CoverPhotoCredit:Alexas_Fotos, CC0關於 8 月10 、11日的三場資通安全管理法草案座談會因應網路通訊已成了所有人民生活中必要且必需的生活工具,我們的國家成立了所謂的「第四軍種」,也對於「網路安全」的重視程度提高至國家安全層級,所以行政院資通安全處 (簡稱資安處) 參考了許多國家關於資通訊安全的法案,參考國土安全辦公室 (簡稱國土辦) 對「關鍵基礎設施」的定義對象作為這條法案的管制對象。 這條法案從去年尚未進入立法院到今年已通過一讀躺在立院準備進入這一次的議期,簡宏偉處長辛苦的四處請教、演講、向各界解說資通安全管理法的重要性與一一解釋誤解,最後甚至苦笑著坐在會議室裡面對各黨團智庫與助理的大力抨擊,看得出來他很辛苦。 在資安處尚未清楚了解「多方利害關係人」討論機制的狀況下,這條法案在這四場座談會的討論下讓我覺得有點荒謬,同時也因為今年在 APrIGF 裡參與兩次多方利害關係人的實作後,發覺在長官們只求自己政績讓人民有感的前提下,很難真正落實全民參與的理想。 在初擬資通安全管理法時已邀請許多專家學者召開多場座談會,也有不少的說明與記錄在行政院網站上 (連結),也製作了懶人包,但對許多關心這個法案發展的人來說仍有不少疑慮,於是陳坤助先生在用心讀過許多法案後撰寫了「對資通安全管理法草案的疑問」,另外有不同黨派的立委們也分別提出了各自的版本,連同行政院版約有四個版本。 在行政院版的法案經過一讀而送入立法院後,因為前瞻計畫的關係延宕了審議進度,就在立院下個議期開始前,不同領域的專家學者們又接獲了開會的公文,很榮幸能參與在這四場會議中,雖然不是法律相關背景人員,但資通安全政策、個資與隱私保護、開放資料、網路治理一直都是與職務有關的研究議題。 立資通安全管理法的目的是什麼還是只是隨波逐流順應世界趨勢?在行政院版的草案總說明中提到了:
除了許多國家以立法來維護自己國家的網路安全外,也有國家是以「政策」的方式在進行,如英國的「National Cyber Security Strategy 2016 to 2021」、菲律賓的「National Cybersecurity Plan 2022」,都有明確的將政策目的、負責單位、範圍、策略與方法、達成的產業發展目標等寫在政策中: 英國與菲律賓的資通安全政策比較,圖片來源:個人研究繪製 台灣是很容易受到網路攻擊的國家,參考下圖可知是全球容易受攻擊國家排名的第 29 名,所以的確需要加強資通安全的管理,以往台灣有「資通安全政策」,擬定政策的單位是行政院國家資通安全會報,目前卻停滯在國家資通訊發展方案第四期一直未更新 2017年 之後的政策規劃。 如同陳坤助先生在他的文章中提到的,這部法的名稱是「資通安全管理法」但在第一條的地方卻也寫了「帶動資通安全產業發展」,這也是在業者與公協會場次中,不斷被提出來的,我在第一場關鍵基礎設施時也提過一次,得到以下的回應:
圖片擷取日期與時間為8月13日凌晨12:13,來源:卡巴斯基全球網路威脅即時地圖 從「法律應該要規範政府的行為」的角度來看這部法,的確在第 3、4 條要求政府應當要促進台灣資通訊安全產業的發展、促進產學合作,產業發展的手段與目標則在「資通安全發展政策」中說明,並規定政府必須四年一次更新資通安全發展政策。由於這部法案名稱是「管理法」而非「產業發展條例」所以最大的問題在於:目前台灣沒有「資通安全發展政策」。除了行政院資安處、國家資通安全會報之外,沒有人知道從現在或是明年度開始的四年裡,台灣政府預期達到的目標是什麼?要如何促進資通安全產業發展?如何評估? 在 10日與 11日上午的座談會裡,資安處的長官們盡力釐清參與者的提問,包括:
沒有子法的座談會,只能表達對母法不滿的意見,也無法改變什麼最後,在 11 日下午的座談會裡,電腦稽核公會的張理事長提醒現場所有參與者現實狀況是:
於是,在座的所有人都在想一個問題:「請問這子法的草案在哪裡?」如果勞師動眾的把這麼多人都找來現場,目的是討論子法,那為什麼在說明時告訴大家「目前沒有子法」但在後來說「我們 (資安處)有子法的草案」,但三場會議中都沒有討論到真正與子法有關的:
也因為沒有子法的相關資料,現場的參與者覺得自己被耍了一樣。如果為了討論子法,把這麼多人找來現場,但現在沒有子法是要我們討論什麼?母法也不可能再進行變動,那目前這三場應該是說明會而非座談會。還是,這只是在進行所謂「公聽會」的步驟與型式而已? 期待真正的「多方利害關係人機制 (Multi-stakeholder Mechanism) 」運作與全民參與的政府於是想起七月底參與的 APrIGF 裡,我實際所經歷的兩場與資安隱私政策、電子治理評估指標的相關的工作坊與討論會,我們是遵循著「多方利害關係人」模式在進行,除了分組進行外,所有人看著手上的內容逐條、逐字檢視,透過分組、集中討論得到共識後,再作為新一期的政策依據外,在 APrIGF 後寄給每一個參與者再度確認當初擬的內容有無需要再注意的、再增添的內容或配合與時俱進的資訊科技技術需要調整,以建立有彈性且有效、有執行力的政策。在我所處的那一組裡,他們要求我:「妳必須表達所代表的組織針對我們所看的這份文件內容裡所重視的、需要注意的重點。」 我試著再從這四場的邀請對象裡,看得出來資安處很想操作「多方利害關係人」模式,但似乎不太能理解它實際運作的方法,主要原因在於:
一些會場聽聞和不愉快的體驗先前看到資安處簡處長一臉苦笑的坐在台下接受大小聲的意見,我想到在會場所聽到、看到的一些反應。 有兩個參與者,應該是財團法人的代表,在洗手間前面談關於法案中有所謂教育訓練的要求:
同樣也是教育訓練,一位專家與對我分享他的經驗:
在 10 日早上,我提問到對於第一條內容的質疑時,其實並沒有如前述般詳細,如果不是 11 日下午, david lifu huang 再問了一次同樣的內容,我或是陳坤助先生可能還是沒有得到解答。 我在 10 日中午會議結束後請教會議主持人關於承接政府計畫的法人,若將系統或網站會議再委外時,那是否:
主持人當時很努力的要我明白:「資安處不會去稽核這些委外計畫的廠商,資安處只對中央目的事業主管機關。在情資分享上則是有GISEC這個平台讓大家分享相關情資。」 這些問題我在財團法人場次又問了一次,畢竟許多政府計畫的第一層承接單位多屬財團法人,同時也請教資安處,這部法案中要求提出「資通安全維護計畫」會不會像當初要求各級單位在網站上刊登「隱私及安全政策」、「政府網站資料開放宣告」一樣,大家只要「複製、貼上、更改單位名稱」即可,並沒有達到法規中要求的目的。很不幸的,我對面的組長與她旁邊的參與者在準備回應我時,也許是說話習慣使然,開頭就送了我:「搞不清楚狀況⋯⋯」這幾個字,不知道這幾個字會不會出現在逐字稿記錄裡? 如果你們是承接政府計畫的執行者,你們才是搞不清楚這條法案會額外增加多少風險與成本的人。我曾經是個一年之內要回覆至少十次來自行政院的弱點掃瞄結果、填寫一大堆表單、每年針對一個網站進行至少要花十萬做弱點掃瞄,只拿到報告還拿不到建議的執行人員。資安處的長官只輕描淡寫回應:「把錢花在刀口上,你們可以自己決定要放在國外的雲端還是國內的伺服器⋯⋯」還送了我「搞不清楚狀況」六個字。 在 11 日中午,我與留在現場的人員用餐時,請教了現場的長官關於下午場次,另一邊所謂的「業者與公協會」,為什麼沒有網站營運商或電商?結果我聽到了這樣的閒聊內容:
我又問:「如果我接了政府計畫,又要把其中網站或系統建置委給其他廠商時,我怎麼去評估這個廠商的資安能力是符合的?」 對方回應:「這個你們應該可以自己去判斷。」 我再問:「那請問會公開合格或不合格的名單嗎?像政府電子採購網有提供拒絕往來名單,我可以避免和不合格的廠商合作,或有合格的廠商名單才能去找他們配合,這樣才能減低我們的風險。」 對方面有難色,再提到情資分享機制。我想是不想讓人冠上「圖利廠商」四個字吧?但你們不是又說:「促進產業發展是政府的義務」嗎? 如果就會議主持人的回應,資安處只對中央事業目的主管機關與地方政府,這些「業者與公協會」參與者的確不是資安處直接面對的對象,但是現場有許多業者是系統商、政府網站建置業者、會要求別人付錢請他們做弱點掃瞄的業者、電腦稽核公會⋯⋯等,說直接一點,這些人可能是日後這條法案的直接受益者。因為:
系統或網站建置在他們家,只要不是法條中的關鍵基礎設施、如果委託給他們的法人不懂得在合約中清楚寫明損害賠償相關的內容,他們也不在受處罰的範圍裡,因為出了事又沒即時通報,資安處會處罰沒有通報的中央事業目的主管機關或地方政府,而中央事業目的主管機關或地方政府則是會要求委辦單位接受處罰。資安處依然堅持立場:「我們只對中央事業目的主管機關或地方政府」。 走筆至此,從個人資料保護法、開放資料、資通安全管理法,每一條法案、規範都是找一群學者專家提供意見後卻仍然無任何變動的送至立院,然後快速通過,有些人安慰我:「這種法案就算通過了也不會真的執行」,那我們在為什麼而努力?為了一個虛偽的人權嗎? 想起送我「搞不清楚狀況」六個字的組長和她鄙夷的神情,想到自會場角落裡蹦出的那句「早知道就不要讓大家討論」。我很無奈。看過很多認真努力,想要好好做事的公務員,有個公務員曾經氣到說一句話:「我要辭職去告政府」妳真的了解這條法案對民間有多大的影響嗎?你們知道一條怎麼立出損害人權的法案嗎?就是這樣的心態。 因為母法沒有過,所以不能討論子法,而母法已無法撤回或修改,而又不見任何子法可供現場討論的情況下,有一種真的是在噴口水的感覺。 但母法沒有過,資安處已經有資法草案,那舉辦座談會的目的是什麼? 真的是非常不愉快的經驗和感受,如果在資安處對「利害關係人」的定義是所有使用網路、資訊、通訊設備的人、台灣的人民,那麼我想我必須公開這些記錄,僅管日後可能會被列入黑名單裡。 本文獲YingChu Chen以CC4.0授權,原文在此。 |