【刪除擴權條款,讓公私彼此信任,健全資安防護網】
昨天,立法院司法及法制委員會針對資安法逐條審查,其中也包括我提出的版本。我的版本主張應刪除院版第18條,也就是「老大哥(Big brother)」監控條款,尊重民間自律。
很高興行政院資安處能聽進這些民間的疑慮,接受刪除頗受爭議的第18條和第19條罰則,回歸到各目的事業主管機關的子法。
有三點是我對政院版資安法草案的想法:
1) #行政單位立法意圖的不妥
「中央目的事業主管機關或直轄市、縣(市)政府因稽核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。」
我高度質疑行政院當初立此法條的意圖,這是行政單位無限擴權,監控人民。這是原來的第18條條文。事實上,當初我所提的版本,就刪除了18條,強調了不能對非公務機關予以規範,而是尊重民間自律。
另外,政府理應清楚定義何謂「重大缺失」,否則就是枉顧人民權益,踐踏人權。
2) #應將第4章罰則予以刪除
我也認同不能把兩個牙齒都拔掉,但罰則理應針對加害者而不是受害者。另外,罰則該怎麼訂比較合理?又該如何定義延遲通報?根據目前的統計,每一個企業被駭客攻擊回應的時間是180天,公務機關則高達350天,若依照現行的通報標準,恐怕沒有人可以免於受罰。
3) #不能用20年前的經驗定義未來的關鍵基礎設施
關鍵基礎設施的定義具有變動性,試想,在物聯網的時代,當所有裝置都透過網際網路相互連結時,關鍵基礎設施絕不是如國土安全辦公室20年前所定義的「能源」、「水資源」、「通訊傳播」、「交通」、「銀行與金融」、「緊急救援與醫院」、「高科技園區」。以上是功能性的分類,也是依照國土辦的定義,這種過時的分類當然無法因應快速變動的未來。
因此,我提出必須確實、精確的定義關鍵基礎設施,否則沒有意義,而且在定義時,應讓專家學者參與並加入討論,確保公開透明。
資安法是一部具高度敏感及攸關民眾權益的法案,為了避免空白授權,使得人權被侵犯,我提出資安法後續相關的法規命令的制定過程,應邀請相關委員參與討論,也唯有透過充分的討論,才能讓民間與政府建立足夠的信任感,並強化立法院監督的角色。
