《資安法》納管特定非公務機關 重大資安事件拒調查可罰百萬

駭客在網路兜售超過2300萬筆的台灣戶政資料，一度引發各界關注資安問題。為了強化資安聯防，行政院會4日通過「資通安全管理法」修正草案，明定主管機關為數位部，將擴大稽核範圍，除了公務機關還有被列入關鍵基礎設施的特定非公務機關，包含能源、水資源、高科技園區領域等不得使用危害國家資通安全產品，但有業務需求又沒有其他替代方案則可專案使用。

數位發展部次長闕河鳴表示，「他的資安長跟他的上級資安長同意，報數位部備查；駐外單位因為當地的電信服務，或者是陸委會，他可能需要用到跟中國有關的資料庫等等。」

台科大資通安全研究與教學中心主任查士朝指出，「在資安法上面去做這樣的要求，讓相關的企業知道說自己的責任，我覺得這個是相對來講是正面的做法。」

根據草案，納管的特定非公務機關需要設置資安長。資安署會定期或不定期稽核納管機關的資安維護情況，如果發生重大資安事件規避或拒絕調查，最高可罰100萬。

數位發展部資安署長謝翠娟說明，「重大的資安事件是他影響的層面，可能是超過一個縣市政府的範圍，或者是他影響的資料跟民眾的權益影響過大。」

公務機關發生重大資安事件，資安署將有調度支援權力，也可對涉及國家機密、軍事機密等資安業務人員進行適任性查核；至於特定非公務機關，專家建議要給予時間去逐步達到納管目標。

資安專家劉彥伯認為，「幾年或一年之內，你必須要完成一定的教育訓練，然後開始硬體的部分，因為可能會牽扯到預算的部分，所以可能給這個業者2年的時間，來做預算上面的硬體或是網路上的升級。」

這次修法並未納入一般民間企業，數位部表示，關鍵基礎設施都屬特定非公務機關的範圍，像是新竹科學園區，但位在竹科的公司必須是關鍵基礎設施，才會被列入範圍內。