November 2025
特定非公務機關所涉業者應注意資通安全管理新規範(臺灣)
為回應國內外資通安全環境快速變動及挑戰,台灣立法院於2025年8月29日三讀通過《資通安全管理法》(下稱「資安法」)修正案,並經總統於2025年9月24日公布,施行日期則待行政院定之。此為資安法自2018年制定以來首次進行修法,將原有條文23條擴增至35條,可見本次修法幅度甚鉅。
資安法納管對象可區分為公務機關及特定非公務機關。所謂「特定非公務機關」,係指關鍵基礎設施提供者、公營事業、特定財團法人或受政府控制之事業、團體或機構(資安法第3條第6款)。而「關鍵基礎設施」則係指實體或虛擬資產、系統或網路,其功能停止或效能降低時,對公益將有重大影響之虞者(資安法第3條第7款)。此外,「關鍵基礎設施」提供者之認定方式係由行政院公告指定領域,再由中央目的事業主管機關(下稱「主管機關」)指定並報行政院核定納管(資安法第3條第8款),例如行政院公告能源領域之供電設施或系統、通訊傳播領域之通訊服務系統及金融領域之銀行交易服務系統等。
此外,本次修法亦將「受政府控制之事業、團體或機構」納入「特定非公務機關」之範圍內。所謂「受政府控制之事業、團體或機構」係指由政府暨其所屬營業基金或非營業基金轉投資金額累計占該事業資本額百分之二十以上之事業或受政府直接或間接控制其人事、財務或業務之團體或機構(資安法第3條第10款),例如銓敘部公告符合前述條件下行政院國家發展基金管理會轉投資之事業及受財政部控制之銀行等。
本文就本次修法「特定非公務機關」應遵守之事項,說明如下:
一、特定非公務機關應設置資通安全長及資通安全專職人員
過去僅要求公務機關應設置資通安全長,本次修法則擴大要求特定非公務機關亦應設置資通安全長,該職位應由其代表人、管理人、其他有代表權人或其指派之適當人員出任,負責推動及監督該機關內之資通安全事務(資安法第23條)。此外,為確保特定非公務機關之資通安全防護量能,本次修法亦要求特定非公務機關應依所屬資通安全責任等級設置資通安全專職人員(資安法第20條第2項及第21條第1項)。
二、強化特定非公務機關委外資通安全業務之安全性
過去就特定非公務機關委託第三方辦理資通系統之建置、維運或資通服務之提供(以下合稱「受託者」)時,僅要求特定非公務機關應妥適選任受託者,並監督其資通安全維護情形。惟本次修法考量受託者亦應具備完善之資通安全防護措施及環境,故新增受託者應建置資通安全管理措施或通過公正第三方驗證之規定(資安法第10條第2項)。此外,為明確監督管理之權責,本次修法亦要求特定非公務機關辦理前述委外業務時,應與受託者簽訂書面契約載明雙方權利義務及違約責任(資安法第10條第3項)。
三、主管機關得限制或禁止特定非公務機關下載、安裝或使用危害國家資通安全產品
本次修法新增對「危害國家資通安全產品」之管理,所謂「危害國家資通安全產品」,係指經主管機關認定,對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統、服務或產品(資安法第3條第11款)。本次修法明文規範主管機關得限制或禁止特定非公務機關下載、安裝或使用危害國家資通安全產品;同時,於主管機關有維護資通安全之必要時,該禁止規範亦擴及至特定非公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務之情況(資安法第27條第1項)。
四、主管機關得就特定非公務機關所生之重大資通安全事件實施行政調查
為強化主管機關之監督權限,本次修法賦予主管機關得就特定非公務機關發生之重大資通安全事件進行調查,包含通知當事人或關係人到場陳述意見,且相關當事人不得拒絕(資安法第25條)。若有規避、妨礙或拒絕調查者,主管機關得處新臺幣十萬元以上一百萬元以下罰鍰(資安法第31條)。
五、個資保護之雙軌機制
考量資安法與《個人資料保護法》規範目的不同,前者係落實資通安全維護義務,後者係就個人資料採行適當之安全措施,兩者宜雙軌並行,故本次修法明定當資通安全事件涉及個人資料外洩時,特定非公務機關應依《個人資料保護法》及其相關法令規定辦理(資安法第33條)。
本次資安法修正明定數位發展部為該法之主管機關(資安法第2條),數位發展部資通安全署將於總統公布日起六個月內完成八項子法修訂,包含《資通安全管理法施行細則》、《資通安全責任等級分級辦法》及《特定非公務機關資通安全維護計畫實施情形稽核辦法》等。未來資安法與其子法同步施行後,相關業者應如何遵守並制定內部規範以符法制,本所將持續追蹤觀察。
資安法納管對象可區分為公務機關及特定非公務機關。所謂「特定非公務機關」,係指關鍵基礎設施提供者、公營事業、特定財團法人或受政府控制之事業、團體或機構(資安法第3條第6款)。而「關鍵基礎設施」則係指實體或虛擬資產、系統或網路,其功能停止或效能降低時,對公益將有重大影響之虞者(資安法第3條第7款)。此外,「關鍵基礎設施」提供者之認定方式係由行政院公告指定領域,再由中央目的事業主管機關(下稱「主管機關」)指定並報行政院核定納管(資安法第3條第8款),例如行政院公告能源領域之供電設施或系統、通訊傳播領域之通訊服務系統及金融領域之銀行交易服務系統等。
此外,本次修法亦將「受政府控制之事業、團體或機構」納入「特定非公務機關」之範圍內。所謂「受政府控制之事業、團體或機構」係指由政府暨其所屬營業基金或非營業基金轉投資金額累計占該事業資本額百分之二十以上之事業或受政府直接或間接控制其人事、財務或業務之團體或機構(資安法第3條第10款),例如銓敘部公告符合前述條件下行政院國家發展基金管理會轉投資之事業及受財政部控制之銀行等。
本文就本次修法「特定非公務機關」應遵守之事項,說明如下:
一、特定非公務機關應設置資通安全長及資通安全專職人員
過去僅要求公務機關應設置資通安全長,本次修法則擴大要求特定非公務機關亦應設置資通安全長,該職位應由其代表人、管理人、其他有代表權人或其指派之適當人員出任,負責推動及監督該機關內之資通安全事務(資安法第23條)。此外,為確保特定非公務機關之資通安全防護量能,本次修法亦要求特定非公務機關應依所屬資通安全責任等級設置資通安全專職人員(資安法第20條第2項及第21條第1項)。
二、強化特定非公務機關委外資通安全業務之安全性
過去就特定非公務機關委託第三方辦理資通系統之建置、維運或資通服務之提供(以下合稱「受託者」)時,僅要求特定非公務機關應妥適選任受託者,並監督其資通安全維護情形。惟本次修法考量受託者亦應具備完善之資通安全防護措施及環境,故新增受託者應建置資通安全管理措施或通過公正第三方驗證之規定(資安法第10條第2項)。此外,為明確監督管理之權責,本次修法亦要求特定非公務機關辦理前述委外業務時,應與受託者簽訂書面契約載明雙方權利義務及違約責任(資安法第10條第3項)。
三、主管機關得限制或禁止特定非公務機關下載、安裝或使用危害國家資通安全產品
本次修法新增對「危害國家資通安全產品」之管理,所謂「危害國家資通安全產品」,係指經主管機關認定,對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統、服務或產品(資安法第3條第11款)。本次修法明文規範主管機關得限制或禁止特定非公務機關下載、安裝或使用危害國家資通安全產品;同時,於主管機關有維護資通安全之必要時,該禁止規範亦擴及至特定非公務機關自行或委外營運場所提供公眾視聽或使用之傳播設備及網際網路接取服務之情況(資安法第27條第1項)。
四、主管機關得就特定非公務機關所生之重大資通安全事件實施行政調查
為強化主管機關之監督權限,本次修法賦予主管機關得就特定非公務機關發生之重大資通安全事件進行調查,包含通知當事人或關係人到場陳述意見,且相關當事人不得拒絕(資安法第25條)。若有規避、妨礙或拒絕調查者,主管機關得處新臺幣十萬元以上一百萬元以下罰鍰(資安法第31條)。
五、個資保護之雙軌機制
考量資安法與《個人資料保護法》規範目的不同,前者係落實資通安全維護義務,後者係就個人資料採行適當之安全措施,兩者宜雙軌並行,故本次修法明定當資通安全事件涉及個人資料外洩時,特定非公務機關應依《個人資料保護法》及其相關法令規定辦理(資安法第33條)。
本次資安法修正明定數位發展部為該法之主管機關(資安法第2條),數位發展部資通安全署將於總統公布日起六個月內完成八項子法修訂,包含《資通安全管理法施行細則》、《資通安全責任等級分級辦法》及《特定非公務機關資通安全維護計畫實施情形稽核辦法》等。未來資安法與其子法同步施行後,相關業者應如何遵守並制定內部規範以符法制,本所將持續追蹤觀察。
