【資安法三讀,政府應信任民間自律】
針對今日三讀的資通安全管理法,我在上個會期提出了自己的草案版本,首先必須感謝當中有很多的精神獲得行政機關及朝野立委的肯定。
我肯定政府針對資通議題的重視與防護,而在各方協商的努力之下,將原本的政院版草案第十八條刪除,也就是行政部門得逕自派員行政檢查的霸王條文刪除,因為行政院資安處本來就只是擔任各部會資安議題的協調、支援角色,實在沒有必要直接插手,應該讓事權回歸到各事業主管機關的相關管理程序即可。
但是仍有些不足的的地方,首先,我認為關鍵基礎設施的定義還是具有變動性,試想,在物聯網的時代,當所有裝置都透過網際網路相互連結時,關鍵基礎設施絕不是如國土安全辦公室20年前所定義的「能源」、「水資源」、「通訊傳播」、「交通」、「銀行與金融」、「緊急救援與醫院」、「高科技園區」。以上是功能性的分類,這種過時的分類當然無法因應快速變動的未來。
因此,我仍然堅持必須確實、精確的定義關鍵基礎設施,否則沒有意義,而且在定義時,應讓專家學者參與並加入討論,確保公開透明。
此外,一如我一直以來說的,美國的「聯邦資訊安全現代化法」(Federal Information Security Modernization Act of 2014),對於非公務機關並沒有管制規範,我認為在非公務機關的部分,應該要尊重民間自律,僅就公務機關作為管制對象,但最後的協商結果仍然保留了特定非公務機關的定義,這點我相當遺憾。因為這將對民間企業的資安自律產生相當的阻礙。
因此,雖然資通安全管理法三讀通過,毓仁還是會繼續努力維護民間的資安自律及自主,努力監督國家的手不要過度的干涉資安秩序,我相信,民間機構、企業不會拿自己的商譽開玩笑。
一如我一直所說的,政府應該適度地信任民間機構、企業自律的能力,唯有公私彼此信任,由民間自發自律,才能真正達到維護資通安全的最佳效果。
#資安法
#企業自主
#政府信任
