立院初審 關鍵基礎設施未通報資安事件最高罰千萬

立法院交通委員會今天初審通過資通安全管理法修正草案，明定公務機關得對資安人員進行適任性查核，未通過不得辦理國家機密業務，而特定非公務機關若發生資安事件未依規通報，最高可處1000萬元罰鍰。

根據現行資通安全管理法，特定非公務機關是指關鍵基礎設施、公營事業、政府捐助財團法人。

行政院會去年通過「資通安全管理法」部分條文修正草案，並將草案送至立法院審議。立法院交通委員會今天排審資通安全管理法修正草案，經過4個多小時討論，朝野立委在多項條文達成共識，最終初審通過。

初審通過條文明定，資通安全管理法主管機關為數位發展部，資安業務執行由數位部指定資安專責機關辦理。

為明確規範公務機關資通安全維護實施情形，初審通過條文增訂，總統府、國安會、五院、縣市政府與議會等，向數位部提出資通安全維護計畫實施情形；至於直轄市山地原住民區公所及代表會，以及鄉鎮市公所及代表會，由直轄市、縣政府分層監管。

初審通過條文增訂，數位部應妥善規劃推動人員專職訓練，若遇重大資通安全事件，得調度各級機關資通安全人員支援；公務機關得對所屬資安專職人員進行適任性查核，若未通過，不得辦理涉及國家機密、軍事機密及國防秘密的資安業務。

初審通過條文明定，特定非公務機關下載、安裝或使用危害國家資通安全產品，得予以限制或禁止，但若是業務需求且無替代方案，得以專案方式使用，並列冊管理。

現行特定非公務機關發生資通安全事件若未依規定通報，可處新台幣30萬元以上500萬元以下罰鍰。朝野討論時，民眾黨立委林國成提議加重罰責上限，初審通過條文則將罰鍰上限提高到1000萬元。

不過朝野立委仍對部分條文有疑慮，包含公務機關不得下載、安裝或使用危害國家資安產品，以及主管機關對於「特定非公務機關」的重大資安事件調查權範圍等。由於沒能達成共識，擔任會議主席的民進黨立委許智傑裁示先予以保留，並將條文送交朝野協商。