立法院第11屆第3會期交通委員會第12次全體委員會議紀錄 時  間 中華民國114年5月22日(星期四)9時6分至13時7分 地  點 本院紅樓201會議室 主  席 許委員智傑 議  程 討論事項 一、繼續審查行政院函請審議「資通安全管理法修正草案」案。 二、繼續審查委員沈伯洋等17人擬具「資通安全管理法修正草案」案。 三、繼續審查委員葛如鈞等21人擬具「資通安全管理法修正草案」案。 四、繼續審查委員賴瑞隆等17人擬具「資通安全管理法修正草案」案。 五、繼續審查委員黃捷等17人擬具「資通安全管理法修正草案」案。 六、繼續審查委員林宜瑾等18人擬具「資通安全管理法修正草案」案。 七、繼續審查委員陳素月等24人擬具「資通安全管理法修正草案」案。 八、繼續審查委員林俊憲等16人擬具「資通安全管理法修正草案」案。 九、繼續審查委員羅美玲等21人擬具「資通安全管理法修正草案」案。 十、繼續審查委員吳思瑤等17人擬具「資通安全管理法修正草案」案。 十一、繼續審查台灣民眾黨黨團擬具「資通安全管理法修正草案」案。 十二、繼續審查委員邱若華等17人擬具「資通安全管理法修正草案」案。 十三、繼續審查委員蔡其昌等18人擬具「資通安全管理法部分條文修正草案」案。 十四、繼續審查委員李柏毅等18人擬具「資通安全管理法第二條及第十一條條文修正草案」案。 十五、審查委員許智傑等24人擬具「資通安全管理法修正草案」案。 十六、審查委員李坤城等22人擬具「資通安全管理法修正草案」案。 十七、審查委員陳冠廷等16人擬具「資通安全管理法部分條文修正草案」案。 十八、審查委員李昆澤等30人擬具「資通安全管理法部分條文修正草案」案。 十九、審查委員黃秀芳等21人擬具「資通安全管理法部分條文修正草案」案。 二十、審查委員郭昱晴等19人擬具「資通安全管理法第六條、第七條及第十條之一條文修正草案」案。 【本日會議進行逐條審查;第十六案各黨團若未提出不復議同意書,則不予審查;第十九案如經院會復議,則不予審查】 繼續開會 主席:現在繼續開會。 本日會議進行審查資通安全管理法修正草案共20案,日前114年4月24日本會於第8次會議已完成詢答程序,本日會議於進行逐條協商前,先就加進來審查的第15案至第20案說明提案要旨、機關報告及條文宣讀等程序,本日會議就不受理臨時提案,先進行說明提案要旨。 請許智傑委員、李昆澤委員、李坤城委員、陳冠廷委員、黃秀芳委員、郭昱晴委員,沒來,就不用了。 進行機關報告,請數位發展部黃彥男部長報告。 黃部長彥男:主席、各位委員女士、先生。今天應邀列席委員會議,針對「資通安全管理法修正草案(以下簡稱本修正草案)」進行報告,說明如下: 近年全球資通安全威脅日益升高,政府與關鍵基礎設施頻頻成為駭客攻擊目標。各國(如美國、歐盟、日本等)皆陸續強化資安立法與執法機制,以維護國家安全與經濟穩定。 現行「資通安全管理法」自107年6月6日制定公布,到108年正式實施以來,至今並未進行修法。累積6年多執行經驗,發現部分條文無法有效回應新興資安風險與管理需求;近年國內陸續發生多起資安事件,如醫療院所遭入侵、機敏資料外洩、關鍵基礎設施遭攻擊等,顯示現行制度仍有不足,漏洞亟待追補。本修正草案旨在強化國家整體資通安全法律規範、促進政府跨機關合作及區域聯防,並提升公私部門的資安防護能力。 本修正草案業於113年7月4日提報行政院院會通過並函請立法院審議,立法院113年7月12日一讀交付委員會審查,並經再檢視多數與委員沈伯洋等17人、葛如鈞等21人、賴瑞隆等17人、黃捷等17人、林宜瑾等18人、陳素月等24人、林俊憲等16人、羅美玲等21人、吳思瑤等17人、台灣民眾黨黨團、邱若華等17人、蔡其昌等18人、李柏毅等18人、許智傑等24人、李坤城等22人、陳冠廷等16人、李昆澤等30人、黃秀芳等21人及郭昱晴等19人共19項修正提案,均與行政院版本立法方向大致相同,經本部拜會各位委員,逐條溝通結果,擬酌採委員意見修正,以求周妥。 此次「資通安全管理法」修法,預期能帶來多方面的效益,尤其是在強化國家整體資安防護、提升公私部門資安韌性、因應新興威脅等方面更具前瞻性與實效性。懇請委員多予支持! 主席:其餘機關報告,請各位參考書面,並列入紀錄,刊登公報。 數發部書面資料: 「資通安全管理法修正草案」逐條審查書面報告 主席、各位委員女士、先生: 今天應邀列席委員會議,針對「資通安全管理法修正草案(以下簡稱本修正草案)」進行報告,說明如下: 近年全球資通安全威脅日益升高,政府與關鍵基礎設施頻頻成為駭客攻擊目標。各國(如美國、歐盟、日本等)皆陸續強化資安立法與執法機制,以維護國家安全與經濟穩定。 現行「資通安全管理法」自107年6月6日制定公布,到108年正式實施以來,至今並未進行修法。累積6年多執行經驗,發現部分條文無法有效回應新興資安風險與管理需求;近年國內陸續發生多起資安事件,如醫療院所遭入侵、機敏資料外洩、關鍵基礎設施遭攻擊等,顯示現行制度仍有不足,漏洞亟待追補。本修正草案旨在強化國家整體資通安全法律規範、促進政府跨機關合作及區域聯防,並提升公私部門的資安防護能力。 本修正草案業於113年7月4日提報行政院院會通過並函請立法院審議,立法院113年7月12日一讀交付委員會審查,並經再檢視多數與委員沈伯洋等17人、葛如鈞等21人、賴瑞隆等17人、黃捷等17人、林宜瑾等18人、陳素月等24人、林俊憲等16人、羅美玲等21人、吳思瑤等17人、台灣民眾黨黨團、邱若華等17人、蔡其昌等18人、李柏毅等18人、許智傑等24人、李坤城等22人、陳冠廷等16人、李昆澤等30人、黃秀芳等21人及郭昱晴等19人共19項修正提案,均與行政院版本立法方向大致相同,經本部拜會各位委員,逐條溝通結果,擬酌採委員意見修正,以求周妥。 此次「資通安全管理法」修法,預期能帶來多方面的效益,尤其是在強化國家整體資安防護、提升公私部門資安韌性、因應新興威脅等方面更具前瞻性與實效性。懇請委員多予支持! 行政院人事行政總處書面資料: 繼續審查行政院函請審議「資通安全管理法修正草案」等20案書面報告 主席、各位委員、女士、先生: 今天大院第11屆第3會期交通委員會第12次全體委員會議繼續審查行政院函請審議「資通安全管理法修正草案」等20案,本總處奉邀列席,深感榮幸。 各委員提案內容包括「公務機關應設置資通安全專職人員」、「強化資通安全人員專業知能」、「重大資通安全事件之調度支援」及「對資通安全專職人員、資通安全人員任用考試錄取人員之適任性查核」等事項,因係屬數位發展部主管權責,本總處尊重該部意見。 以上報告,敬請各位委員指教,謝謝! 主席:現在進行宣讀條文,如有修正動議或附帶決議,也請一併宣讀。 條文: 委員許智傑等24人提案: 修正條文 現行條文 說明 第一章 總 則 第一章 總 則 章名未修正。 第一條 為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。 第一條 為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。 本條未修正。 第二條 本法之主管機關為數位發展部。 國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。 第二條 本法之主管機關為行政院。 一、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,本法之主管機關,自一百十一年八月二十七日起變更為數位發展部,爰配合上開公告修正現行條文,並列為第一項。 二、因應數位發展部資通安全署成立,掌理國家資通安全業務,為符權責,爰增訂第二項。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀,或其他情形影響其機密性、完整性或可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全或保護措施失效之狀態發生,影響資通系統機能運作。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指特定關鍵基礎設施提供者、公營事業或特定財團法人。 七、關鍵基礎設施:指行政院定期檢視並公告之領域中,該領域服務所依賴之實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者。 八、特定關鍵基礎設施提供者:指維運或提供關鍵基礎設施全部或一部所依賴之資通系統,經中央目的事業主管機關指定,送由主管機關報請行政院核定者。 九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項、第四項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。 七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。 八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。 九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。 一、第一款、第二款及第五款未修正。 二、第三款及第四款酌作文字修正,以符實際情形。 三、第六款配合第八款、第九款用詞修正為特定關鍵基礎設施提供者、特定財團法人。 四、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第七款及第八款所列主管機關權責事項,自一百十一年八月二十七日起仍由行政院管轄,並配合現行實務作法,爰予修正。另第八款用詞,考量本法係以維運或提供關鍵基礎設施全部或一部所依賴之「資通系統」者為規範對象,為避免混淆,爰由現行「關鍵基礎設施提供者」修正為「特定關鍵基礎設施提供者」,惟實質內涵並未變更,兩者具有同一性,不影響原經指定為關鍵基礎設施提供者之效力,不生重行指定之問題,並配合修正本法相關條文用詞。 五、現行第九款制定公布時,財團法人法尚未完成立法,考量該法已制定公布施行,爰修正第九款,定明符合財團法人法第二條第二項、第三項或第六十三條第一項、第四項規定,且屬該法第二條第八項所定全國性財團法人者,為本法所稱特定財團法人。 第四條 為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項: 一、資通安全專業人才之培育。 二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。 三、資通安全產業之發展。 四、資通安全軟硬體技術規範、相關服務及審驗機制之發展。 前項相關事項之推動,由主管機關擬訂國家資通安全發展方案,報請行政院核定後實施。 第四條 為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項: 一、資通安全專業人才之培育。 二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。 三、資通安全產業之發展。 四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。 前項相關事項之推動,由主管機關以國家資通安全發展方案定之。 一、第一項第四款酌作文字修正,其餘各款未修正。 二、第二項配合實務作法,修正為由數位發展部擬訂國家資通安全發展方案,報請行政院核定後實施。 第五條 為落實國家資通安全政策,各政府機關、中央及地方間,應致力配合推動執行國家資通安全措施,共同建構國家資通安全環境。 為辦理國家資通安全政策、應變機制與重大計畫之諮詢審議,協調各政府機關、中央及地方間之資通安全相關事務,行政院應召開國家資通安全會報,其幕僚作業由主管機關辦理。 前項國家資通安全會報決議事項,相關政府部門應予執行,由主管機關定期追蹤管考,並得辦理績效評核。 第二項國家資通安全會報之組成、任務、議事程序及其他相關事項之辦法,由行政院定之。 一、本條新增。 二、因應越趨增強之全球資通安全威脅及突發資通安全事件,各政府機關應建立中央地方聯防體系,以完備國家資通安全,爰規定第一項及第二項,強化跨機關資通安全事件應處及協調能力。 三、為確保落實國家資通安全會報決議事項,爰規定第三項。 四、第二項國家資通安全會報之組成、任務、議事程序及其他相關事項之辦法,於第四項授權由行政院定之。 第六條 主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及國家資通安全發展方案。 前項情勢報告、實施情形稽核概況報告及國家資通安全發展方案,應由主管機關送立法院備查。 第五條 主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及資通安全發展方案。 前項情勢報告、實施情形稽核概況報告及資通安全發展方案,應送立法院備查。 一、條次變更。 二、第一項酌作文字修正。 三、第二項修正定明辦理之主體,並酌作文字修正。 第七條 公務機關及特定非公務機關,應按其業務重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。 公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。 前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之配置與專業條件及其他相關事項之辦法,由主管機關定之。 第七條 主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。 一、現行第一項前段規定酌作文字修正,以符實際,並列為修正條文第一項。 二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。 三、現行第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。 四、現行第二項及第三項移列修正條文第八條規定,爰予刪除。 第八條 資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形。 前項稽核後,發現受稽核機關資通安全維護計畫實施情形有缺失或待改善者,受稽核機關應提出改善報告,公務機關送交依第十四條規定收受其實施情形之機關、特定非公務機關送交中央目的事業主管機關審查後,由該審查機關送交資安署。 前項收受改善報告之機關認有必要時,得要求受稽核機關進行說明或調整。 前三項資通安全維護計畫實施情形之稽核頻率、內容與方法、改善報告之提出及其他相關事項之辦法,由主管機關定之。 第一項稽核由資安署擬訂年度計畫,送由主管機關報請行政院核定後辦理,年度計畫及年度成果報告應送交國家資通安全會報備查。 第七條第二項及第三項 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。 一、第一項由現行第七條第二項前段規定移列,酌作文字修正,並為協助公務機關檢視自身資通安全維護計畫實施情形,增訂資安署得稽核公務機關。 二、第二項由現行第七條第三項規定移列,並配合實務執行需求酌作修正。 三、為使收受改善報告之機關得對受稽核機關進行監督及指導,爰增訂第三項,俾使其得就缺失或待改善事項妥為處理。 四、第四項由現行第七條第二項後段規定移列,並酌作修正。 五、為使第一項稽核辦理有據,並考量事涉公務機關及特定非公務機關,有賴各政府機關間配合推動執行,爰增訂第五項。 第九條 資安署應建立資通安全情資分享機制。 前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。 第八條 主管機關應建立資通安全情資分享機制。 前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。 一、條次變更。 二、資通安全情資分享之執行,主要係國內外之資通安全資訊交流、資通安全警訊發布等技術性事務,目前實務現況係由資安署辦理,爰修正第一項。 三、第二項未修正。 第十條 公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應選任適當之受託者,要求受託者建立有效之資通安全管理機制,並監督該機制之實施。 公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利義務及違約責任。 第九條 公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。 一、條次變更。 二、考量現行條文規定公務機關或特定非公務機關選任受託者時,所應考量之「專業能力與經驗、委外項目之性質及資通安全需求」等事項,本即屬其「適當性」之考量範疇,又為強化對受託者之資通安全管理要求,爰修正現行條文,並列為第一項。 三、為強化各機關落實委外監督管理,各機關應與受託者簽訂書面契約,並載明雙方之權利義務及違約責任,爰增訂第二項。 第二章 公務機關資通安全管理 第二章 公務機關資通安全管理 章名未修正。 第十一條 公務機關不得下載、安裝或使用危害國家資通安全產品;其自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,亦同。但因業務需求且無其他替代方案者,經該機關資通安全長及依第十四條規定收受其實施情形之機關資通安全長核可,函報主管機關核定後,得以專案方式使用,並列冊管理。 公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。 前二項有關危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項之辦法,由主管機關會商有關機關擬訂,報請行政院核定之。 一、本條新增。 二、現行對各機關有關危害國家資通安全產品之使用,係以行政規則「各機關對危害國家資通安全產品限制使用原則」規範,惟考量該等產品之使用涉及重大公共利益,爰提升以法律及其明確授權之法規命令為依據;另現今資訊流通速度極快,且資訊內容影響公眾生活及公共安全,考量公務機關自行或委外營運場所之傳播設備及網際網路接取服務,與資訊流通密切相關,亦有納管規範之必要,爰訂定本條。 三、本條所定「危害國家資通安全產品」,包含但不限於受反滲透法所稱滲透來源實質控制者所提供之產品;其中第三項規定危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項,授權由主管機關訂定辦法,以符合授權明確性原則。又為妥適評估產品資安風險,前開審查程序規劃由相關主管機關,例如該產品產業之中央目的事業主管機關、國安、經貿等相關主管機關,共同審查產品情資,並據以分享。 第十二條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。 第十一條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。 條次變更,內容未修正。 第十三條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 第十條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 條次變更,內容未修正。 第十四條 公務機關應每年向上級機關或監督機關提出資通安全維護計畫實施情形;無上級機關或監督機關者,其資通安全維護計畫實施情形應依下列各款規定辦理: 一、總統府、國家安全會議及五院,向資安署提出。 二、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向資安署提出。 三、直轄市山地原住民區公所、直轄市山地原住民區民代表會,向直轄市政府提出;鄉(鎮、市)公所、鄉(鎮、市)民代表會,向縣政府提出。 第十二條 公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交主管機關。 一、條次變更。 二、為明確規範公務機關資通安全維護計畫實施情形提出之管道,按現行條文規定之運作模式,修正本條,並定明第一款及第二款公務機關資通安全維護計畫實施情形提出之對象。 三、為強化地區聯防,將直轄市山地原住民區公所、直轄市山地原住民區民代表會、鄉(鎮、市)公所以及鄉(鎮、市)民代表會之提出對象,定明為直轄市政府及縣政府,爰規定第三款。 第十五條 公務機關應稽核其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之資通安全維護計畫實施情形。 第十三條 公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。 受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。 一、條次變更。 二、為落實資通安全聯防政策,公務機關資通安全維護計畫實施情形之稽核,採分層監督管理模式,依現行第一項規定,由上級機關或監督機關稽核之。惟無上級機關或監督機關者,現行僅有內部稽核規定,爰增訂直轄市政府應稽核所轄直轄市山地原住民區公所、直轄市山地原住民區民代表會,以及縣政府應稽核所轄鄉(鎮、市)公所、鄉(鎮、市)民代表會。 三、現行第二項移列修正條文第十六條第一項規定,爰予刪除。 第十六條 受稽核機關之資通安全維護計畫實施情形有缺失或待改善者,應向稽核機關提出改善報告,並由稽核機關連同稽核結果依資安署指定之方式送交資安署。 稽核機關或資安署認有必要時,得要求受稽核機關進行說明或調整。 前三條及第一項資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法,由主管機關定之。 第十三條第二項 受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。 一、第一項由現行第十三條第二項規定移列,除修正定明改善報告之提出對象外,並為利資安署掌握全國資通安全現況,修正定明稽核結果及改善報告由稽核機關送交該署。 二、為使稽核機關、資安署就受稽核機關之改善報告得進行監督及指導,爰增訂第二項,俾使其得就缺失或待改善事項妥為處理。 三、修正條文第十三條至第十五條與第一項資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項,增訂第三項授權由主管機關以辦法定之。 第十七條 公務機關為因應資通安全事件,應訂定通報及應變機制。 公務機關知悉資通安全事件時,應向第十四條規定收受其實施情形之機關及資安署通報。 公務機關應向前項受通報機關提出資通安全事件調查、處理及改善報告。 前三項通報與應變機制之必要事項、通報內容、報告之提出、演練作業及其他相關事項之辦法,由主管機關定之。 第二項受通報機關知悉重大資通安全事件時,得提供公務機關相關協助;於適當時機並得公告與事件相關之必要內容及因應措施。 第十四條 公務機關為因應資通安全事件,應訂定通報及應變機制。 公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。 公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。 前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。 一、條次變更。 二、第一項未修正。 三、配合修正條文第十四條已定明公務機關資通安全維護計畫實施情形之提出對象,及實務運作現況,爰修正第二項及第三項。 四、為增進公務機關因應資通安全事件之處理能力,爰於第四項授權項目增訂演練作業,俾利透過實施模擬演練以熟悉應變作為、提升應變技能,並酌作文字修正。 五、考量重大資通安全事件可能影響人民之生命、身體或財產安全,爰比照特定非公務機關之規定,增訂第五項,由受通報機關於知悉後,分別或共同公告必要之內容(例如發生原因、影響程度及目前控制之情形等)及因應措施,並提供相關協助,以避免損害之擴大。 第十八條 公務機關應符合其資通安全責任等級之要求,設置資通安全專職人員,辦理資通安全業務及應變處理;所屬人員辦理資通安全業務績效優良者,應予獎勵。 資安署應妥善規劃推動專職人員之職能訓練,增進其資通安全專業知能;遇有重大資通安全事件,資安署得調度各級機關資通安全人員支援之。 前二項人員獎勵、職能訓練、調度支援及其他相關事項之辦法,由主管機關定之。 第十五條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。 前項獎勵事項之辦法,由主管機關定之。 一、條次變更。 二、公務機關依資通安全責任等級分級辦法附表一、附表三、附表五之規定,應設置一定人數之專職人員辦理資通安全業務,為強化公務機關之資通安全防護能量,爰將其意旨修正為第一項前段規定,現行第一項則酌作文字修正後列為後段規定。 三、因資通安全人員之專業知能,與公務機關資通安全防護能量有密切關係,為強化並提升公務機關專職人員之職能,爰增訂第二項前段規定;另考量透過實戰訓練,得快速累積人員經驗及提升應處能力,爰增訂第二項後段規定,定明遇有重大資安事件時,資安署得調度資通安全人員支援之,俾利落實資通安全聯防政策。前開資通安全人員,係指資通安全專職人員及專責人員。 四、現行第二項配合修正條文第一項及第二項酌作文字修正,增訂授權項目,並移列為第三項。 第十九條 公務機關於必要時,得對所屬資通安全專職人員之適任性進行查核。 主管機關得於資通安全人員任用考試榜示後,對錄取人員之適任性進行查核。 拒絕查核或前二項查核結果經用人機關認定未通過者,不得辦理涉及國家機密、軍事機密及國防秘密之資通安全業務。 前項人員職務得由用人機關基於內部管理及業務運作需要,依法進行調整。 第一項及第二項查核紀錄,由用人機關依相關規定保密處理,並妥為保管,不得移作他用;違反者,視情節予以議處。 有關查核權責機關、應受查核人員、查核程序、內容及其他相關事項之辦法,由主管機關會商有關機關定之。 一、本條新增。 二、考量公務機關之資通安全專職人員辦理資通安全業務時,可能觸及國家機密、軍事機密及國防秘密,有予以查核其適任性之必要,是以將現職人員及考試錄取人員定為得查核之對象範圍,並定明拒絕查核或查核未通過之法律效果。至所定必要時,係指經公務機關綜合業務屬性、人員實際情形予以審認,爰規定第一項至第四項。另第二項「資通安全人員任用考試」,係指考試類科為「資通安全」者。 三、查核紀錄涉及受查核者之個人資料,用人機關應注意相關保密及保管措施,爰規定第五項。 四、有關查核權責機關、應受查核人員、查核程序、內容及其他相關事項,授權主管機關訂定辦法,以符合授權明確性原則,爰規定第六項。另受查核人員就查核結果經用人機關認定未通過者,現職資通安全專職人員對於用人機關之決定,認有違法或顯然不當致損害其權利或利益,得依公務人員保障法規定,提起救濟;非現職者得依訴願法規定,提起救濟,併予敘明。 第三章 特定非公務機關資通安全管理 第三章 特定非公務機關資通安全管理 章名未修正。 第二十條 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定特定關鍵基礎設施提供者,送由主管機關報請行政院核定,並以書面通知受核定者。 特定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 特定關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應綜合考量所管特定關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模、性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。 特定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應向中央目的事業主管機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 第十六條 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、條次變更。 二、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第一項所列主管機關權責事項,自一百十一年八月二十七日起仍由行政院管轄,並配合現行實務作法,爰修正第一項。 三、考量資安威脅日漸加劇,資安作業須持續維持,為強化特定關鍵基礎設施提供者資安防護量能並能及時應處,避免其他業務排擠資安業務量能造成事件擴散,需要投入相關成本,人力資源是其中重要一環,故符合特定資通安全責任等級之特定關鍵基礎設施提供者,應設置專人專職辦理資通安全業務,以落實事前、事中及事後各項資安作業,確保其具有安全可靠之資通環境,爰修正第二項。 四、第三項配合修正條文第三條第八款用詞,酌作文字修正。 五、考量行政資源有效利用,擇定適當之特定關鍵基礎設施提供者,稽核其資通安全維護計畫實施情形,爰於第四項增訂中央目的事業主管機關定期辦理稽核時應審酌之因素。 六、第五項酌作文字修正。 七、為利資安署掌握全國資通安全現況,爰增訂第六項。 八、現行第六項移列修正條文第二十二條規定,爰予刪除。 第二十一條 特定關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 第十七條 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、條次變更。 二、考量資安威脅日漸加劇,資安作業須持續維持,為強化特定關鍵基礎設施提供者以外之特定非公務機關資安防護量能並能及時應處,避免其他業務排擠資安業務量能造成事件擴散,需要投入相關成本,人力資源是其中重要一環,故符合特定資通安全責任等級之特定關鍵基礎設施提供者以外之特定非公務機關,應設置專人專職辦理資通安全業務,以落實事前、事中及事後各項資安作業,確保其具有安全可靠的資通環境,爰修正第一項。 三、第二項及第三項未修正。 四、為利資安署掌握全國資通安全現況,爰增訂第四項。 五、現行第四項移列修正條文第二十二條規定,爰予刪除。 第二十二條 前二條資通安全維護計畫之必要事項、實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由主管機關核定。 第十六條第六項 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 第十七條第四項 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 本條由現行第十六條第六項及第十七條第四項合併修正移列,並配合修正條文第二十條及第二十一條,增訂授權項目及酌作文字修正。 第二十三條 特定非公務機關應置資通安全長,由特定非公務機關之代表人、管理人、其他有代表權人或其指派之適當人員擔任,負責推動及監督機關內資通安全相關事務。 一、本條新增。 二、為確保有效推動資通安全維護事項,比照公務機關規定,特定非公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作,爰為本條規定。 第二十四條 特定非公務機關為因應資通安全事件,應訂定通報及應變機制。 特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交資安署。 前三項通報與應變機制之必要事項、通報內容、報告之提出、送交、演練作業及其他應遵行事項之辦法,由主管機關定之。 中央目的事業主管機關或資安署知悉重大資通安全事件時,應提供相關協助;於適當時機並得公告與事件相關之必要內容及因應措施。 第十八條 特定非公務機關為因應資通安全事件,應訂定通報及應變機制。 特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。 前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。 知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。 一、條次變更。 二、第一項及第二項未修正。 三、配合修正條文第二條第二項規定,將第三項及第五項所定主管機關修正為資安署,並酌作文字修正。 四、為增進特定非公務機關因應資通安全事件之處理能力,於第四項之授權項目增訂演練作業,並酌作文字修正。 第二十五條 中央目的事業主管機關為調查特定非公務機關發生重大資通安全事件,得依下列程序辦理: 一、通知當事人或關係人到場陳述意見。 二、通知當事人及關係人提出獨立第三方機構出具之鑑識或調查報告。 三、派員、委任或委託其他機關(構)前往當事人及關係人之處所實施必要之檢查。 前項所定關係人,以該項特定非公務機關委託辦理資通系統之建置、維運或資通服務提供之受託者,且與重大資通安全事件相關者為限。 受調查者對於中央目的事業主管機關依第一項所為之調查,不得規避、妨礙或拒絕。 執行調查之人員應出示有關執行職務之證明文件;其未出示者,受調查者得拒絕之。 第一項第三款受委任或委託之機關(構)對於辦理受任或受託事務所獲悉特定非公務機關之秘密,不得洩漏。 一、本條新增。 二、為落實特定非公務機關資通安全之維護,強化中央目的事業主管機關之監督權責,爰規定第一項,賦予中央目的事業主管機關對於重大資通安全事件之調查權。 三、為符合法律明確性原則,定明應受調查之關係人範圍,爰規定第二項。 四、配合第一項規定中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權責,於第三項增訂受調查者對中央目的事業主管機關所為調查措施,不得規避、妨礙或拒絕,並於第四項規定中央目的事業主管機關執行調查時應出示證明文件之程序。 五、為避免特定非公務機關之秘密,因重大資通安全事件之調查而洩漏,爰規定第五項受委任或委託機關(構)之保密義務。 第二十六條 特定非公務機關對於所屬人員辦理資通安全業務績效優良者,應予獎勵。 一、本條新增。 二、為促進特定非公務機關所屬人員對於資通安全工作之重視與投入,該等人員於踐行本法要求事項績效優良時,應予獎勵,爰為本條規定。 第二十七條 中央目的事業主管機關對特定非公務機關下載、安裝或使用危害國家資通安全產品,得予以限制或禁止;特定非公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,於維護資通安全之必要時,亦同。但因業務需求且無其他替代方案者,經該特定非公務機關資通安全長核可,函報中央目的事業主管機關核定後,得以專案方式使用,並列冊管理。 前項對特定非公務機關限制或禁止使用危害國家資通安全產品之管控措施,由中央目的事業主管機關訂定,報主管機關備查。 一、本條新增。 二、配合修正條文第十一條規定將危害國家資通安全產品限制使用之事項提升以法律位階規範,增訂中央目的事業主管機關為維護國家資通安全,對特定非公務機關下載、安裝或使用危害國家資通安全產品,得予以限制或禁止之規定。 第四章 罰 則 第四章 罰 則 章名未修正。 第二十八條 公務機關所屬人員未依本法規定辦理者,應按其情節輕重,依相關規定予以懲戒或懲處。 前項懲處事項之辦法,由主管機關定之。 特定非公務機關所屬人員未依本法規定辦理,情節重大者,由特定非公務機關依規定予以懲處。 第十九條 公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。 前項懲處事項之辦法,由主管機關定之。 一、條次變更。 二、第一項酌作文字修正。 三、第二項未修正。 四、為促進特定非公務機關所屬人員對於資通安全工作之重視與投入,比照公務機關所屬人員規定,對未依本法規定辦理,情節重大者,定明由特定非公務機關予以懲處,爰增訂第三項。 第二十九條 特定非公務機關未依第二十四條第二項規定,通報資通安全事件,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。 第二十一條 特定非公務機關未依第十八條第二項規定,通報資通安全事件,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。 一、條次變更。 二、配合現行第十八條之條次變更,修正所引條次。 第三十條 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 一、未依第二十條第二項或第二十一條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第二十二條所定辦法中有關資通安全維護計畫必要事項之規定。 二、未依第二十條第三項或第二十一條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第二十二條所定辦法中有關資通安全維護計畫實施情形提出之規定。 三、未依第八條第二項、第二十條第五項或第二十一條第三項規定,提出改善報告送交中央目的事業主管機關,或違反第二十二條所定辦法中有關改善報告提出之規定。 四、未依第二十四條第一項規定,訂定資通安全事件之通報及應變機制,或違反第二十四條第四項所定辦法中有關通報及應變機制必要事項之規定。 五、未依第二十四條第三項規定,向中央目的事業主管機關提出或向資安署送交資通安全事件之調查、處理及改善報告,或違反第二十四條第四項所定辦法中有關報告提出、送交之規定。 、違反第二十四條第四項所定辦法中有關通報內容、演練作業之規定。 第二十條 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。 二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。 三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。 四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。 五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。 六、違反第十八條第四項所定辦法中有關通報內容之規定。 一、條次變更。 二、配合相關現行條文條次變更或內容修正,修正所引條次及內容。 第三十一條 違反第二十五條第三項規定,規避、妨礙或拒絕調查者,由中央目的事業主管機關處新臺幣十萬元以上一百萬元以下罰鍰。 一、本條新增。 二、配合修正條文第二十五條第三項,增訂違反者之處罰規定。 第五章 附 則 第五章 附 則 章名未修正。 第三十二條 主管機關得委託其他公務機關辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。 資安署得委託其他公務機關辦理國家資通安全防護、演練、稽核及其他資通安全相關事務。 前二項受委託之公務機關,不得洩露辦理相關事務過程中所知悉之秘密。 特定非公務機關之業務涉及數個中央目的事業主管機關之權責,主管機關得協調指定其中一個或數個中央目的事業主管機關,單獨或共同辦理本法所定中央目的事業主管機關應辦理之事項。 第六條 主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。 前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。 一、條次變更。 二、考量現行實務運作,未將權限移轉委任所屬機關或委託法人或團體,爰修正第一項。 三、配合修正條文第二條第二項規定,增訂第二項,定明資安署得委託辦理國家資通安全防護、演練、稽核及其他資通安全相關事務之依據。 四、考量公權力之委託並無複委託情事,及受委託者就執行或辦理相關事務過程中所知悉之秘密,除有正當理由外,應有保密之義務,不以關鍵基礎設施提供者之秘密為限,爰將現行第二項移列為第三項,並酌作文字修正。 五、考量特定非公務機關之業務性質可能涉及數個中央目的事業主管機關之權責,為避免該等機關就本法所定事項權責不清,須有解決之機制,爰增訂第四項,將本法施行細則第十二條規定提升至本法規定,並酌作修正。 第三十三條 本法所定資通安全事件,涉及個人資料外洩時,公務機關及特定非公務機關應另依個人資料保護法及其相關法令規定辦理。 一、本條新增。 二、本法要求納管之公務機關及特定非公務機關訂定「資通安全維護」計畫並依計畫實施相關資通安全管理事項、訂定資通安全事件之通報及應變機制、通報資通安全事件等,均係屬資通安全維護義務,與個人資料保護法要求保有個人資料者應採行適當之安全措施、訂定「個人資料檔案安全維護」計畫或業務終止後個人資料處理方法等,兩者規範目的及事項不同,並無普通法及特別法之關係,有予以明辨之必要,爰增訂本條。 第三十四條 本法施行細則,由主管機關定之。 第二十二條 本法施行細則,由主管機關定之。 條次變更,內容未修正。 第三十五條 本法施行日期,由行政院定之。 第二十三條 本法施行日期,由主管機關定之。 條次變更,並修正定明本次修正條文施行日期由行政院定之。 委員李坤城等22人提案: 修正條文 現行條文 說明 第一章 總 則 第一章 總 則 章名未修正。 第一條 為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,特制定本法。 第一條 為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。 修正本條文。 第二條 本法之主管機關為數位發展部。 國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。 第二條 本法之主管機關為行政院。 因應數位發展部資通安全署成立,修正資通安全主管機關,掌理國家資通安全業務,為符權責,爰增訂第二項。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀,或其他情形影響其機密性、完整性或可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全或保護措施失效之狀態發生,影響資通系統機能運作。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指特定關鍵基礎設施提供者、公營事業或特定財團法人。 七、關鍵基礎設施:指行政院定期檢視並公告之領域中,該領域服務所依賴之實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者。 八、特定關鍵基礎設施提供者:指維運或提供關鍵基礎設施全部或一部所依賴之資通系統,經中央目的事業主管機關指定,送由主管機關報請行政院核定者。 九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項、第四項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。 七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。 八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。 九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。 一、第一款、第二款及第五款未修正。 二、第三款及第四款酌作文字修正,以符實際。 三、第六款配合第八款、第九款用詞修正為特定關鍵基礎設施提供者、特定財團法人。 四、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第七款及第八款所列主管機關權責事項,自一百十一年八月二十七日起仍由行政院管轄,並配合現行實務作法,爰予修正。另第八款用詞,考量本法係以維運或提供關鍵基礎設施全部或一部所依賴之「資通系統」者為規範對象,為避免混淆,爰由現行「關鍵基礎設施提供者」修正為「特定關鍵基礎設施提供者」,惟實質內涵並未變更,兩者具有同一性,不影響原經指定為關鍵基礎設施提供者之效力,不生重行指定之問題,並配合修正本法相關條文用詞。 五、現行第九款制定公布時,財團法人法尚未完成立法,考量該法已制定公布施行,爰修正第九款,定明符合財團法人法第二條第二項、第三項或第六十三條第一項、第四項規定,且屬該法第二條第八項所定全國性財團法人者,為本法所稱特定財團法人。 第四條 為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項: 一、資通安全專業人才之培育。 二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。 三、資通安全產業之發展。 四、資通安全軟硬體技術規範、相關服務及審驗機制之發展。 前項相關事項之推動,由主管機關擬訂國家資通安全發展方案,報請行政院核定後實施。 第四條 為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識,並推動下列事項: 一、資通安全專業人才之培育。 二、資通安全科技之研發、整合、應用、產學合作及國際交流合作。 三、資通安全產業之發展。 四、資通安全軟硬體技術規範、相關服務與審驗機制之發展。 前項相關事項之推動,由主管機關以國家資通安全發展方案定之。 一、第一項第四款酌作文字修正,其餘各款未修正。 二、第二項配合實務作法,修正為由數位發展部擬訂國家資通安全發展方案,報請行政院核定後實施。 第五條 為落實國家資通安全政策,各政府機關、中央及地方間,應致力配合推動執行國家資通安全措施,共同建構國家資通安全環境。 為辦理國家資通安全政策、應變機制與重大計畫之諮詢審議,協調各政府機關、中央及地方間之資通安全相關事務,行政院應召開國家資通安全會報,其幕僚作業由主管機關辦理。 前項國家資通安全會報決議事項,相關政府部門應予執行,由主管機關定期追蹤管考,並得辦理績效評核。 第二項國家資通安全會報之組成、任務、議事程序及其他相關事項之辦法,由行政院定之。 一、本條新增。 二、因應越趨增強之全球資通安全威脅及突發資通安全事件,各政府機關應建立中央地方聯防體系,以完備國家資通安全,爰規定第一項及第二項,強化跨機關資通安全事件應處及協調能力。 三、為確保落實國家資通安全會報決議事項,爰規定第三項。 四、第二項國家資通安全會報之組成、任務、議事程序及其他相關事項之辦法,於第四項授權由行政院定之。 第六條 主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及國家資通安全發展方案。 前項情勢報告、實施情形稽核概況報告及國家資通安全發展方案,應由主管機關送立法院備查。 第五條 主管機關應規劃並推動國家資通安全政策、資通安全科技發展、國際交流合作及資通安全整體防護等相關事宜,並應定期公布國家資通安全情勢報告、對公務機關資通安全維護計畫實施情形稽核概況報告及資通安全發展方案。 前項情勢報告、實施情形稽核概況報告及資通安全發展方案,應送立法院備查。 一、條次變更。 二、第一項酌作文字修正。 三、第二項修正定明辦理之主體,並酌作文字修正。 第七條 公務機關及特定非公務機關,應按其業務重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。 公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。 前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之配置與專業條件及其他相關事項之辦法,由主管機關定之。 第七條 主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。 一、現行第一項前段規定酌作文字修正,以符實際,並列為修正條文第一項。 二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。 三、現行第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。 四、現行第二項及第三項移列修正條文第八條規定,爰予刪除。 第八條 資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形。 前項稽核後,發現受稽核機關資通安全維護計畫實施情形有缺失或待改善者,受稽核機關應提出改善報告,公務機關送交依第十四條規定收受其實施情形之機關、特定非公務機關送交中央目的事業主管機關審查後,由該審查機關送交資安署。 前項收受改善報告之機關認有必要時,得要求受稽核機關進行說明或調整。 前三項資通安全維護計畫實施情形之稽核頻率、內容與方法、改善報告之提出及其他相關事項之辦法,由主管機關定之。 第一項稽核由資安署擬訂年度計畫,送由主管機關報請行政院核定後辦理,年度計畫及年度成果報告應送交國家資通安全會報備查。 第七條第二項及第三項 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。 一、第一項由現行第七條第二項前段規定移列,酌作文字修正,並為協助公務機關檢視自身資通安全維護計畫實施情形,增訂資安署得稽核公務機關。 二、第二項由現行第七條第三項規定移列,並配合實務執行需求酌作修正。 三、為使收受改善報告之機關得對受稽核機關進行監督及指導,爰增訂第三項,俾使其得就缺失或待改善事項妥為處理。 四、第四項由現行第七條第二項後段規定移列,並酌作修正。 五、為使第一項稽核辦理有據,並考量事涉公務機關及特定非公務機關,有賴各政府機關間配合推動執行,爰增訂第五項。 第九條 資安署應建立資通安全情資分享機制。 前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。 第八條 主管機關應建立資通安全情資分享機制。 前項資通安全情資之分析、整合與分享之內容、程序、方法及其他相關事項之辦法,由主管機關定之。 一、條次變更。 二、資通安全情資分享之執行,主要係國內外之資通安全資訊交流、資通安全警訊發布等技術性事務,目前實務現況係由資安署辦理,爰修正第一項。 三、第二項未修正。 第十條 公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應選任適當之受託者,要求受託者建立有效之資通安全管理機制,並監督該機制之實施。 公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利義務及違約責任。 第九條 公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。 一、條次變更。 二、考量現行條文規定公務機關或特定非公務機關選任受託者時,所應考量之「專業能力與經驗、委外項目之性質及資通安全需求」等事項,本即屬其「適當性」之考量範疇,又為強化對受託者之資通安全管理要求,爰修正現行條文,並列為第一項。 三、為強化各機關落實委外監督管理,各機關應與受託者簽訂書面契約,並載明雙方之權利義務及違約責任,爰增訂第二項。 第二章 公務機關資通安全管理 第二章 公務機關資通安全管理 章名未修正。 第十一條 公務機關不得下載、安裝或使用危害國家資通安全產品;其自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,亦同。但因業務需求且無其他替代方案者,經該機關資通安全長及依第十四條規定收受其實施情形之機關資通安全長核可,函報主管機關核定後,得以專案方式使用,並列冊管理。 公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。 前二項有關危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項之辦法,由主管機關會商有關機關擬訂,報請行政院核定之。 一、本條新增。 二、現行對各機關有關危害國家資通安全產品之使用,係以行政規則「各機關對危害國家資通安全產品限制使用原則」規範,惟考量該等產品之使用涉及重大公共利益,爰提升以法律及其明確授權之法規命令為依據;另現今資訊流通速度極快,且資訊內容影響公眾生活及公共安全,考量公務機關自行或委外營運場所之傳播設備及網際網路接取服務,與資訊流通密切相關,亦有納管規範之必要,爰訂定本條。 三、本條所定「危害國家資通安全產品」,包含但不限於受反滲透法所稱滲透來源實質控制者所提供之產品;其中第三項規定危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項,授權由主管機關訂定辦法,以符合授權明確性原則。又為妥適評估產品資安風險,前開審查程序規劃由相關主管機關,例如該產品產業之中央目的事業主管機關、國安、經貿等相關主管機關,共同審查產品情資,並據以分享。 第十二條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。 第十一條 公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責推動及監督機關內資通安全相關事務。 條次變更,內容未修正。 第十三條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 第十條 公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 條次變更,內容未修正。 第十四條 公務機關應每年向上級機關或監督機關提出資通安全維護計畫實施情形;無上級機關或監督機關者,其資通安全維護計畫實施情形應依下列各款規定辦理: 一、總統府、國家安全會議及五院,向資安署提出。 二、直轄市政府、直轄市議會、縣(市)政府及縣(市)議會,向資安署提出。 三、直轄市山地原住民區公所、直轄市山地原住民區民代表會,向直轄市政府提出;鄉(鎮、市)公所、鄉(鎮、市)民代表會,向縣政府提出並副知資安署。 第十二條 公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交主管機關。 一、條次變更。 二、為明確規範公務機關資通安全維護計畫實施情形提出之管道,按現行條文規定之運作模式,修正本條,並定明第一款及第二款公務機關資通安全維護計畫實施情形提出之對象。 三、為強化地區聯防,將直轄市山地原住民區公所、直轄市山地原住民區民代表會、鄉(鎮、市)公所以及鄉(鎮、市)民代表會之提出對象,定明為直轄市政府及縣政府,爰規定第三款。 第十五條 公務機關應稽核其所屬、所監督之公務機關、所轄鄉(鎮、市)公所、直轄市山地原住民區公所及鄉(鎮、市)民代表會、直轄市山地原住民區民代表會之資通安全維護計畫實施情形。 第十三條 公務機關應稽核其所屬或監督機關之資通安全維護計畫實施情形。 受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。 一、條次變更。 二、為落實資通安全聯防政策,公務機關資通安全維護計畫實施情形之稽核,採分層監督管理模式,依現行第一項規定,由上級機關或監督機關稽核之。惟無上級機關或監督機關者,現行僅有內部稽核規定,爰增訂直轄市政府應稽核所轄直轄市山地原住民區公所、直轄市山地原住民區民代表會,以及縣政府應稽核所轄鄉(鎮、市)公所、鄉(鎮、市)民代表會。 三、現行第二項移列修正條文第十六條第一項規定,爰予刪除。 第十六條 受稽核機關之資通安全維護計畫實施情形有缺失或待改善者,應向稽核機關提出改善報告,並由稽核機關連同稽核結果依資安署指定之方式送交資安署。 稽核機關或資安署認有必要時,得要求受稽核機關進行說明或調整。 前三條及第一項資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項之辦法,由主管機關定之。 第十三條第二項 受稽核機關之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交稽核機關及上級或監督機關。 一、第一項由現行第十三條第二項規定移列,除修正定明改善報告之提出對象外,並為利資安署掌握全國資通安全現況,修正定明稽核結果及改善報告由稽核機關送交該署。 二、為使稽核機關、資安署就受稽核機關之改善報告得進行監督及指導,爰增訂第二項,俾使其得就缺失或待改善事項妥為處理。 三、修正條文第十三條至第十五條與第一項資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他相關事項,增訂第三項授權由主管機關以辦法定之。 第十七條 公務機關為因應資通安全事件,應訂定通報及應變機制。 公務機關知悉資通安全事件時,應向第十四條規定收受其實施情形之機關及資安署通報。 公務機關應向前項受通報機關提出資通安全事件調查、處理及改善報告。 前三項通報與應變機制之必要事項、通報內容、報告之提出、演練作業及其他相關事項之辦法,由主管機關定之。 第二項受通報機關知悉重大資通安全事件時,得提供公務機關相關協助;於適當時機並得公告與事件相關之必要內容及因應措施。 第十四條 公務機關為因應資通安全事件,應訂定通報及應變機制。 公務機關知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關。 公務機關應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關。 前三項通報及應變機制之必要事項、通報內容、報告之提出及其他相關事項之辦法,由主管機關定之。 一、條次變更。 二、第一項未修正。 三、配合修正條文第十四條已定明公務機關資通安全維護計畫實施情形之提出對象,及實務運作現況,爰修正第二項及第三項。 四、為增進公務機關因應資通安全事件之處理能力,爰於第四項授權項目增訂演練作業,俾利透過實施模擬演練以熟悉應變作為、提升應變技能,並酌作文字修正。 五、考量重大資通安全事件可能影響人民之生命、身體或財產安全,爰比照特定非公務機關之規定,增訂第五項,由受通報機關於知悉後,分別或共同公告必要之內容(例如發生原因、影響程度及目前控制之情形等)及因應措施,並提供相關協助,以避免損害之擴大。 第十八條 公務機關應符合其資通安全責任等級之要求,設置資通安全專職人員,辦理資通安全業務及應變處理;所屬人員辦理資通安全業務績效優良者,應予獎勵。 資安署應妥善規劃推動專職人員之職能訓練,增進其資通安全專業知能;遇有重大資通安全事件,資安署得調度各級機關資通安全人員支援之。 前二項人員獎勵、職能訓練、調度支援及其他相關事項之辦法,由主管機關定之。 第十五條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。 前項獎勵事項之辦法,由主管機關定之。 一、條次變更。 二、公務機關依資通安全責任等級分級辦法附表一、附表三、附表五之規定,應設置一定人數之專職人員辦理資通安全業務,為強化公務機關之資通安全防護能量,爰將其意旨修正為第一項前段規定,現行第一項則酌作文字修正後列為後段規定。 三、因資通安全人員之專業知能,與公務機關資通安全防護能量有密切關係,為強化並提升公務機關專職人員之職能,爰增訂第二項前段規定;另考量透過實戰訓練,得快速累積人員經驗及提升應處能力,爰增訂第二項後段規定,定明遇有重大資安事件時,資安署得調度資通安全人員支援之,俾利落實資通安全聯防政策。前開資通安全人員,係指資通安全專職人員及專責人員。 四、現行第二項配合修正條文第一項及第二項酌作文字修正,增訂授權項目,並移列為第三項。 第十九條 公務機關於必要時,得對所屬資通安全專職人員之適任性進行查核。 主管機關得於資通安全人員任用考試榜示後,對錄取人員之適任性進行查核。 拒絕查核或前二項查核結果經用人機關認定未通過者,不得辦理涉及國家機密、軍事機密及國防秘密之資通安全業務。 前項人員職務得由用人機關基於內部管理及業務運作需要,依法進行調整。 第一項及第二項查核紀錄,由用人機關依相關規定保密處理,並妥為保管,不得移作他用;違反者,視情節予以議處。 有關查核權責機關、應受查核人員、查核程序、內容及其他相關事項之辦法,由主管機關會商有關機關定之。 一、本條新增。 二、考量公務機關之資通安全專職人員辦理資通安全業務時,可能觸及國家機密、軍事機密及國防秘密,有予以查核其適任性之必要,是以將現職人員及考試錄取人員定為得查核之對象範圍,並定明拒絕查核或查核未通過之法律效果。至所定必要時,係指經公務機關綜合業務屬性、人員實際情形予以審認,爰規定第一項至第四項。另第二項「資通安全人員任用考試」,係指考試類科為「資通安全」者。 三、查核紀錄涉及受查核者之個人資料,用人機關應注意相關保密及保管措施,爰規定第五項。 四、有關查核權責機關、應受查核人員、查核程序、內容及其他相關事項,授權主管機關訂定辦法,以符合授權明確性原則,爰規定第六項。另受查核人員就查核結果經用人機關認定未通過者,現職資通安全專職人員對於用人機關之決定,認有違法或顯然不當致損害其權利或利益,得依公務人員保障法規定,提起救濟;非現職者得依訴願法規定,提起救濟,併予敘明。 第三章 特定非公務機關資通安全管理 第三章 特定非公務機關資通安全管理 章名未修正。 第二十條 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定特定關鍵基礎設施提供者,送由主管機關報請行政院核定,並以書面通知受核定者。 特定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 特定關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應綜合考量所管特定關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模、性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。 特定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應向中央目的事業主管機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 第十六條 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、條次變更。 二、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第一項所列主管機關權責事項,自一百十一年八月二十七日起仍由行政院管轄,並配合現行實務作法,爰修正第一項。 三、考量資安威脅日漸加劇,資安作業須持續維持,為強化特定關鍵基礎設施提供者資安防護量能並能及時應處,避免其他業務排擠資安業務量能造成事件擴散,需要投入相關成本,人力資源是其中重要一環,故符合特定資通安全責任等級之特定關鍵基礎設施提供者,應設置專人專職辦理資通安全業務,以落實事前、事中及事後各項資安作業,確保其具有安全可靠之資通環境,爰修正第二項。 四、第三項配合修正條文第三條第八款用詞,酌作文字修正。 五、考量行政資源有效利用,擇定適當之特定關鍵基礎設施提供者,稽核其資通安全維護計畫實施情形,爰於第四項增訂中央目的事業主管機關定期辦理稽核時應審酌之因素。 六、第五項酌作文字修正。 七、為利資安署掌握全國資通安全現況,爰增訂第六項。 八、現行第六項移列修正條文第二十二條規定,爰予刪除。 第二十一條 特定關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 第十七條 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、條次變更。 二、考量資安威脅日漸加劇,資安作業須持續維持,為強化特定關鍵基礎設施提供者以外之特定非公務機關資安防護量能並能及時應處,避免其他業務排擠資安業務量能造成事件擴散,需要投入相關成本,人力資源是其中重要一環,故符合特定資通安全責任等級之特定關鍵基礎設施提供者以外之特定非公務機關,應設置專人專職辦理資通安全業務,以落實事前、事中及事後各項資安作業,確保其具有安全可靠的資通環境,爰修正第一項。 三、第二項及第三項未修正。 四、為利資安署掌握全國資通安全現況,爰增訂第四項。 五、現行第四項移列修正條文第二十二條規定,爰予刪除。 第二十二條 前二條資通安全維護計畫之必要事項、實施情形之提出、稽核之頻率、內容與方法、結果之交付、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由主管機關核定。 第十六條第六項 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 第十七條第四項 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 本條由現行第十六條第六項及第十七條第四項合併修正移列,並配合修正條文第二十條及第二十一條,增訂授權項目及酌作文字修正。 第二十三條 特定非公務機關應置資通安全長,由特定非公務機關之代表人、管理人、其他有代表權人或其指派之適當人員擔任,負責推動及監督機關內資通安全相關事務。 一、本條新增。 二、為確保有效推動資通安全維護事項,比照公務機關規定,特定非公務機關應置資通安全長,由其成立相關推動組織及督導推動相關工作,爰為本條規定。 第二十四條 特定非公務機關為因應資通安全事件,應訂定通報及應變機制。 特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交資安署。 前三項通報與應變機制之必要事項、通報內容、報告之提出、送交、演練作業及其他應遵行事項之辦法,由主管機關定之。 中央目的事業主管機關或資安署知悉重大資通安全事件時,得提供相關協助;於適當時機並得公告與事件相關之必要內容及因應措施。 第十八條 特定非公務機關為因應資通安全事件,應訂定通報及應變機制。 特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。 前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。 知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。 一、條次變更。 二、第一項及第二項未修正。 三、配合修正條文第二條第二項規定,將第三項及第五項所定主管機關修正為資安署,並酌作文字修正。 四、為增進特定非公務機關因應資通安全事件之處理能力,於第四項之授權項目增訂演練作業,並酌作文字修正。 第二十五條 中央目的事業主管機關為調查特定非公務機關發生重大資通安全事件,得依下列程序辦理: 一、通知當事人或關係人到場陳述意見。 二、通知當事人及關係人提出獨立第三方機構出具之鑑識或調查報告。 三、派員、委任或委託其他機關(構)前往當事人及關係人之處所實施必要之檢查。 前項所定關係人,以該項特定非公務機關委託辦理資通系統之建置、維運或資通服務提供之受託者,且與重大資通安全事件相關者為限。 受調查者對於中央目的事業主管機關依第一項所為之調查,不得規避、妨礙或拒絕。 執行調查之人員應出示有關執行職務之證明文件;其未出示者,受調查者得拒絕之。 第一項第三款受委任或委託之機關(構)對於辦理受任或受託事務所獲悉特定非公務機關之秘密,不得洩漏。 一、本條新增。 二、為落實特定非公務機關資通安全之維護,強化中央目的事業主管機關之監督權責,爰規定第一項,賦予中央目的事業主管機關對於重大資通安全事件之調查權。 三、為符合法律明確性原則,定明應受調查之關係人範圍,爰規定第二項。 四、配合第一項規定中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權責,於第三項增訂受調查者對中央目的事業主管機關所為調查措施,不得規避、妨礙或拒絕,並於第四項規定中央目的事業主管機關執行調查時應出示證明文件之程序。 五、為避免特定非公務機關之秘密,因重大資通安全事件之調查而洩漏,爰規定第五項受委任或委託機關(構)之保密義務。 第二十六條 特定非公務機關對於所屬人員辦理資通安全業務績效優良者,應予獎勵。 一、本條新增。 二、為促進特定非公務機關所屬人員對於資通安全工作之重視與投入,該等人員於踐行本法要求事項績效優良時,應予獎勵,爰為本條規定。 第二十七條 中央目的事業主管機關對特定非公務機關下載、安裝或使用危害國家資通安全產品,得予以限制或禁止;特定非公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,於維護資通安全之必要時,亦同。但因業務需求且無其他替代方案者,經該特定非公務機關資通安全長核可,函報中央目的事業主管機關核定後,得以專案方式使用,並列冊管理。 前項對特定非公務機關限制或禁止使用危害國家資通安全產品之管控措施,由中央目的事業主管機關訂定,報主管機關備查。 一、本條新增。 二、配合修正條文第十一條規定將危害國家資通安全產品限制使用之事項提升以法律位階規範,增訂中央目的事業主管機關為維護國家資通安全,對特定非公務機關下載、安裝或使用危害國家資通安全產品,得予以限制或禁止之規定。 第四章 罰 則 第四章 罰 則 章名未修正。 第二十八條 公務機關所屬人員未依本法規定辦理者,應按其情節輕重,依相關規定予以懲戒或懲處。 前項懲處事項之辦法,由主管機關定之。 特定非公務機關所屬人員未依本法規定辦理,情節重大者,由特定非公務機關依規定予以懲處。 第十九條 公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。 前項懲處事項之辦法,由主管機關定之。 一、條次變更。 二、第一項酌作文字修正。 三、第二項未修正。 四、為促進特定非公務機關所屬人員對於資通安全工作之重視與投入,比照公務機關所屬人員規定,對未依本法規定辦理,情節重大者,定明由特定非公務機關予以懲處,爰增訂第三項。 第二十九條 特定非公務機關未依第二十四條第二項規定,通報資通安全事件,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。 第二十一條 特定非公務機關未依第十八條第二項規定,通報資通安全事件,由中央目的事業主管機關處新臺幣三十萬元以上五百萬元以下罰鍰,並令限期改正;屆期未改正者,按次處罰之。 一、條次變更。 二、配合現行第十八條之條次變更,修正所引條次。 第三十條 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 一、未依第二十條第二項或第二十一條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第二十二條所定辦法中有關資通安全維護計畫必要事項之規定。 二、未依第二十條第三項或第二十一條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第二十二條所定辦法中有關資通安全維護計畫實施情形提出之規定。 三、未依第八條第二項、第二十條第五項或第二十一條第三項規定,提出改善報告送交中央目的事業主管機關,或違反第二十二條所定辦法中有關改善報告提出之規定。 四、未依第二十四條第一項規定,訂定資通安全事件之通報及應變機制,或違反第二十四條第四項所定辦法中有關通報及應變機制必要事項之規定。 五、未依第二十四條第三項規定,向中央目的事業主管機關提出或向資安署送交資通安全事件之調查、處理及改善報告,或違反第二十四條第四項所定辦法中有關報告提出、送交之規定。 六、違反第二十四條第四項所定辦法中有關通報內容、演練作業之規定。 第二十條 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。 二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。 三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。 四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。 五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。 六、違反第十八條第四項所定辦法中有關通報內容之規定。 一、條次變更。 二、配合相關現行條文條次變更或內容修正,修正所引條次及內容。 第三十一條 違反第二十五條第三項規定,規避、妨礙或拒絕調查者,由中央目的事業主管機關處新臺幣十萬元以上一百萬元以下罰鍰。 一、本條新增。 二、配合修正條文第二十五條第三項,增訂違反者之處罰規定。 第五章 附 則 第五章 附 則 章名未修正。 第三十二條 主管機關得委託其他公務機關辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。 資安署得委託其他公務機關辦理國家資通安全防護、演練、稽核及其他資通安全相關事務。 前二項受委託之公務機關,不得洩露辦理相關事務過程中所知悉之秘密。 特定非公務機關之業務涉及數個中央目的事業主管機關之權責,主管機關得協調指定其中一個或數個中央目的事業主管機關,單獨或共同辦理本法所定中央目的事業主管機關應辦理之事項。 第六條 主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。 前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。 一、條次變更。 二、考量現行實務運作,未將權限移轉委任所屬機關或委託法人或團體,爰修正第一項。 三、配合修正條文第二條第二項規定,增訂第二項,定明資安署得委託辦理國家資通安全防護、演練、稽核及其他資通安全相關事務之依據。 四、考量公權力之委託並無複委託情事,及受委託者就執行或辦理相關事務過程中所知悉之秘密,除有正當理由外,應有保密之義務,不以關鍵基礎設施提供者之秘密為限,爰將現行第二項移列為第三項,並酌作文字修正。 五、考量特定非公務機關之業務性質可能涉及數個中央目的事業主管機關之權責,為避免該等機關就本法所定事項權責不清,須有解決之機制,爰增訂第四項,將本法施行細則第十二條規定提升至本法規定,並酌作修正。 第三十三條 本法所定資通安全事件,涉及個人資料外洩時,公務機關及特定非公務機關應另依個人資料保護法及其相關法令規定辦理。 一、本條新增。 二、本法要求納管之公務機關及特定非公務機關訂定「資通安全維護」計畫並依計畫實施相關資通安全管理事項、訂定資通安全事件之通報及應變機制、通報資通安全事件等,均係屬資通安全維護義務,與個人資料保護法要求保有個人資料者應採行適當之安全措施、訂定「個人資料檔案安全維護」計畫或業務終止後個人資料處理方法等,兩者規範目的及事項不同,並無普通法及特別法之關係,有予以明辨之必要,爰增訂本條。 第三十四條 本法施行細則,由主管機關定之。 第二十二條 本法施行細則,由主管機關定之。 條次變更,內容未修正。 第三十五條 本法施行日期,由行政院定之。 第二十三條 本法施行日期,由主管機關定之。 條次變更,並修正定明本次修正條文施行日期由行政院定之。 委員陳冠廷等16人提案: 修正條文 現行條文 說明 第二條 本法之主管機關為數位發展部。 國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。 第二條 本法之主管機關為行政院。 因應數位發展部於111年8月27日成立,掌理國家資通安全業務,下設資通安全署,為使本法規範更符實務運作,特予修正。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。 七、關鍵基礎設施:指能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區等行政院定期檢視並公告之領域中,該領域服務所依賴之實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞者。 八、特定關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部所依賴之資通系統或調度、控制系統,經中央目的事業主管機關指定,送由主管機關報請行政院核定者。 九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項、第四項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。 七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。 八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。 九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。 一、修正第七款,因本修正草案將納管部分非公務機關,加諸其通報等義務並訂有罰則,因此包含哪些相關產業別及相關構成要件或領域,宜於資安法中直接明列。 二、考量工業自動化時代,維運或提供關鍵基礎設施難單僅依賴資通系統,尚應包含支持關鍵基礎設施得以順利營運操作之「調度及控制系統」,該等系統同屬國家關鍵基礎設施之重要元件,爰同步修正第八款內容。 第七條 公務機關及特定非公務機關,應按其業務重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。 公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理技術認知及訓練等面向,辦理資通安全防護措施。 前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之配置與專業條件及其他相關事項之辦法,由主管機關定之。 第七條 主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。 一、修正現行第一項文字,以符實際。 二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項內容。 三、現行第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。 第九條 公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應選認適當之受託者,要求受託者建立有效之資通安全管理機制,並監督該機制之實施。 公務機關或特定非公務機關辦理前項委外業務,應與受託者簽訂書面契約,載明雙方之權利、義務及違約責任。 前項書面契約之格式、內容,中央主管機關應訂定定型化契約範本及其應記載及不得記載事項。 第九條 公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。 一、為強化公務機關或特定非公務機關委外辦理資通安全設施時,應要求其受託對象符合資通安全管理法的規定。 二、增訂各機關為落實委外監督管理,應與受託者簽訂書面契約,並載明雙方之權利義務及違約責任。 第九條之一 公務機關不得下載、安裝或使用危害國家資通安全產品;其自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,亦同。但因業務需求且無其他替代方案者,得經該機關資通安全長核可,函報主管機關核定後,得以專案方式使用,並列冊管理。 公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。 危害國家資通安全產品之產品清單,由主管機關定期公告之。 一、本條新增。 二、本條所稱危害國家資通安全產品宜清楚定義並予公告以供查詢,俾符政府資訊公開原則;而且現代科技日新月異,新興資通訊產品新增快速,授權主管資通安全機關應定期評估並共同分享情資,以利嚴管。 第十一條之一 公務機關之資通安全專職人員須通過適任性安全查核。 前項適任性安全查核程序、內容及其他相關事項由資安署訂之;未通過查核者不得辦理涉及國家機密、軍事機密及國防機密之資通安全業務。 用人機關基於個人資料保護規定,應保密處理,不得移作他用,違反者,視情節予以議處。 一、本條新增。 二、考量公務機關之資通安全專職人員辦理資通安全業務時,可能觸及國家機密、軍事機密及國防機密,有予以查核其適任性之必要,爰增訂本條法律規定。 三、授權資安署訂定資通安全專職人員之適任性安全查核程序、內容及相關事項。 四、受查核者的個人資料,用人機關應注意相關保密措施,於本法第三項特予規定。 第十六條 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定特定關鍵基礎設施提供者,送由主管機關報請行政院核定,並以書面通知受核定者。 特定關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 特定關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應綜合考量所管特定關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模、性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。 特定關鍵基礎設施提供者之資通安全維護計畫實施情形有缺失或待改善者,應向中央目的事業主管機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 第十六條 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、考量資安威脅日漸加劇,資安作業需持續維持,為強化特定關鍵基礎設施提供者資安防護量能並能及時應處,爰立法規定符合特定資通安全責任等級之特定關鍵基礎設施提供者,應設置專人專職辦理資通安全業務,以落實事前、事中及事後各項資安作業,確保其具有安全可靠的資通環境。 二、為利資安署掌握全國資通安全現況,爰增訂第六項。 第十七條 特定關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,設置資通安全人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 第十七條 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、考量資安威脅日漸加劇,為強化特定關鍵基礎設施提供者以外的特定非公務機關資安防護能量並能及時應處,避免其他業務排擠資安業務量能,爰立法增訂特定非公務機關應設置資通安全人員,辦理資通安全業務,以落實事前是中及事後各項資安作業,確保其具有安全可靠的資通環境。 二、資通安全已經成為公、私機關非常重要的課題,而資通安全人才成為各界爭取的對象,為免特定非公務機關於人才競爭屈居弱勢,爰訂定需要設置資通安全人員,但非以專職為必要,更符實際。 第十八條 特定非公務機關為因應資通安全事件,應訂定通報及應變機制。 特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。中央目的事業主管機關應設置通報窗口、線上通報平臺或通報專線。 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交資安署。 前三項通報及應變機制之必要事項、通報內容、報告之提出送交、演練作業及其他應遵行事項之辦法,由主管機關定之。 中央目的事業主管機關或資安署知悉重大資通安全事件時,應提供相關協助;於適當時機並得公告與事件相關之必要內容及因應措施。 第十八條 特定非公務機關為因應資通安全事件,應訂定通報及應變機制。 特定非公務機關於知悉資通安全事件時,應向中央目的事業主管機關通報。 特定非公務機關應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告;如為重大資通安全事件者,並應送交主管機關。 前三項通報及應變機制之必要事項、通報內容、報告之提出及其他應遵行事項之辦法,由主管機關定之。 知悉重大資通安全事件時,主管機關或中央目的事業主管機關於適當時機得公告與事件相關之必要內容及因應措施,並得提供相關協助。 一、鑑於公、私部門(含特定非公務機關)間資通安全事件聯繫之重要性及即時性要求日增,為強化公私協力聯防,中央目的事業主管機關應設置通報窗口線上通報平臺或通報專線,俾利及時應變及合作,爰增訂第二項。 二、為增進特定非公務機關因應資通安全事件之處理能力,於第四項之授權項目增訂演練作業。 三、中央目的事業主管機關知悉該管業務相關之重大安全事件時,有積極提供協助之必要,爰修正"應"提供相關協助。 第十九條 公務機關所屬人員未依本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。 前項懲處事項之辦法,由主管機關定之。 特定非公務機關所屬人員未依本法規定辦理,情節重大者,由特定非公務機關依規定予以懲處。 第十九條 公務機關所屬人員未遵守本法規定者,應按其情節輕重,依相關規定予以懲戒或懲處。 前項懲處事項之辦法,由主管機關定之。 為促進特定非公務機關所屬人員對於資通安全工作之重視與投入,比照公務機關所屬人員規定,針對未依本法規定辦理,情節重大者,增訂第三項,定明由特定非公務機關予以懲處。 委員李昆澤等30人提案: 修正條文 現行條文 說明 第二條 本法之主管機關為數位發展部。 國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。 第二條 本法之主管機關為行政院。 一、配合行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,本法之主管機關,自一百十一年八月二十七日起改由數位發展部管轄,爰修正現行條文。 二、因應數位發展部資通安全署成立,掌理國家資通安全業務,為符權責,爰增訂第二項,並將各該修正條文有關國家資通安全業務之權責,定由資通安全署辦理。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀,或其他情形影響其機密性、完整性或可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全或保護措施失效之狀態發生,影響資通系統機能運作。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指關鍵基礎設施提供者、公營事業或特定財團法人。 七、關鍵基礎設施:指行政院公告之關鍵領域中,該領域服務所依賴之系統或網路之實體或虛擬資產,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。 八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。 九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。 七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。 八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。 九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。 一、修正第三款及第四款文字,以符實際。 二、因農田水利會已改制納入原行政院農業委員會農田水利署,本法納管之公法人目前僅存行政法人,爰修正第五款。 三、配合第九款用詞修正為特定財團法人,修正第六條。 四、依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,第七款及第八款所列事項,自一百十一年八月二十七日起仍由行政院管轄,並配合現行實務作法,爰修正第七款及第八款。 五、配合財團法人法已制定公布施行,爰定明符合財團法人法第二條第二項、第三項或第六十三條第一項規定,且屬該法第二條第八項所定全國性財團法人者,為本法所稱特定財團法人,爰修正第九款。 第五條之一 為落實國家資通安全政策,各政府機關、中央及地方間,應致力配合推動執行國家資通安全措施,共同建構國家資通安全環境。 為辦理國家資通安全政策、應變機制與重大計畫之諮詢審議,協調各政府機關、中央及地方間之資通安全相關事務,行政院應召開國家資通安全會報,其幕僚作業由主管機關辦理。 前項國家資通安全會報決議事項,相關政府部門應予執行,由主管機關定期追蹤管考,並得辦理績效評核。 第二項國家資通安全會報之組成、任務、議事程序及其他相關事項,由行政院定之。 一、本條新增。 二、考量全球資通安全威脅及突發資通安全事件逐年增加,且台灣,各政府機關應建立中央地方聯防體系,以完備國家資通安全,爰規定第一項及第二項,以強化跨機關資通安全事件應處及協調能力。 三、為確保落實國家資通安全會報決議事項,爰規定第三項。 四、第二項國家資通安全會報之組成、任務、議事程序及其他相關事項,於第四項授權由行政院定之。 第七條 公務機關及特定非公務機關,應按其業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。 公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。 前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之資格與配置及其他相關事項之辦法,由主管機關定之。 第七條 主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。 一、現行條文第一項前段規定酌作文字修正,以符實際,並列為修正條文第一項。 二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。 三、現行條文第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正。 四、現行條文第二項及第三項移列於修正條文第七條之一條,爰予刪除。 第七條之一 資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形。 前項稽核後,發現受稽核機關資通安全維護計畫實施情形有缺失或待改善者,改善報告應送交上級機關、上級政府、監督機關或中央目的事業主管機關審查後,並送交資安署。 前項收受改善報告之機關認有必要時,得要求受稽核機關進行說明或調整。 前三項資通安全維護計畫實施情形之稽核頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 第一項稽核由資安署擬訂年度計畫後辦理,年度計畫及年度成果報告應送交國家資通安全會報備查。 一、本條新增。 二、第一項由現行條文第七條第二項前段規定移列,並為協助公務機關檢視自身資通安全維護計畫實施情形,以完備公部門之資安防護,增訂資安署得稽核公務機關。 三、第二項由現行條文第七條第三項規定移列,並配合實務執行需求修正,就現行受稽核機關之改善報告送交及審查流程細緻化規範。 四、為使收受改善報告之機關得對受稽核機關進行監督及指導,爰增訂第三項,俾使其得就缺失或待改善事項妥為處理。 五、第四項由現行條文第七條第二項後段規定移列,並酌作修正。 六、為使第一項稽核辦理有據,並考量事涉公務機關及特定非公務機關,有賴各政府機關間配合推動執行,宜送交資安會報備查,爰增訂第五項。 第十五條 公務機關應符合其資通安全責任等級之要求,設置專職資通安全人員,辦理資通安全業務及應變處理;資通安全業務績效評核優良者,應予獎勵。 資安署應妥善規劃推動專職人員之職能訓練,增進其資通安全專業知能;遇有重大資通安全事件,資安署得逕予調度各級機關資通安全人員支援之。 前二項人員調度支援、績效評核、獎勵及職能訓練相關事項之辦法,由主管機關定之。 第十五條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。 前項獎勵事項之辦法,由主管機關定之。 一、依資通安全責任等級分級辦法附表一、三、五之規定,公務機關應設置一定人數之專職人員辦理資通安全業務。為落實公務機關資安防務措施並強化量能,爰將其意旨修正納入第一項。 二、考量資通安全人員之專業知能,與公務機關資通安全防護能量有密切關係,為強化並提升公務機關專職人員之職能,爰增訂第二項,並明定重大資安事件,資安署得調度人員支援之規定,可同時加強訓練人員之應處能力。 三、現行條文第二項配合修正條文第一項及第二項,新增授權項目,並移列為第三項。 第十六條 中央目的事業主管機關應徵詢相關公務機關、民間團體、專家學者意見後,擬訂關鍵基礎設施提供者之指定清單,報請行政院核定,以書面通知之;其指定基準、廢止條件及程序,由中央目的事業主管機關公告之。 第十六條 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、現行條文第一項移列本條前段,並依行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,所列事項自一百十一年八月二十七日起仍由行政院管轄,爰予修正。 二、另考量關鍵基礎設施提供者之指定基準及程序,影響人民權益重大,有法律保留原則之適用,爰於本條後段增訂關鍵基礎設施提供者之指定基準、廢止條件及程序,授權由中央目的事業主管機關公告之。 三、現行條文第二項至第六項規定分別移列修正條文第十六條之一及第十七條之一,爰予刪除。 第十六條之一 關鍵基礎設施提供者應置資通安全長,由其代表人、管理人、其他有代表權人或其指派之適當人員擔任,負責推動及監督機關內資通安全相關事務。 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應綜合考量所管關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模及性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應向中央目的事業主管機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 一、本條新增。 二、關鍵基礎設施提供者之資安防護攸關國安以及大眾之權益,因此第一項條文,明文要求關鍵基礎設施提供者應設置資安長。 三、修正條文第二項由現行條文第十六條第二項規定移列。符合特定資通安全責任等級之機關,應設置專人專職辦理資通安全業務之要求,宜由現行法規命令提昇至法律位階,爰予修正。 四、修正條文第三項由現行條文第十六條第三項規定移列,內容未修正。 五、修正條文第四項由現行條文第十六條第四項規定移列。另考量行政資源有效利用,擇定適當之關鍵基礎設施提供者,稽核其資通安全維護計畫實施情形,爰於第三項增訂中央目的事業主管機關定期辦理稽核時應審酌之因素。 六、修正條文第五項由現行條文第十六條第五項規定移列,並酌作文字修正。 七、為利資安署掌握全國資通安全現況,爰增訂第六項。 第十七條 關鍵基礎設施提供者以外之特定非公務機關應置資通安全長,由其代表人、管理人、其他有代表權人或其指派之適當人員擔任,負責推動及監督機關內資通安全相關事務。 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 第十七條 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、鑒於我國身處資安威脅密集地區,且關鍵基礎設施提供者以外之特定非公務機關之資安防護,亦攸關大眾之權益,爰明定關鍵基礎設施提供者以外之特定非公務機關應設置資安長。 二、修正條文第一項由現行條文第十七條第一項規定移列。符合特定資通安全責任等級之機關,應設置專人專職辦理資通安全業務之要求,宜由現行法規命令提昇至法律位階,爰予修正。 三、為利資安署掌握全國資通安全現況,爰增訂第五項。 第十七條之一 第十六條之一及前條之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、擇定基準、程序與方法、結果之交付、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由管機關核定。 一、本條新增。 二、本條由現行條文第十六條第六項及第十七條第四項合併修正移列,並配合第十六條及第十七條之修正,增訂授權項目。 第二十條 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 一、未依第十六條之一第一項、第二項或第十七條第一項、第二項規定,訂定、修正或實施資通安全維護計畫,或違反第十七條之一所定辦法中有關資通安全維護計畫必要事項之規定。 二、未依第十六條之一第三項或第十七條第三項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十七條之一所定辦法中有關資通安全維護計畫實施情形提出之規定。 三、未依第七條之一第二項、第十六條之一第五項或第十七條第四項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十七條之一所定辦法中有關改善報告提出之規定。 四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。 五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。 六、違反第十八條第四項所定辦法中有關通報內容之規定。 第二十條 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。 二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。 三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。 四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。 五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。 六、違反第十八條第四項所定辦法中有關通報內容之規定。 配合相關現行條文條次變更或內容修正,爰修正所引條次及內容。 委員黃秀芳等21人提案: 修正條文 現行條文 說明 第二條 本法之主管機關為數位發展部。 國家資通安全業務,由數位發展部資通安全署(以下簡稱資安署)辦理。 第二條 本法之主管機關為行政院。 一、行政院一百十一年八月二十四日院臺規字第一一一○一八四三○七號公告,本法之主管機關,自一百十一年八月二十七日起改由數位發展部管轄,爰修正現行條文。 二、增訂第二項,並將各該修正條文有關國家資通安全業務之權責,定由資通安全署辦理。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀,或其他情形影響其機密性、完整性或可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全或保護措施失效之狀態發生,影響資通系統機能運作。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指關鍵基礎設施提供者、公營事業或特定財團法人。 七、關鍵基礎設施:指行政院公告之關鍵領域中,該領域服務所依賴之系統或網路之實體或虛擬資產,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。 八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。 九、特定財團法人:指符合財團法人法第二條第二項、第三項或第六十三條第一項規定之財團法人,並屬該法第二條第八項所定全國性財團法人者。 第三條 本法用詞,定義如下: 一、資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 二、資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。 三、資通安全:指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。 四、資通安全事件:指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。 五、公務機關:指依法行使公權力之中央、地方機關(構)或公法人。但不包括軍事機關及情報機關。 六、特定非公務機關:指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。 七、關鍵基礎設施:指實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域。 八、關鍵基礎設施提供者:指維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者。 九、政府捐助之財團法人:指其營運及資金運用計畫應依預算法第四十一條第三項規定送立法院,及其年度預算書應依同條第四項規定送立法院審議之財團法人。 一、修正第三款及第四款文字,以符實際。 二、第九款用詞修正為特定財團法人。 三、配合現行實務作法,爰修正第七款及第八款。 第五條之一 為落實國家資通安全政策,各政府機關、中央及地方間,應致力配合推動執行國家資通安全措施,共同建構國家資通安全環境。 為辦理國家資通安全政策、應變機制與重大計畫之諮詢審議,協調各政府機關、中央及地方間之資通安全相關事務,行政院應召開國家資通安全會報,其幕僚作業由主管機關辦理。 前項國家資通安全會報決議事項,相關政府部門應予執行,由主管機關定期追蹤管考,並得辦理績效評核。 第二項國家資通安全會報之組成、任務、議事程序及其他相關事項,由行政院定之。 本條新增。 第七條 公務機關及特定非公務機關,應按其業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。 公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。 前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之資格與配置及其他相關事項之辦法,由主管機關定之。 第七條 主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。 一、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。 二、第二項及第三項移列於修正條文第七條之一條,爰予刪除。 第七條之一 資安署得定期或不定期稽核公務機關及特定非公務機關之資通安全維護計畫實施情形。 前項稽核後,發現受稽核機關資通安全維護計畫實施情形有缺失或待改善者,改善報告應送交上級機關、上級政府、監督機關或中央目的事業主管機關審查後,並送交資安署。 前項收受改善報告之機關認有必要時,得要求受稽核機關進行說明或調整。 前三項資通安全維護計畫實施情形之稽核頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 第一項稽核由資安署擬訂年度計畫後辦理,年度計畫及年度成果報告應送交國家資通安全會報備查。 本條新增。 第十五條 公務機關應符合其資通安全責任等級之要求,設置專職資通安全人員,辦理資通安全業務及應變處理;資通安全業務績效評核優良者,應予獎勵。 資安署應妥善規劃推動專職人員之職能訓練,增進其資通安全專業知能;遇有重大資通安全事件,資安署得逕予調度各級機關資通安全人員支援之。 前二項人員調度支援、績效評核、獎勵及職能訓練相關事項之辦法,由主管機關定之。 第十五條 公務機關所屬人員對於機關之資通安全維護績效優良者,應予獎勵。 前項獎勵事項之辦法,由主管機關定之。 一、為落實公務機關資安防務措施並強化量能,爰將其意旨修正納入第一項。 二、增訂第二項,並明定重大資安事件,資安署得調度人員支援之規定,可同時加強訓練人員之應處能力。 三、現行條文第二項配合修正條文第一項及第二項,新增授權項目,並移列為第三項。 第十六條 中央目的事業主管機關應徵詢相關公務機關、民間團體、專家學者意見後,擬訂關鍵基礎設施提供者之指定清單,報請行政院核定,以書面通知之;其指定基準、廢止條件及程序,由中央目的事業主管機關公告之。 第十六條 中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定關鍵基礎設施提供者,報請主管機關核定,並以書面通知受核定者。 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應稽核所管關鍵基礎設施提供者之資通安全維護計畫實施情形。 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應提出改善報告,送交中央目的事業主管機關。 第二項至第五項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 考量關鍵基礎設施提供者之指定基準及程序,影響人民權益重大,有法律保留原則之適用,爰於本條後段增訂關鍵基礎設施提供者之指定基準、廢止條件及程序,授權由中央目的事業主管機關公告之。 第十六條之一 關鍵基礎設施提供者應置資通安全長,由其代表人、管理人、其他有代表權人或其指派之適當人員擔任,負責推動及監督機關內資通安全相關事務。 關鍵基礎設施提供者應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 關鍵基礎設施提供者應向中央目的事業主管機關提出資通安全維護計畫實施情形。 中央目的事業主管機關應綜合考量所管關鍵基礎設施提供者業務之重要性與機敏性、資通系統之規模及性質、資通安全事件發生之頻率、程度及其他與資通安全相關之因素,定期稽核其資通安全維護計畫之實施情形。 關鍵基礎設施提供者之資通安全維護計畫實施有缺失或待改善者,應向中央目的事業主管機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 一、本條新增。 二、明文要求關鍵基礎設施提供者應設置資安長。 三、修正條文第二項由現行條文第十六條第二項規定移列。 四、修正條文第三項由現行條文第十六條第三項規定移列。 五、考量行政資源有效利用,擇定適當之關鍵基礎設施提供者,稽核其資通安全維護計畫實施情形,爰於第三項增訂中央目的事業主管機關定期辦理稽核時應審酌之因素。 六、第五項酌作文字修正。 七、為利資安署掌握全國資通安全現況,爰增訂第六項。 第十七條 關鍵基礎設施提供者以外之特定非公務機關應置資通安全長,由其代表人、管理人、其他有代表權人或其指派之適當人員擔任,負責推動及監督機關內資通安全相關事務。 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,設置資通安全專職人員,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 中央目的事業主管機關應依資安署指定之方式將稽核結果及改善報告送交資安署。 第十七條 關鍵基礎設施提供者以外之特定非公務機關,應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫。 中央目的事業主管機關得要求所管前項特定非公務機關,提出資通安全維護計畫實施情形。 中央目的事業主管機關得稽核所管第一項特定非公務機關之資通安全維護計畫實施情形,發現有缺失或待改善者,應限期要求受稽核之特定非公務機關提出改善報告。 前三項之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、內容與方法、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報請主管機關核定之。 一、明定關鍵基礎設施提供者以外之特定非公務機關應設置資安長。 二、為利資安署掌握全國資通安全現況,爰增訂第五項。 第十七條之一 第十六條之一及前條之資通安全維護計畫必要事項、實施情形之提出、稽核之頻率、擇定基準、程序與方法、結果之交付、改善報告之提出及其他應遵行事項之辦法,由中央目的事業主管機關擬訂,報由主管機關核定。 一、本條新增。 二、增訂授權項目。 第二十條 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 一、未依第十六條之一第一項、第二項或第十七條第一項、第二項規定,訂定、修正或實施資通安全維護計畫,或違反第十七條之一所定辦法中有關資通安全維護計畫必要事項之規定。 二、未依第十六條之一第三項或第十七條第三項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十七條之一所定辦法中有關資通安全維護計畫實施情形提出之規定。 三、未依第七條第三項、第十六條之一第五項或第十七條第四項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十七條之一所定辦法中有關改善報告提出之規定。 四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。 五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。 六、違反第十八條第四項所定辦法中有關通報內容之規定。 第二十條 特定非公務機關有下列情形之一者,由中央目的事業主管機關令限期改正;屆期未改正者,按次處新臺幣十萬元以上一百萬元以下罰鍰: 一、未依第十六條第二項或第十七條第一項規定,訂定、修正或實施資通安全維護計畫,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫必要事項之規定。 二、未依第十六條第三項或第十七條第二項規定,向中央目的事業主管機關提出資通安全維護計畫之實施情形,或違反第十六條第六項或第十七條第四項所定辦法中有關資通安全維護計畫實施情形提出之規定。 三、未依第七條第三項、第十六條第五項或第十七條第三項規定,提出改善報告送交主管機關、中央目的事業主管機關,或違反第十六條第六項或第十七條第四項所定辦法中有關改善報告提出之規定。 四、未依第十八條第一項規定,訂定資通安全事件之通報及應變機制,或違反第十八條第四項所定辦法中有關通報及應變機制必要事項之規定。 五、未依第十八條第三項規定,向中央目的事業主管機關或主管機關提出資通安全事件之調查、處理及改善報告,或違反第十八條第四項所定辦法中有關報告提出之規定。 六、違反第十八條第四項所定辦法中有關通報內容之規定。 配合現行條文條次變更及內容修正,酌修文字。 委員郭昱晴等19人提案: 修正條文 現行條文 說明 第六條 主管機關得委託其他公務機關辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。 數位發展部資通安全署得委託其他公務機關辦理國家資通安全防護、演練、稽核及其他資通安全相關事務。 前二項受委託之公務機關,不得洩露辦理相關事務過程中所知悉之秘密。 特定非公務機關之業務涉及數個中央目的事業主管機關之權責,主管機關應協調與業務關聯性最高之中央目的事業主管機關,辦理本法所定中央目的事業主管機關應辦理之事項。 第六條 主管機關得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。 前項被委託之公務機關、法人或團體或被複委託者,不得洩露在執行或辦理相關事務過程中所獲悉關鍵基礎設施提供者之秘密。 一、本條係規範主管機關及資安署委託其他公務機關辦理資通安全相關事務之權限,並明確受委託機關之保密義務及跨機關協調機制。 二、考量實務運作需求,第一項規定主管機關得委託其他公務機關辦理資通安全整體防護、國際交流合作及其他資通安全事務,維持現行未委任所屬機關或委託法人團體之做法。 三、配合第二條第二項關於資安署職掌之規定,第二項增訂資安署得委託其他公務機關辦理國家資通安全防護、演練、稽核等事務,提供明確法源依據。 四、為確保資通安全事務之保密性,第三項規定受委託公務機關不得洩露辦理過程中知悉之秘密,擴大保密範圍至所有相關秘密,而非僅限關鍵基礎設施提供者之秘密,並排除複委託情事。 五、特定非公務機關之業務可能涉及數個中央目的事業主管機關之權責,為避免權責不清,第四項增訂主管機關應協調與業務關聯性最高之機關辦理本法相關事項,將施行細則第十二條提升至本法,並酌修文字,強化協調機制之法律位階。 第七條 公務機關及特定非公務機關,應按其業務重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,報由資安署核定或備查其資通安全責任等級。 公務機關及特定非公務機關應符合資通安全責任等級之要求,並自管理、技術、認知及訓練等面向,辦理資通安全防護措施。 前二項資通安全責任等級之區分基準、核定或備查程序、變更申請、資通安全防護措施辦理項目、內容、專職人員之配置與專業條件及其他相關事項之辦法,由主管機關定之。 主管機關得視公務機關或特定非公務機關之規模、資安資源、業務屬性及其他情形,設置輔導機制,以協助其逐步符合相關等級要求。 第七條 主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。 主管機關得稽核特定非公務機關之資通安全維護計畫實施情形;其稽核之頻率、內容與方法及其他相關事項之辦法,由主管機關定之。 特定非公務機關受前項之稽核,經發現其資通安全維護計畫實施有缺失或待改善者,應向主管機關提出改善報告,並送中央目的事業主管機關。 一、現行第一項前段規定酌作文字修正,以符實際,並列為修正條文第一項。 二、公務機關及特定非公務機關辦理資通安全防護措施應符合資通安全責任等級之要求,爰增訂第二項。 三、現行第一項後段規定移列為修正條文第三項,並就其授權範圍及內容酌作修正,以資明確。 四、現行第二項及第三項移列修正條文第八條規定,爰予刪除。 五、因應機關規模、資源與業務屬性的差異,提供調整時間與客製化技術支持,降低系統轉型成本與風險。為提升合規意願與可行性,確保政策在嚴格要求與實際執行間取得平衡,有效推動資安目標達成。 第十條之一 公務機關不得下載、安裝或使用危害國家資通安全產品;其自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務,亦同。但因業務需求且無其他替代方案者,經該機關資通安全長及依第十四條規定收受其實施情形之機關資通安全長核可,函報主管機關核定後,得以專案方式使用,並列冊管理。 主管機關應建立危害國家資通安全產品專案核可案件之資訊查詢與管理平台,彙整各機關專案使用之產品類別、核可條件及使用機關等資訊,供主管機關掌握與追蹤管理。 公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。 前二項有關危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項之辦法,由主管機關會商有關機關擬訂,報請行政院核定之。 一、本條新增。 二、為維護國家資通安全,禁止公務機關下載、安裝或使用危害國家資通安全產品,並規範其自行或委外營運場所之傳播設備及網際網路接取服務,以確保資訊流通安全。 三、「危害國家資通安全產品」包含受《反滲透法》滲透來源控制之產品或其他具資安風險產品。第三項授權主管機關會商相關機關訂定審查程序、風險評估、情資分享等辦法,由產業主管、國安、經貿等機關共同審查,確保授權明確與審查專業。。 四、但書允許因業務需求且無替代方案時,經雙重資通安全長核可及主管機關核定,以專案方式使用並列冊管理。第二項要求主管機關建立資訊查詢與管理平台,追蹤專案使用情形,確保透明與可控。 主席:現在宣讀完畢,進行修正草案的協商,除各版本及修正動議,數位發展部也有送條文修正的建議,請大家一併參考。 現在休息5分鐘,請通知委員。 休息(9時35分) 繼續開會(9時45分) 主席:現在繼續開會。 我們現在開始處理條文部分,就依章條順序。 第一章總則,大家有沒有什麼意見?名稱,沒有喔!這個都一樣,就通過啦,照行政院提案通過,就章名而已,章名都一樣。 再來第一條,大致上大概也都差不多,好,請羅美玲委員。 羅委員美玲:謝謝主席。第一條是立法目的,我的部分跟院版有一點點不太一樣,因為我把「促進產業發展及提升全民資安意識」有拉進來,因為我覺得這也是立法目的,資安署有來做溝通說其實這是放在第四條,在第四條第一款就已經有提到了,這也是立法目的,為什麼沒有在這邊把它拉進來?這個部分看看資安署有沒有怎樣的說法?以上。 主席:資安署。葛如鈞委員剛才有舉手? 葛委員如鈞:沒有…… 主席:沒有意見,好,謝謝。 蔡署長福隆:謝謝羅委員非常寶貴的意見,因為第一條主要是立法的目的,立法目的一般來講應該是比較大的方向,因為在第四條裡面,其實已經有相關的促進產業發展,跟提升全民資安意識都比較是在執行面,就是我們要去推動的事情,在第四條裡面已經有說明我們要去推動相關這些資通安全的事項,所以我們還是建議,在這個地方還是保留原來的條文,就是「保障國家安全,維護社會公共利益」,我想這樣維持院版的條文,整個立法的目的是可以比較大、比較宏觀的角度,以上,謝謝。 主席:OK,好,第一條,大家有沒有什麼意見?沒有意見,我們就照行政院提案通過。 現在第二條,大家有沒有什麼意見?請葛如鈞委員。 葛委員如鈞:謝謝召委,也謝謝我們今天有資安法的排審,本條是關於本法的主管機關,本席的版本當時是參考全民健保法的第四條「主管機關為衛生福利部」這樣一個寫法,而不另寫全民健保相關業務由健保署辦理,本席的版本主要是考量資通安全的業務涉及的範圍其實很寬廣,橫跨數發部的本部,以及下轄的兩個署。以資通安全產業來說,主要是由數發部底下的數位產業署主管,但是整部資通安全管理法與資通安全的產業可以說是密不可分,另外特別在法條裡面去敘明資安署辦理國家資通安全業務,是有點擔心日後恐怕會在分工上面出現問題,另外一方面,本次資通安全管理法修法以後,其實某種程度是賦予主管機關更大的權力,也擴大辦理業務的範圍。在本條以及後續相關的條文裡面直接敘明由一個編制117人的三級機關來辦理全國性的資安業務,恐怕會有層級不夠高、量能不足的問題,因此希望第二條能夠採取本席的版本,由數發部來擔任主管機關,後續的條文也不要直接寫由資安署辦理,所有的業務再由數發部進行內部的分工才比較合適,否則的話,資安署在這一部法通過以後,很可能這117個人會握有一個全國性檢查或者是相關的行政權力,尤其又把整部法變成是資安署,以後相關的事務就變成是資安署來做,數發部會不會有不知情、無法調度等等困難或問題?變成資安署看起來很像資安部,如果真的有這個需求,也可以來討論資安署是不是要變資安部,如果沒有這樣子的討論,我們還是希望這一條是不是能夠照本席的版本?用數發部這樣的作法就好,不必另外列明、敘明是資安署,謝謝。 主席:有沒有其他委員有意見?我們先請數發部說明。 蔡署長福隆:謝謝各位委員的意見。整個資通安全政策的推動其實是有層級的,包括行政院負責相關的政策制定,數發部負責相關的政策規劃,資通安全署負責政策的執行,整個是有階層性的架構在推動資安的相關工作。這邊提到主管機關是數位發展部,這是絕對沒有問題的,之所以要條列資通安全署來負責相關資通安全的業務,主要是有一些相關執行層面的業務,我們希望可以更快速就由資安署這邊來做相關的處理,像是通報及一些應變的處置,我們覺得如果這個東西先報到數發部,再回到署裡面來執行,那個程序對於效率可能比較會有影響,所以我們在這邊就直接寫由資安署來執行。另外,我們有參考其他部會的法律訂定,包括鐵路法裡面也有相關的規定,例如鐵道局負責鐵路相關監理工作,專利法裡面也有規定由經濟部指定相關機關來執行相關的工作,其實相關部會的訂法也有整個行政效率等等相關的考量,因此由相關的署或局來執行相關的工作。在此跟各位委員做以上說明,謝謝。 主席:葛委員OK嗎? 葛委員如鈞:謝謝。我想這還是沒有回應到我主要的顧慮,其實我也希望數發部有比較通暢的能力來做資安相關的管理,我們的版本其實也有參考全民健保法第四條,也就是只寫「衛福部」,不另寫「健保署」。另外,如果數發部覺得還是要界定清楚、要有一些文字的話,我提議有關資安署的部分,就是後面「國家資通安全業務,由數位發展部資通安全署辦理」的這一段移到說明欄位就好,我想這樣子在法條裡面也可以清楚看得到,而且也不會變成整部法在審查、檢核等等所有的執行都只是由資安署來做,造成資安署可能會有負擔過度責任跟權力的疑慮,謝謝。 主席:請次長說明。 葉次長寧:跟葛委員報告,第一項我們沒有動,就是「本法之主管機關為數位發展部」,所以數位發展部負責全國的資安業務,這是責無旁貸,不會發生資安署自己…… 葛委員如鈞:對,這部分我們兩個版本都一樣、都有共識。 葉次長寧:我們後面之所以要訂,其實就是跟葛委員剛剛提到的一樣,也就是中間有很多條文是執行事項,葛委員的顧慮很正確,資安署在層級上的確是三級機關,因此在執行的時候,它要有法律明確的規定,如果訂在說明欄,其實反而會造成分工不清楚,比如我們有一些稽核報告是要交給資安署的,如果沒有訂在那邊,其實對其他各機關也會造成很大的困擾,就是到底要交給數位發展部還是要交給資安署,所以我們建議第二項還是訂為「資安署」,然後後面的條文明確規定資安署的權責,這樣對各機關也方便,對我們執行也方便,但是不會影響第一項,就是第一項規定數位發展部要負責全國的資安業務統籌來辦理,這是責無旁貸的。 主席:其他委員有沒有什麼意見? 請林國成委員。 林委員國成:我的建議是這樣,如果委員有不同意見的時候,我希望數位部黃部長能跟有關單位簡略說明,其實目標都一致,只是到底兩個署要放在說明欄或者放在這裡?我認為這是非常小的事,為了順利讓這個法該過的過、該保留的保留,所以不希望在這裡打轉。葛委員已經提出他的看法,看大家做得到做不到,如果做不到,我建議有歧見的話就儘量保留,再來做協商說明,這樣會比較好一點,我們才有辦法順利審查,好不好? 主席:請葛委員。 葛委員如鈞:謝謝林國成委員。因為我們才在第二條,我大概理解數發部的想法,我有一個提議,因為後面有幾條其實都有提到列明資安署這件事,所以第二條的這個議題是不是稍微排後面一點,我們待會兒碰到的時候再回來討論,這樣也算在保留跟通過中間,這樣好不好?我們先往後一點討論好不好?我想請教召委是不是有機會可以這樣處理?我們就先往第三條處理,這一條就暫時保留,後面有幾個條文還會遇到,也許我們待會兒還可以再回來討論第二條,好不好? 主席:因為後面有很多就是直接寫「資安署」。 葛委員如鈞:對,那我們遇到的時候再回來講。 主席:所以就是暫時保留,然後後面遇到我們再回來討論。 葛委員如鈞:後面遇到的條文我們再回來講,這樣好不好?謝謝。 主席:數發部如果沒有意見,那就OK。 現在處理第三條,請葛如鈞委員。 葛委員如鈞:謝謝召委。我們也謝謝數發部以及相關單位在這一條上面可以說是用心努力,本條有關本法的用詞定義,本席的版本在第一項第八款及第九款與院版有所不同。針對第八款,行政院版本目前採用的是「特定關鍵基礎設施」,其實我們有聽到一些說法說這樣子的定義是行政院國土安全辦公室堅持的,當然我們理解資安即國安,但因為這個範圍和範疇會影響到非常多的機關跟設施,單從字面上來看,如果只講特定關鍵基礎設施的話,其實沒有辦法從字面上立刻理解是指關鍵基礎設施當中的資通系統,因為這一部法叫做「資通安全管理法」,而不是叫做「關鍵基礎設施管理辦法」,考慮未來在其他法條當中可能會涉及關鍵基礎設施的其他系統,比如電力系統還有水力系統,這些都是關鍵基礎設施當中的特定關鍵基礎設施,未來要如何與現在所指的關鍵基礎設施中的資通系統做區別,這個未來可能會產生一些疑義。比如我們現在要管理的是臺大哲學系,那我們就講清楚是哲學系,而不是管理臺大,否則未來可能還有其他要管動物系的、還要管戲劇系的,其實大家在用語上面可能會有彼此衝突的問題,所以本席認為本法第三條第一項第八款的用詞定義,因為這一部法叫做「資通安全管理法」,所以應該要敘明關鍵資通基礎設施的提供者,更加符合本款以及本法的意旨。 另外,第九款的「特定財團法人」是修正現行條文當中政府捐助之財團法人,本席對於政院版新增了財團法人法第二條第三項,中華民國34年8月15日以後,我國政府接收日本政府或人民所遺留之財產,並以該等財產捐助或成立之財團法人,推定為政府捐助之財團法人,以及第六十三條第四項推定為政府直接或間接控制該財團法人之人事、財務或業務的民間捐助財團法人納入本法適用範圍存有高度疑慮。這部分我們做了非常多的努力跟研究,首先我必須說明要擴大資通安全管理法的適用範圍,必須先了解修法後,到底哪些財團法人會被擴大適用於本法,因為本法有檢查、有調查、有需要配合去做說明等等。截至目前為止,本席曾四次要求資安署提供接收日本政府或人民所遺留財產捐助成立之財團法人的清單到底有哪些,但是直到今天我們已經逐條了,資安署到目前為止還是沒有辦法提供。針對本項有一個說法是直屬於總統府的國安會直接下令要求新增,到底有沒有這樣的事情?今天國土安全辦公室好像也有來,數發部至今好像也搞不太清楚狀況,如果主管機關數發部本身都沒有辦法掌握本法擴大的適用範圍,提出這樣的修法等於是要我們立法委員給予一張空白授權,等同於想要向立法院要一個特權,讓行政權無限擴張、讓政府的手可以伸進每一個想要監管的財團法人,這一點我們是真的存在高度的疑慮。 其次,依據數發部的說明,也跟各位說不好意思,這一條我的說明會稍微長一點,因為它非常細節,魔鬼藏在細節裡!依據數發部說明,增加財團法人法第二條第三項主要是……這是數發部給我們的說明,數發部說,主要是想要納入財團法人台灣電信協會和財團法人台灣郵政協會,這個就是所謂接收日本政府或人民所遺留財產等等,我們剛剛有講財團法人法第二條第三項。但是數發部提供給我們的資料是我手上這一份,自己打臉自己啦!在現行條文之下,台灣電信協會和台灣郵政協會已經受到資安法的監管,也就是已經在裡面了,根本沒有必要去修法擴大,所以我們看到這個所謂要納入第二條第三項,完全是沒有必要新增進來的。如果不是只有這兩個,那到底還有其他哪些所謂的日本政府或人民所遺留財產或以該等財產捐助或成立之法人,有哪些?目前為止,除了這兩個電信協會、郵政協會以外完全沒有提出,這就是空白授權嘛!你以後又再發現誰跟日據時代財產有關,就要被迫一體適用本法的資安規定,有可能被受檢查、被受調查,這難道是我們的數發部想要的嗎?我相信也不是!所以這個部分站在我們的立場,我們是有高度疑慮的。 同時針對資通安全管理的修法,我們剛剛也提到想要納入第六十三條第一項,這一點也要請各位委員,不管是哪一個黨派的委員,我們都希望注意。這一點我唸清楚,數發部院版要納入的是財團法人法第六十三條第一項,這個第一項是什麼呢?是民間捐助之財團法人符合下列情形,有加強監督之必要,經主管機關指定者;以及第六十三條第四項,推定為政府直接或間接控制該財團法人之人事、財務或業務的民間捐助財團法人。 本席辦公室也對此數次向資安署進行了解,因為外界可能會有疑慮,你這個是不是帝王條款、數位中介法的精神要藉著資通安全法來借屍還魂呢?我們去問資安署,資安署說有發函向各個機關進行調查,但只有金管會回復有6個需要加強監督的單位,我手上也有,這我就不一一唸了,包含金融聯合徵信中心等;換句話說,其餘有13部8會都認為沒有必要擴大資通安全管理法適用對象。如果只有這6個,那你就多增加這6個就好,你為什麼要突然寫一個這麼大的範圍,第六十三條第一項跟第六十三條第四項呢?無異是把範圍擴大,如果你只打這6個,那你就是大砲打小鳥,因為你把那麼大的一個項目放進來,只打這6個沒有意義。 但我們或外界就會合理的懷疑,是不是想要合法的把手伸到這些未來可能被列入的財團法人裡面?要用資安事件的名義對這些未來被列入的,就是我們剛剛講的,只要有加強監督的必要,經主管機關指定的財團法人都可以!變成用資安事件的名義對這些財團法人,甚至它們往來的所有私人企業及民眾進行行政調查。那我手上有一份是在這個範圍裡面的,這裡面有一大堆的基金會、有一大堆的財團法人,甚至像交通部底下還有中華航空事業發展基金會,這是華航的,那你是不是有可能未來……我這一份裡面這麼厚!這些只要你隨時把它指定進來,你們通通可以去進行調查,只要說有資安事件,這難道是你們想要的嗎?這可能就會假資安之名,行侵害企業營業秘密、侵害民眾隱私之實! 不好意思,我這一段發言比較長,因為魔鬼藏在細節裡,目前只多了幾個,好像就是我們多納一點財團法人,也沒有很多,就兩個──郵政、電信,還有金管會報來的這6個。我再講一次,電信、郵政本來就已經被你們納管了,既然有金管會的這6個,那你就6個直接把它納進去,你不要包山包海去包了一個財團法人法裡面有可能被擴大成這麼厚名單的東西,我是建議真的不要,不應該去任意擴大!所以本席向數發部數次索資、溝通,認為本法第三條第一項第九款應該維持現行條文,不應該任意擴大本法的適用範圍,本席對此也有提出修正動議,也希望所有的委員一起來支持,我想不同黨派的應該也都不會希望發生這樣的事情,所以這一點……不好意思,召委,稍微借用一點時間來進行比較完整的說明,謝謝。 主席:謝謝。 剛才第三條有葛如鈞等的修正動議,還有洪孟楷等的修正動議,我們先請議事人員宣讀完,再請我們委員繼續發言。 一、 [image: image1.jpg] 二、 [image: image2.jpg] [image: image3.jpg] 主席:現在我們請林國成委員發言。 林委員國成:葛如鈞委員跟洪孟楷委員有提修正案,因為本黨團也有民眾黨的黨版,我要建議數位部的是,整個大方向應該都是一致的,只是本黨針對第三條第一項第六款不足的部分,我們的版本有增列幾個字,也就是「受政府控制之事業、團體或機構」,這個部分我們要把它加下去,所以這個就提供給數位部看看要如何加入。 另外一個,行政院版本大致上方向都有,但是有不夠周全的地方,也就是我們想增列第十款的部分,因為原本只有到第九款,所以民眾黨版本裡面訂得很清楚,也就是「十、受政府控制之事業、團體或機構:指銓敘部公告之政府暨其所屬營業基金、非營業基金轉投資金額累計占該事業資本額百分之二十以上之轉投資或再轉投資事業、受政府直接或間接控制其人事、財務或業務之轉投資或再轉投資事業、團體或機構。」,這部分我們把它定得非常明確。不要說這個法通過,但是你的對象不明確,所以我們的版本是有增列第十項,主要我舉例,大家可能會比較……就像中華電信,還有百分之二十投資的這些,都要納入本法裡面這些所有的規範,關於這個部分,我們民眾黨的版本建議增列。 另外一個也是院版裡面沒有增列的,我們還是想增列第三條第一項第十一款,這個我們版本裡面也定的很清楚,也就是危害國家資通安全的產品,是產品,也就是大家不是……我們本會的委員,包括黃國昌委員都一直在指責,危害國家資通安全產品是指對國家的資安具有直接或間接造成危害風險,影響政府運作或社會安定,並經主管機關定期公告之資通系統及資通服務的產品,也要把它納進去。 如果這個法要定,方向大家都有了,但是細節把它增下去,這個是在第三條第一項第六款的部分,還有增列第十款跟第十一款的部分,這是台灣民眾黨所提出來,在未完全周全的情況之下,我們認為把它定下去會更完善,目標一樣,但是這裡面的執行細節要明確化在我們的法條裡面,這樣的話,數位部也有比較明確的執行對象,這樣以後不會有爭議,所以敬請數位部採用台灣民眾黨的版本,以上跟各位說明跟報告。 主席:其他委員還有沒有什麼意見?來,洪孟楷委員。 洪委員孟楷:好,謝謝主席。關於資通安全管理法,大家不分朝野都認為資通安全有加強的必要,也因此大家各自有版本出來,我想這對於中華民國來講,就是我們要捍衛我們的資通安全,這是大家共同的主張跟立場,合先敘明。 但是第三條的部分為什麼那麼重要?因為它等於是管理的範圍跟管理的對象,我覺得這有必要再請數發部說明清楚,因為就現在我們所看到的,本席這邊有提到一個修正動議,主要是針對第七款,就是關鍵資通基礎設施,我覺得應該要寫得更加明確,因為能源、水資源、通訊傳輸、交通、金融、緊急救援、醫療、政府機關、科學園區、工業園區這一些,我想都是應該要受資通安全保障的,也是公權力應該要介入的,所以把這一些明確的寫出來,那其餘的部分還有什麼是數發部認為沒有含括到的,我覺得數發部等一下也可以告訴我們,因為你們所寫的是行政院定期檢視並公告的領域,該領域服務所依賴等等的部分,這樣子會變成是一個空白授權的概念,未來行政院如果檢視並公告有增加的話,它可能不限這一些基礎設施,它可能也就會含括在這裡面。現在數發部你們的條文裡面,不管是說明欄也好,不管是相關的條文裡面,外界以及國人可能會擔心的是,未來有可能包山包海,甚至侵犯到民間,所以這個部分麻煩請數發部等一下說明清楚。 另外是第九款,也就是所謂的特定財團法人,我也認同財團法人如果是政府出資,或是有相關比較重要的財團法人,當然應該要受資通安全的保障,這一點毋庸置疑,但是你們今天所寫的,其實最主要是第六十三條第一項跟第四項的財團法人法裡面,它是有民間捐贈的,即便是有多少比例有公股的、官方的比例,但是會不會有侵害到民間的一個狀況?所以不管是我的版本或是葛如鈞委員或是我們其他委員的版本,都是有針對第九款政府捐贈的財團法人,我們把它更明確化,我們這樣子的寫法跟數發部你們當初想像的財團法人的部分有哪裡不同?等一下請告訴我們,我們這樣寫法是不是也含括在數發部……我相信數發部一開始提出來,也是認為政府捐贈的財團法人,對於特定的財團法人、重要財團法人,我們要有資通安全的保障、管理、維護,這個我認同,現在大家看一下,如果我們所提出來的,定期送立法院審議的財團法人,其實也含括數發部你們當初預想的財團法人的話,那是不是能夠用我們現在所提出來的條文,以避免外界有造成誤會的地方?那如果沒有的話,請明確告訴我們,你們的條文跟我們現在提出的條文裡面,有哪些財團法人是你們想要管理的?這樣子也讓外界知道到底數發部還想要管理哪些財團法人?會不會造成民間的侵權?我想這個部分是今天一定要說明清楚的,以上,謝謝。 主席:好,我們請林俊憲委員。 林委員俊憲:謝謝主席。主席,本席就剛剛洪孟楷委員所提的,他的修正裡面,我看洪委員是把關鍵基礎設施直接寫出來,洪委員寫的這個其實也是行政院公告的關鍵基礎設施八大領域,但後來行政院又增加了一個糧食,所以現在其實有九大領域,我建議大家思考一下,其實行政院版的,雖然在母法裡面沒有明確寫出哪些領域,但是它本來就會定期公告,大家知道因時空背景的移轉等等,與時俱進,或者是狀況的改變,領域有可能會增加,也有可能會減少,像以前的時候,關鍵基礎設施可能就五項、六項,現在行政院已經公告到八項,現在又公告到九項,如果你把母法定死了,像行政院現在有公告糧食,那它也要公告,但是我們母法裡面,像這個就沒有寫到糧食,以後會不會再增加?那以後增加的話,會產生母法沒有寫到、沒有規範到這種狀況。關於行政院寫的,第一個,雖然看起來它沒有明確指出有哪些,可是原本行政院就會定期公告有哪些,我們就可以比對了,所以我是建議這個不必把它寫死在有哪幾大領域,因為關鍵基礎設施本來就會變動,以上是我的意見,謝謝。 主席:現在我們請行政單位回復一下。 葉次長寧:是,報告委員會,幾個議題我們做簡要說明。第一個是關鍵基礎設施,誠如林委員剛剛提到,這個款在現行條文跟現在行政院版是一模一樣的,本來行政院就會定期檢視並公告,明定下來反而會僵化掉,就是它調整的時候,但沒定在上面,固然現在這個提出來的修正版本裡面是說還有其他指定的,但是通常這種檢視跟公告的目的就是希望能夠定期的review,同時讓外界有透明化,可以公評,所以中間完全沒有任何隱藏的空間,所以我們當然還是會覺得……而且這個條文在第七款的時候,跟現行條文一模一樣,運行多年來都沒有疑義,我們會建議還是不需要修正,就按照行政院版。 至於第八款的特定關鍵基礎設施提供者,這個其實在條文內容裡面講得非常清楚,就是前面的關鍵基礎設施依賴的系統,關鍵基礎設施已經是一個行之有年的名詞,各機關、民間大概都非常清楚,我們如果在中間再插進「資通」,其實是治絲益棼,所以我們只是在前面加一個「特定」,就是有些關鍵基礎設施沒有資通系統的時候,就不在這個範圍之內,有依賴資通設施的,那我們就加進來,所以我們當然還是會建議維持行政院版本「特定關鍵基礎設施提供者」,這個也跟各部會都談過了,目的事業主管機關大概也都覺得這樣的寫法是比較妥當。 至於第九款的財團法人,我要跟各位委員報告,我們現在的現行條文背後完全沒有任何政治的考量,是因為財團法人法修正之後,把政府捐助的財團法人分成三種,一個從出資來看;一個是從日治時代遺留下來的,這個其實只有兩個,也不會再動了,因為日治時代已經離我們很遠了,就只有電信協會跟郵政協會,沒有其他會再冒出來;第三個是政府實質控制的,我們是因為財團法人法的修正,我們完全比照財團法人法的修正,全部移過來,葛委員會擔心有沒有增加,其實現行納管157個,在財團法人法修正之後,反而變成137個,減少了20個,所以我們其實在這一條條文裡面,資通安全法修正的時候,真的完全沒有考慮說要把哪一個特別拉進來,這是沒有的,完全是財團法人法怎麼訂,我們就怎麼處理。譬如說,剛剛談到日治的部分,預算法第四十一條第四項,就是我們現在看到的葛如鈞委員版本的預算法第四十一條第四項,同樣的,按照預算法,電信協會跟郵政協會也是要送到立法院預算審議的,所以其實這個條文完全是因應財團法人法的修正,把它訂清楚而已,完全沒有任何政治的考量也好,或是要侵害人民的權利也好。 我們剛才也報告過,如果財團法人法修正之後,納管數量反而變少,大概的情形是這樣。反而民眾黨的版本,跟林國成召委報告,我們真的覺得那樣反而會變比較麻煩,因為如果降低門檻到20%會增加177個,這會有非常多地方的財團法人會被納進去,因為資安的責任不是只有中央有,地方也有,那也會造成地方政府非常大的困擾,所以我們還是建議維持行政院版本,行政院版本是完全按照財團法人法修正之後的結果,沒有任何增加,反而是減少,跟各位委員報告。 主席:請葛如鈞委員。 葛委員如鈞:謝謝召委。次長,我也是非常尊重您的法律背景,但是有幾點,我還是想要再補充說明一下。首先您剛剛提到的第八款,你們用「特定」兩個字,其實某種程度來講是有違法律的明確性原則,所以我們才特地說,這就叫做資通安全法,所以你就不用什麼特定嘛,關鍵基礎設施第七款還在喔,因為語言上大家可能會容易誤會我們是不是就沒有關鍵基礎設施?不是喔,當我們提到關鍵基礎設施提供者的時候,應該要指定是資通基礎設施,不然裡面的水、電、糧食供給那些東西的提供者,變成這個範圍馬上就擴大了,所以我是希望第八款還是要放「資通」兩個字進來。 再來,第二點,剛剛次長有回復說,你們都依照財團法人法來做,沒有政治的考量,對,但是,我們也知道現在這個狀況,我們就看法條跟看文件。第一個,財團法人法第六十三條第一項,我再說一次,這個法所指定的財團法人是可以變動的,而且只要什麼條件就可以變動呢?只要有加強監督之必要,經主管機關指定的,立刻就可以加進來,我剛剛為什麼花那麼長時間解釋?這一份資料只是冰山一角,是銓敘部提供給我們的,裡面有華航、貿易中心、文化基金會,我們在座有桃園的委員,還有小學的文教基金會也在裡面啊,我是不想念是哪個小學,有一大堆,全部的文教基金會、國小全部都進來,桃園教育真的是做得很好啦,所以裡面一大堆文教基金會,宜蘭也有,各式各樣的基金會,只要主管機關伸手一指,進來,這個就是一個菜單啊,這是一個帝王條款的菜單啊,這是數發部要的嗎?數發部不能一句話說:我們依照財團法人法指示。那你數發部不就變成下級機關了嗎?怎麼會這樣呢?對不起,我想我們都是資訊人啦,次長您又是法律人,所以我是建議這一條是不是就按照我們的版本?第一,就是第八款……對不起,我們現在提出的修正動議,因為剛剛我們的版本跟院版有出入,所以我們依據這樣,我們也提出一個修正動議,我們的修正動議就是這一條我們就不要修了,這一條我們就不要修了,我們就回復原狀,否則的話,此例一開,這個門一開,又多一個菜單,又多一個日治時期什麼的,我覺得範圍會太大,希望懇請予以考慮,好不好?謝謝。我們的修正動議,這一條就不要修了,謝謝。 林委員國成:好,我還是跟數位部建議,行政院版送到立法院來,是大家可以談,大方向都已經一致,只是不足的部分,委員跟各政黨把它提出來更完善,所以我還是建議,數位部千萬不要因為你們提出來就一成不變,如果沒有傷害整個你們設定出來資通安全管理法的本質,我還是建議能夠參考就參考,那以剛才次長所講,如果意見分歧、看法差異那麼大,我建議主席就先行保留,後面沒有爭議的先讓他過,有爭議的進行溝通跟說明,取得最後大家的共識,審預算不要各說各的,如果是這樣的話,那審的沒完沒了,所以我建議第三條的部分先保留,再行溝通,以後我們再來討論。 葉次長寧:跟召委報告,我剛剛請示過部長,我們也問過院,第八款,關鍵基礎設施的部分不動,那關鍵基礎設施提供者,如葛委員剛才所提的,就維持現行條文,也不動,這個我們可以接受,那其他部分就按照院版通過,可不可以這樣?就像林委員講的,我們就快一點這樣。 林委員國成:不是,這些增列的部分我們是很明確的,這個增列部分…… 葉次長寧:這個增列部分反而跟葛委員的主張會有一點出入,就是會增加非常多,會增加177個。剛才葛委員所提到說,那個指定的會變成地方的,其實不會,因為我們一定要指定全國性的財團法人。看如果葛委員跟林委員可以…… 主席:葛委員。 葛委員如鈞:簡要補充,我剛剛有一點口誤,我也聆聽看看數發部,因為還是數發部在執行,所以看數發部的想法,那我們有提出我們的版本之外,我們的修正動議是針對第九款,就是我們不修正,就是第九款特定財產法人就不要擴大,也不要減少,我們就維持現在,我想行之有年了,也許也沒有問題,假設未來真的有需要,還可以再討論,這一點我簡要補充,謝謝。 主席:現在主要是第九款,那第九款如果保留…… 葛委員如鈞:第七款、第八款希望行政機關可以參考我們的意見,就是…… 葉次長寧:可不可以……有爭議,但現行條文我們就不要動算了? 葛委員如鈞:我們對第六款,我們也有放,因為我們也是怕你後面東西……你有一些想管理的政府捐助的財團法人,我們有幫你放進來,就是你不要是特定財團法人,是政府捐助之財團法人,不然,特定財團法人的範圍,其實現在我們也看到還是有一些不確定性,所以我想這一點,看是不是也考慮一下? 洪委員孟楷:我先確認一下,我們一項一項來。現在就是討論第七、八、九款嘛,那如果第九款財團法人的部分,因為我們剛剛提到,就是現行已經有規範政府捐贈財團法人,如果維持原條文,這樣數發部可以接受嗎? 第九款,因為我們就想說你這樣子……政府捐贈財團法人應該要受資通安全保護,這過去的現行條文已經有了,只是你們現在在做財團法人法的一個調整,到底多增加哪些?反而會造成外界的疑慮,你們想要再多進來哪些? 葉次長寧:其實沒有,我們是減少。 洪委員孟楷:對,如果這樣的話,那維持現行條文,政府捐贈的財團法人,第九款不變,是不是可以接受? 葉次長寧:我們現行條文是不一樣的。 葛委員如鈞:好啦,那就第九款維持現行條文。 洪委員孟楷:維持現行條文…… 葛委員如鈞:對啦,院版本來的…… 洪委員孟楷:那第七款…… 葛委員如鈞:現行法律的啦。 洪委員孟楷:沒有,行政院版是改變了。 葛委員如鈞:沒有,所以是現行條文。 洪委員孟楷:對,所以是現行條文嘛,那我現在再確認是不是維持現行條文,但第七款跟第八款我們可以做討論。 葛委員如鈞:那就第七、八、九款都現行條文。 葉次長寧:從第六款開始到第九款,因為第六款是連動的。 葛委員如鈞:好。 葉次長寧:第六、七、八、九款,那這條其他的部分我們就就按照行政院版,不要增列。 林委員國成:我主張這樣,我們增列的第十項…… 葛委員如鈞:不是按行政院版喔。 林委員國成:第十項都還沒有一個充分的理由,我說要增列的部分是原則、你們的方向不變,我們增列這些很明確。 主席:第六、七、八、九款維持現行的。 葉次長寧:我們建議增列的部分真的不要。 林委員國成:不是啦!我建議這樣,先保留再談啦!我主張保留,你總是要說服我,我把你們寫得更明確,你們又不要,寫得模稜兩可,對不對?我們民眾黨幫你們寫得更明確的東西,在整個執法的部分,你們又怕什麼擴大、不擴大的,我坦白跟你講沒有20%的,這個是指定的,你們像什麼特定、不特定,這些是依照銓敘部公告的資料,也就是依照考試院銓敘部那種資料的範圍已經很明確,這個當然要納管啊!不然的話,還是……所以我是建議這樣啦!次長,我是建議這樣啦!如果沒有共識,我還是建議讓主席能繼續走就先保留,好不好?我建議先保留,其他要溝通及要如何處理,我們還有下一次嘛!或者等一下,大家來溝通,你也想通、我也想通,再回來討論這個嘛!你不要說我們建議這些,你那個理由不能說服我,不增加的……我要把它明確化,你不增加,不增加的理由,你是怕什麼? 主席:沒關係,先暫時保留啦!葛如鈞委員跟林國成委員意見也不一樣。 葛委員如鈞:至少我們這邊跟數發部有個共識,就是數發部這邊可以第六款、第七款、第八款及第九款不修正。 主席:這是另外一種想法。 葛委員如鈞:就是以現行條文,這個我們是可以接受的。 主席:看民眾黨可不可以接受? 葛委員如鈞:民眾黨說要往後,待會就……我想先確認一下。 主席:林俊憲委員剛剛有舉手。 林委員俊憲:我也同意第六款、第七款、第八款及第九款不要修正啦!因為第九款,原本我們對政府捐助財團法人的納管是依照財團法人法,如果改成預算法的話,會有很多原本納管的財團法人就會不在裡面了啦!就以我們監督精神的話,其實我覺得第九款應該是維持院版的規定,以上是我的意見。 葛委員如鈞:報告林委員,是維持現行條文。 林委員俊憲:對,維持現行是157個,如果改掉以後是變為137個嘛!那乾脆列出少了哪20個,列出來給大家看嘛,好不好? 主席:現在大概是行政院、民進黨、國民黨都認為第六款、第七款、第八款及第九款維持現行條文都可以接受,現在剩下民眾黨,林國成召委針對這個部分還有一些意見嘛!跟林國成召委說一下,現在民進黨、國民黨跟行政院大概都有這樣的共識,如果你可以的話,我們就按照這一個就直接來通過。我想大家都有經過仔細的思考,也會尊重民眾黨的意見,對啦!維持現行條文…… 林委員國成:針對增列的部分,他們說出的理由,因為我增列的部分跟本質沒有改變嘛! 主席:沒關係。 林委員國成:但是只是明確化嘛! 主席:沒關係,現在國民黨、民進黨、行政院意見都差不多可以嘛!如果林國成委員如果可以我們就用第六款、第七款、第八款及第九款…… 洪委員孟楷:不是啦!數發部應該要去看一下,台灣民眾黨是在現行9款裡面多增加第十款跟第十一款,如果現行條文第一款到第九款,尤其我們剛剛講的第六款、第七款、第八款及第九款,如果國民黨跟民進黨都已經同意維持現行條文,數發部也可以接受,這樣子就不變;但是,是不是能夠多增加民眾黨所提的第十款跟第十一款,如果可以的話,就加進去,這樣民眾黨也沒有意見了嘛!如果你們覺得有意見,第十款及第十一款為什麼不能加?你們要說服林國成委員,因為現在變成不是國民黨跟民進黨的問題,了解?OK! 葉次長寧:我們剛才有跟林委員報告,真的增加第十款的20%會增加非常非常多的負擔,正好跟剛才葛委員提到的不希望擴增……舉實際的例子,我們已經有調出來了,包括桃園市政府要管漁市場的系統,苗栗縣政府要管苗栗肉品市場系統,彰化縣政府要管漁市場,嘉義市政府要管肉品市場,嘉義縣政府要管阿里山公共造產,其實對於縣市政府的負擔會非常非常大。 主席:沒關係,如果剛剛葛委員已有跟林國成委員討論,林國成委員現在認為還是很堅持,就先暫時保留,好不好? 林委員國成:這是黨版,暫時先保留啦! 主席:好啦!他現在說是黨版,他還要問他們的黨團。 葛委員如鈞:有說明了啦! 林委員國成:有說明,總是要讓我傳達或者回去說明。因為我們一向做事情就是要把它明確化,當然這個顧慮的部分,也就是是否會擴大、20%以上會擴大,這部分總是要讓我跟黨裡面說明清楚,因為我們這是黨版,如果是我個人版,我馬上可以做決定,這是黨版,所以請大家也給我一點時間,你們要派人來說明,然後他們也是認為說這個放下去可能會擴大多少,如果我們的黨團說好,還是原則性尊重,所以我還是希望在這個部分…… 主席:這樣啦!這就跟第二條一樣暫時保留。好,請沈伯洋委員。 沈委員伯洋:我講一下,因為這一次的修法其實醞釀很久,它最主要是要把一些能夠管理的範圍做一些擴增,這個部分大概整個數發部跟委員應該都很清楚;第一個,其實就像這次非公務機關等等之類的納入:第二個,上次我們在講的有一些它可能是在民間,然後它的個資可能是比較多的,也可能要納管,但在我們討論的那個時候就說,因為我們不可能一次性的把那麼多的事情在第一次的修法就搞定,所以第二次的修法的時候,再去把那些涵蓋可能譬如個資比較多的,或者像上次我之前提到民眾黨那個吹哨者保護法的網站,這些其實都會有一些疑慮,但如果要把這些全部納管,用一個抽象的法制放入的話,這個沒有辦法在這一次討論完畢,因為它並沒有在這一次院版的範圍之內,也不在一開始在520之前就已經在討論的修法範圍。所以我認為如果可以的話,就停在第九款,第十款以後,可能可以移到下一次的時候再來討論。 主席:最後就是如果民眾黨OK,就第六款、第七款、第八款及第九款照原來現行的條文通過,如果民眾黨不OK,我們就暫時保留,你等一下可以問一下,休息之後可以問一下,如果可以再回頭再讓它通過的話,我們再回頭,現在這個就先暫時保留。接下來第四條,是在第50頁,請葛如鈞委員,等一下換李昆澤委員。 葛委員如鈞:好,謝謝召委。 主席:等一下,又有修正動議。 葛委員如鈞:對,一起看。 主席:修正動議要先宣讀一下,因為葛如鈞委員不是本委員會委員,所以黃健豪委員為主。 黃健豪等第四條修正動議,麻煩請議事人員宣讀。 [image: image4.jpg] 主席:好,葛如鈞委員說明完後,等一下換李昆澤委員。 葛委員如鈞:好,謝謝召委。有關這一條,本席是因為近來一直都有發生多起民間企業及醫療院所遭到駭客勒索的事件,也有很多是半導體科技業,顯示要去建立一個政府跟民間資安聯防的機制真的是有它的重要性跟急迫性。因此本席的提案版本是在第一項第五款新增政府來協助民間處理、因應重大資安事件,可以去協助他們處理、因應跟防範,因為這個部分就是政府有這樣的精神跟態度,並沒有說民間不得拒絕,所以我覺得這也是一個善意,它並沒有過度擴權的疑慮,反而是政府可以負擔更多的責任,把一雙安全的大手伸向民間來協助他們,真的有必要的話,民間無路可走了,他們可以來向政府尋求協助,這一點我們事前有跟數發部來溝通,有獲得數發部認同,我們算是在雙方的共識之下來提出修正動議,也懇請各位委員還有本委員會的委員,希望可以一起支持,謝謝。 主席:謝謝,李昆澤委員,剛剛抱歉,應該是本委員會優先,我先看到葛如鈞委員,不好意思,請李昆澤委員。 李委員昆澤:謝謝召委。最主要我是第一次發言,應該是可以優先的發言。第四條是有關於民眾間企業納管跟資安自主平衡的問題,近年來我們看這個民間企業,尤其是金融業跟電商的業者,他們的資安漏洞都會引起社會大眾的疑慮,其實我們看到民間的資安防護是有待加強,但是另外一方面,如果資安監管的範圍過度的擴張,那恐怕也會引發政府干涉企業資訊自主營運這樣的一個疑慮,甚至擴大到侵害人權的隱憂,或者是中小企業驟然面對過大的經營壓力,這就像臺語說的「捏驚死、放驚飛」。因此,政府除了要以法規來要求企業提升資安的標準之外,我想數位部也應該要積極提供資安技術的資源或者是培訓課程,或是建立資安的共享平臺,幫助企業,尤其是中小企業,提高自主防護的能力,而不是一味的強化管制的相關措施,這等一下再請數位部說明,以上。 主席:謝謝,我們請沈伯洋委員。 沈委員伯洋:我基本上認同,像現在第四條第五款這樣的定法,我知道數發部要把「重大」放上去,可能是因為怕真的是太多了,但是這個比較被動的方式就比剛剛的第三條好,因為畢竟它就只是民間如果有這個需求的時候,至少還有一個基礎,數發部可以做協助。所以再回去,我還是很希望等一下第三條能夠趕快定案,不要再往下拖,因為第三條現在就是把這個範圍定得太廣,如果我們先把它的範圍限定,然後利用像第四條第五款的方式,對於一些能夠協助的先建立一個協助的機制,以後再慢慢的把這個範圍擴大,不然這樣一直擴大下去真的會沒完沒了。 主席:謝謝,請洪孟楷委員。 洪委員孟楷:謝謝召委。幾個部分,第四條我們支持葛如鈞跟黃健豪委員以及我也有提出的這個修正動議,我想第四條的主要重點在於一開始開宗明義就有講,政府提供資源,整合民間跟產業的力量,提升全民資通安全意識。既然是要整合民間跟產業力量,提升全民資通安全意識,其實在第五款新增「協助民間處理及因應重大資通安全事件」,我想數發部責無旁貸,這也是國人期待數發部能夠做的事情,尤其是定義重大資通安全事件,因為後面有寫到「前項相關事項之推動,由主管機關擬訂國家資通安全發展方案,報請行政院核定後實施」,換言之,主管機關也可以來定義何為重大資通安全事件,所以主管機關定義之後,如果第五款新增之後,主管機關擬訂發展方案,報行政院核定,未來當國家社會面臨到重大的資通安全事件的時候,數發部就有法源依據可以來協助,也可以來因應,所以我想這個部分如果能夠新增上去的話,對於我們民間的資通安全應該是有所幫助,以上,謝謝。 主席:我們請蔡其昌副院長。 蔡委員其昌:謝謝,第四條謝謝大家,我看起來很多委員的版本都很接近,本席在質詢的時候已經問過數發部,我們提出了很多的案例,當民間的規模很大時,舉例來說像中華電信,它的data已經大到幾乎快要涵蓋全臺灣的資通安全、個資等等,類似像這種重大的或者大型的民間企業面臨這個安全問題的挑戰的時候,我覺得它跟國家國安的重大安全議題其實是一樣的,所以本席最早提出這樣的一個修正,我看今天包括修正動議也有很多委員都提出,我覺得大家都有這樣的共識,那就不用再浪費太多時間,如果大家都有這樣的共識,我想請主席趕快問一下數發部的態度是怎麼樣,如果大家都沒意見,因為一開始是我提的,看起來現在各黨都提了,我覺得這個很好,大家都有共識,是不是數發部有一個態度,我們就趕快來把這一條做決定? 主席:請數發部。 蔡署長福隆:謝謝幾位委員的寶貴意見,包括剛剛葛如鈞委員、洪孟楷委員、黃健豪委員,還有執政黨的委員,因為原來包括蔡其昌委員、羅美玲委員,還有葛如鈞委員都有提這個提案,我們也溝通過,所以第五款我們就增加「協助民間處理及因應重大資通安全事件」,數發部這邊沒有意見,謝謝。 主席:照修正動議…… 蔡委員其昌:文字上有的人有「防範」,有的人沒有「防範」…… 林委員俊憲:雖然非常接近,但文字要唸一下,確定一下,因為有修正動議,也有蔡其昌委員的版本,兩個大概差3、4個字。 洪委員孟楷:召委,我建議數發部擬一個版本出來,大家簽名,好不好?這樣可以嗎? 主席:好啦!數發部你們擬一個…… 洪委員孟楷:數發部擬一個文字,大家簽名,然後就照這個再修正動議啦!好不好? 主席:就打在字幕上,大家看一下。改成「協助民間處理及因應重大資通安全事件」,這樣好不好?大家看一下,這樣子OK嗎? 林委員國成:就用黃健豪委員的修正通過就好了啦!大家有共識…… 主席:這樣OK嗎? 洪委員孟楷:召委,整合蔡其昌委員跟我們的修正動議啦!改成「協助民間處理、因應及防範重大資通安全事件」,好不好?這樣子大家的精神也都進來了。 蔡委員其昌:因為你要寫「重大」…… 洪委員孟楷:怎樣是「重大」,我想這就是讓數發部來定義,不然未來可能個人的駭客入侵,還是什麼,它也說要數發部協助,這樣可能數發部到最後也沒完沒了,我這個是把實際上運作的狀況也給數發部做參考。 黃委員健豪:我補充一下「重大」的定義,在資通安全事件通報及應變辦法裡面有「重大」的定義,所以我覺得法律上應該沒有太大的問題,加上「重大」應該沒問題啦! 主席:還有沒有其他委員有意見?數發部OK嘛?那我們就這樣子,改成「協助民間處理、因應及防範重大資通安全事件」,這樣好不好?好,第四條我們就照行政院數發部提案修正通過。 第五條還有一個洪孟楷委員等的修正動議,我們還是先宣讀一下。 [image: image5.jpg] 主席:這一條大家有沒有什麼意見?請林國成委員。 林委員國成:這個在我們的版本裡面大概也差不多,代表不得低於三分之一,至少三個月開一次會,這個應該就要看數位部,也把它放進去的話,我們黨就沒有什麼意見。 主席:請洪孟楷委員。 洪委員孟楷:感謝召委,本條是新增,現行法條沒有,本條行政院新增的文字是「行政院應召開國家資通安全會報,其幕僚作業由主管機關辦理。」本席認同,因為國家資通安全會議也好、會報也好,或是相關的開會,這都必須要做。只是大家也都知道,現在科技日新月異,兩個月、三個月,AI進步神速、學習神速,甚至駭客等等相關,也都有非常突飛猛進的發展。也因此我們才想說不能只是「應召開會議」,而是要把相關的時間定下來,並且要授權主管機關要有定期的開會內容,以及專家學者、民間代表也可以來做專業意見的交流及提供專業意見的判斷。所以這也是為什麼本席會提出這個修正動議,認為院長召集相關的會議至少三個月開一次,必要時得召開臨時會議,以因應重大資通安全相關事件的發生,這些部分讓第五條能夠更完整,也讓我們真真正正的所謂的國家資通安全會報能夠落實去執行,以上,謝謝。 主席:請葛如鈞委員。 葛委員如鈞:謝謝召委。針對這一條,我們有一個想法,我們也是覺得要由行政院院長來擔任召集人,因為我們看了一下行政院院長擔任召集人的會報,有行政院文化會報、行政院毒品防制會報、行政院治安會報及國家化學物質管理會報,這幾個是由院長來擔任召集人。因為資安真的非常重要,尤其在下個世代我們對於所謂國安的定義,關於這一點,我沒有特別堅持,但是稍微說明一下我們為什麼會認為應該要由院長來擔任召集人,謝謝。 主席:請黃健豪委員。 黃委員健豪:謝謝召委。因為在新增版本裡面,院版本來就有說「行政院應召開國家資通安全會報」,但是行政院到底是由誰來召開?法沒有明定,我覺得在課責上會有些問題,所以我們才建議把應由行政院院長來召集相關部會首長的部分放進去,當然在實務上,院長會不會指派其他人,那是院長的事情,他可以指派其他人,但是最後課責的對象當然還是院長。我們覺得既然資安這麼重要,確實就應該由院長來負責任,而不是單純由行政院這樣一個比較籠統的概念來處理。以上,謝謝。 主席:請行政單位。 葉次長寧:跟委員會報告,現行其實是有一個資安長的體系,院的資安長是副院長,本來副院長就是主持這個會報,如果要提升到行政院,行政院院長的事務是非常非常繁忙的,反而會讓資安長的體系沒辦法建立,所以我們當然會建議按照院版其實沒有問題,我們現行就是由副院長來召開資通安全會報,而且不光是各部會,其實我們會邀請其他各院,甚至地方政府,因為資安是一個全國性的事務,這些詳細的都會訂在我們將來的辦法裡面。其實我們現行有訂一個要點,所以我們在最後一項有寫「國家資通安全會報之組成、任務、議事程序及其他相關事項之辦法,由行政院定之。」這個不是數發部可以隨便定的,這是行政院定的,這樣其實是最完整的。如果我們在這邊定死,反而不好調整。關於國家資通安全會報,我們一定會定期召開,這沒有問題,跟各位委員報告。 主席:其他委員有沒有意見?請陳素月委員。 陳委員素月:謝謝主席。針對草案第五條,我這邊是有建議文字修正,就是在第一項,院版是「為落實國家資通安全政策,各政府機關、中央及地方間」,我建議這邊把它修正成「中央及地方政府機關間」,因為我想這樣子文字意義並沒有變,可是會比較精簡一點。另外,有關召開國家資通安全會報,本席也是建議要明定「應定期召開」,這樣是不是會比較明確?謝謝。 葉次長寧:定期可以,陳素月委員提定期召開沒問題,但是定多少期,這個讓我們在辦法裡面訂,辦法到時候也會送到立法院來查照。委員有期許說希望……其實我們同意我們可以在說明欄說清楚,說現在這個是由行政院副院長召集,包括中央、地方各院,這個我們在說明欄來做補充好了。 主席:上面改一下,讓大家看一下。洪委員,時間不用訂那麼細,就「定期」。 洪委員孟楷:這是法令的一個精神,不要說至少三個月開一次,但是你們自己的期待,譬如說你的相關辦法部分,你們預計定期會多久開一次? 葉次長寧:我們現行的…… 洪委員孟楷:你要不要寫進法跟你們實際做……其實我重點是在落實啦!你們自己期待到底多久開一次?也是三個月? 葉次長寧:我們現在至少半年會開一次,有重大的資安情勢變化的時候,我們會再增加召開,其實我們會建議讓我們在辦法裡面寫。 洪委員孟楷:所以你現在的規劃是至少半年開一次會,然後必要時召開臨時會議,對不對? 主席:我想這樣好不好,就是訂…… 洪委員孟楷:這樣子我們是不是保留「必要時得召開臨時會議」這部分? 主席:「必要時得召開臨時會議」,好,先改一下沒關係。 請黃健豪委員。 黃委員健豪:謝謝主席。確認一下你們提的國家資通安全會報的程序跟行政院國家資通安全會報設置要點是一樣的事情,還是不一樣? 葉次長寧:是一樣。 黃委員健豪:就是這個事情嘛!因為你們在行政院國家資通安全會報設置要點裡面有提到,會議裡面當然會有指派學者,由學者專家來參與會議,但是並沒有寫到比例的問題。我想在修正動議裡面,洪孟楷委員提到的其實包含、希望專家學者及民間團體代表不要低於三分之一,就是不能全部都是政府官員,因為本來在國家安全會報要點裡面沒有設置比例,如果把它入法,對你們來講會不會有障礙? 葉次長寧:跟委員報告,第一個,我們還是建議民間代表不要定死,因為所謂國家資通安全會報主要是政府資通聯防的問題,所以我們還是建議不要定死比例,但是我們一定會邀請專家學者來參加,而且會看議題找該專長的學者,所以是不是可以容許我們在子法裡面來做詳細的規定? 主席:我們提了臨時動議都有尊重,就是「定期」,然後「必要時得召開臨時會」,我想這個法不要定那麼細,大原則、精神我們可以把握住,這樣好不好? 林委員國成:不是、不是,我們民眾黨的版本跟他的修正動議的目標較為接近,剛才數位部考慮到本來你們平常的資安長是副院長,但事實上我們定這個是比較明確化,在這個部分到底是院長或副院長?應該可以參考一下我們的版本,也就是行政院院長或指定人,這樣問題也就解決了,就變成院長已經入這個法,很明確的,以示行政院長也重視這個會議,其實不一定是由院長來開,他有時候指定秘書長、指定副院長都可以啊!所以我覺得明確化的法令設定,總比在那邊模稜兩可好,所以我還是建議採用這個部分,這樣就可以解決,不一定要院長,表面上院長要負全部責任,但是由他指定的人,包括秘書長,包括副院長都可以,這樣的話「或指定」這個問題就可以解決啊,為什麼我們要把它明確化,你們認為一定是要照你們的版本,所以這個我還是建議、我還是堅持是不是能照民眾黨的版本通過。 葉次長寧:跟林召委報告,可不可以這樣子,我們就按照召委的指示,就是加「由行政院長或指定之人擔任召集人」,但底下的專家學者真的就不要幫我們訂死,因為我們的資安議題其實非常多,我們通常會看不同的議題來處理,如果這樣子的話,我們就按照召委指示好不好?前面那一段加一句話「由行政院長或指定之人擔任召集人」,後面的部分就還是回到我們的版本,可以嗎? 林委員國成:這個特別跟主席及各位在座的委員做說明跟報告,我坦白講,黃部長在這裡,次長也在這裡,民眾黨的版本你們有些都有去溝通,到現在為止,我沒有接到你們溝通,沒有時間去溝通,有時候我已經跟你講,今天是台灣民眾黨的版本,非林國成委員的版本,所以到現在為止你們都沒有溝通…… 葉次長寧:我們有跟黨團溝通過,都有。 林委員國成:可是我沒有接到接到這些溝通啊,也不照會啊!因為來開會的是我啊,我相信將心比心啦!不管國民黨也好,民進黨也好,我要去推翻黨版的東西,真的是很困難的事,所以我還是認為,如果不行那還是保留,再來溝通。 主席:好,謝謝。報告林國成召委,其實他們有去找你們黨團,請你們黨團約你,這個大概我都知道這個過程。沒關係,我們就是改這樣子啦,好不好?「行政院院長或指定之人擔任召集人,必要時得召開臨時會議。」至於其他的細節,我想法就不用訂那麼細,我們就照這樣OK嗎?其他的要點就讓他們在要點裡面…… 林委員國成:如果在這個部分要這樣的話,還是要有一個附帶決議,就是把這些細節的部分訂在你們的施行細則辦法裡面,這樣較為明確以及比較有連貫性啦,好不好? 葛委員如鈞:不要指定之人啦! 黃委員健豪:召委,不好意思,文字上,就是行政院長或其指定之人,這個指定之人有點會……因為放在法律裡面,就好像沒有必要,講白了,行政院長沒來,由副院長代理或什麼,其實他們有他們的機制嘛!如果多一個指定之人,變成如果今天院長心情好,想指定任何人是不是都可以,會不會有這個問題? 主席:我們本來是寫副院長嘛!不然就改為「院長或副院長」,這樣可以嗎? 葉次長寧:行政院院長或副院長可以啊。 主席:院長或副院長嘛,本來是副院長嘛,現在依照你們的意見就改為院長或副院長嘛,這樣好不好? 林委員國成:次長,我建議專家學者還是把它放進去,至於其他要多久開一次會,由你們去做決定,這樣就變成這個版本已經濃縮。院長、副院長,也就是你們的資安長,他也可以去開會,但是專家學者的部分也把它秀下去,秀在法裡面,這樣才有一個比較明確的法令。 葉次長寧:跟召委報告,我們可不可以寫在說明欄裡面,說明我們會邀請專家學者來參與這樣子,如果專家學者訂下來以後,真的資安議題是非常多的,我們開會通常都會找那個議題特別的專家。 林委員國成:那個是專家學者,也是一樣,也是一個授權,也是你們在找的人啊! 葉次長寧:對,這個我們會在辦法裡面詳細來訂,但我們在說明欄可以先說明,之後可以邀請專家學者跟民間團體來參加,就是我們在說明欄裡面把召委的意見放進來。 林委員國成:為什麼法律部分不可以放進來? 葉次長寧:因為程序部分其實是非常多的,如果要這樣放,其實這會永遠都放不完,其實第四項已經有授權,我們會訂相關辦法,而這個辦法也會送到大院來備查,因為還有性別、個資等等,很多問題要解決啦! 主席:對啦!就是我們在說明欄或者是在辦法裡面,把林國成委員你們考慮的問題也把它考量進來。 林委員國成:我已經沒有要求你們把三分之幾、三分之幾把它明確化,如果你們已經把院長跟副院長放進去,專家學者也把它秀進去,那這個法我就不堅持,也就是民間專家學者把它秀進去,反正你們也要這樣做嘛!把它放進去,那我就不堅持,這個案子就照我的意見來修改,也就是照你們的文字稍微去修改,其他比例部分我就不堅持嘛,不然我們這個黨版其實…… 葉次長寧:是。 林委員國成:黨給我的責任就是照所有我們洪孟楷委員所修正的東西,你最起碼要把它放進去嘛! 葉次長寧:這樣好不好,我們就再加一句話,是不是「召集相關部會」可以先不要,就直接……林召委只是強調要邀請專家學者跟民間團體參加,是不是就在召集人後面加上「得邀請專家學者及民間團體代表出席,必要時得召開臨時會議」。 主席:沒關係,那個都會加啦!但字面上不用每個字這樣斟酌啦,政府就是大家互相…… 林委員國成:這個法是要把它完善啦!因為我比較不贊同行政院版送來我們就要照單全收,這一點我是很反對,但是大家商討出來,把原意不變,但是內容充實,這在立法院應該是雙方要溝通的,不要說我們放任何東西都違反你們那個,這一點我是反對的。 主席:OK,國成委員,現在就是把你的意見也加進來,行政院院長或副院長擔任召集人,這個是葛委員跟黃委員的意見嘛,得邀請專家學者及民間團體代表,這個是林委員你們的意見嘛,現在都有放進來。臨時會議部分,這個是剛剛洪委員的意見,大概都有放進來嘛,好不好?我們這一條就照行政院提案修正通過。 等一下我們休息10分鐘,是不是請林國成委員就剛才的第三條,你跟你們黨團討論了一下,看有沒有機會,我們剛剛是暫時保留,看有沒有機會一併處理。 林委員國成:我還是先保留啦!黨團的意思是先保留,因為我不曉得要怎麼放,所以還是先保留。可以過的,我會說可以過。 主席:好,現在先休息10分鐘,讓大家去上一下廁所。 休息(11時8分) 繼續開會(11時18分) 主席:現在開始開會。 針對第六條,黃健豪委員等也有提出修正動議。請宣讀一下。 [image: image6.jpg] 主席:請葛如鈞委員。 葛委員如鈞:謝謝召委,我表達一下,本席是針對本條提出一個簡單的修正動議,在第一項希望可以載明主管機關應該每年公布國家資通安全情勢報告及資通安全維護計畫實施情形稽核概況的報告,這一點我們有跟數發部溝通過,也達成共識,也希望大家可以一起支持,謝謝。 主席:數發部有沒有意見?(無)沒有意見。 大家還有沒有意見?(無)沒有意見,第六條就照委員黃健豪、葛如鈞等所提修正動議通過。 第七條,在第79頁,大家有沒有意見? 葛委員如鈞:我表達一下。 主席:好,請葛如鈞委員。 葛委員如鈞:第七條一樣還是主管機關的問題啦!因為這一次院版的版本在主管機關的部分全部都是寫「資安署」,我還是要表達,這樣的設計會不會到時候各部會在聯繫上,直接資安署變成天下第一署,反而數發部變成是不知情的狀況,我是為次長跟部長抱不平,我想這可能反而怕到時候……其實也會怕資安的整體戰略上變成有過度傾斜在單一的署,因為資安、資通其實也有很多產業的部分,所以這一點還是要提出來。 這一條林國成委員有說要暫時保留啦,我是說在主管機關的部分。 主席:行政院? 葉次長寧:主管機關我們訂資安署沒問題啦!因為比較明確,大家才知道要送給誰來核定跟備查,所以在實務上…… 主席:這個跟第二條一樣。 葉次長寧:我們部長對署長是有完全的指揮監督的能力,這個沒有問題,所以我們會建議按照院版。 葛委員如鈞:我是建議召委,雖然我不是本委,不好意思,還是要尊重本委員會,但是因為剛剛林國成委員有針對主管機關這個部分也希望說……我們有共識啦!就是先暫時保留,所以是不是有主管機關的部分就先保留,我們先run一次嘛,之後再回來…… 主席:這個跟第二條一樣嘛! 葛委員如鈞:對,跟第二條一樣。 主席:就暫時保留嘛! 再來第八條,在第95頁。 陳委員素月:第七條要保留…… 葛委員如鈞:就是暫時保留,等第二條確定後再…… 主席:因為第二條是主管機關的規定,對於主管機關到底是數發部還是資安署,大家認為要暫時保留。後面的問題其實都類似啦,類似第二條的問題。 好,第94頁的第八條也是一樣,跟第二條一樣,所以也是暫時保留。 葉次長寧:很多都要保留了! 主席:對啊,只要有卡到數位部的或是資安署的就先保留,跟第二條一樣嘛!都卡在那邊了。 第113頁的第九條也一樣是資安署還是數發部的問題,這個跟第二條一樣,一併暫時保留,大家有沒有什麼意見?都是一樣的問題,這個問題如果解決了就全部都解決了,現在就看這個問題要怎麼處理,到時候協商再說了。 再來是第119頁的第十條,這一條不一樣。 請葛如鈞委員。 葛委員如鈞:謝謝召委。第十條現在有一個狀況,就是資通安全的確保跟維護是很怕自己檢查自己、自己說自己沒問題,所以本席等有提出修正動議,我們有在想啦!就是相關的建置應該要有檢查,要有公正第三方的驗證。第四項一樣也是強調要導入第三方協作的機制,這個再請數發部參考看看,謝謝。 主席:請數發部。 葉次長寧:我們有跟委員報告過,因為資安的整個機制的事務非常繁雜,所以沒有辦法每一種都用第三方機制,但是委員所說的那個精神,我們可以在相關辦法裡面去訂定在某些情形需要第三方機制,但某些可能我們真的做不到,所以這個是不是可以按照院版來通過,我們會在相關機制裡面把它導入進去? 主席:葛委員? 葛委員如鈞:這個我建議是不是可以保留下來?我還是要強調,因為我們之前在衛環委員會也有執行過一個專案,是一個好幾億的案子,衛福部委託工研院,工研院很可能未來在資安查核上說不定又委託資安院,變成政府的左手委託給右手,右手又說左手做得好棒棒。我覺得在資安上面如果沒有公正的第三方進來,這種自己監督自己的情況、自己說自己好安全的情況,我覺得也不會是我們政府表達對國安的一種重視,基於這一點,我們希望第十條是不是有機會可以保留一下,未來可以跟產業有更多的溝通。因為在美國其實會有第三方公正單位或者公私協力的作法,所以這一條我們是希望委員會及數發部是不是可以保留? 主席:本會委員有沒有意見? 黃委員健豪:我是建議保留,然後開公聽會徵詢業界的意見,不然就像剛剛葛委員所說的,自己說自己好棒棒或是公務機關自己審自己的東西,這個會不會有專業不足的問題?所以拜託,我是希望能先保留,看後面要不要開公聽會來徵詢業界的意見,以上。 蔡署長福隆:謝謝召委。我想葛委員提到的這個其實是滿重要的,有關第三方相關的驗證,這部分其實在我們的施行細則裡面都有寫,事實上,在施行細則裡面都有提到這個部分,但是因為葛委員滿重視這個部分,我想我們是不是先保留一下,之後看詳細的情況再來處理。 主席:好,那就先保留,後續再處理。 這樣大部分的條文都保留了,大家可以稍微通融,都卡在數發部跟資安署的問題了。 接下來是第135頁第二章章名「公務機關資通安全管理」。 葛如鈞委員還有一條? 林委員國成:沒有了吧? 主席:那個沒有了?好,那就第二章,第二章章名沒問題啦? 林委員國成:章名沒有問題。 主席:好,第二章章名OK。 再來是第十一條。 請黃捷委員,再來是沈伯洋委員。 黃委員捷:針對這一條,其實那時候就院版跟部長在這邊質詢的時候,我就已經有建議過部長了,因為行政院在2020年12月的時候就已經發函下令公務機關,原則上禁止使用及採購大陸廠牌資通訊產品,也就是目前的公務機關本來就已經禁止採購跟使用任何中國製的資通訊產品。既然都已經明確化了,我那時候就建議是不是可以直接入法,把它寫到法條裡面,那時候部長也表示同意我的看法,覺得寫在法條裡面是可行的。可是目前看起來院版並沒有做這樣的修正,我是不是可以在這邊再提出建議,其實也滿多委員都是這樣的版本,就是把禁止採購陸資廠商或中港澳的資通服務系統跟設備,明文規定於法條裡面,因為我們都知道中國在資通訊產品裡面會埋設後門,而且有可能會把資料回傳到中國境內,甚至是有遠端操控的功能。 其實上週美國的聽證會裡面也特別強調,中共現在針對這種網路的攻擊跟資通訊的網路戰的部分是非常強化的,我們更應該要審慎的來防範,所以我覺得把它明確化是好事,這邊是不是可以請教部長的意見,可不可以直接把它入法呢?請部長回應。 主席:等一下一起回應。 請沈伯洋委員。 沈委員伯洋:好,我一次說。這一條其實溝通了也滿久的,是從唐鳳部長那個時候一直到現在都在討論這一條,當時我們在討論的時候有兩個地方,等一下也請數發部說明一下。第一個就是採購,因為採購法本來就有相關規定,如果我們宣示性的假設,就在這邊把「不得採購、下載、安裝」的「採購」放進去,跟不放「採購」的差別在哪裡?請數發部等一下說明一下。第二個,到底要不要把中國境外敵對勢力實質控制放在修法理由,還是要放在第十一條本身?它的差別是在於如果我們今天在第十一條把它直接入法,宣示性很強,因為它不是只有在針對資通,它是直接認為只要有這樣實質控制的都不能夠使用。如果是放在修法理由,就是變成院版提的「包含但不限於」,包含但不限於國安法或者反滲透法所稱的實質控制,這個請數發部再說明一下。因為這其實也是溝通蠻久的,但我們想知道最終的結論。 主席:謝謝。 請數發部說明。 葉次長寧:兩個部分報告,資通安全法的角度只管使用、下載,就是我們不在乎你怎麼買,有些甚至是從網路上下載免費的,但它不可以用就是不可以用。至於採購的部分,其實工程會已經在修資訊產品的採購規定,他們那邊有一整套制度,包括採購可不可以申訴、可不可以調解,我們會建議那個部分讓採購公共工程主管機關來處理,這個我們跟工程會談過非常多次,他們也都OK。「採購」再放進來的話,變成這個法跟採購法的效力到底是什麼?因為會變得很亂,所以我建議我們就管使用、下載及安裝的部分。有關要不要明訂中國大陸地區或香港、澳門等等,這個就誠如剛才沈委員所說,我們跟幾位委員都報告過,因為這個是有其他法令明訂的,我們是不是可以就在說明欄說清楚?這個也很清楚,政府已經政策宣示過很多次,就包含但是不限於國安法及反滲透法包括的中國大陸地區、香港、澳門、境外敵對勢力或所設立或實質控制的組織、機構、團體或人員,這個其實在國家政策上是非常明確。 主席:林國成召委先。 林委員國成:針對第十一條第一項,基本上,對院版的前段,我們都沒有什麼意見,也就是跟我們看法比較一致,但我們還是請次長、部長考慮一下,我們希望把它增訂下去,有些文字再看要刪減或增加,也就是遵守下列規定:一、應指定特定區域及特定人員使用,且不得傳播影像或聲音,供不特定人士來收視或收聽。這是第一項,也就是台灣民眾黨的版本。第二項,購置理由消失或使用年限屆滿應立即銷毀。第三項,其他主管機關指定事項。這是在補足,因為你們沒有明確化的訂定這些,所以我們增列這一、二、三項,也就是充分授權主管機關指定各項事項,以上也請次長跟部長參酌。 主席:謝謝。 請葛如鈞委員。 葛委員如鈞:謝謝召委。針對這一條,本席有部分的想法跟民進黨委員一樣,就是應該要更明確化。第一點,因為我們都認同不能使用危害國家資通安全的產品,但是危害國家資通安全的產品到底要如何認定?本法通過以後審查程序如何?包含由誰來進行審查、審查標準是什麼、多久來進行一次,截至目前為止,本席辦公室數次詢問資安署,但資安署目前為止完全沒有辦法提出完整的配套措施,所以這又是一張空白授權;而且資安署還在送立法院的版本說明欄第三項當中增訂,「本法所定『危害國家資通安全產品』,包括但不限於反滲透法所稱滲透來源實質控制者所提供之產品」,這一條等於是超越了反滲透法的存在。資通安全法變成一個以資安為名、超越反滲透法的存在,是這樣嗎?尤其我想要請各位委員注意一下,不管是哪一個政黨的,這一個版本、這一個條文在113年,即2024年7月4號行政院記者會會後提供資安法草案給媒體參考的版本裡面,並沒有相關的文字,但是同一天送到立法院審查的版本,卻偷渡了這一段文字在說明欄當中,這代表什麼呢?代表這個版本在一天之內竟然有A、B版,給媒體記者的是A版沒有超越反滲透法的條文,給立法院的版本竟然超越反滲透法,這樣到底是不是有什麼希望,還是不希望大家看到的呢?如果我們沒有看到這個超越反滲透法的存在,是不是沒有經過社會討論跟媒體報導就要通過了?當然我們也不想要過度擔憂跟懷疑,所以我們覺得這個偷渡會不會是個意外?兩個版本為什麼有差異?本席辦公室也一直在詢問數發部,結果數發部到現在沒有給本席一個合理的說法,這樣民間的疑慮就有其道理。如果這部資通安全管理法就這樣三讀通過,本法限制的資通安全產品來源將正式超越反滲透法,人民要如何信賴?而且相關的審查程序、風險評估以及使用限制等等,通通空白授權給主管機關訂定,我要再說一次:違反法律明確性原則,數發部等同成為資安產業界的太上皇,這是一個帝王條款,掌握所有廠商。要注意!變成比如現在有人說M開頭的社群平臺裡面受到誰控制,雖然沒有明確的定義,但它可以被放進來,它就是屬於資通安全危害產品。我要請大家注意,這條文裡面的資通安全危害產品不是只限於看得到、摸得到的,聽得到的、下載得了的網站都可能算是產品,這樣有明確嗎? 第二點,針對公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網路接取服務,這就是我們剛剛講的A、B版,B版才有,A版沒有,根據這個規定,地方政府可能要進行大規模的查核,確保所有自行委外營運場所提供這些產品或服務有沒有相關的狀況,甚至每次產品清單的更新,因為你沒有說多久更新一次,有沒有可能兩個禮拜更新一次?如果是兩個禮拜更新一次,地方政府又再次清查,我們有沒有相關的人力跟業務成本?本席有向臺北市政府索取所謂自行及委外營運場所的資料,我手上這一份光臺北市有230個自行或委外營運的場館,有臺北小巨蛋、停車場、動物園,這裡面有多少公播螢幕和喇叭要清查?一個木柵動物園就有多少相關的細節?老人照護、老人公寓、老人養護中心、親子場館,這些全部會在修法範圍之內,我們有沒有足夠的量能?剛剛我們為什麼會很擔憂第二條說,主管機關直接設定為資安署?資安署編制只有117個人,他們要怎麼去各縣市一一清查呢?不能中央修一個法,成本卻全部由地方政府、廠商來負擔!我希望可以避免這種作法,雖然我們的理念有部分是一致的,就是希望要保護國家安全,不要有危害國家資通安全產品的作法,但是應該要符合法律明確性的原則。假設你真的要清查,你就要講清楚多久更新一次,誰來負擔清查的成本及人力費用?否則這個可能也會讓地方政府感受到窒礙難行,謝謝。 主席:謝謝。 黃健豪委員發言完,再來就請陳素月委員。 黃委員健豪:謝謝召委。我對這條的一些想法跟大家表達一下,在說明欄裡面說:包含但不限於反滲透法所稱滲透來源實質控制者所提供之產品。這真的是空白授權,因為在後面又說要授權由主管機關訂定辦法,以符合明確性原則,裡面有提到一些條件。我覺得應該反過來,就是你先訂出相關條件,我們再來看這個法怎麼適用,不能說我先同意了你這件事情,就是包含但不限於反滲透法,那其他的怎麼辦?如果沒有在反滲透法裡面的,我也不知道我們現在訂了這個法之後,你們未來會列哪些出來。這樣對公務機關或對委外業者會有很大的困擾,這是第一件事情。第二件事情是,我們的修正動議裡面有特別提到,因為你們提到「自行或委外營業場所提供公眾視聽或使用之傳播設備……」這個部分,我覺得這也需要跟地方政府,也可能要透過公聽會的方式來了解實務上會面對什麼問題。比如說我們馬上遇到的問題是,地方政府有很多比如長照據點,這算不算委外經營?長照據點裡面這些上課的老師使用的這些產品,是不是也算在列管的範圍裡面?還有公托、公幼、各場館、運動中心等等這些部分,裡面是不是都不能使用所謂包含但不限於反滲透法所訂的產品,會不會有這個問題?所以這個授權太廣大、範圍太廣了,我們也不確定到時候會有哪些東西被列上去,所以我會覺得應該反過來,你們先把東西先正面表列出來,再回來管制,而不是我先授權都給你去處理,我覺得這個法的邏輯應該是反過來講才對,以上,謝謝。 主席:好,陳素月委員,在講電話。還有其他人有意見嗎?來,陳素月委員。 陳委員素月:不好意思,針對這一條我有一些想法,想要請教一下,當然,每個委員講的都很重要,如果把「危害國家資通安全產品」在法條裡面明確化的話,是不是可以讓民眾比較清楚容易得知哪些是法律規定會危害到國家資安的產品?像剛剛很多委員都有這個看法嘛!如果反過來我們去思考,如果沒有被列到的,是不是會有漏網之魚?會不會有漏網之魚呢?這樣又該怎麼去處理?因為剛剛葛如鈞委員在擔憂這樣子是不是空白授權,如果明確化了,之後是不是會有漏網之魚?這要怎麼處理?因為我們知道現在畢竟我們面對中共的滲透非常嚴重,對於未來的資訊尤其是人工智慧越來越發達的狀況下,我們要怎樣讓我們的資安更安全,能夠抵禦這樣的滲透,謝謝。 主席:好,沈伯洋委員說明完換魯明哲委員。 沈委員伯洋:不好意思,第二次發言。我覺得大家討論的時候可能有點誤會,今天我們在講危害資通安全這個概念本來就很廣,所以沒有什麼超越反滲透法或不超越的問題,在今天所謂「包含但不限於」的意思是說,今天所謂的危害資通安全產品範圍很大,但不只是跟反滲透法這些有關的,我舉個例子,假設今天在資安上本來就有疑慮,比如它有後門、有漏洞,這是危害資通安全的產品,如果今天是解放軍下轄的團體所製造的一個軟體,這對我們來講,即使它安全無虞,我們可能都沒有辦法使用,因為你一旦使用下去了,就已經直接造成國安危機,所以這就是為什麼在修法理由必須要說明危害國家資通安全的產品,除了本來的資安疑慮之外,還包含了這些被黨政軍實質控制所製造出來的,這個我們不能夠使用,只是到底是要把它放在修法理由,還是要把它放在這一邊?所以如果你不把這個訂進去,反而是更不明確,因為危害資通安全產品本來就是一個很廣義的概念,今天在裡面有一部分把它明確化,剛剛我看到那麼多委員一直強調「明確」,其實你把這一個所謂黨政軍實質控制的組織等等所提供的產品把它放進去,這不就是一個很明確的事項嗎? 所以第一個它是明確,第二個它沒有超越的問題,因為它是把危害資通安全產品那麼大的範圍裡面有其中一小塊很明確的告訴你是什麼,其他的部分還是要專業認定,所以這樣的立法方式要放在哪一個?我沒有意見,我只是要講到底今天我們放在哪邊的差別以及它的宣示意義強弱的差別而已,所以可能剛剛在討論的時候,我聽起來好像是有點誤會。 主席:我們請魯明哲委員。 魯委員明哲:謝謝主席,針對這一條我個人的意見是,其實採購法在公務單位對於很多不能採購的資通產品早就有規定,對於一般的公務機關買都不能買,當然你們現在考慮的不光是實體的物品,還包括一些服務,我覺得這個部分到底有沒有跟地方政府……因為這裡的公務機關不光是中央,所有地方政府裡面,包括了剛剛第三條很多的疑慮也是針對納管範圍到底要多寬?現在看起來這一條有特別寫到不光是公務機關,還包括了它所有委外的場域、場館所提供相關的一些傳播設施、公共視聽等等的,這個東西要講清楚,因為現在我們公共的場域有好幾種經營的模式,有一種是蓋好OT給別人,我根本什麼都不提供,至於OT的成本,人家到底要用什麼樣的一些東西,現在要誰去檢查?你們要地方政府去檢查,那也沒問題,但是你們要辦公聽會跟人家溝通一下,包括了各個地方政府有多少項的委外場館、不同的模式,有時候還不是OT的模式,是純粹服務的部分,請人家服務,來帶一些像是銀髮族,人家也買了一些設備,所以這個部分範圍到底要多廣?我建議要跟相關一些可能受影響的地方政府辦公聽會溝通。 最後,我也是建議明確一點,對於「危害國家資通安全產品」,當然除了採購法規定之外,我們還是希望你們要能夠正面表列,不然這些地方政府他們都不是資通專家,哪些不能用?你現在又扯到可能委外的一些機構,它根本不知道,因為我問了幾次數位部,都說不方便公告,我的天啊!你們要求一些單位來遵照你們不方便公告的這些具象的或者軟體產品,你們讓人家假設買了、營運了,又讓人家停工或者拆掉?我們支持這個法令,可是你們這樣的不明確,我是覺得還要繼續討論,以上。 主席:好,沈伯洋委員。 沈委員伯洋:我快速follow剛剛魯委員的問題,現在這個公告有很多種,是對外公告,還是對於有可能必須要遵守的公告,所以可能這個部分請數發部說明一下,我的理解可能是沒有對外,但是對於要遵守的,他們可能是需要得知的,因為它需要遵守,所以等一下也請數發部一併回答。 主席:好,謝謝。意見分歧,請數發部回答。 葉次長寧:我先說明,如果不足再請署長補充。第一個,有關於為什麼它是包括不限於反滲透法的規定,原因就在於,沈委員說得很好,危害國家的資通安全有兩種,一種是被中國大陸或是港澳控制的,因為按照他們的國家法令,他們就可以看裡面的資料,這個是明顯就會發生一些資通安全系統性的風險。另外,有一些資通安全產品,我們講最極端的,即便是美國或臺灣做,它如果做得很爛,裡面有很多木馬程式,這就不會是公司被誰控制的問題,而是這個產品根本就不該用,所以我們說包括但不限於,其實就如剛才沈委員所講,是從資通安全去考量,如果是控制上造成系統性風險,我們也不允許,這個產品如果很爛,我們也不能用,它不見得是中國做的,即便是臺灣做的,大概我們也不能夠容許,這是第一點報告。 第二個,到底這個怎麼認定的問題,當然有關於資通安全的審查程序、風險評估等等,我們會在辦法裡面明定,剛才沈委員提到一個很重要問題就是,大家怎麼知道?其實這個機制我們已經建立蠻多年,從108年初步開始建立到現在,我們基本上不公告的原因就是,只要公告5項,他們就逃避、他們就洗產地、貼牌就好了,因為資通安全其實是一個動態的狀態,但是我們會不會讓公務機關無所適從?其實是不會的,因為我們將來會有情資分享機制,需要使用的人只要有問就會得到答案。 另外一件事情,如果你不知道到底要用什麼、不知道要買什麼?其實我們本部另外設立一個機制,就是有資訊產品的共同採購契約,共同採購契約上面都是我們資安檢查過的,大多數如果資安能力沒有非常特殊要求的,其實就買共同契約上面的就好。按照採購法規定,共同契約價格都訂好了,也不用招標,直接買就OK了,那個部分如果有資安疑慮,我們馬上就從那上面下架,如果上面沒有的,按照我們現在的作法,只要有兩個機關提出需求,我們就會去找廠商,對於本部支持資安產業來講,也很重要,因為我們就可以發展臺灣的資安產業,所以這個其實並沒有對於公務機關或地方政府會造成困擾。 第三個,特別說明的是所謂委外場所,我們有特定限制在公眾視聽的場域之下,意思是他關起門來或是老師上課,這並不是供公眾視聽的情形,這個我們當然會跟地方政府溝通,其實我們從113年開始,就資安法令定期都會巡廻……譬如我們在高雄已經辦過了大概3場、在臺東也辦過、臺中也辦過,這個法通過之後,我們還會持續的跟地方政府溝通;其實我們大家也都是公務員,我們並不想造成中央或地方各機關的公務同仁沒辦法作業、無所適從,或是工作上產生很大的負擔,所以現在行政院版其實是經過多方溝通,也包括各中央目的事業機關,大家都覺得是可行的,我們才會這樣定,以上報告。 林委員國成:主席,我建議這樣啦!聽起來大家意見還是有蠻大的分歧…… 主席:用麥克風,這樣其他人才聽得到。 林委員國成:主席,我建議這樣,我還是希望沒有爭議的法就讓它通過,可是這部從頭審到現在,我認為第十一條有關規定的認知確實是差異很大,再怎麼解釋,現在有些也聽不進去,確確實實有必要有老百姓民意的聲音,所以我建議這條先保留,因為不可能全部的法令都那個……我建議就是先保留,而沒有爭議的讓它過,我建議這樣可能對整個法令會比較完善一點,好不好?暫時保留。 主席:沈伯洋委員說明完了,換魯明哲委員。 沈委員伯洋:等一下,我聽起來這一條沒有什麼爭議,剛剛這樣聽起來爭議沒有很大吧!除了剛剛葛委員提到的有沒有再需要比較細緻的,還有院版修正有使用業務上需求的例外,還有到底要放修法理由或是不要放修法理由,不就是這樣子而已嗎?這個聽起來好像沒有那麼大的歧異,應該是可以討論的。 主席:請魯明哲委員。 魯委員明哲:謝謝主席。還是剛剛談的問題我想再去了解,因為剛剛特別說跟地方政府都辦了一個說明會,也不會造成地方政府的困擾,這我可以理解,因為採購法就已經規定這麼久了嘛!就不能買,他們買都不能買,他們還用什麼?他們基本上都有這種觀念。但是你剛剛講的是,這一條法令在委外營運的場館,我們講火車站好了,火車站的場域他們委託微風廣場經營,他們是完全不管你,這個區塊給你,從櫃子、電視等你要的東西,你自己去弄,什麼意思?就是我要找這些公司、這些民間企業或社團的時候,那他怎麼知道哪一個品牌可不可以買,請問一下你們有通知他嗎?剛剛講說私下公告,你們也會公告給這些管理單位嗎?另外,有些國民運動中心也是空的場域給你,運動器材你自己買,運動器材現在很多都帶電視的,他到底要買什麼廠牌、什麼不能買?不能說我整個買了50臺,你說歹勢!這不能用。所以我的意思就是說,你們現在要的規定不是不行,但是你們對於已經要約束到他下一手民間委外的一些單位的時候,你們能不能把這些公告很明確的讓這些單位也知道,甚至在他來招標之前,他就覺得要不要,因為這都是成本喔!因為資安本來對企業就是一個成本,我需要high quality的、我要美國製的、我要臺灣製的,那本身就是一個成本,我的意思就是說在委外的場館裡面發生他必須全部負責所有設備的時候,對一個民間的廠商要遵循什麼樣的法律?這裡面我並沒有看到很清楚可以依循的部分。 主席:好,這樣子先保留啦! 第十二條,請李昆澤委員。 李委員昆澤:現在進行到第十二條? 主席:第十二條。 李委員昆澤:第十二條是有關於資安長的資格以及相關實質的能力。長期以來,我看各公務機關的資安長其實大半都是由機關的正副首長兼任,但是這些正副首長兼任資安長,他們其實都是缺乏資安的這種專業知識,導致資安的督導責任,我認為是無法實質的落實,這好像變成有名無實的狀況,也遭受外界多所批評。但是數位部也要了解目前這種資安長掛名制的問題,你們要去解決這種資安長掛名制的問題,才能有效的去推動資安政策的落實。但是,目前這種兼任方式能否應付日益嚴峻的資安威脅,如果未來維持這種兼任制度是要透過資安署……我要請教資安署,如何透過強力的專業資源去協助這些資安長能夠提升專業能力?不然這種資安長的掛名制有辦法落實資安嗎?以上。 主席:請行政單位。 林委員國成:條文可以啦!就不要講……好不好? 主席:他們沒什麼意見嗎? 林委員國成:沒有,如果沒有意見就不要講太多,因為我看大家都沒有意見。 蔡署長福隆:我們會在說明欄補充剛剛李委員的意見,謝謝。 李委員昆澤:對啦!對啦!如果這樣,從早到晚就應該秉持這樣的會議原則,我請他們簡單說明,而且我問的也那麼簡短,也請他們簡短說明,結果你們都說一大堆。 林委員國成:對啦!對啦! 主席:對啊!昆澤委員偶爾說一下,你…… 林委員國成:你讓他們說明就對了…… 蔡署長福隆:謝謝李委員的意見,我們會在說明欄這邊……其實我們平常對這些資安長、首長及副首長都有做一些教育訓練的工作,包括我們也舉辦了一些像資安長共識營等等的活動,他們經過這些教育訓練其實可以強化他們在資安方面的專業能力,所以這個平時都有在配合相關的教育訓練課程在推動,以上說明,謝謝。 主席:昆澤委員,這樣OK嗎? 李委員昆澤:好。 主席:第十二條就照行政院版通過,這樣OK嗎?好。 第十三條,你們沒意見,都沒意見、沒有要修正,好,第十三條照行政院提案通過。 第十四條,大家有意見嗎?如果都沒有意見,第十四條就照行政院提案通過。 第十五條。 魯委員是第幾條? 魯委員明哲:就剛剛第十四條,因為一樣後面有資安署,資安署確實有一點怪怪的,包括沒有上級單位,包括總統府,很多那種最高單位最後都要跟資安署報備,所以我在想雖然是倒回去討論第二條定義的部分,大家的疑慮是這中間整個相關的法規剛剛也看到了,其實除了資安署的業務,跟業界、跟產業署的業務都有的嘛!跟民間的產業怎麼樣去投入?納入他們的經驗,這又不是純資安署的。再來是你們管全國的,包括中央單位、地方單位,有時候真的叫「署」去協調,可能簽公文還是要給你們,我覺得這種是不是待會可以一併討論?在整個部會協調溝通的部分,你們全丟給一個二級的資安署適不適合?這個部分是不是一併保留?因為有資安署的問題。 主席:好,第十四條跟第二條的源頭一樣,後面類似這樣的就先保留,這個溝通好就好了。 第十五條,有什麼其他的意見嗎?如果沒有…… 請昆澤委員。 李委員昆澤:從內政部的相關資料,全國368個鄉鎮公所當中其實有超過三分之一沒有專任的資訊人員,在原鄉地區這種情形更是嚴重,資通安全維護計畫的這種專任資訊人員不足,這其實是一個問題,請你們簡單說明一下。 主席:請行政部門回答。 蔡署長福隆:謝謝李昆澤委員剛剛的關心。原鄉在這部分的確是如此,所以我們才會儘量把一些公所相關的東西向上集中到縣政府那邊去,儘量由縣政府來做這些資安管理的工作,這樣可以減輕原鄉一些人力不足的地方,因為事實上,要在一個比較偏僻的原鄉設置1位專職的資安人員,其實不太容易,雖然我們給他這樣的要求,可是他要達成不容易,以上。 主席:這樣回答OK嗎?如果沒有意見,第十五條就照行政院提案通過。 接下來是第十六條,大家有沒有意見?沒有意見就照行政院提案通過。 第十七條,大家有沒有意見? 林委員國成:這裡還有一個資安署,還是要…… 主席:第幾條?第十六條?第十六條有主管機關的問題,所以第十六條跟第二條問題一樣,那就先保留,暫時保留,OK。 再來是第十七條,大家有沒有意見?沒有意見就照行政院提案通過。 第十八條有一個修正動議,就是黃健豪等修正動議,請宣讀。 [image: image7.jpg] 主席:第十八條有沒有意見?請黃健豪委員。 黃委員健豪:感謝主席,我補充一下,關於第十八條的修正動議,之前已經有跟數位部溝通,應該有共識,這條數位部應該沒有反對意見吧!第十八條的修正動議就是鼓勵所屬人員參與資通安全教育訓練而已。 主席:請沈伯洋委員。 沈委員伯洋:我覺得獎勵這個方向很好,另外,我的版本裡面有提到績效評核,剛剛也有跟數發部溝通過,因為在第五條的時候其實也有把績效放進去,我覺得反正這個還是在辦法裡面訂定,不代表馬上就要實行,但我覺得有一定程度的績效評核,對於之後在管考還有在指揮、監督的時候,我覺得可能會比較有效果,所以我建議能不能把「績效評核」這4個字拉回來到最後一項那邊。 主席:剛才第十八條…… 葉次長寧:先回應沈委員,關於第十八條的部分,這個修正版本我們也接受,沈委員說要加「評核」兩個字,我們也接受。 主席:加「評核」…… 沈委員伯洋:績效評核。 主席:績效評核。第十八條改這樣子大家OK嗎?OK,好,第十八條就照…… 林委員國成:還有資安署…… 主席:還有資安署? 葉次長寧:如果召委覺得這樣改可以的話,「資安署」就全部改為「主管機關」…… 主席:對啦,如果是數位部跟剛才……就是從第二條開始,他們在講的就是數位部跟資安署,如果這樣子大家可以接受的話,那剛才保留的就全部都可以通過了。 林委員國成:次長,說實在的,大家有疑慮的,當然資安署也是附屬在數位部,所以這個法本來主管機關是你們嘛,所以你用一個三級機關、二級機關去跟一級機關來談這個事情,大家有疑慮的是這個,如果是這樣,把數位部放進去,他也是你的下屬機關,你們要怎麼樣去協調,是數位部才跟一級機關協調,你們是一級機關協調一級機關,所以我建議私底下你們考慮一下,在整個法的部分是不是把數位部放進去,這個問題就解決啦,不是這樣嗎? 主席:好啦,那我們休息5分鐘讓他們想一下,如果可以的話,從第二條保留到後面就全部都解決,好不好?現在先休息5分鐘。 休息(12時5分) 繼續開會(12時35分) 主席:現在繼續開會。 剛才數發部有跟國民黨、民眾黨團溝通過了,那我們再繞回來第二條,第二條如果處理好了,後面就很多都可以OK了。第二條在第5頁,然後改主管機關為數位發展部,資通安全業務之執行,由數位發展部指定資安專責機關辦理。第二條就改這樣,OK嗎?好,沒意見,第二條就照行政院提案修正通過。 第三條還是保留,然後第四條到第九條本來都通過了,那第四條到第九條就照原來的都通過,第四條到第九條不是都通過了嗎?有資安署的通通過了嘛,要一條一條處理嗎?好,第七條就是改為「主管機關」,所以就照行政院提案修正通過。 第八條也改「主管機關」,然後照行政院提案修正通過。 第九條也改「主管機關」,照行政院提案修正通過。 前面都通過了,再來就剩下第十條,第十條保留,行政機關部門都OK了,第十條保留。第十一條也是保留,就是剛才有提到那個問題,還是保留。 再來,第十二條、第十三條本來就通過了。 第十四條,「資安署」改成「主管機關」,所以第十四條就照行政院提案修正通過。 第十六條也是改成「主管機關」,照行政院提案修正通過。 再回到第十七條,第十七條也是一樣,處理過了。 回到第十八條,第十八條大家有沒有意見?也是一樣,「資安署」改成「主管機關」,那就照行政院提案修正通過。 再來是第十九條,第十九條有修正動議,第十九條好像說那個撤了吧?第十九條是有修正動議,好像有撤了喔!不予增訂,第十九條的修正動議宣讀一下。 [image: image8.jpg] [image: image9.jpg] 主席:這是撤掉還是怎麼樣?我記得他好像說他撤了,他修他自己的版本而已,跟我們無關,那我們還是保留,他們自己的條文刪掉,不是我們的啦,我們的還是照行政院版本。第三章章名就照行政院原來的版本,章名是維持現狀,所以章名那邊不予採納。 第十九條的修正動議是修他自己的版本,所以十九條就是照行政院版本通過。 第三章章名就照行政院提案通過。 第二十條,大家有沒有什麼意見?第二十條沒有意見就照行政院…… 魯委員明哲:第二十條有關關鍵基礎設施特定的部分,不是第三條還沒有確認?針對這個部分,萬一名字改了,有沒有關係?因為第三條現在還不確定,剛剛有一些討論,如果你們按照沒有確定…… 主席:第三條範圍沒有確定嗎? 魯委員明哲:對。如果按照你們原來的版本,剛剛你們同意的就沒有「特定」兩個字。 主席:「特定」拿掉。 魯委員明哲:還是先拿掉啦! 主席:說明一下。 蔡署長福隆:第三條第一款到第九款就維持行政院現行的版本,現行的規定我們沒有變動。所以原來有一些像「特定關鍵基礎設施」的「特定」就拿掉。 林委員國成:你把第二十條「特定」拿掉,這樣就好了。 蔡署長福隆:對、對,我說明一下。第二十條原文是「中央目的事業主管機關應於徵詢相關公務機關、民間團體、專家學者之意見後,指定特定關鍵……」,我們把「特定」拿掉,改為「……指定關鍵基礎設施提供者,送由主管機關報請行政院核定,並以書面通知受核定者。」。 主席:第二十條把「特定關鍵基礎設施」的「特定」拿掉,就是有「特定」的就拿掉,數發部沒問題? 葉次長寧:是。 主席:好,OK。 林委員國成:還有最後一個資安署也是…… 主席:對,一起講,就是「資安署」改成「主管機關」,然後「特定關鍵基礎設施」的「特定」拿掉,就寫「關鍵基礎設施」。前面有很多類似這樣子的問題,現在全部都解決了。 第二十條看前面的螢幕,就是把「特定」都拿掉,OK,好,第二十條就照行政院提案修正通過。 再來第二十一條。 林委員國成:第十九條跟第二十一條,可不可以稍微說明一下? 黃委員健豪:因為你們第二十一條有一個修正條文叫設置資通安全專職人員,這個設置資通安全專職人員的條件你放在第十九條,你們得對所屬資通安全專職人員之適任性進行查核,你們留個紀錄好不好?你們怎麼查核?要怎麼去找到資通安全專職人員?查核要經過什麼樣的流程?誰來查核? 蔡署長福隆:謝謝委員的提問,這個查核部分,其實我們是follow公務人員服務法第四條裡面的特殊查核在做查核,一般我們都會送調查局做相關的特殊查核,這個是既有的程序。以上。 魯委員明哲:現在都有? 蔡署長福隆:有。 林委員國成:都比照公務人員? 葉次長寧:查核的項目比較少一點,因為特殊查核的項目比較多。 主席:第二十條剛才有提過,就是把「特定」拿掉。所以第二十條就照行政院提案修正通過。 第二十一條,剛剛署長有報告過,大家如果沒有意見的話…… 林委員國成:有關「特定」都拿掉。 主席:「特定」拿掉,OK,就照行政院提案修正通過。 再來第二十二條。就像剛才講的,「資安署」全部都把它改成「主管機關」,第二條大家的問題有關「資安署」的,現在通通把它改成「主管機關」,有「特定」的就把「特定」拿掉,留下「關鍵基礎設施」,其他的都跟原來的一樣,就是從早上到現在,大家有不一樣意見的已經統整了,就照這樣子都通過。 好,第二十一條有修正動議,邱若華修正動議是修正他自己的提案,跟我們這次討論行政院的版本沒有關係,他是修正自己的提案,所以修正動議通過。 第二十一條,大家沒有意見,就是照行政院提案修正後通過。 第二十二條,大家有沒有意見?沒有的話,也是一樣照行政院提案通過。 第二十三條,還是沒意見,照行政院提案通過。 第二十四條有修正動議,麻煩宣讀。 [image: image10.jpg] 主席:現在…… 葉次長寧:接受、接受。 主席:OK,好,第二十四條就照委員黃健豪等人所提修正動議通過。 第二十五條,大家有沒有意見?第二十五條不是說好了嗎? 黃委員健豪:沒有。第二十五條保留! 主席:黃健豪委員。 黃委員健豪:主席,不好意思。第二十五條我們這樣看下來覺得很像2017年版本第十八條再寫一遍而已,只是條件又更多,但它的精神好像就是2017年第十八條的版本,其實我講真的,第二十五條前面一、二、三這部分OK。但是後面有一個受調查者,受調查者是誰?所有相關人員都算受調查者嗎?而且他不得拒絕哦!這個法如果過了就授權你們去任何地方進行相關的調查,我覺得這個授權的比例範圍比較廣一點,所以這部分我覺得是不是先保留,讓大家再思考一下? 主席:請數發部。 葉次長寧:委員,我們如果把它特定下來,好不好?譬如說,我們其實在第一項都是當事人跟關係人,我們就把受調查人改成當事人或關係人,這樣就不會太多、就不會誤解。第一項就是當事人或關係人,我們只會查當事人跟關係人而已,這樣就可以不用保留了。 主席:有範圍嗎?有限縮範圍? 葉次長寧:就把受調查者改為當事人或關係人,當事人跟關係人前面都有定義。 主席:剛才有溝通過。 林委員國成:還是保留。 葉次長寧:委員的要求我們可以改。 黃委員健豪:我是覺得開公聽會蒐集大家意見,因為這個涉及到調查,包括調查對象、被調查對象,這個跟……我覺得開公聽會蒐集各界意見,再來把它的範圍制定明確會比較好一點,好不好?我覺得這樣蒐集大家意見比較完整,不要說今天我們三言兩語把它改成當事人跟關係人就好了。 主席:改成當事人跟關係人,它有限縮範圍嘛。 黃委員健豪:主席,我知道,我覺得這個定義還是要明確一點。 林委員國成:要保留就保留啦,把所有問題……不差那一條啦。 主席:現在是…… 葉次長寧:我們都有談過啦,限縮是OK的。 主席:請魯明哲委員。 魯委員明哲:謝謝主席,我想問清楚一下,如果要保留的話,我們就再討論,因為你現在前面開宗明義是針對於調查特定的非公務機關,它基本上看起來是一個法人,你後面寫的是當事人跟關係人,有可能是法人,有可能是自然人,在我們看起來是這樣,機關說一下好不好?因為你要調查一個機關,肯定是要機關代表人,你不能隨便去找一個機關的誰去講,那到底這個是法人、關係人是個人,是你們隨便找嗎?那個狀況到底是怎麼樣,可不可以說明一下?謝謝。 主席:請數發部。 葉次長寧:我們舉具體的例子,特定非公務機關指的是,我們現在以關鍵基礎設施來看,比如說能源的部分,所謂的當事人就是台電公司,關係人我們在第二項有明定關係人以辦理特定非公務機關委託辦理資訊系統之建置、維運或資訊服務的受託者,而且要與重大的資訊安全事件有相關者為限,譬如說台電那個系統,他是請某某資訊公司做的,這個系統是他來維運的,這個調查對象是限於他,而且是要跟資安事件有關的才能夠調查,所以其實在第二項裡面,關係人也不是隨便任何人都可以找,就是當事人一定是特定非公務機關那個資安事件的當事人,是台電就台電,是中華電信就是中華電信。法人當然可以派他的資訊人員來,關係人一定要是受到台電或中華電信委託,然後辦理這個資訊系統,發生資安事件,我們當然要把他找來問。 主席:站在委員會的角度,大家如果看看有道理的,當然可以過就盡量讓他過,如果沒辦法的,大家就把它保留協商。 林委員國成:保留,健豪你呢? 黃委員健豪:保留。 林委員國成:好啦。 主席:好吧,就先保留,他們堅持,我們就先保留啦。 剛剛是第二十五條,再來第二十六條,大家有沒有什麼意見?沒有意見,就照行政院提案通過。 第二十七條。 林委員國成:本黨本來還是想說把它增列這些應指定及特殊人員使用,時間一到就是要……理由消滅以後要……這個剛剛署長已經有解釋了,在你們整個的辦法裡面已經有明定,所以我這個問題就是把它列在這個會議紀錄裡面,也就是相當有執行就好。 主席:好,第二十七條行政院沒問題,那就照這樣,其他剛剛林國成委員講的就列到後面,這一條就照行政院提案通過。 之前在第二十五條那邊,有一個羅美玲等委員的提案,那一條行政院沒有對案,那個就不予採納。 第二十八條,大家有沒有什麼意見?沒有意見,就照行政院提案通過。 再來,第二十九條。 林委員國成:本黨團在罰則部分,它這裡是最高500萬,我們是建請改為1,000萬,這個罰則高一點,底線我們沒有更改,但是上限我們把它拉到1,000萬,看主管機關有何看法。 主席:行政院? 黃部長彥男:可以。 主席:OK,好,那就照剛剛林召委提到的加以修正,本條就照行政院提案修正通過。 再來,第三十條,大家有沒有意見? 林委員國成:這在我們黨版裡面,本來是到100萬,我們把它拉到上限是500萬,10萬的部分不改。 主席:那就是把行政院提案的100萬改成500萬嘛? 林委員國成:對,主席,我建議在罰則部分用民眾黨版本提高罰則。 主席:你有民眾黨版本? 林委員國成:我們民眾黨版本是這樣。 主席:OK嗎?民眾黨版本你們有看仔細了?你要看一下,不要都沒有看。 葉次長寧:就改數字而已。 主席:對,你看一下。 林委員國成:對,我們版本就是改數字啦。 主席:沒關係,就看一下。 林委員國成:就是提高金額,採用民眾黨版本這樣就好啦。 主席:因為你照行政院版本修正就看字的部分而已,照民眾黨版本要看整個版本,沒關係,你們看一下。其他都一樣?再來是第四章…… 林委員國成:不要耽擱時間,我拜託主席,在這個部分,你看我們的版本是這樣,那可以用這個版本留下紀錄是民眾黨的…… 葉次長寧:參考民眾黨的版本。 主席:好啦,參考民眾黨意見啦。 林委員國成:可以、可以,就留下紀錄。 主席:好啦,這樣比較單純,就是參考民眾黨版本意見,照行政院提案修正通過,這樣好不好?OK。 剛才有一個漏掉的再補充一下,第四章章名就是「罰則」,這個大家有沒有意見?好,照行政院提案通過。 再來,第三十一條,大家有沒有意見?沒有的話,照行政院提案通過。 第五章章名是「附則」,大家有沒有意見?沒有意見,照行政院提案通過。 再來,第三十二條,大家有沒有意見? 林委員國成:保留啊。 主席:第三十二條是…… 林委員國成:第三十二條不是要保留嗎? 葉次長寧:已經照國民黨的意見修正了。 主席:已經照…… 黃委員健豪:開公聽會嘛。 林委員國成:沒有關係啦,跟你們溝通了老半天都說好了,那現在…… 主席:不是,以為你已經都說好了,所以你還沒說好? 林委員國成:還沒啦! 主席:好啦,沒關係,還沒說好就是還沒說好。所以第二十五條跟三十二條,你們的意見是再保留? 林委員國成:對啦。 主席:好啦,這兩條就保留。 再來,第三十三條,大家有意見嗎?沒有意見,照行政院提案通過。 第三十四條,大家有意見嗎?沒有意見,照行政院提案通過。 這樣子總共保留的有哪幾條?保留第三、十、十一、二十五、三十二條,這五條保留,其他通通通過了。 林委員國成:差不多了。 主席:剛剛有一個林俊憲提案章名,這個不予採納。 還有第三十五條,大家有沒有意見? 林委員國成:我說那個日期把它訂得比較明確,你們有什麼困難嗎? 葉次長寧:剛剛有提到地方也要溝通的,這個就讓我們來指定好了啦,我們會儘快實施,因為這個法是我們要用的,所以我們一定會趕快讓他實施,但是要讓我們有一點溝通調整的時間,否則各目的事業主管機關跟地方政府…… 林委員國成:主席,台灣民眾黨建議是要訂這個,至於執行的時間就授權給他們,還是要留下紀錄啦。 主席:留下紀錄。 林委員國成:對。 主席:民眾黨建議留下紀錄,我們就照行政院提案通過。 再來處理附帶決議,請宣讀許智傑、羅美玲等提案。 附帶決議 為確保我國資通安全、完善國內資通安全應處機制,現行法於《資通安全管理法》下訂有:《資通安全管理法施行細則》、《資通安全責任等級分級辦法》、《資通安全事件通報及應變辦法》、《特定非公務機關資通安全維護計畫實施情形稽核辦法》、《資通安全情資分享辦法》及《公務機關所史人員資通安全事項獎勵辦法》等六子法。 惟本次修法涉及多數重大變動,其中涉及子法者除上述子法應隨同修正外,尚包括但不限於草案第5條第4項「國家資通安全會報組成……」、第11條第3項「資通安全產品審查程序……」、第16條第3項「資通安全維護計畫必要事項……」、第19條第6項「資通安全專職人員查核」等內容尚待擬訂子法加以規範。 綜上所述,為確保國家資通安全及完善資安事件應處機制,爰要求數位發展部資通安全署須於六個月內完成相關子法之擬訂,並於本法公布施行時一併施行,避免出現法律真空,影響國家資通安全。 提案人:羅美玲  許智傑 連署人:徐富癸  何欣純  李昆澤 主席:這個數發部有沒有意見? 蔡署長福隆:原則上,我們尊重委員的意見,是不是把那個文字更明確化,就是倒數第3行修正為「數位發展部資通安全署須於總統公布後六個月內」。 主席:OK。 蔡署長福隆:這樣比較明確知道六個月從哪裡算起。 主席:OK。 林委員國成:主席,你們還是要考慮連貫的問題,就是「資通安全署」要把它拿掉才會連貫,附帶決議裡面不要又延伸資安署,這樣會造成整個法令不連貫,所以我建議是否就寫「主管機關」或者「數位部」,這樣的話,才會讓我們的法令有連貫性。 主席:那就改成數位發展部就好,於總統公布後六個月內完成,OK。 請黃健豪委員。 黃委員健豪:謝謝主席。我只是要評論一下這個附帶決議而已,其實看這個附帶決議表示說希望大家在六個月內完成相關子法擬定,並於本法公布施行時一併施行,就表示說這段……有些法條我們主張保留並不是沒有原因,我們希望真的訂得更明確一點再通過,如果現在過了,什麼子法都沒有,那就是空白授權啊,我覺得這是今天會議的重點,好不好?謝謝。 主席:OK,那大家有沒有意見?(無)如果沒有意見的話,這個就修正通過。 如有委員對附帶決議補簽,列入紀錄並刊登公報。 協商完成,作以下宣告:今日協商結論免予宣讀,授權議事人員整理作為決議,列入紀錄。數位發展部建議條文及相關機關所送書面資料,列入公報紀錄。 針對今日的會議作以下決議:併案審查完竣,擬具審查報告,提報院會討論,院會討論前須交由黨團協商。院會討論時,由許召集委員智傑補充說明,請數發部就審查結果通過條文補充立法說明送交通委員會,以便列於審查報告,一併呈送立法院院會。最後,條次、引述條文部分文字及法制用字,授權主席及議事人員整理。 林委員國成:你沒有宣讀保留條文。 主席:剛才不是都有講了嗎?再講一次,保留條文是第三條、第十條、第十一條、第二十五條、第三十二條,共五條。 本次會議結束,散會。 散會(13時7分)