資通安全管理法是台灣資安相關制度的圭臬,雖然規範管轄的範圍尚以公務機關及特定非公務機關為主,但資安議題攸關國家大事,當然掀起了許多討論的聲浪。
資通安全管理法自2019年實施以來,至今尚未修法,很大的原因在於修改負責的單位面臨異動。原先負責制定資安法的行政院資通安全處,在2022年8月數位部成立同時也組織資安署之後,負責修法的重責大任就轉換到資安署身上,因此修法的進度也就延宕至今。
就在今年9月下旬到11月,數位發展部預告修正資通安全管理法,期間舉辦了多場座談會以收集專家學者意見,同時也在公共政策網路參與平台公告內容進行民眾意見蒐集。有關修法,其中有幾個議題受到各界的討論與新聞媒體的報導。
主管機關層級 位階上下權責問題
由於之前的資安法的主管機關為行政院,當行政院發文告知各部會須依循的事項時,各機關重視程度一定相對較高;但修法之後會以數位發展部的名義發文,其他部會變成平行單位,即便未來修法將明訂數發部的資安署為國家資安專責單位,但未來數位部發文各平行單位的重視與否很難預期,更別說是發文給上級單位如要進行稽核相關業務,會有上下權責的問題。
公務機關不得採購及使用危害國家資通安全產品
修正的資安法當中,增加訂定了公務機關不能採購使用危害國家資通安全產品的規定,資安署表示,目前已掌握約1000多個列管產品項目清單,分類項目有網路類、系統類、資料庫類等10多個類別,並有1000多個列管項目,如有使用列管產品服務,後續會要求汰換或拉高資安規格。
不過數位部部長唐鳳表示,這份清單並不會公開,主要是希望避免公開後相關產品會以改名或改產地去規避。因此,未來相關資安規定將納入政府的資訊採購中,公務機關可以向數位部確認產品是否為白名單,由數位部協助檢視。
資安法擴大規範對象至產業? 尚待未來式
資安法規範的範圍以公務機關和特定非公務機關為主,回到資安法一開始草擬之時,由於有多個電子商務個資頻繁外洩的案例,因此一直有外界聲音建議擁有大量個資的電商應該也要納入資安法的管轄範圍當中。
本次修法仍未見規範產業的相關問題,目前電商個資保護問題也只能適用於個資法的規範。不過專家認為個資外洩的問題即為資安事件,若能從根本讓產業做好資安的相關防護,一定也能降低個資外洩的可能性,因此期待未來能有相關擴大適法的可能,進一步保護國家人民的資安與個資安全。