CoverPhotoCredit:Alexas_Fotos, CC0
關於 8 月10 、11日的三場資通安全管理法草案座談會
因應網路通訊已成了所有人民生活中必要且必需的生活工具,我們的國家成立了所謂的「第四軍種」,也對於「網路安全」的重視程度提高至國家安全層級,所以行政院資通安全處 (簡稱資安處) 參考了許多國家關於資通訊安全的法案,參考國土安全辦公室 (簡稱國土辦) 對「關鍵基礎設施」的定義對象作為這條法案的管制對象。
這條法案從去年尚未進入立法院到今年已通過一讀躺在立院準備進入這一次的議期,簡宏偉處長辛苦的四處請教、演講、向各界解說資通安全管理法的重要性與一一解釋誤解,最後甚至苦笑著坐在會議室裡面對各黨團智庫與助理的大力抨擊,看得出來他很辛苦。
在資安處尚未清楚了解「多方利害關係人」討論機制的狀況下,這條法案在這四場座談會的討論下讓我覺得有點荒謬,同時也因為今年在 APrIGF 裡參與兩次多方利害關係人的實作後,發覺在長官們只求自己政績讓人民有感的前提下,很難真正落實全民參與的理想。
在初擬資通安全管理法時已邀請許多專家學者召開多場座談會,也有不少的說明與記錄在行政院網站上 (連結),也製作了懶人包,但對許多關心這個法案發展的人來說仍有不少疑慮,於是陳坤助先生在用心讀過許多法案後撰寫了「對資通安全管理法草案的疑問」,另外有不同黨派的立委們也分別提出了各自的版本,連同行政院版約有四個版本。
在行政院版的法案經過一讀而送入立法院後,因為前瞻計畫的關係延宕了審議進度,就在立院下個議期開始前,不同領域的專家學者們又接獲了開會的公文,很榮幸能參與在這四場會議中,雖然不是法律相關背景人員,但資通安全政策、個資與隱私保護、開放資料、網路治理一直都是與職務有關的研究議題。
立資通安全管理法的目的是什麼還是只是隨波逐流順應世界趨勢?
在行政院版的草案總說明中提到了:
參諸國際近年資通安全之政策,許多先進國家係以制定專法之方式對資通安全議題加以規範,例如:美國有聯邦資訊安全現代化法、網路安全法,日本則制定網路安全基本法,在國際組織部分,歐盟亦訂定網路與資訊系統安全指令;透過專法之制定,協助公務機關及關鍵基礎設施提供者等非公務機關,認知自身資通安全責任、進而理解並因應資通安全風險,增進自身資通安全能力。
除了許多國家以立法來維護自己國家的網路安全外,也有國家是以「政策」的方式在進行,如英國的「National Cyber Security Strategy 2016 to 2021」、菲律賓的「National Cybersecurity Plan 2022」,都有明確的將政策目的、負責單位、範圍、策略與方法、達成的產業發展目標等寫在政策中:
英國與菲律賓的資通安全政策比較,圖片來源:個人研究繪製
台灣是很容易受到網路攻擊的國家,參考下圖可知是全球容易受攻擊國家排名的第 29 名,所以的確需要加強資通安全的管理,以往台灣有「資通安全政策」,擬定政策的單位是行政院國家資通安全會報,目前卻停滯在國家資通訊發展方案第四期一直未更新 2017年 之後的政策規劃。
如同陳坤助先生在他的文章中提到的,這部法的名稱是「資通安全管理法」但在第一條的地方卻也寫了「帶動資通安全產業發展」,這也是在業者與公協會場次中,不斷被提出來的,我在第一場關鍵基礎設施時也提過一次,得到以下的回應:
- 帶動產業發展也是政府的責任與義務,難道政府不應該促進產業發展嗎?
- 因為這是「法律」,所以不能把「產業發展」的實行方法、評估方式都寫在「法案」中。
- 帶動資通安全產業發展是這條法附帶的利益。
- 我們 (資安處) 有最新的資通訊安全政策,但還未公布,會在近期內公布。
圖片擷取日期與時間為8月13日凌晨12:13,來源:卡巴斯基全球網路威脅即時地圖
從「法律應該要規範政府的行為」的角度來看這部法,的確在第 3、4 條要求政府應當要促進台灣資通訊安全產業的發展、促進產學合作,產業發展的手段與目標則在「資通安全發展政策」中說明,並規定政府必須四年一次更新資通安全發展政策。由於這部法案名稱是「管理法」而非「產業發展條例」所以最大的問題在於:目前台灣沒有「資通安全發展政策」。除了行政院資安處、國家資通安全會報之外,沒有人知道從現在或是明年度開始的四年裡,台灣政府預期達到的目標是什麼?要如何促進資通安全產業發展?如何評估?
在 10日與 11日上午的座談會裡,資安處的長官們盡力釐清參與者的提問,包括:
- 關鍵基礎設施的定義、對象,目前不包括網站、電商。
- 由政府補捐助超過 50% 的財團法人是列管對象,但標準會再衡量。
- 為什麼對公務機關依據公務人員考績法、公務員懲戒法進行相關的獎懲(第 14 條),但對非公務機關卻只有處罰 (第 19~21 條)?
- 各機關都需要提出各自的資通安全維護計畫,行政院會提供參考的範本。
- 模糊解釋了負責委外稽核的對象、有誰具有相關的權限。
- 對非公務機關的通報來說,資安處只對中央目的事業主管機關、地方政府,也就是非公務機關無法直接向資安處通報或請求協助。
- 預算不足的單位,請把錢花在刀口上 (其實前瞻計畫、數位國家・創新經濟發展方案中都有編列相關預算)
沒有子法的座談會,只能表達對母法不滿的意見,也無法改變什麼
最後,在 11 日下午的座談會裡,電腦稽核公會的張理事長提醒現場所有參與者現實狀況是:
母法已經通過一讀的步驟,已在立法院裡,不需要現在大家逐條逐字檢視,因為已無法對母法再進行變更。現場所有人唯一能做的事只能討論未來的子法。
於是,在座的所有人都在想一個問題:「請問這子法的草案在哪裡?」如果勞師動眾的把這麼多人都找來現場,目的是討論子法,那為什麼在說明時告訴大家「目前沒有子法」但在後來說「我們 (資安處)有子法的草案」,但三場會議中都沒有討論到真正與子法有關的:
- 資安事件分級制度
- 資安責任分級制度
- 資安事件通報及應變辦法規劃內容 (通報機制與應變辦法)
- 稽核機制與辦法
- 情資分享機制與辦法
也因為沒有子法的相關資料,現場的參與者覺得自己被耍了一樣。如果為了討論子法,把這麼多人找來現場,但現在沒有子法是要我們討論什麼?母法也不可能再進行變動,那目前這三場應該是說明會而非座談會。還是,這只是在進行所謂「公聽會」的步驟與型式而已?
期待真正的「多方利害關係人機制 (Multi-stakeholder Mechanism) 」運作與全民參與的政府
於是想起七月底參與的 APrIGF 裡,我實際所經歷的兩場與資安隱私政策、電子治理評估指標的相關的工作坊與討論會,我們是遵循著「多方利害關係人」模式在進行,除了分組進行外,所有人看著手上的內容逐條、逐字檢視,透過分組、集中討論得到共識後,再作為新一期的政策依據外,在 APrIGF 後寄給每一個參與者再度確認當初擬的內容有無需要再注意的、再增添的內容或配合與時俱進的資訊科技技術需要調整,以建立有彈性且有效、有執行力的政策。在我所處的那一組裡,他們要求我:「妳必須表達所代表的組織針對我們所看的這份文件內容裡所重視的、需要注意的重點。」
我試著再從這四場的邀請對象裡,看得出來資安處很想操作「多方利害關係人」模式,但似乎不太能理解它實際運作的方法,主要原因在於:
- 只求快速得到結論,過度追求 KPI、創造民眾有感的政績。
- 無法明確定義利害關係人,很單純由上而下的認為「全民」都是利害關係人。
- 在第 2 點的前提下,就由上位決定公協會的理事長、業者的董事長 (營運長)、學校教授就可以作為「意見代表」,但「多方利害關係人」模式是由下而上的,由利害關係人組成的團體在得到意見共識後,派出代表傳達他們的共識意見,而不是由哪個「長」表達自己的個人意見。
- 太過倉促草率,「多方利害關係人」模式是需要時間去處理的,光是團體內部的共識就可以花掉許多時間。
- 本位主義太重。在 8 月 11 日下午的業者專家場次裡,我聽到有人說了一句話:「早知道就不要讓大家來看這部法案」。也許言者無意,不知道說這句話的是長官還是其他參與者,請您別忘了在「數位國家・創新經濟方案」的主軸三裡,是希望打造一個全民參與的政府。也許這次的「多方利害關係人」模式操件失敗,但至少已試著在讓各界參與,也請您別忘了,在過往服務貿易協議裡,完全不讓民眾參與的後果是什麼。
一些會場聽聞和不愉快的體驗
先前看到資安處簡處長一臉苦笑的坐在台下接受大小聲的意見,我想到在會場所聽到、看到的一些反應。
有兩個參與者,應該是財團法人的代表,在洗手間前面談關於法案中有所謂教育訓練的要求:
我把人送去受訓之後,他給我跑掉怎麼辦?我是不是又要重新再花時間、花成本送人去受訓?
同樣也是教育訓練,一位專家與對我分享他的經驗:
妳知道現在第一線公務人員流動率有多高嗎?以前少說這些第一線公務員大概會在自己的職位上待九個月,現在六個月就換人了。我們去輔導他們,常常半年就換一個窗口,也沒有留下之前的文件,一切都要從頭教起。
在 10 日早上,我提問到對於第一條內容的質疑時,其實並沒有如前述般詳細,如果不是 11 日下午, david lifu huang 再問了一次同樣的內容,我或是陳坤助先生可能還是沒有得到解答。
我在 10 日中午會議結束後請教會議主持人關於承接政府計畫的法人,若將系統或網站會議再委外時,那是否:
- 也在受稽核的對象裡面嗎?
- 如果系統建置商、網站放置在國外雲端伺服器上,出了資安危機時要如何通報及因應?如果系統商沒有通報給我們要怎麼再繼續往上通報?沒有通報是否就得被處罰?
主持人當時很努力的要我明白:「資安處不會去稽核這些委外計畫的廠商,資安處只對中央目的事業主管機關。在情資分享上則是有GISEC這個平台讓大家分享相關情資。」
這些問題我在財團法人場次又問了一次,畢竟許多政府計畫的第一層承接單位多屬財團法人,同時也請教資安處,這部法案中要求提出「資通安全維護計畫」會不會像當初要求各級單位在網站上刊登「隱私及安全政策」、「政府網站資料開放宣告」一樣,大家只要「複製、貼上、更改單位名稱」即可,並沒有達到法規中要求的目的。很不幸的,我對面的組長與她旁邊的參與者在準備回應我時,也許是說話習慣使然,開頭就送了我:「搞不清楚狀況⋯⋯」這幾個字,不知道這幾個字會不會出現在逐字稿記錄裡?
如果你們是承接政府計畫的執行者,你們才是搞不清楚這條法案會額外增加多少風險與成本的人。我曾經是個一年之內要回覆至少十次來自行政院的弱點掃瞄結果、填寫一大堆表單、每年針對一個網站進行至少要花十萬做弱點掃瞄,只拿到報告還拿不到建議的執行人員。資安處的長官只輕描淡寫回應:「把錢花在刀口上,你們可以自己決定要放在國外的雲端還是國內的伺服器⋯⋯」還送了我「搞不清楚狀況」六個字。
在 11 日中午,我與留在現場的人員用餐時,請教了現場的長官關於下午場次,另一邊所謂的「業者與公協會」,為什麼沒有網站營運商或電商?結果我聽到了這樣的閒聊內容:
那些人其實和這條法一點關係都沒有,他們就是那種「別人在吃麵,他們在一旁喊燙的人⋯⋯就是路上發生車禍,有人跳出來表達正義、指責其他人不正當的行為。但當人家問說你的車是哪一台時,他們就說,哦!不是我的車受損,我的車沒事,只是經過。」
我又問:「如果我接了政府計畫,又要把其中網站或系統建置委給其他廠商時,我怎麼去評估這個廠商的資安能力是符合的?」
對方回應:「這個你們應該可以自己去判斷。」
我再問:「那請問會公開合格或不合格的名單嗎?像政府電子採購網有提供拒絕往來名單,我可以避免和不合格的廠商合作,或有合格的廠商名單才能去找他們配合,這樣才能減低我們的風險。」
對方面有難色,再提到情資分享機制。我想是不想讓人冠上「圖利廠商」四個字吧?但你們不是又說:「促進產業發展是政府的義務」嗎?
如果就會議主持人的回應,資安處只對中央事業目的主管機關與地方政府,這些「業者與公協會」參與者的確不是資安處直接面對的對象,但是現場有許多業者是系統商、政府網站建置業者、會要求別人付錢請他們做弱點掃瞄的業者、電腦稽核公會⋯⋯等,說直接一點,這些人可能是日後這條法案的直接受益者。因為:
- 這條法案中,是委外進行稽核的。
- 因為要帶動資安產業發展,所以幫人做弱點掃瞄也是帶動資安產業發展。
系統或網站建置在他們家,只要不是法條中的關鍵基礎設施、如果委託給他們的法人不懂得在合約中清楚寫明損害賠償相關的內容,他們也不在受處罰的範圍裡,因為出了事又沒即時通報,資安處會處罰沒有通報的中央事業目的主管機關或地方政府,而中央事業目的主管機關或地方政府則是會要求委辦單位接受處罰。資安處依然堅持立場:「我們只對中央事業目的主管機關或地方政府」。
走筆至此,從個人資料保護法、開放資料、資通安全管理法,每一條法案、規範都是找一群學者專家提供意見後卻仍然無任何變動的送至立院,然後快速通過,有些人安慰我:「這種法案就算通過了也不會真的執行」,那我們在為什麼而努力?為了一個虛偽的人權嗎?
想起送我「搞不清楚狀況」六個字的組長和她鄙夷的神情,想到自會場角落裡蹦出的那句「早知道就不要讓大家討論」。我很無奈。看過很多認真努力,想要好好做事的公務員,有個公務員曾經氣到說一句話:「我要辭職去告政府」妳真的了解這條法案對民間有多大的影響嗎?你們知道一條怎麼立出損害人權的法案嗎?就是這樣的心態。
因為母法沒有過,所以不能討論子法,而母法已無法撤回或修改,而又不見任何子法可供現場討論的情況下,有一種真的是在噴口水的感覺。
但母法沒有過,資安處已經有資法草案,那舉辦座談會的目的是什麼?
真的是非常不愉快的經驗和感受,如果在資安處對「利害關係人」的定義是所有使用網路、資訊、通訊設備的人、台灣的人民,那麼我想我必須公開這些記錄,僅管日後可能會被列入黑名單裡。
會議相關的個人記錄
以下連結是相關會議的個人記錄,不代表正式官方文件,但有興趣的人可以參考。正式記錄請以資安處所公布之記錄為主:
本文獲YingChu Chen以CC4.0授權,原文在此。
