November 2025
特定非公务机关所涉业者应注意资通安全管理新规范(台湾)
为回应国内外资通安全环境快速变动及挑战,台湾立法院于2025年8月29日三读通过《资通安全管理法》(下称「资安法」)修正案,并经总统于2025年9月24日公布,施行日期则待行政院定之。此为资安法自2018年制定以来首次进行修法,将原有条文23条扩增至35条,可见本次修法幅度甚巨。
资安法纳管对象可区分为公务机关及特定非公务机关。所谓「特定非公务机关」,系指关键基础设施提供者、公营事业、特定财团法人或受政府控制之事业、团体或机构(资安法第3条第6款)。而「关键基础设施」则系指实体或虚拟资产、系统或网络,其功能停止或效能降低时,对公益将有重大影响之虞者(资安法第3条第7款)。此外,「关键基础设施」提供者之认定方式系由行政院公告指定领域,再由中央目的事业主管机关(下称「主管机关」)指定并报行政院核定纳管(资安法第3条第8款),例如行政院公告能源领域之供电设施或系统、通讯传播领域之通讯服务系统及金融领域之银行交易服务系统等。
此外,本次修法亦将「受政府控制之事业、团体或机构」纳入「特定非公务机关」之范围内。所谓「受政府控制之事业、团体或机构」系指由政府暨其所属营业基金或非营业基金转投资金额累计占该事业资本额百分之二十以上之事业或受政府直接或间接控制其人事、财务或业务之团体或机构(资安法第3条第10款),例如铨叙部公告符合前述条件下行政院国家发展基金管理会转投资之事业及受财政部控制之银行等。
本文就本次修法「特定非公务机关」应遵守之事项,说明如下:
一、特定非公务机关应设置资通安全长及资通安全专职人员
过去仅要求公务机关应设置资通安全长,本次修法则扩大要求特定非公务机关亦应设置资通安全长,该职位应由其代表人、管理人、其他有代表权人或其指派之适当人员出任,负责推动及监督该机关内之资通安全事务(资安法第23条)。此外,为确保特定非公务机关之资通安全防护量能,本次修法亦要求特定非公务机关应依所属资通安全责任等级设置资通安全专职人员(资安法第20条第2项及第21条第1项)。
二、强化特定非公务机关委外资通安全业务之安全性
过去就特定非公务机关委托第三方办理资通系统之建置、维运或资通服务之提供(以下合称「受托者」)时,仅要求特定非公务机关应妥适选任受托者,并监督其资通安全维护情形。惟本次修法考虑受托者亦应具备完善之资通安全防护措施及环境,故新增受托者应建置资通安全管理措施或通过公正第三方验证之规定(资安法第10条第2项)。此外,为明确监督管理之权责,本次修法亦要求特定非公务机关办理前述委外业务时,应与受托者签订书面契约载明双方权利义务及违约责任(资安法第10条第3项)。
三、主管机关得限制或禁止特定非公务机关下载、安装或使用危害国家资通安全产品
本次修法新增对「危害国家资通安全产品」之管理,所谓「危害国家资通安全产品」,系指经主管机关认定,对国家资通安全具有直接或间接造成危害风险,影响政府运作或社会安定之资通系统、服务或产品(资安法第3条第11款)。本次修法明文规范主管机关得限制或禁止特定非公务机关下载、安装或使用危害国家资通安全产品;同时,于主管机关有维护资通安全之必要时,该禁止规范亦扩及至特定非公务机关自行或委外营运场所提供公众视听或使用之传播设备及因特网接取服务之情况(资安法第27条第1项)。
四、主管机关得就特定非公务机关所生之重大资通安全事件实施行政调查
为强化主管机关之监督权限,本次修法赋予主管机关得就特定非公务机关发生之重大资通安全事件进行调查,包含通知当事人或关系人到场陈述意见,且相关当事人不得拒绝(资安法第25条)。若有规避、妨碍或拒绝调查者,主管机关得处新台币十万元以上一百万元以下罚款(资安法第31条)。
五、个资保护之双轨机制
考虑资安法与《个人资料保护法》规范目的不同,前者系落实资通安全维护义务,后者系就个人资料实行适当之安全措施,两者宜双轨并行,故本次修法明定当资通安全事件涉及个人资料外泄时,特定非公务机关应依《个人资料保护法》及其相关法令规定办理(资安法第33条)。
本次资安法修正明定数位发展部为该法之主管机关(资安法第2条),数字发展部资通安全署将于总统公布尔日起六个月内完成八项子法修订,包含《资通安全管理法施行细则》、《资通安全责任等级分级办法》及《特定非公务机关资通安全维护计划实施情形稽核办法》等。未来资安法与其子法同步施行后,相关业者应如何遵守并制定内部规范以符法制,本所将持续追踪观察。
资安法纳管对象可区分为公务机关及特定非公务机关。所谓「特定非公务机关」,系指关键基础设施提供者、公营事业、特定财团法人或受政府控制之事业、团体或机构(资安法第3条第6款)。而「关键基础设施」则系指实体或虚拟资产、系统或网络,其功能停止或效能降低时,对公益将有重大影响之虞者(资安法第3条第7款)。此外,「关键基础设施」提供者之认定方式系由行政院公告指定领域,再由中央目的事业主管机关(下称「主管机关」)指定并报行政院核定纳管(资安法第3条第8款),例如行政院公告能源领域之供电设施或系统、通讯传播领域之通讯服务系统及金融领域之银行交易服务系统等。
此外,本次修法亦将「受政府控制之事业、团体或机构」纳入「特定非公务机关」之范围内。所谓「受政府控制之事业、团体或机构」系指由政府暨其所属营业基金或非营业基金转投资金额累计占该事业资本额百分之二十以上之事业或受政府直接或间接控制其人事、财务或业务之团体或机构(资安法第3条第10款),例如铨叙部公告符合前述条件下行政院国家发展基金管理会转投资之事业及受财政部控制之银行等。
本文就本次修法「特定非公务机关」应遵守之事项,说明如下:
一、特定非公务机关应设置资通安全长及资通安全专职人员
过去仅要求公务机关应设置资通安全长,本次修法则扩大要求特定非公务机关亦应设置资通安全长,该职位应由其代表人、管理人、其他有代表权人或其指派之适当人员出任,负责推动及监督该机关内之资通安全事务(资安法第23条)。此外,为确保特定非公务机关之资通安全防护量能,本次修法亦要求特定非公务机关应依所属资通安全责任等级设置资通安全专职人员(资安法第20条第2项及第21条第1项)。
二、强化特定非公务机关委外资通安全业务之安全性
过去就特定非公务机关委托第三方办理资通系统之建置、维运或资通服务之提供(以下合称「受托者」)时,仅要求特定非公务机关应妥适选任受托者,并监督其资通安全维护情形。惟本次修法考虑受托者亦应具备完善之资通安全防护措施及环境,故新增受托者应建置资通安全管理措施或通过公正第三方验证之规定(资安法第10条第2项)。此外,为明确监督管理之权责,本次修法亦要求特定非公务机关办理前述委外业务时,应与受托者签订书面契约载明双方权利义务及违约责任(资安法第10条第3项)。
三、主管机关得限制或禁止特定非公务机关下载、安装或使用危害国家资通安全产品
本次修法新增对「危害国家资通安全产品」之管理,所谓「危害国家资通安全产品」,系指经主管机关认定,对国家资通安全具有直接或间接造成危害风险,影响政府运作或社会安定之资通系统、服务或产品(资安法第3条第11款)。本次修法明文规范主管机关得限制或禁止特定非公务机关下载、安装或使用危害国家资通安全产品;同时,于主管机关有维护资通安全之必要时,该禁止规范亦扩及至特定非公务机关自行或委外营运场所提供公众视听或使用之传播设备及因特网接取服务之情况(资安法第27条第1项)。
四、主管机关得就特定非公务机关所生之重大资通安全事件实施行政调查
为强化主管机关之监督权限,本次修法赋予主管机关得就特定非公务机关发生之重大资通安全事件进行调查,包含通知当事人或关系人到场陈述意见,且相关当事人不得拒绝(资安法第25条)。若有规避、妨碍或拒绝调查者,主管机关得处新台币十万元以上一百万元以下罚款(资安法第31条)。
五、个资保护之双轨机制
考虑资安法与《个人资料保护法》规范目的不同,前者系落实资通安全维护义务,后者系就个人资料实行适当之安全措施,两者宜双轨并行,故本次修法明定当资通安全事件涉及个人资料外泄时,特定非公务机关应依《个人资料保护法》及其相关法令规定办理(资安法第33条)。
本次资安法修正明定数位发展部为该法之主管机关(资安法第2条),数字发展部资通安全署将于总统公布尔日起六个月内完成八项子法修订,包含《资通安全管理法施行细则》、《资通安全责任等级分级办法》及《特定非公务机关资通安全维护计划实施情形稽核办法》等。未来资安法与其子法同步施行后,相关业者应如何遵守并制定内部规范以符法制,本所将持续追踪观察。
