◎ 李峙錡(台灣大學法律學研究所碩士生)
一、起源與發展
Infrastructure一詞,指一個國家、城市或地區服務的基本設施和系統,一般稱為「基礎設施」;Critical Infrastructure(CI),以critical形容基礎設施,則是用以指稱對於國家而言具有特殊重要性的基礎設施,一般稱為「關鍵基礎設施」。
雖然過去歷史上沒有使用這個詞彙,但這類設施卻一直存在,甚至可以追溯至希臘羅馬時代。例如:羅馬帝國的排水系統(aqueducts),在當時便被認為對羅馬帝國係不可或缺的重要設施,除了提供民生使用外亦能保護水源不受外敵干擾,同時具有民生和軍事價值。又如希臘時代,雅典主要進口糧食的Hellespont(現達達尼爾海峽)港,在伯羅奔尼薩戰爭時期遭到斯巴達佔領,導致雅典饑荒,最後雅典也因此輸掉戰爭。除了供水、糧食系統外,交通系統也是相當重要的基礎設施,例如二戰期間德國的鐵路系統遭到破壞,使國家經濟瀕臨崩潰1。從上述歷史可知,對這些基礎設施的攻擊,可能左右戰爭的勝敗,也可能摧毀民生供需,對人民帶來毀滅性的影響。
Critical Infrastructure一詞第一次正式出現在法令中2,是美國克林頓總統在 1996 年 7 月 15 日,簽署的 EO130103總統行政命令(Executive Order),並成立「關鍵基礎設施保護總統委員會」(President’s Commission on Critical Infrastructure Protection, PCCIP),當時委員會主席是由羅伯特馬殊(Robert Marsh)擔任,因此該行政命令也被稱為馬殊報告(Marsh Report)4。其中對於關鍵基礎設施的定義為:「特定的國家基礎設施對國家具有極為重要之地位,其失能、毀損將對美國的國防或經濟安全造成衰敗性的影響。5」。值得注意的是,該命令中提及關鍵基礎設施也可能屬於私部門所有(例如民營電廠、電信業者),政府和私部門之間的合作成為保護關鍵基礎設的重要課題6。
911事件發生後,美國政府對於國家安全及資訊安全更為重視,並提出美國第一版的「國家關鍵基礎設施計劃」(The first version of a National Plan for Critical Infrastructure),規定於2001年的愛國者法案(USA PATRIOT Act)7。該法案對關鍵基礎設施的定義是:「對美國極為重要的實體或虛擬系統及資產,若其失能、毀損將對國防安全、國家經濟安全或國家公共衛生安全造成衰敗性的影響8。」
此後,美國對於網路安全等非實體基礎設施的保護亦日漸加強,例如歐巴馬總統曾宣誓要強化防禦網路攻擊,並提及為了維持聯邦運作,維護國家安全和經濟秩序,重申關鍵基礎設施的防護之重要性9。
二、我國法
關鍵基礎設施一詞,見諸2018年6月6日制定公布之資通安全管理法,其定義為「實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞,經主管機關定期檢視並公告之領域」10,和上述美國法中的Critical Infrastructure意義相當。關鍵基礎設施提供者,則是指「維運或提供關鍵基礎設施之全部或一部,經中央目的事業主管機關指定,並報主管機關核定者11」。本法的主管機關為行政院12,關鍵基礎設施提供者之核定是由中央目的事業主管機關經徵詢相關公務機關、民間團體、專家學者之意見後,指定之且報請主管機關核定,並以書面通知受核定者13。
我國現行關鍵基礎設施分為八大主領域,分別為能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區14。可參照下圖:
具體關鍵基礎設施之篩選準則為:
「基礎設施遭攻擊或災損時,有造成如下影響者,應列為關鍵基礎設施:
- 足以直接或間接造成大規模人口傷亡或避難遷徙者。
- 足以直接或間接造成重大經濟損失者。
- 足以直接或間接影響其他關鍵基礎設施營運之能力者。
- 足以影響政府功能持續運作、民心士氣、社會安定者。15」
三、我國最新動態
近年來,關鍵基礎設施事故頻傳,包括興達電廠因人為操作疏失導致全台大停電16、桃園機場第二航廈於2022年3月11日因電纜遭剪斷發生停電17、0402臺鐵第408次車清水隧道重大鐵道事故,蘇貞昌院長於2022年3月指示請各部會加強盤點、強化管理18。2022年7月,據媒體報導行政院正在進行關鍵基礎設施清單的盤點與增減19,報導指出故宮博物院和部分大型醫院等設施,也被新列為關鍵基礎設施,擴大保護範圍,建構更完善的體系。行政院預計十月份完成關鍵基礎設施的指定。
於美國眾議院議長裴洛西訪台期間,總統府、國防部等重要單位的網站受到「分散式阻斷服務(DDos)」攻擊、台鐵、超商電子螢幕遭駭客入侵20,也引起對於關鍵基礎設施資通安全的討論。蔡英文總統公開表示「資安就是國安」,應強化政府關鍵基礎設施,落實資安防護的應用,尤其在威脅情資方面,遏止不當的滲透攻防。我們更要建立以「數據驅動」為核心的主動防禦體系,達到「超前部署」的目標21。
行政院於2022年8月27日成立數位發展部,轄下設有「韌性建設司」承接原本NCC「基礎設施和資通安全處」的業務,強化我國通傳網路之強韌性,維持數位應用暢通,另設有資通安全署負責關鍵基礎設施資安防護,22可見我國對於關鍵基礎設施的資通安全更加重視,組織上分工更為精細。
四、小結
從上述簡介可知,關鍵基礎設施的定義是流動的,隨著社會變遷、科技發展、國家政策設定的不同,不斷變更關鍵基礎設施的範圍,如何有效控管相應風險,在遭受攻擊或碰上天災時,如何迅速有效地防止損害擴大,以及採取更主動思維建立預防警示系統,提高關鍵基礎設施的韌性,是世界各國政府永恆的課題。我國行政院目前為確保國土安全,協調相關應變體系,設有國土安全政策會報,負責推動國家關鍵基礎設施防護計畫、辦理關鍵基礎設施演習,若欲進一步了解相關資訊,可供參考。
參考資料
- 26 Ind. J. Global Legal Stud. 761 (2019),Defining Critical Infrastructure for a Global Application, Newbill, Colleen M.
- EXECUTIVE ORDER EO 13010 CRITICAL INFRASTRUCTURE PROTECTION,https://irp.fas.org/offdocs/eo13010.htm
- Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT) Act of 2001,https://www.fincen.gov/resources/statutes-regulations/usa-patriot-act
- <Presidential Proclamation — Critical Infrastructure Security and Resilience Month, 2013 >,https://obamawhitehouse-archives-gov.translate.goog/the-press-office/2013/10/31/presidential-proclamation-critical-infrastructure-security-and-resilienc?_x_tr_sl=en&_x_tr_tl=zh-TW&_x_tr_hl=zh-TW&_x_tr_pto=sc 。
- 林家慶、黃俊能,〈關鍵基礎設施韌性之探討 -以台灣輸電設施為例〉,《災害防救學報》,第二十一卷
- 黃俊能,〈從美國國土安全策略與相關法案探討國家關鍵基礎設施防護〉,https://demo.prolong.com.tw/cip/data_info.php?main_channel=%E8%B3%87%E6%96%99&no=1
- 行政院,關鍵基礎設施盤點作業須知,111年3月30日修正版。https://ohs.ey.gov.tw/File/956A970D35D82F9E
- 行政院公共工程委員會新聞稿,〈全面檢視關鍵基礎設施 使國人安心〉,https://www.pcc.gov.tw/News_Content.aspx?n=C61062639C0CD29F&sms=21EF9CF82726C1BB&s=283412AE33AC4D71
- 自由時報,〈蔡英文致歉:要求電力基礎設施總體檢 最短時間調查疏失〉,https://news.ltn.com.tw/news/politics/breakingnews/3848322
- 自由時報,〈關鍵基礎設施 政院徹查「周遭潛在弱點」〉,https://news.ltn.com.tw/news/politics/paper/1509279
- 自由時報,〈關鍵基礎設施刪核四納故宮〉, https://news.ltn.com.tw/news/politics/paper/1529049
- 聯合報,〈駭客入侵有招 NCC:基礎關鍵設施都設有資安通報機制〉,https://udn.com/news/story/7266/6510033。
- 總統府,〈總統出席「臺灣資安大會開幕典禮」〉,https://www.president.gov.tw/News/25494
- 數位發展部,關鍵基礎設施資安防護,https://moda.gov.tw/ACS/operations/ciip/650