【資安周報第78期】資安法草案對行政檢查定義不清,引發諸多疑慮

【資安周報第78期】資安法草案對行政檢查定義不清,引發諸多疑慮 《資安管理法草案》雖然大幅參考個資法架構,卻因行政檢查應有的程序和作法不足,引發立委審查法案時的質疑 文/黃彥棻 | 2017-11-09發表 延宕半年後,總共有6個版本的《資通安全法草案》終於在立法院日前召開的司法與法制委員會進行詢答,不過,多數立委認為,條文中「行政檢查」規範不明,易有侵犯人權和外洩機敏資料的疑慮。 在立法院躺了半年的《資安管理法草案》,終於在11月6日召開的司法及法制委員會中,展開首度立委詢答,當天登記發言的委員們,普遍疑慮在於,對於政院版草案中的「行政檢查」感到不解與憂心,甚至直指這樣的行政檢查高度違反人權,不具公權力的稽核員到企業現場進行行政檢查,因為企業無法拒絕,也讓立委們懷疑,有企業機敏資料外洩的風險。「行政檢查」引發立委對人權和企業機敏資料外洩疑慮行政院版《資安管理法草案》18條行政檢查權條文的爭議最大。直接看資安法草案條文,已囊括行政檢查情境、人員資格,強調企業不能拒絕行政檢查,且要求參與行政檢查稽核員具有保密義務等規定。不過,立委的質疑多數偏重在:沒有司法警察權力的稽核員如何做行政檢查,是否有侵犯人權的疑慮;也擔心企業機敏資料可能在行政檢查時,遭到稽核員或者其他因素外洩。國民黨立委許毓仁在臉書質疑:「何謂重大缺失?何謂必要性?在資安管理法草案中完全找不到更詳細的定義,等於主管機關只要一口咬定民間機構有重大缺失且有調查必要,無須經過任何審核許可機制,便得任意調查,那麼民間機構的人權保障、通訊隱私、營業秘密何在?」民進黨立委余宛如直言反對行政院版草案關於行政檢查的規定,認為政府不應有權進行「行政檢查」外,更認為,所有的資安保護最終應回歸「業者自律」,並規範「私有關鍵基礎設施提供者」只需要在重大資安事件發生時,7天內向主管機關報告即可。目前民進黨黨團總召柯建銘希望,未來討論能以行政院版內容為主,希望資安處可將各方有疑義條文先修正後,再進行後續審查。余宛如立委辦公室指出,要將政院版草案整合余宛如版的難度頗高,最終仍得在委員會進行條文逐條討論時,由各方做最後角力。只不過余宛如對業者自律的期待,對多數第一線資安工程師而言,無異是天方夜譚。有資安工程師以他的工作內容為例,要落實資安分析就必須先蒐集各種必要的登錄檔(Log),但要做到快速蒐集與分析,這些登錄檔最好儲存在線上存取的儲存設備上。該名資安工程師表示,該公司對線上儲存登錄檔最多只保存3個月,若要延長保存期限,「有法令規範且法過了後再說。」也就是說,要企業在資安做更多投資,除了少數非常在意資安對企業營運帶來風險的企業外,多數企業多以符合法令規範作為資安風險管理的「高標」。第一線資安工程師看到的資安實務運作,與立委期待有180度的差異。行政檢查可以主動也可被動,重點在於有配套措施行政院資安處處長簡宏偉表示,資安處對於行政檢查的目的,從「預防勝於治療」的角度,或在資安情勢更惡化前,可以進行相關防護和補救措施,「這才是資安處和相關主管機關進行行政檢查的基本態度。」他說。「資安處對行政檢查的態度是相對開放的,」簡宏偉表示,「行政檢查」可以是主動出擊也可以是被動通知,只要可以在合法的情況下,有相對應的配套措施即可。他認為,行政檢查可以是稽核時發現,或接到通報某單位發生重大資安事件,由主管機關進一步了解事件發生緣由;也可針對某單一重大資安事件,由主管單位到場調查該資安事件發生始末。他進一步解釋,資安法只針對關鍵基礎設施提供者,這些政府高度監理或特許行業的「非公務機關」進行「行政檢查」,因其服務涉及許多民眾權益,「對攸關民眾權益的關鍵基礎設施做資安檢查,已是一種國際趨勢。」他說。簡宏偉認為,對這些關鍵基礎設施提供者進行行政檢查,就像是「預防傳染病」一樣,先從改善環境衛生著手;再來就是注意個人衛生習慣;接著要提高人體免疫力;最後就可以施打適合的疫苗或藥物,以避免傳染病危害。行政檢查會侵犯人民權益,應明定範圍和救濟手段等就立法角度而言,《資安管理法草案》對行政檢查應具備的要件並不周詳,即便相信公務人員不會踰矩,但就立法技術而言,還是要做到法律本身就可以明定範圍,尤其是,行政檢查本身就會侵犯民眾或企業權益,應在法條中一併規範相對應的行政救濟措施,明定權益一旦遭損害的救濟管道,才不會出現立委擔心的行政權獨大或濫權疑慮。立法院法制局的〈從重大民生經濟案件論行政檢查與行政搜索法制發〉報告中就清楚提到,行政檢查不僅要基於法律明確性原則、比例原則等,也必須在個別行政法領域的法制基礎上針對個案進行調查,尤其是強制調查的要件、程序、範圍、標的、救濟方式等,都必須明文規定。「行政檢查」是政府遂行公權力的一種手段,可分成行政檢查和行政搜索,是不得已侵犯或干擾個人或企業權益的方式。因此,所有行政檢查都需基於「法律」授權,不能只是行政命令或行政裁量的授權,須有一定的制約和規範。當行政機關要執行行政檢查時,首先,必須清楚定義執行該檢查的目的,受檢標的和範圍必須明確,手段則須受到限制與規範,相對應的法律授權應完整,應註明一旦當事人或企業的權益受到損害時,有哪些相對應的救濟措施可彌補。資安法雖參考個資法,行政檢查規範細節不完善許多人都知道,《資安管理法草案》參考《個人資料保護法》的立法方式,甚至於,連幕僚單位都來自同樣的單位。兩個法律條文同樣都有「行政檢查」項目,但《個人資料保護法》對行政檢查應該具備的要件規範完善,包括:行政檢查時要檢查標的、範圍、立法授權,甚至是相對應的救濟手段等。也因此,當年立法委員審查個資法「行政檢查」條文時,就沒有像審查資安法時,有這麼大的質疑。比對個資法第22條和資安法第18條「行政檢查」條文後可以發現,個資法針對行政檢查的條文規定和資安法幾乎如出一轍,但資安法沒有寫清楚的項目包括:對於持有證物的作為以及相關稽核人員身分等,也沒有如個資法第23條~27條對行政檢查的其他規範。例如,個資法第23條,界定查扣留證物的處理方式;第24條規定,對行政檢查過程與程序不滿者的救濟手段;第25條寫明查有不法者,主管機關的裁罰方式;第26條規定相對應的救濟措施,如無不法情事,可在當事人或企業同意下公布結果以昭公信;第27條則是明定非公務機關應該遵守的規範等。行政檢查不能任意翻查受檢單位資料,只能問授權內的問題行政檢查是一種不得已要侵犯民眾權益的手段,但很多立委和企業對於行政檢查的過程和手段都過度想像,反讓更多人誤解行政檢查。立委們質疑行政檢查會侵犯人權或外洩機敏資料,若有完整法律授權和範圍與標的設定,不應發生上開情事。行政檢查不同於司法搜索,最常見的行政檢查手段除了要告知和配合外,到場訪視則是最後手段。這些告知和配合,必須針對行政檢查法律授權範圍、標的,透過限制性檢查手段做行政檢查,超出法律授權範圍的部份,不能問也不能查。個資法通過後,有許多電子商務業者發生個資外洩事件,主管機關經濟部商業司必須進行個資法行政檢查,得先告知受檢單位,請對方配合提供所需資料,但對與個資無關的內容不能查、不能問,連行政檢查範圍都有一個查核表作參考依據。只要業者配合度過低、不願意提供相關資料時,才須到場訪視。據有行政檢查經驗的專家表示,稽核員不能任意翻查或搜索受檢查單位的資料、文件甚至設備,不能脫離法律授權範圍、標的與手段,「即便是到場訪視做行政檢查,仍只能針對授權檢查的範圍,請受檢單位當場提供所需資料。」專家說道。而且跟據〈從重大民生經濟案件論行政檢查與行政搜索法制發〉報告指出,除非涉及刑事責任,否則接受行政檢查的單位,對於主管機關的提問,不能以刑事訴訟程序的被告所享有的「緘默權」作為不回答問題的搪塞藉口。文⊙黃彥棻許多立委對於行政檢查有過度的想像,也使得大家對於資安法的「行政檢查」顯得霧裡看花,不知道行政檢查如何進行。事實上,行政檢查因易侵犯民眾和企業的權益,所以相對應的法律授權、範圍、標的甚至是救濟措施,都必須清楚載明。  iThome Security

更多訊息更多資料都在這裡喔!~智勝王~蜂王乳~磷蝦油~血栓溶解酵素~蜂王漿~PPLS~膠股力~保健食品~葉黃素~健康食品~南極冰洋磷蝦油~蚯蚓粉~力雪達~青春元素~地龍粉~地龍酵素~蝦青素~膠骨力~蝦紅素~芙婷寶~超視王

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *