行政院通过「资安法」修正案 规避稽核最多可罚100万

行政院会今通过数发部拟具的「资通安全管理法」修正案，资安署得定期或不定期稽核公务机关、特定非公务机关的资安维护计划，若规避相关调查，主管机关可处10万以上100万以下罚锾。（行政院提供）

资安法修正案规范公务机关、特定非公务机关的资安限制范围。（资安署提供）

资安法修正案扩大资安署稽核范围。（资安署提供）

资安法修正后，资安署可要求公务机关做「调度支援」、「适任性查核」（资安署提供）

行政院会今（4日）通过数发部拟具的「资通安全管理法」修正案，本次修正重点除明定主管机关及各机关权责，资安署得定期或不定期稽核公务机关、特定非公务机关的资安维护计划，同时要求特定非公务机关设置资安长，更增订中央目的事业主管机关对特定非公务机关重大资通安全事件的调查权限，若规避相关调查，主管机关可处10万以上100万以下罚锾。

资安署指出，资安法修正案主要有三重点，分别是明确机关权责强化合作协力、强化纳管机关资安管理、精进资安人力策略。

针对强化纳管机关资安管理，包含扩大稽核范围，增订资安署得定期或不定期稽核纳管机关的资通安全维护计划实施情形，并增订纳管机关对于危害国家资通安全产品有关下载、安装或使用的相关规范。

针对精进资安人力策略，增订应符合资通安全责任等级之要求设置资通安全专职人员、强化并提升资通安全人员之专业知能及重大资通安全事件之调度支援等规定，增订中央目的事业主管机关对特定非公务机关重大资通安全事件之调查权限。

其中，公务机关部分，若遇有重大资通安全事件，资安署得有「调度支援」权力，要求各级机关资通安全人员支援，并视为在职训练的一环，且可对涉及国家机密、军事机密及国防秘密的资通安全业务人员进行「适任性查核」；特定非公务机关增订对所属人员办理资通安全业务之奖励及惩处。

资安署长谢翠娟补充，「适任性查核」是对要处理机敏业务的人员，查核有无犯罪纪录；对于「调度支援」所指的重大资安事件，则是影响层面超过县市政府，或影响民众权益过大的事件。谢翠娟强调，资安署的稽核结果会定期公布，每年都会送到立法院，也会公布在网站上。

至于特定非公务资安机关范围为何？新竹科学园区是否涵盖在内？数发部次长阙河鸣表示，竹科是关键基础设施，但位于竹科的公司必须是关键基础设施才会被列入范围内。

由于过往有公共设备标案，出现陆制设备的状况，该状况是否也在资安法管控范围？阙河鸣表示，资安法规范对象是公务机关或特定非特定机关，规范的是使用情形，而非采购，若是采购的话，将由政府采购法规范。

阙河鸣补充，就算原先采购的是符合规定的，也有可能采购后，使用产品厂牌被并购，若云端伺服器被放在中国可控地区，当地政府可取得相关资料，就变成危害国家资安的产品，因此本次修法只规范公务机关或特定非公务机关使用方式。

阙河鸣说，若公务机关必须要使用被管制产品，只要两级资安长同意送数位部备查，基本上都会同意，像是驻外单位需要电信服务，或陆委会需要用到跟中国有关资料库，现行制度都运作顺畅，资安法只是把制度具体化。