

 

這一次各方詢答的內容,主要都聚焦在行政院版第18條的行政檢查條文上,多方認為,不該讓沒有司法警察身分的稽核員,可以進入企業檢查且企業不能拒絕,普遍認為,這樣的行為不僅是侵犯隱私,且有企業機敏資料外洩潛在風險。

 

國民黨立委許毓仁更是大力抨擊,「政府任意派員檢查民間機構這不是政府濫權 , 什麼才是濫權 ?」他強調,不憑法院搜索令就可以搜索民間企業扣查資料,是一個大災難。

 

行政院資安處處長簡宏偉表示,針對各方詢答反應的意見,會在下次開會前,針對各方有疑義的條文,重新從法的角度上,做更清楚的文字說明。但他強調,「這些關鍵基礎設施提供者多是受到主管機關高度監管的單位,採用白名單正面表列的方式,只要沒有收到名列關鍵基礎設施業者的企業,沒有參加相關的定期會議,都不用擔心是會被鎖定做行政檢查的單位。」簡宏偉說道。

 

民進黨立委余宛如辦公室則表示,除了希望行政院版可以明定資安管理法的主管機關外,更認為政府不應該有權進行「行政檢查」,最終應該要回歸「業者自律」的作法,並僅規範「私有關鍵基礎設施提供者」需要在重大資安事件發生時,7天內向主管機關報告即可。

 

但是,有許多第一線企業資安從業人員,對於立委期待企業對於資安作為要回到「業者自律」嗤之以鼻。許多資安工程師表示,立委期待企業可以落實「業者自律」的想法,是過度理想化且不切實際,許多企業為了將本求利,資安經常不在企業必須支付的成本之中。「如果法規沒有強制要求企業必須合法的話,當企業資源有限時,許多企業主管抱持的心態往往是『亡羊補牢』,心存僥倖,等事情真正發生了再說。」該名資安工程師說道。

 

在實務面上,資安工程師也舉例,對於資安分析非常重要的各種設備的Log(登錄檔),若要便利分析,最好可以儲存在線上儲存設備上,該名資安工程師公司線上儲存Log檔只保存3個月,若要延長線上儲存資料的保存期限,公司態度很明顯就是「有法令規範且法過了後再說。」該名企業資安工程師看到的企業實務運作模式,就和立法委員們期待臺灣企業主可以做到「業者自律」,中間有著180度的極大差異。

 

立法院委員會首度針對六個版本資安法進行詢答

 

《資通安全法草案》在2017年4月28日已經由行政院函送立法院審查,是由司法及法制委員會負責,並完成一讀程序。只不過,雖然完成立法院院會的一讀程序,但從剛開始只有行政院版、民進黨立委陳亭妃版及時代力量黨團等三個版本外,後來在今年9月,則又新增民進黨立委余宛如、國民黨立委許毓仁兩個版本,今年10月才又新增親民黨黨團等總計六個版本。

 

在11月6日召開的司法及法制委員會中,則是首度針對六個版本的《資通安全法草案》由各個法案提案人、黨團代表和行政院資安處等相關單位,在委員會公開場合中,首度針對條文內容進行公開說明和詢答。

 

目前亞洲國家中,日本在2014年已經制定《網路基本安全法》外,中國則在2016年11月7日公布《網路安全法》,並於今年6月1日正式實施。反觀臺灣雖然在2016年就有草案徵詢各方意見,並於2017年4月由行政院送交立法院完成一讀,也名列所謂的行政院優先法案,後續則因為各界對於資安法有各種不同的質疑,以至於在法案審查上,遲遲無法有新進展。

 

對於可以進入委員會有這樣的詢答討論,簡宏偉認為,可以當面溝通對於法條的疑慮,都有助於加速法案的審查進度,未來開會時,資安處除了會從文字上,把有疑慮的條文陳述的更清楚外,更希望能儘快確立《資通安全法草案》的框架,讓該法能儘速通過。

 

「行政檢查」引發立委對人權和企業機敏資料外洩的疑慮

 

在整個討論過程中,關於行政院版《資通安全法草案》第18條關於行政檢查權利的條文,引來最多的討論與爭議,條文內容包括:「中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文 件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。」、「對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。」以及「參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。」

 

不過,立法委員的質疑多數偏重在沒有司法警察權力的稽核員如何做行政檢查,是否有侵犯人權的疑慮,也會擔心,企業機敏資料可能在進行行政檢查時,遭到稽核員或者其他因素造成外洩。

 

許毓仁則在臉書質疑:「何謂重大缺失?何謂必要性?在資安管理法草案中完全找不到更詳細的定義,等於主管機關只要一口咬定民間機構有重大缺失且有調查必要,無須經過任何審核許可機制,便得任意調查,那麼民間機構的人權保障、通訊隱私、營業秘密何在?」

 

民進黨立委余宛如辦公室對於行政機關可以對非公務機關行使「行政檢查」權力,抱持極大的疑慮,不過,目前民進黨黨團總召柯建銘希望,未來的討論能夠以行政院版的條文內容為主,希望資安處可以將各方有疑義的條文先進行修正後,再進行後續的審查。該辦公室指出,因為要將《資安管理法草案》條文整合余宛如版本條文精髓的難度頗高,最終仍得在委員會進行條文逐條討論時,再由各方做最後的角力。

 

iThome 最新新聞
  • 一周大事:臺灣Peta級超級電腦「臺灣杉」大公開
    國網中心新造超級電腦「臺灣杉」上線,提供Peta級高運算量 國網中心在科技部支持下,斥資4.3億元打造的新一代超級電腦,以臺灣特有物種「台灣杉」(TAIWANIA)命名。可望紓解既有超級電腦「御風者」使用率滿載的情況,讓運算需求量被壓抑的情形得以放寬,並促進科研的進步。 這是國內第一套公用的Peta級超級電腦,由國網中心與中華電信、富士通合作打造。在啟用典禮現場,我們直擊到新一代超級電腦的廬山真面目。(更多內容)  
  • 不可運算的決策問題
    若曾經接觸過停機問題(halting problem)的開發者,應該都理解一件事,「程式無所不能」是錯的!但是,從實務面來看,開發者為什麼要知道這件事? 停機並不是唯一無解的問題,證明問題無解可以避免未來徒勞無功,然而,這件事的背後,或許還有更重要的目的存在。 Y Combinator存在x函式? 至今的專欄已經談過多次lambda演算了,具備一級函式的語言,多半也會強調其基於lambda演算的重要性,然而究竟是為了什麼?探討遞迴這在lambda演算中是怎麼一回事,可以得到一點靈感。
  • 手機和雲讓企業IT邊界模糊,新資安防禦策略要更看重人
    根據國際研究機構顧能(Gartner)所做的研究資料顯示,全球資訊安全產品與服務支出,2017年支出達864億美元,到2018年則增加到930億美元。另外也有資料顯示,一直到2020年,全球的資安支出也將高達1,130億美元。 從企業大手筆的資安投資可以證明,現在的企業組織為了維持企業的持續營運,對於資安威脅已經到了不得不重視,甚至也必須越來越重視的時候。 因此,多數的企業組織也願意持續投資在各種資安產品與服務的採購上,雖然資安投資的金額和比例持續增加,但事實上,許多資料外洩的資安事件,卻依舊層出不窮,沒有因為資安投資的增加反而有所減少。
  • 眼睛會說話人工智慧看得懂,最新研究從眼睛的行為就能猜出個性
    隨著科技的發展,人們越來越沒有隱私,也越來越難隱藏自己。澳大利亞以及德國研究員共同發表了論文,現在只要透過觀測眼睛的移動行為,便能大概猜出人們在五大性格模型中的四個傾向,包括盡責性、外向性、親和性、情緒不穩定性,同時也能預測好奇的程度。
  • WordPress 4.9.6釋出,助網站擁有者因應GDPR法遵
    由於GDPR將在5月25日正式上路,WordPress釋出4.9.6版本,雖在網站功能上沒有太大調整,但是增加了幾項重要個人資料的處理功能,以符合GDPR要求。 GDPR要求企業以及網站,在收集、使用以及分享個人資料的時候保持透明,且賦予個人更多的選擇權處理這些被收集的資料。WordPress官方提醒,GDPR保護的是歐盟公民,因此無論企業身在何處,都需要在這些資料處理行為上遵守GDPR。 在WordPress 4.9.6中,網站擁有者可以指定一個隱私政策專頁,這個專頁會出現在登入以及註冊頁面,網站擁有者應該為網站每一個頁面都添加這個專頁的鏈結,官方提到,出現在每個頁面的Footer菜單,將會是理想的選項。
  • 強化Auzre生態系,微軟發表自家內容交付網路
    微軟宣布加入Verizon和Akamai的內容交付網路(Content Delivery Networks,CDNs)戰局,現在Azure CDN在33個國家提供54個全球邊緣網路連接點(Edge Point-of-Presence),以及16個區域型快取網路連接點,總體覆蓋超過60個國家,能以小於50毫秒時間交付內容。 CDN能使雲端應用更快速的在全球擴展以及交付內容,微軟表示,而微軟所提供的Office 365、Skype、Bing、OneDrive、Windows以及Xbox等各種線上與雲端服務,以及過去5年來的企業轉型,塑造了他們對CDN獨特見解。
Copyright (C) 2005 - 2016 Cyberhunter.com.tw. All rights reserved.