2017年11月9日 星期四

ithome 【資安周報第78期】資安法草案對行政檢查定義不清,引發諸多疑慮 百家樂 http://www.iwin9418.com

在立法院躺了半年的《資通安全法草案》,終於在11月6日召開的司法及法制委員會中,展開首度立委詢答,當天登記發言的委員們,普遍疑慮在於,對於政院版《資通安全法草案》中的「行政檢查」應該如何落實與執行感到不解與憂心,委員們甚至直指資安法的行政檢查高度違反人權,讓不具有公權力的稽核員到企業現場進行行政檢查,因為企業無法拒絕,也讓立委們懷疑,進行行政檢查的過程中,是否有企業機敏資料外洩的風險。

「行政檢查」引發立委對人權和企業機敏資料外洩疑慮

對行政院版《資通安全法草案》18條行政檢查權條文,討論過程中有最多爭議。直接看資安法草案條文,已囊括行政檢查情境、人員資格,強調企業不能拒絕行政檢查,且要求參與行政檢查稽核員具有保密義務等規定。

不過,立委的質疑多數偏重在:沒有司法警察權力的稽核員如何做行政檢查,是否有侵犯人權的疑慮;也擔心企業機敏資料可能在行政檢查時,遭到稽核員或者其他因素外洩。

國民黨立委許毓仁在臉書質疑:「何謂重大缺失?何謂必要性?在資安管理法草案中完全找不到更詳細的定義,等於主管機關只要一口咬定民間機構有重大缺失且有調查必要,無須經過任何審核許可機制,便得任意調查,那麼民間機構的人權保障、通訊隱私、營業秘密何在?」

民進黨立委余宛如直言反對行政院版《資通安全法草案》關於行政檢查的規定,認為政府不應該有權進行「行政檢查」外,更認為,所有的資安保護最終應回歸「業者自律」,並規範「私有關鍵基礎設施提供者」只需要在重大資安事件發生時,7天內向主管機關報告即可。

目前民進黨黨團總召柯建銘希望,未來討論能夠以行政院版內容為主,希望資安處可將各方有疑義條文先修正後,再進行後續審查。余宛如立委辦公室指出,要將政院版《資安管理法草案》整合余宛如版的難度頗高,最終仍得在委員會進行條文逐條討論時,再由各方做最後角力。

只不過余宛如對業者自律的期待,對多數第一線資安工程師而言,無異是天方夜譚。有資安工程師以他的工作內容為例,要落實資安分析就必須先蒐集各種必要的登錄檔(Log),但要做到快速蒐集與分析,這些登錄檔最好儲存在線上存取的儲存設備上。

該名資安工程師表示,該公司對線上儲存登錄檔最多只保存3個月,若要延長保存期限,「有法令規範且法過了後再說。」也就是說,要企業在資安做更多投資,除了少數非常在意資安對企業營運帶來風險的企業外,多數企業對資安在意的程度,多以符合法令規範作為資安風險管理的「高標」。由此也可證明,第一線資安工程師看到的資安實務運作,與立委期待有180度的差異。

行政檢查可以主動也可被動,重點在於有配套措施

行政院資安處處長簡宏偉表示,資安處對於行政檢查的目的,從「預防勝於治療」的角度,或在資安情勢更惡化前,可以進行相關防護和補救措施,「這才是資安處和相關主管機關進行行政檢查的基本態度。」他說。

「資安處對行政檢查的態度是相對開放的,」簡宏偉表示,「行政檢查」可以是主動出擊也可以是被動通知,只要可以在合法的情況下,有相對應的配套措施即可。他認為,行政檢查可以是稽核時發現,或接到通報某單位發生重大資安事件,由主管機關進一步了解事件發生緣由;也可針對某單一重大資安事件,由主管單位到場調查該資安事件發生始末。

他進一步解釋,資安法只針對關鍵基礎設施提供者,這些政府高度監理或特許行業的「非公務機關」進行「行政檢查」,因為這些非公務機關的服務涉及許多民眾權益,「針對攸關民眾權益的關鍵基礎設施做資安檢查,已經是一種國際趨勢。」他說。

簡宏偉認為,政府要針對這些關鍵基礎設施提供者進行行政檢查,就像是「預防傳染病」一樣,先從改善環境衛生著手;再來就是注意個人衛生習慣;接著要提高人體免疫力;最後就可以施打適合的疫苗或藥物,以避免傳染病危害。

行政檢查會侵犯人民權益,應明定範圍和救濟手段等

就立法角度而言,《資安管理法草案》對行政檢查應具備的要件並不周詳,即便相信公務人員不會踰矩,但就立法技術而言,還是要做到法律本身就可以明定範圍,尤其是,行政檢查本身就會侵犯民眾或企業某種權益,應該在法條中一併規範相對應的行政救濟措施,明定權益一旦遭到損害,受害人有哪些救濟管道,才不會出現立委擔心的行政權獨大或濫權疑慮。

立法院法制局的《從重大民生經濟案件論行政檢查與行政搜索法制發》報告中就清楚提到,要做行政檢查不僅要基於法律明確性原則、比例原則等,也必須在個別行政法領域的法制基礎上針對個案進行調查,尤其是強制調查的要件、程序、範圍、標的、救濟方式等,都必須要以明文規定。

「行政檢查」是政府遂行公權力的一種手段,可分成行政檢查和行政搜索,是不得已侵犯或干擾個人或企業權益的方式。因此,所有行政檢查都需基於「法律」授權,不能只是行政命令或行政裁量的授權,必須有一定的制約和規範。

當行政機關要執行行政檢查時,首先,必須清楚定義執行該行政檢查的目的,接受檢查的標的和範圍必須明確,手段則須受到限制與規範,相對應的法律授權應該完整,並應註明一旦當事人或企業的權益受到損害時,有哪些相對應的救濟措施可以彌補。

資安法雖參考個資法,行政檢查規範細節不完善

許多人都知道,《資安管理法草案》參考《個人資料保護法》的立法方式,甚至於,連幕僚單位都來自同樣的單位。

兩個法律條文同樣都有「行政檢查」項目,但《個人資料保護法》對行政檢查應該具備的要件規範完善,包括:行政檢查時要檢查標的、範圍、立法授權,甚至是相對應的救濟手段等。也因此,當年立法委員審查個資法「行政檢查」條文時,就沒有像審查資安法時,有這麼大的質疑。

實際比對個資法第22條和資安法第18條「行政檢查」條文後可以發現,個資法針對行政檢查的條文規定和資安法幾乎如出一轍,但資安法沒有寫清楚的項目包括:對於持有證物的作為以及相關稽核人員身分等,其他個資法第23條~27條針對行政檢查的其他規範,都不在資安法條文範圍內。

例如,個資法第23條,界定行政檢查所查到或扣留證物的處理方式;個資法第24條規定,對行政檢查過程與程序有任何不滿者,明定相對應的救濟手段;個資法第25條寫明行政檢查但查有不法者,主管機關可以進行的裁罰方式;個資法第26條規定相對應的救濟措施,行政檢查如沒有查到不法情事,可在當事人或企業同意下,對外公布檢查結果以昭公信;個資法第27條則是明定非公務機關應該遵守的規範等等。

行政檢查不能任意翻查受檢單位資料,只能問授權內的問題

行政檢查是一種不得已要侵犯民眾權益的手段,但很多立委和企業對於行政檢查的過程和手段都過度想像,反讓更多人誤解行政檢查。

立委們質疑行政檢查會侵犯人權或外洩機敏資料,若有完整法律授權和範圍與標的設定,不應發生上開情事。行政檢查不同於司法搜索,最常見的行政檢查手段除了要告知和配合外,到場訪視則是最後手段。這些告知和配合,必須針對行政檢查法律授權範圍、標的,透過限制性檢查手段做行政檢查,超出法律授權範圍的部份,不能問也不能查。

個資法通過後,有許多電子商務業者發生個資外洩事件,主管機關經濟部商業司必須針對這些電商進行個資法的行政檢查。以個資法的行政檢查為例,都是先告知接受檢查單位,請對方配合提供所需資料,而主管機關對與個資無關的內容不能查、不能問,連行政檢查範圍都有一個查核表作參考依據。

只要業者配合度過低、不願意提供相關資料時,才必須到場進行訪視。據有行政檢查經驗的專家表示,稽核員不能任意翻查或搜索受檢查單位的資料、文件甚至設備,不能脫離法律授權範圍、標的與手段,「即便是到場訪視做行政檢查,仍只能針對授權檢查的範圍,請受檢單位當場提供所需資料。」專家說道。

立法院法制局《從重大民生經濟案件論行政檢查與行政搜索法制發》報告中明確指出,行政法規多數是為了追求公共利益或公共任務的實現,且行政具「積極性」、「主動性」,除非涉及刑事責任,否則接受行政檢查的單位,對於主管機關的提問,不能以刑事訴訟程序的被告所享有的「緘默權」作為不回答問題的搪塞藉口。文⊙黃彥棻

許多立委對於行政檢查有過度的想像,也使得大家對於資安法的「行政檢查」顯得霧裡看花,不知道行政檢查到底該如何進行。事實上,因為,行政檢查仍會侵犯民眾和企業的權益,所以相對應的法律授權、範圍、標的甚至是救濟措施,都必須清楚載明。



from iThome 新聞 http://ift.tt/2yL9iKp




沒有留言:

張貼留言