資通安全管理法遵與實務的兩難?(下)
接續上期針對關鍵資訊基礎設施(Critical Information Infrastructure, CII)與關鍵基礎設施提供者(CIP)作解說,本期進一步闡述個資法與資安法的實行概況。
文/林逸塵(國立政治大學資訊管理博士)
關鍵資訊基礎設施(Critical Information Infrastructure, CII)係指涉及核心業務運作,為支持關鍵基礎設施持續營運所需之重要資訊系統或調度、監控與數據擷取系統(Supervisory Control and Data Acquisition, SCADA),屬於關鍵基礎設施之重要元件。因此,當中央目的事業主管機關從關鍵領域及次領域中,辨識出 CII 時即當然成為資安法之管理重點,透由 CII 延伸其資訊系統及維運管理者,其維運管理者即為關鍵基礎設施提供者(CIP),其範圍包含維運或提供關鍵基礎設施之公民營業者,依其資安責任等級辦理應辦事項及控制措施,此舉對於被指定為 CIP 的公民營業者之營運治理產生制約效果。
在本次資安法修法草案第 3 條第 7 款明訂,關鍵基礎設施指行政院公告之關鍵領域中,其服務所依賴之「系統、網路實體或虛擬資產」之功能停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動產生重大影響者。
解析修法草案第 3 條第 8 款及第 19 條中,其中 CIP 之指定清單,沿自 110 年 CIP 指定程序,中央目的事業主管機關先徵詢相關公務機關、民間團體、專家學者意見後,再經由 CIP 候選者列席陳述意見,產出指定清單續由行政院核定,最後由中央目的事業主管機關書面通知 CIP。本次修法草案,保留 CIP 指定基準、廢止條件及程序,由中央目的事業主管機關公告,而現行 CIP 指定程序可為參照。(圖 1)
實務上,如 CIP 兼具公務機關或公營業者時,其原為資安法所納管被賦予法遵義務,此類 CIP 早已習於資安治理之運作。然而,對於可能被指定為 CIP 之私營業者而言,當中央目的事業主管機關保留 CIP 指定基準及程序時,將使是否擴大納管範圍及與指定CIP相關規範條文受到關注。
例如各領域代表在擬定 CIP 清單時能否忠實反應多元的業者立場,或跨國企業在本土及他國法遵之監理程度不同,造成差異化管理之選項,亦將預期未來指定程序之制定內容,包含行政救濟或廢止程序的考量。
另各國 CII 為避免成為有心人士的不法駭侵目標,CIP 指定清單並不宜公告周知,造成未曾被指定之私營業者對自身是否遭納管並不清晰,而比照現行實施之 CIP 指定程序相對穩定。
故針對 CIP 的資安管理及維護工作,仍應配合我國整體關鍵基礎設施之政策持續調適,對於其適用範圍的程度上,似可考量另訂指定基準、廢止條件及程序等之必要性,仍宜回歸國家關鍵資訊基礎建設防護(Critical Information Infrastructure Protection,CIIP)之整體考量,在既有指定程序運作成熟的基礎下,於本次修法可蒐集各方之建議進行衡酌。
強化危害國家資通安全產品管理
108 年 4 月 18 日行政院公布「各機關對危害國家資通安全產品限制使用原則」,此類產品係指對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統或資通服務,其規範為因業務需求且無其他替代方案外,不得採購及使用危害國家資通安全產品。其目的為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險。
109 年 12 月 18 日行政院重申各公務機關使用資通訊產品(含軟體、硬體及服務)不得使用大陸廠牌,並就已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。所謂大陸廠牌係指大陸地區廠商,即依大陸地區法律設立登記之公司、合夥或獨資之工商行號、法人、機構或團體。為管理剩餘風險,當公務機關涉及敏感性或國安含資安疑慮之業務範疇,仍可於招標文件中載明不允許經濟部投審會公告之陸資資訊服務業者參與。
111 年 8 月 27 日數位部成立時,同時公告修訂上述危害國家資通安全產品限制使用原則,明確增訂各機關自行或委外營運,提供公眾活動或使用之場地,不得使用危害國家資通安全產品,且機關應將相關限制事項納入委外契約或場地使用規定中,如仍有採購必要,應具體敘明理由,經採購機關及其上級機關資安長逐級核可,函報數位部核定後以專案方式購置,並列冊管理。(圖2)
在本次資安法修法草案第 11 條,明定公務機關對危害國家資通安全產品之限制使用,對比相關行政規則及函釋內容,規範各公務機關在限制使用資安疑慮產品之相關措施。如在行政規則制定之效力範圍有所拘束,故公務機關不得採購(使用)此類產品成為法律位階授權,可符合法律明確原則,並適用於行政院所屬機關以外,並賦予公務機關得向數位部查詢此類產品及其廠商清單。所謂危害國家資安產品,並不限於特定國家實質對資安產生風險之產品,如因業務需求且無其他替代方案時,須經由採購及上級機關之雙資安長核可,專案購置及列冊管理。草案中另明訂公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資安產品。
實務上,特定非公務機關得採取相同限制原則,依「各機關對危害國家資通安全產品限制使用原則」第 7 點規定,中央目的事業主管機關應督導 CIP 及政府捐助之財團法人,參考公務機關限制使用之規定辦理。然而,對於公布危害國家資通安全產品清單,於實質操作上仍有其難處,例如跨國企業之實質控制力難以認定,或在第三地代工、貼牌、洗牌、產品零組件成份等,基於產品自由市場競爭前提下,對於任何產品的限制都應相對謹慎。
再者,如各國尚在探索周全之機制,對於產業影響衝擊性似仍有待商榷,以因應國情及內外在環境變化,似可持續蒐集各國對於禁用危害國家資通安全產品之政策及作法。在風險管控上,依採購案機敏程度擇選適當廠商,採用政府共同供應契約之產品相對較為安全,避免敏感資料遭不當竊取或造成其他資安危害。當機關不得採購及使用此類產品時,相關作業似可考量其操作性,並關注對各相關利害關係人之正反面影響,及對應可能需要的配套作為,以取得產業發展及限制使用之平衡,故本次立法能持續蒐整各面向意見及討論後予以衡酌。
強化專職歸屬及人力統籌機制
資安人才的需求是全球性趨勢,在我國公務機關亦面臨相同挑戰,各機關因組織任務及重點業務考量,基於預算及人員編制限制下,資安人力資源配置不一,皆以達成機關資通安全責任等級之法定員額為目標。立法初期保有資安專職與專責人員併用之彈性,但機關仍迭有反應人力不足情況。此外,資安人員之人事並無專法授權,現況可能造成其職務歷練上受限,且資安人才由技術、管理、策略之持續工作經驗養成,公務機關之資安人力如補充不足,加速優秀人才流向企業界的現象,對國家資安防禦產生不利影響。緣此透過本次修法欲改善人力資源的運用,提出資安人力統籌機制。
[ 推薦閱讀:資安法歷經五年 順應時事修法完善 ]
在本次資安法修法草案第 18 條,明訂資安人力統籌機制(即類一條鞭),該機制非涉及資安人員派任免之人事遷調權,而在強調資安能量建構,著重資安業務實質之職能發展、調度聯防在職訓練、表現評量等面向,以協助機關檢視其資安人員之專業能力。藉由推動職能訓練、實施評量及核發資安職能證書,逐步建立資安人才資料庫,有利於將來運用其專業能力。在調度聯防支援方面,為因應重大資通安全事件,資安署得調度各機關現有資安人員支援,並可成為事件應處及在職訓練的一環,強化資安人員之職能及專業性。
公務機關面臨資安人才的流失,期以提高獎勵及誘因進行留才,且為能名實相符,未來透過績效評核機制可對機關及人員進行獎勵,促進組織與人員的資安管理表現,以提升整體資安能量,鼓勵正向的資安業務創新作為,並能公開表揚其貢獻,建立優良機關人員獎勵及榮譽制度。(圖3)
在實務上,為維持各機關現有資安人員管理需要,資安署之統一調度劃定在「重大資安事件」,即以資通安全事件通報及應變辦法所訂之第三、四級資安事件為主,其日常性資安工作及人事升遷仍屬於任職機關,亦避免造成越權管理情形。另一方面,當遭遇重大資安事件時,得整合各機關資安人力資源,除基於事件應處之彈性需要,亦可強化資安人員實戰歷練,透由集中各單位資安人力之聯防,達到彼此之實務訓練目標。因此,能夠統籌各納管機關的資安量能,朝向強化資安專職人員、辦理資安職能訓練及獎勵等類一條鞭機制,將能突顯資安人員之表現及協助機關評核,加上支援調度促進機關間資安人力的合作,將有助於提升資安人員歸屬感,有利於未來進一步的人力統籌措施,其立法意旨相當深遠。
特定非公機關之行政調查機制
特定非公務機關在資安事件之風險管理,除在事前、事中、事後各階段執行相應管理措施,現行中央目的事業主管機關於事件發生時,能提供其必要支援及協助、公告必要事項及因應措施等。然其屬於協助之性質較無強制力,可能衍生部分缺口,例如事件改善報告提交之前,若再次發生資安事件,主管機關無法即時確認應處之連貫性;而事後之改善報告如採取書面審查,較難掌握機關確實完成改善之現況,影響判斷改善措施之有效性。因此,事中即時主動確認應處措施,以及事後追蹤改善情形有其重要性。行政調查權可監督特定非公務機關之資安事件應處經過,有利掌握事件發生根因,發覺共通性潛在弱點威脅,預防事件再次發生。
在本次資安法修法草案第 25 條,明訂中央目的事業主管機關之行政調查權,啟動時點限於重大資安事件發生時,與消費者保護法或個人資料保護法之行政檢查有所差別,消保法或個資法調查之啟動時點,未必以具體事件發生為要件,而是在有發生侵害之虞時,為基於調查事實及證據之必要。
草案中對於受調查者也作出規範,當事人除特定非公務機關本身,另包括受託建置、維運資訊系統的廠商,其關係人皆為受調查對象。因各機關除了自行建置、維運的資訊系統外,委託廠商進行開發或維運系統時,當資安事件應處及根因釐清過程中,兩者角色是非常重要的,故必要時得為行政調查的對象。在調查程序中,得通知其到場陳述意見,中央目的事業主管機關可通知受調查者提出獨立第三方機構出具之鑑識或調查報告,並得派員前往應受調查者的處所實施必要檢查。
在執行上,為周全行政調查之程序,包括調查人員應出示執行職務之證明文件,受委任或委託的機關(構)對於辦理該事務所獲悉特定非公務機關之秘密,賦有不得洩漏等保密義務。另有別於公務機關有上下行政一體關係之拘束,特定非公務機關對於義務之履行,在不作為時可課以罰則。
因此,在本次資安法修法草案第 29 條,明訂特定非公務機關規避行政調查,由中央目的事業主管機關處新臺幣 10~100 萬元罰鍰,並非處罰資安事件本身,而針對行政調查有所規避、妨礙或拒絕時才課以處罰,以落實特定非公務機關資通安全之管理,強化中央目的事業主管機關之監督權責。故中央目的事業主管機關之行政調查,除強化對所管機關發生重大資通安全事件之積極應處,亦能促進即時掌握事件根因,規劃於潛在資安威脅預防,提升資通安全風險管理效能。
資安事件與個資外洩分進管理
為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,個資法於 112 年 5 月 31 日修正,強化企業個資外洩罰責,並設置個人資料保護委員會為主管機關,針對非公務機關違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命其改正,屆期仍未改正者,提高其罰鍰上限最高處新臺幣 1,500 萬。個人資料保護委員會已於去年 12 月 5 日成立籌備處,規劃委員會成立及個資隱私保護管理。在分工上,數位部為配合個人資料保護持續精進資安相關措施,也會協助各部會針對所管的產業建立資料運用規範及技術規格,並由資通安全研院適時協助行政檢查,而當資安事件涉及個資外洩時,資安法及個資法有各別法規適用情形。
在本次資安法修法草案第 31 條,明訂資通安全事件涉及個人資料檔案外洩時,公務機關及特定非公務機關應另依個資法及其相關法令規定辦理。由立法說明可知,資安法要求納管之公務機關及特定非公務機關,訂定資通安全維護計畫,並依計畫實施相關資通安全管理事項、訂定資通安全事件之通報及應變機制、通報資通安全事件等,均為資通安全維護義務;對比個資法對保有個人資料檔案者,應採行適當之安全措施、訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法等,兩者之構成要件不同,並無普通法及特別法之關係,有予以明辨之必要,爰增訂本條。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
實務上,個資外洩常伴隨資安事件同時發生,在其過程及結果切分不易,例如因資安防護不當造成個資外洩的結果。資安法及個資法本質上保護的法益不盡相同,資安法以公務機關及特定非公務機關行使資安管理義務,目的為保護國家資通訊安全;個資法為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,促進個人資料之合理利用,其保護客體為所有自然人及其他得以直接或間接方式識別該個人之資料(資訊隱私權)。
資安法與個資法對於管理控制措施,有各別法遵義務要求,因此當資安事件發生伴隨個人資料檔案外洩時,除了要依照資安法規定通報事件外,也要循個資法規定進行通報管理,並有個資外洩之根因回饋成為精進資安防護措施之可能性。
以通報機關的立場觀之,依證據追查根因及提出改善措施,可再衡酌其通報內容及方式,涉及個資外洩事件管理時,除針對個資法安全維護子法、個資檔案安全維護計畫等相關規範進行檢視,在資安防護措施亦可獲得深化。另一方面,數位環境之個資事件進行策略研析,輔以隱私科技之應用,例如個資強化技術及數據資料庫之保護等,對個資管理制度及資安管控措施之橋接,當發生重大個資事件透由個人資料保護聯繫機制,加乘資通安全管理及個人資料之保護,以期共同在事件管理面發揮實質綜效。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
