延宕半年后,总共有6个版本的《资通安全法草案》终于在立法院日前召开的司法与法制委员会进行询答,不过,多数立委认为,条文中“行政检查”规范不明,易有侵犯人权和外泄机敏资料的疑虑。
在立法院躺了半年的《资通安全法草案》,终于在11月6日召开的司法及法制委员会中,展开首度立委询答,当天登记发言的委员们,普遍疑虑在于,对于政院版《资通安全法草案》中的“行政检查”应该如何落实与执行感到不解与忧心,委员们甚至直指资安法的行政检查高度违反人权,让不具有公权力的稽核员到企业现场进行行政检查,因为企业无法拒绝,也让立委们怀疑,进行行政检查的过程中,是否有企业机敏资料外泄的风险。
“行政检查”引发立委对人权和企业机敏资料外泄疑虑
对行政院版《资通安全法草案》18条行政检查权条文,讨论过程中有最多争议。直接看资安法草案条文,已囊括行政检查情境、人员资格,强调企业不能拒绝行政检查,且要求参与行政检查稽核员具有保密义务等规定。
不过,立委的质疑多数偏重在:没有司法警察权力的稽核员如何做行政检查,是否有侵犯人权的疑虑;也担心企业机敏资料可能在行政检查时,遭到稽核员或者其他因素外泄。
国民党立委许毓仁在脸书质疑:“何谓重大缺失?何谓必要性?在资安管理法草案中完全找不到更详细的定义,等于主管机关只要一口咬定民间机构有重大缺失且有调查必要,无须经过任何审核许可机制,便得任意调查,那么民间机构的人权保障、通讯隐私、营业秘密何在?”
民进党立委余宛如直言反对行政院版《资通安全法草案》关于行政检查的规定,认为政府不应该有权进行“行政检查”外,更认为,所有的资安保护最终应回归“业者自律”,并规范“私有关键基础设施提供者”只需要在重大资安事件发生时,7天内向主管机关报告即可。
目前民进党党团总召柯建铭希望,未来讨论能够以行政院版内容为主,希望资安处可将各方有疑义条文先修正后,再进行后续审查。余宛如立委办公室指出,要将政院版《资安管理法草案》整合余宛如版的难度颇高,最终仍得在委员会进行条文逐条讨论时,再由各方做最后角力。
只不过余宛如对业者自律的期待,对多数第一线资安工程师而言,无异是天方夜谭。有资安工程师以他的工作内容为例,要落实资安分析就必须先搜集各种必要的登录档(Log),但要做到快速搜集与分析,这些登录档最好储存在线上存取的储存设备上。
该名资安工程师表示,该公司对线上储存登录档最多只保存3个月,若要延长保存期限,“有法令规范且法过了后再说。”也就是说,要企业在资安做更多投资,除了少数非常在意资安对企业营运带来风险的企业外,多数企业对资安在意的程度,多以符合法令规范作为资安风险管理的“高标”。由此也可证明,第一线资安工程师看到的资安实务运作,与立委期待有180度的差异。
行政检查可以主动也可被动,重点在于有配套措施
行政院资安处处长简宏伟表示,资安处对于行政检查的目的,从“预防胜于治疗”的角度,或在资安局势更恶化前,可以进行相关防护和补救措施,“这才是资安处和相关主管机关进行行政检查的基本态度。”他说。
“资安处对行政检查的态度是相对开放的,”简宏伟表示,“行政检查”可以是主动出击也可以是被动通知,只要可以在合法的情况下,有相对应的配套措施即可。他认为,行政检查可以是稽核时发现,或接到通报某单位发生重大资安事件,由主管机关进一步了解事件发生缘由;也可针对某单一重大资安事件,由主管单位到场调查该资安事件发生始末。
他进一步解释,资安法只针对关键基础设施提供者,这些政府高度监理或特许行业的“非公务机关”进行“行政检查”,因为这些非公务机关的服务涉及许多民众权益,“针对攸关民众权益的关键基础设施做资安检查,已经是一种国际趋势。”他说。
简宏伟认为,政府要针对这些关键基础设施提供者进行行政检查,就像是“预防传染病”一样,先从改善环境卫生着手;再来就是注意个人卫生习惯;接着要提高人体免疫力;最后就可以施打适合的疫苗或药物,以避免传染病危害。
行政检查会侵犯人民权益,应明定范围和救济手段等
就立法角度而言,《资安管理法草案》对行政检查应具备的要件并不周详,即便相信公务人员不会踰矩,但就立法技术而言,还是要做到法律本身就可以明定范围,尤其是,行政检查本身就会侵犯民众或企业某种权益,应该在法条中一并规范相对应的行政救济措施,明定权益一旦遭到损害,受害人有哪些救济管道,才不会出现立委担心的行政权独大或滥权疑虑。
立法院法制局的《从重大民生经济案件论行政检查与行政搜索法制发》报告中就清楚提到,要做行政检查不仅要基于法律明确性原则、比例原则等,也必须在个别行政法领域的法制基础上针对个案进行调查,尤其是强制调查的要件、程序、范围、标的、救济方式等,都必须要以明文规定。
“行政检查”是政府遂行公权力的一种手段,可分成行政检查和行政搜索,是不得已侵犯或干扰个人或企业权益的方式。因此,所有行政检查都需基于“法律”授权,不能只是行政命令或行政裁量的授权,必须有一定的制约和规范。
当行政机关要执行行政检查时,首先,必须清楚定义执行该行政检查的目的,接受检查的标的和范围必须明确,手段则须受到限制与规范,相对应的法律授权应该完整,并应注明一旦当事人或企业的权益受到损害时,有哪些相对应的救济措施可以弥补。
资安法虽参考个资法,行政检查规范细节不完善
许多人都知道,《资安管理法草案》参考《个人资料保护法》的立法方式,甚至于,连幕僚单位都来自同样的单位。
两个法律条文同样都有“行政检查”项目,但《个人资料保护法》对行政检查应该具备的要件规范完善,包括:行政检查时要检查标的、范围、立法授权,甚至是相对应的救济手段等。也因此,当年立法委员审查个资法“行政检查”条文时,就没有像审查资安法时,有这么大的质疑。
实际比对个资法第22条和资安法第18条“行政检查”条文后可以发现,个资法针对行政检查的条文规定和资安法几乎如出一辙,但资安法没有写清楚的项目包括:对于持有证物的作为以及相关稽核人员身份等,其他个资法第23条~27条针对行政检查的其他规范,都不在资安法条文范围内。
例如,个资法第23条,界定行政检查所查到或扣留证物的处理方式;个资法第24条规定,对行政检查过程与程序有任何不满者,明定相对应的救济手段;个资法第25条写明行政检查但查有不法者,主管机关可以进行的裁罚方式;个资法第26条规定相对应的救济措施,行政检查如没有查到不法情事,可在当事人或企业同意下,对外公布检查结果以昭公信;个资法第27条则是明定非公务机关应该遵守的规范等等。
行政检查不能任意翻查受检单位资料,只能问授权内的问题
行政检查是一种不得已要侵犯民众权益的手段,但很多立委和企业对于行政检查的过程和手段都过度想像,反让更多人误解行政检查。
立委们质疑行政检查会侵犯人权或外泄机敏资料,若有完整法律授权和范围与标的设定,不应发生上开情事。行政检查不同于司法搜索,最常见的行政检查手段除了要告知和配合外,到场访视则是最后手段。这些告知和配合,必须针对行政检查法律授权范围、标的,通过限制性检查手段做行政检查,超出法律授权范围的部份,不能问也不能查。
个资法通过后,有许多电子商务业者发生个资外泄事件,主管机关经济部商业司必须针对这些电商进行个资法的行政检查。以个资法的行政检查为例,都是先告知接受检查单位,请对方配合提供所需资料,而主管机关对与个资无关的内容不能查、不能问,连行政检查范围都有一个查核表作参考依据。
只要业者配合度过低、不愿意提供相关资料时,才必须到场进行访视。据有行政检查经验的专家表示,稽核员不能任意翻查或搜索受检查单位的资料、文件甚至设备,不能脱离法律授权范围、标的与手段,“即便是到场访视做行政检查,仍只能针对授权检查的范围,请受检单位当场提供所需资料。”专家说道。
立法院法制局《从重大民生经济案件论行政检查与行政搜索法制发》报告中明确指出,行政法规多数是为了追求公共利益或公共任务的实现,且行政具“积极性”、“主动性”,除非涉及刑事责任,否则接受行政检查的单位,对于主管机关的提问,不能以刑事诉讼程序的被告所享有的“缄默权”作为不回答问题的搪塞借口。文⊙黄彦棻
许多立委对于行政检查有过度的想像,也使得大家对于资安法的“行政检查”显得雾里看花,不知道行政检查到底该如何进行。事实上,因为,行政检查仍会侵犯民众和企业的权益,所以相对应的法律授权、范围、标的甚至是救济措施,都必须清楚载明。
?
iThome△Security
I 相关 / Other
Container双周报第46期:通吃Swarm与K8s,Docker也开始原生支援Kubernetes
重点新闻(10月21日-11月03日)通吃Swarm与K8s,Docker也开始原生支援Kubernetes容器调度工具的竞争局面中,Kubernetes可谓是站稳龙头,不只各家厂商抢着支援,连Docker都开始支援Kubernetes,包含企业版Docker、支援
Fintech双周报第33期:区块链太high,英国公司On
10/21~11/03焦点新闻区块链太high,英国公司On-社交软件 Plc改名为On-line△Blockchain△PLC,市值竟暴增394%英国一家专门投资网络跟资讯业的上市公司On-line△PLC,在上周五(10月27日)开市后涨了394%!原因来自“
Container双周报第45期:红帽强化OpenShift更进一步,开始支援容器原生储存
重点新闻(10月07日-10月20日)红帽强化OpenShift更进一步,开始支援容器原生储存容器技术支援储存不如VM成熟,往往会降低企业选择导入该技术的意愿。而在近日,红帽推出了容器原生储存功能,整合至自家OpenShift△3
AI趋势双周报第19期:9万种人体动作大公开!为加速AI影像识别技术进展,Google释出人类行为资料集AVA
图片来源: Google 重点新闻(1014~1027)动作识别 电脑视觉9万种人体动作大公开!为加速AI影像识别技术进展,Google释出人类行为资料集AVA为了加速影像动作识别的研究,Google近日推出人类动作理解资料集AVA(Atomic△
广达QCT如何卡位5G全球竞赛?新产品和新战略出炉,靠软件定义创新打造新一代电信机房
广达旗下云端事业子公司云达科技QCT今天在美国圣荷西举办年度技术大会,发表最新产品和下一步的产品战略。云达科技总经理杨晴华指出,5G战略是今年QCT战略的新重心。资料中心转型发展历程,有三大新趋势,除了开放硬