2018.5.11
陈晓蓁 律师
立法院于民国107年5月11日通过「资通安全管理法」(下称本法)。本法目的在积极推动国家资通安全政策,加速建构国家资通安全环境,以保障国家安全,维护社会公共利益。简述立法重点如下:
本法主管机关为行政院(第2条)。本法适用之主体,包含公务机关与特定非公务机关。公务机关,是指依法行使公权力之中央、地方机关(构)或公法人,但不包括军事机关及情报机关(第3条第5款)。特定非公务机关,指关键基础设施提供者、公营事业及政府捐助之财团法人(第3条第5款)。其中的关键基础设施,是指实体或虚拟资产、系统或网络,其功能一旦停止运作或效能降低,对国家安全、社会公共利益、国民生活或经济活动有重大影响之虞,经主管机关定期检视并公告之领域(第3条第7款)。而关键基础设施提供者,则指维运或提供关键基础设施之全部或一部,经中央目的事业主管机关指定,并报主管机关核定者(第3条第8款)。行政院将于核定后以书面通知适用本法之关键基础设施提供者(第16条第1项)。
公务机关依本法应负担之义务主要包含:符合其所属资通安全责任等级之要求(第10条);设置资通安全长(第11条);制定资通安全维护计划,逐年提报实施情形,并就实施缺失提出改善报告(第10、12、13条);就资通安全事件,应订定通报及应变机制,并于知悉资通安全事件后通报,并提出资通安全事件调查、处理及改善报告(第14条)
关键基础设施提供者依本法应负担之义务主要包含:符合其所属资通安全责任等级之要求(第16条第2项);制定并提报资通安全维护计划,并就实施缺失提出改善报告(第16条第2~5项);就资通安全事件,应订定通报及应变机制,并于知悉资通安全事件后通报,并提出资通安全事件调查、处理及改善报告(第18条)。至于关键基础设施提供者以外之特定非公务机关,虽亦负制定资通安全维护计划之义务,但无须主动提报,仅须在目的事业主管机关要求时提报实施情形及就实施缺失提出改善报告(第17条),其余义务与关键基础设施提供者相同。
本法第19~21条订有相关罚则。特定非公务机关未依本法第18条第2项规定通报资通安全事件,可处30万元以上500万元以上罚款,届期未改善者可按次处罚(第21条)。
本法于107年6月6日公布,至本文完稿前尚未确定施行日期,行政院预计分阶段施行,公务机关最先适用,其次为关键基础设施提供者,最后为关键基础设施提供者以外之特定非公务机关。本法授权之相关子法,包括《资通安全管理法施行细则》、《资通安全责任等级分级办法》、《资通安全情资分享办法》、《资通安全事件通报及应变办法》、《特定非公务机关资通安全维护计划》以及《公务机关所属人员办理资通安全业务奖惩办法》等,亦将陆续制定。