歷經7小時審查後,刪除惹爭議的行政檢查條文後,資通安全法(簡稱資安法)草案終於走出立法院司法及法制委員會,另外也明定行政院是資安法主管機關,刪除地方政府對資安事件的管轄權,還對CI遭駭事件知情不報者加重處罰,罰金從原本的10萬~100萬元提高為30萬~500萬元。但因親民黨團代表對關鍵基礎設施指定程序的條文有疑義,堅持朝野協商,恐導致資安法無法在年底本會期結束前完成二、三讀。
親民黨堅持朝野協商,資安法本會期難過關
據了解,法案通過委員會審查後,若各黨代表無疑義,就有機會排進立法院即將結束的本會期二讀三讀法案的議事日程中,但因為親民黨團代表在委員會詢答審查時,對於需遵循資安法的民間企業(非公務機關)名單指定程序有高度疑議,尤其是「由中央目的事業主管機關徵詢各界意見後才能指定特定非公務機關」的條文,堅持進入朝野協商階段,無法直接排進院會的二、三讀。
以目前法案審查進度來看,朝野協商至少要一個月後才能進行,就算可以提早協商,也無法排進本會期議程;儘管1月會加開臨時會,但會以民眾權益相關的勞基法和預算審查為主,資安法最快也要下個會期才能進入立法院的二、三讀程序。
但令人憂心的是,2018年是選舉年,許多立委都開始全天候進駐立委選區服務處,尤其是中南部選區的立委更是如此,未來,除非是黨團發出甲級動員令的情況下,才能強迫立委出席院會參與表決,平常沒有動員令時,連院會都不一定看得到立委出席時,更遑論是委員會法案的詢答和審查。凡此種種變數,也將憑添資安法能否順利完成立法的變數。
確認刪除被視為行政機關擴權的行政檢查條文
民進黨立委余宛如辦公室表示,資安法法案歷經七個小時的審查,將引發各界爭議,被視為行政權擴權的第十八條「行政檢查」條文刪除,未來,即便發現重大缺失或者是爆發重大資安事件,不論是中央目的事業主管機關或者是地方政府都無權到場進行行政檢查。只有檢警調單位,有權到場對於違法單位進行「搜索」,不具有司法警察權力的行政部門,無權調查資安事件,只有像金管會依法可以稽核所管轄的各種事業單位。
條文明定政院為主管機關,並明定指定關鍵基礎設施的程序
除了確認刪除第十八條的行政檢查條文外,余宛如立委辦公室表示,民進黨更提出資安法修正動議,明定資安法主管機關是行政院,避免以後出現依法找不到主管機關負責的窘境。
另外,余宛如立委辦公室強調,修正動議中,最大的變革就是針對原條文第十五條提出修正草案,在條文中明定相關單位該如何指定關鍵基礎設施的程序,而非像原本條文是直接引用國土安全辦公室所指定的八大關鍵基礎設施。
在新修正的第十五條條文中明定,未來將由中央目的事業主管機關徵詢產官學研各方意見後,才可以指定關鍵基礎設施業者,也必須報請行政院核定、書面通知受核定單位並公告,相關名單也必須送到立法院備查。余宛如立委辦公室認為,如此一來,這將可以避免外界對於關鍵基礎設施業者定義不清的疑慮。此外,由於多數委員擔心地方政府資安能力不足,所以,修正條文中只賦予中央目的事業主管機關有權指定。
資安處公布一級關鍵基礎設施名單,未來將依程序指定
行政院資安處處長簡宏偉表示,已先盤點關鍵基礎設施清單,列為一級關鍵基礎設施業者,大多是影響全臺民眾的服務,只影響特定區域民眾的服務列為二級,而三級則是影響範圍限於縣市。
簡宏偉指出,目前只公開一級業者名單,能源部分則有臺電和中油等公營事業;水資源範疇則有臺北翡翠水庫管理局政府機關;通訊傳播領域則有中華電信、新世紀資通、台固、全球光網、國際環球及亞太電信等民間企業;交通部分則有民航局臺北國際航空站和民航局高雄國際航空站等政府機關,公營事業則有臺鐵、臺北捷運、臺灣港務公司和桃園機場等,以及高鐵和高雄捷運等民間企業。
至於,在金融與銀行領域則有中央銀行公營事業,財金資訊公司這家民間企業;中央與地方政府列入一級關鍵基礎設施的只有國家發展委員會和故宮等;至於高科技園區目前並沒有任何一個單位,被列入第一級關鍵基礎設施業者。他強調,未來在資安法通過之後,所有關鍵基礎設施的指定,都會遵照修正過的第十五條條文,作為指定關鍵基礎設施業者的參考。
遭駭業者知情不報者,提高罰金30萬~500萬元
此外,在罰則的部份,除了維持原先沒有落實資通安全維護計畫可以被處罰10萬~100萬元,對於資安事件之情不報者則加重處罰,罰鍰30萬~500萬元不等。簡宏偉表示,與會立委都認可資安事件的通報非常重要,因此特別加重企業組織遭駭卻不通報的處罰,接下來,也會在資安法的子法中,針對資安事件的分級與通報進行規範。
但簡宏偉強調,處罰永遠是最後的手段,未來也會與相關中央目的事業主管機關做法規調適,希望可以做到鼓勵通報,而不要再發生當業者主動揭露資安事件時,主管機關就像捉到把柄般立馬重罰的事件。
from iThome 新聞 http://ift.tt/2p8z8nf
沒有留言:
張貼留言