◎ 繆欣儒(台灣大學法律學研究所碩士生)

一、資通安全法制下之關鍵基礎設施提供者
資通安全管理法制之沿革
因網際網路與資訊、通信相關科技之迅速發展,資通科技已深入公部門及私領域之各發展面向,數位政府政策與產業之數位轉型引領人民邁向更為便捷、效率之生活型態,不僅強化政策施行效能、亦大幅推進產業發展並提升人民生活品質,形成現今民眾生活不可或缺之堅實支柱。惟據此同時資通科技之安全性亦成為關注焦點,網路科技之發達與遍布,促使各公私部門、行業領域皆可能成為網路攻擊之目標,進而造成業務之癱瘓、資訊洩漏甚至遭致竄改,一旦發生資安事件,均可能嚴重衝擊國家安全、經濟活動與民眾生活,因而如何制定資通安全之監管架構、確定規範之對象範圍、建構監管對象之義務及罰則,與創建公務機關與特定非公務機關處理資安事件之程序機制,以利主管機關及時知悉暨協助改善,用以強化公務機關與特定非公務機關資安風險之控管,已然成為急迫且嚴峻之問題。
資通安全管理法於2018年6月6日經總統公布,並於2019年1月1日施行,全文共23條,其立法目的係為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益。
關鍵基礎設施提供者相關規範
資通安全管理法適用於公務機關與特定非公務機關,特定非公務機關包含關鍵基礎設施提供者、公營事業與政府捐助之財團法人1,本文則聚焦於關鍵基礎設施提供者之規範意義,進一步研求其監管之必要性與衡平性。
關鍵基礎設施(Critical Infrastructure, CI)係指「實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域2」,關鍵基礎設施提供者則是指「維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者3」。關鍵基礎設施提供者之指定是由中央目的事業主管機關經徵詢相關公務機關、民間團體、專家學者之意見後,指定之且報請主管機關核定,並以書面通知受核定者4。
受核定為關鍵基礎設施提供者應按其所屬資通安全責任等級,訂定與實施其資通安全維護計畫5,並應向中央目的事業主管機關提出該計畫實施情形6,中央目的事業主管機關則應稽核所管關鍵基礎設施者之計畫實施情形7,若其實施有缺失或待改善者,應提出改善報告,並送交中央目的事業主管機關8。此外特定非公務機關(包含關鍵基礎設施提供者)為因應資通安全事件應訂定通報及應變機制9,亦應於知悉資通安全事件時向中央目的事業主管機關通報之10,且後續應向中央目的事業主管機關提出資通安全事件調查、處理及改善報告,若為重大資通安全事件者,則並應送交主管機關11。
特定非公務機關(包含關鍵基礎設施提供者)如未盡其特定義務,中央目的事業主管機關得令限期改正,針對屆期未改正者按次處以新台幣(下同)十萬元以上一百萬元以下罰鍰12;而若特定非公務機關(包含關鍵基礎設施提供者)未依本法第18條第2項規定通報資安事件,中央目的事業主管機關更得對之處以三十萬元以上五百萬元以下罰鍰,並令限期改正,屆期未改正者得按次處罰之13。
二、關鍵基礎設施與國家安全間之關係
近年來重大資安事件頻傳,例如2016年第一銀行ATM遭駭所生之盜領事件、2018年台積電公司晶圓廠生產線遭駭致其機台設備關機停產、2019年台北市政府秘書處電腦遭駭造成行政文件外洩、2020年中油與台塑公司相繼遭駭、2021年台灣大哥大公司的一款自有品牌手機遭植入惡意程式令手機使用者陷入可能成為詐騙集團人頭之危機等14[14]。公務機關與非公務機關皆可能面臨網路攻擊之風險,而關鍵基礎設施因肩負維繫社會民生需求、金融交易秩序與國家安全防護之重責,且關鍵基礎設施提供者間所具之相互依存性(critical infrastructure interdependency)15,一旦遭受資安事件即可能引發連鎖效應,舉例如電力設備之癱瘓將連帶影響交通傳輸、通訊傳播、醫療系統、金融交易等領域之運作,造成難以彌補之嚴重影響。故資通安全管理法如前所述已針對關鍵基礎設施提供者建構其監管規範,並由中央目的事業主管機關指定並經主管機關核定關鍵基礎設施提供者之對象具體為何者。
我國現行關鍵基礎設施分為八大主領域,分別為能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區16,具體關鍵基礎設施之篩選準則為:「基礎設施遭攻擊或災損時,有造成如下影響者,應列為關鍵基礎設施:
- 足以直接或間接造成大規模人口傷亡或避難遷徙者。
- 足以直接或間接造成重大經濟損失者。
- 足以直接或間接影響其他關鍵基礎設施營運之能力者。
- 足以影響政府功能持續運作、民心士氣、社會安定者。17」
目前已受核定為關鍵基礎設施提供者之名單行政院資通安全處18並未完全公布,以避免遭受網路駭客鎖定為攻擊目標19,行政院資通安全處僅曾公布部分關鍵基礎設施提供者名單,能源領域有台電、中油等公營事業;水資源領域有隸屬台北市政府之臺北翡翠水庫管理局;通訊傳播領域有中華電信等五大電信業者20;交通領域則有隸屬交通部之民航局臺北國際航空站、民航局高雄國際航空站,屬公營事業之臺鐵、臺北捷運、臺灣港務公司和桃園機場,以及屬民間企業之高鐵和高雄捷運等公司21。
由此可見關鍵基礎設施提供者實際上包括公部門與私部門,規範之目的則是為保障國家安全,然國家安全之涵義為何,應先敘明。傳統國家安全是指國家之軍事防備能力,是否得透過軍事力量維持該國不受戰爭侵略﹔現今隨著新型軍事科技革新、氣候變遷、移民議題、人口成長所引發之資源稀缺、資訊科技成長、網路數位虛擬空間之發展、疾病傳播等等變遷,現代國家安全之涵義已隨之轉變,泛指國家處於和平之狀態,不論何領域皆然,國家安全之反義則是指國家處於一恐懼、不穩定、甚至遭受威脅之狀態22。
據此理解,即可反思前述關鍵基礎設施中所指八大領域之適宜性,八大領域所包含能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區,皆為維繫國家秩序安定之重要支柱,不僅各領域間具相互依存性,且使用人數眾多、影響範圍遍及全國,更甚者其中不少領域多為公司企業所營運,以公司利益為導向之經營型態未必具有充分的資安防護意識,願意投資防護設備、人力與積極監督資安維護,而可能資安防護不足、易遭網路攻擊或發生人為疏失之損害,若未有法規管制恐令國家陷入非和平狀態,故資通安全管理法納入關鍵設施提供者為管制對象有其必要。
三、關鍵基礎設施與金融秩序之影響
金融領域受資安攻擊之頻率甚高,高額之資產盜領與具高經濟價值之個資竊取,皆對網路犯罪者而言具高度吸引力23。金融領域之關鍵基礎設施提供者若遭受嚴重網路攻擊且未能適當防禦,其損害之影響力恐具災難性,不僅危及自身國家經濟秩序,易可能連帶影響國際間金融秩序波動,造成社會恐慌、民眾對金融系統之不信任、政府貨幣政策之危機等。故近來金融監理領域亦尤為注重資通安全之防護,避免資安事件對金融秩序造成不可逆之損害。
四、私部門監管之衡平性
然而儘管關鍵基礎設施提供者之資通安全管理牽涉重大,立法應有強制介入管制之必要,其介入管制之程度究竟如何始為恰當?
向來資通安全管理法之重要爭議為政府是否應強制介入監管私部門領域,採肯定見解者認為若未有政府強制介入,以利益為導向之私部門往往較不願耗費鉅額投入於難以直接為事業帶來利潤之資安防護,且若將資安視為維護國家安全、金融秩序之公共財(public good),自經濟理論之通說亦可知自由市場中通常具有公共財不足之問題;採否定見解者則認為除政府之強制監管外應有更合適之其他措施用以提升網路安全,例如得由政府補貼或由責任風險分擔(liability risk,亦即透過訴訟或保險之方式填補其損害),且立法者無法完全理解各種資安威脅之性質,縱訂有法律監管亦往往無法跟上科技進展之速度24。
惟本文以為關鍵基礎設施涉及重大公益如前所述,僅以獎勵勸導或透過訴訟、保險之方式仍無法確保其持續性警惕與維持資安防護之意願,法律應有強制介入之必要,應更深入研究的應為,如何顧及法規所強制關鍵基礎設施提供者履行義務所致成本與資通安全防護效益之衡平。
現行資通安全管理法課與關鍵設施提供者諸多義務,並設有罰款,資通安全責任等級分級辦法並區分A至E級25而有不同應辦事項之要求,然而各等級中要求之應辦事項究竟是否必要、成本與效益是否均衡?實務上常見之爭議實為資通安全管理法及其相關子法對關鍵基礎設施提供者所設要求之成本過高,且其效益難以評估,令關鍵設施提供者有規範過度與財務、人力負荷過重之感,故若得進行實證研究衡量其規範之成本與效益,兼顧適當規範與透過獎勵指導方式,促進關鍵設施提供者得將省下之財務經費投入提升資通設備之規格等級,應為更實際且務實之作法。