政院修資安法 規避調查最重罰100萬

對於「資通安全管理法」修正草案納管特定非公務機關,數發部次長闕河鳴昨表示,基本上關鍵基礎設施都是包含在特定非公務機關的範圍中,像是新竹科學園區就屬於關鍵基礎設施。(行政院提供)
〔記者鍾麗華/台北報導〕行政院院會昨通過「資通安全管理法修正草案」,根據草案,資安署得稽核所有納管的公務機關或特定非公務機關,當發生重大資安事件時,若規避、妨礙或拒絕調查,可開罰十萬以上、一百萬元以下罰鍰。
納管特定非公務機關
數位部說,修法包含四大方向:第一、明定本法主管機關及各機關權責。第二、強化納管機關資通安全管理,包含擴大稽核範圍,增訂資安署得定期或不定期稽核納管機關之資通安全維護計畫實施情形,並增訂納管機關對於危害國家資通安全產品有關下載、安裝或使用之相關規範。第三、增訂應符合資通安全責任等級之要求設置資通安全專職人員、強化並提升資通安全人員之專業知能及重大資通安全事件之調度支援等規定。第四、增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限。
根據修正草案,若遇到重大資安事件,資安署得稽核所有納管的公務機關或特定非公務機關,依程序通知當事人或關係人到場陳述、提出第三方機構調查報告,且主管機關可派員、委任其他機關前往當事人及關係人之處所實施必要之檢查。若規避、妨礙或拒絕調查者,可開罰十萬以上、一百萬元以下罰鍰。
此外,公務機關不得下載、安裝或使用危害國家資通安全產品;其自行或委外營運場所提供公眾視聽或使用傳播設備及網際網路接取服務亦同,但因業務需求且無其他替代方案者,可專案使用。至於特定非公務機關下載、安裝或使用危害國家資通安全產品,也得予以限制或禁止。
對於特定非公務機關的範圍,數發部次長闕河鳴說明,基本上關鍵基礎設施都在特定非公務機關範圍,像是新竹科學園區就屬於關鍵基礎設施,科學園區中的企業屬私領域,則不在此範疇。簡單來說,一般公司、財團法人等若被行政院列為關鍵基礎設施,才會被列為特定非公務機關。