「建立公正文化，鼓勵提出問題，而非解決提出問題的人——談談公司化以外的台鐵改革」
　
昨天在交通委員會備詢時，王國財交通部長不斷強調「普悠瑪是車子的問題、太魯閣是工區管理的問題」。但是，這些只是個案問題嗎？
　
—
　
2018年的普悠瑪事故，撞出了台鐵驗收管理和車輛維護的問題，也讓台鐵進行了總體檢。
　
體檢報告要求台鐵建置安全管理系統（SMS），台鐵因此在2018年設立「營運安全處」，推動建置及落實安全管理系統。
　
然而，今年4月的太魯閣事故，又撞出了台鐵對於工區管理的問題。　
　
重大事故後的「總體檢」完成後，又再次發生重大事故，凸顯台鐵的問題不是個別問題，而在整體的組織與文化。
　
可惜的是，王部長的台鐵改革，「總路線就是公司化」，彷彿只要公司化，所有問題都會跟著解決。
　
事實上根本不是如此。
　
首先是組織的問題。
　
台鐵是三級機關中，具有超高密度組織法規範的特殊機關。​包括「交通部台灣鐵路管理局組織條例」​、「交通部台灣鐵路管理局所屬分支機構組織通則​」、「交通部台灣鐵路管理局餐旅服務總所組織條例」和「交通部台灣鐵路管理局貨運服務總所組織條例​」。
　
連餐旅服務單位都要組織條例，就可以知道機關組織的僵化和龐雜。而運務、工務、機務及電務四大分支，看似各司其職的組織分工，實則各自為政，讓人力到資訊都難以統合。
　
這個問題，王國材部長非常清楚。因此在上任之後，就表示將設立「分區營運中心」，整合運務、工務、機務及電務的運作。
　
但是，「分區營運中心」並沒有組織法上的定位（事實上，連營運安全處都是黑機關！）。​這些仰賴部長授權而存在的單位，到底能多大程度「整合」台鐵，讓台鐵更安全，甚至建立「合作文化」？
　
可惜的是，從行政院到交通部，並不認為制度上的組織改造，應該優先於台鐵的公司化。
　
其次，則是文化問題。
　
特別是從公務機關的究責文化，走向公正文化（Just Culture）​的決心。
　
什麼是公正文化？
　
國際民航組織（ICAO）第9859號文件第1版有非常清楚的定義：「一個良好報告文化之根基乃為不處罰環境，員工須了解並認可何謂可接受行為和不可接受行為。雖在一個不處罰環境下，但管理者絕不容許明知故犯或是刻意違反之行為。在特定環境下，公正文化認可需有處罰行動，並試圖去定義可接受和不可接受行動或活動之界線。」
　
簡單講，在承認人會犯錯的前提下，可以欣然接受小孩指出國王沒穿衣服，員工指出台鐵螺絲掉滿地。
　
只有在互信文化下，才能鼓勵員工主動提出重要的安全資訊。
　
可惜的是，過去台鐵家醜一旦外揚，台鐵最先想到的都不是「怎麼解決問題」，而是「趕快解決提出問題的人」。
　
於是，從下班後主動巡查通報斷軌的道班領班、指出列車習慣性超速趕點的司機，到普悠瑪事件後具名接受媒體採訪點出問題的技術人員，都被一一懲處。
　
這樣的組織文化，如何鼓勵員工主動反映問題、解決問題？
　
最後，在制度上，鐵路法也沒有和「民用航空法」一樣，有對主動提出問題者減輕或免除處罰的保障。
　
民用航空法第112-1條：「對於前二條未發覺之違規，主動向民航局提出者，民航局得視其情節輕重，減輕或免除其處罰。」​這就是希望藉由制度性的保障，建立起「公正文化」，讓員工更容易主動表達疑慮以獲得資訊，防微杜漸。
　
人命關天，高度強調風險管理以確保安全的航空業，對吹哨者有相關保障，同樣涉及高度風險還常常出狀況的鐵路，又怎麼能不重視？
　
可惜的是，部長在今天的質詢上面表示，應該只需要內部規定做就好。只是，內部規定，難以成為阻卻法律責任的事由。
　
台鐵近年來，建置和落實安全管理系統的嘗試，我認為要予以肯定。
　
不過，如果不能直面沉痾已久的組織與文化，那麼，再多SOP的建立，只怕就像軍隊中的「喝水小卡」或保15-002表格（裝備檢查及缺失改正表），除了增加行政成本和偽造了更多文書之外，也難以阻止下一個普悠瑪，下一個太魯閣事故的發生。

金山小編陳嘉緯過世已逾一年，時代力量提四大呼籲，為公部門基層發聲
-
針對去年(2020)8月4日金山小編陳嘉緯過勞逝世事件，監察院在今年8月19日對本案提出調查報告，認定金山區公所未善盡雇主職業安全防護義務，對區公所提出糾正，並要求新北市政府議處相關失職人員。站在守護公部門勞權的立場，時代力量 王婉諭 ；新北黨部 #彭盛韶、#陳姳臻 兩位副執行長；新莊區主任 #吳香君，以及「 #台灣公務革新力量聯盟」理事長 #何昀峯 於今(9/2)日召開記者會，為在公部門辛苦工作的基層發聲，並提出以下呼籲：
-
1⃣ 議處相關失職人員，儘速提出懲處名單。
2⃣ 公開新北市府各單位約僱人員數量及其業務範圍。
3⃣ 建立長期制度以保障公部門約僱人員權益。
4⃣ 落實公部門勞檢，資料上網公開。
-
彭盛韶表示，侯友宜在監察院報告提出後的當天(8/19)，曾對此事表示「市府會悉心檢討，並保障所有勞工朋友的權益。」然而，檢討什麼？保障什麼？侯友宜市長完全沒說清楚。
-
彭盛韶說明，回想嘉緯過勞死整起事件，在事件發生之初，去年8月9日就傳出部分媒體報導後不久又毫無預警下架嘉緯驟逝的新聞，當時市府就被質疑是市府為了顧及形象，以公權力壓制新聞自由，引發社會譁然。而在嘉緯過世已逾一年的今天，新北市政府仍未提出相關懲處名單，金山區公所社群媒體粉專的相關消息，仍僅有公告嘉緯告別式的貼文。
-
彭盛韶指出，新北市政府壓榨公部門人力，絕非嘉緯過勞逝世這一件而已，這在新北市恐怕只是冰山一角，絕大多數公部門基層人員在這件事後沒有更全面的保障，而市府在嘉緯過世後一年後，在制度上是否有任何改進，我們也打下問號。彭盛韶拿出監察院的報告表示，金山區公所前後兩任區長，未善盡職業安全防護義務，使嘉緯淪為血汗小編，最後致因公過勞死亡是不爭的事實，但直到今天，我們僅看到監察院的調查報告，卻完全無市府相關對此案的進一步的作為，包括制度面措施、懲處進度、撫卹事宜等，市民完全無從得知，實在太離譜。
-
彭盛韶表示，從事件發生至今，侯友宜市長的說法與作法，完全看不出有任何要改善新北市公部門勞動環境的決心，實在難以告慰嘉緯的在天之靈，更難說服市民，市府有因為這件事得到教訓及虛心檢討。
-
勞檢機制失靈罔送一條寶貴生命　關鍵資料竟不見蹤影
-
吳香君說，根據國際勞工組織相關公約的定義，公務人員也是勞工，政府不能把「服務人民」無限上綱到超越個人身體健康，更何況在這案子裡，受害人根本也享受不到公務人員的福利，每個月卻平均加班超過80小時，最長甚至達到124小時，這樣離譜的情況無論如何都是不合理的。
-
吳香君進一步表示。根據新北市政府自己訂定的「職業安全衛生推動計畫」以及針對新北市29區公所的職安督導考核，像嘉緯這樣的約僱人員也應該是檢查對象，卻因為金山區公所誤用法令，認為他不是公務員所以不適用勞檢，導致他沒有被檢核到如此異常過勞狀況。讓原本明明可以避免的事情，發生悲劇。
-
吳香君提醒侯友宜市長，如果真的要保障所有勞工朋友的權益，就不應該讓雇主還能選擇誰要檢查、誰不用檢查，只要是勞工就該檢查，也就是說不管今天嘉緯有沒有公務員身分，他的身體都不該承受上百個小時的加班！
-
吳香君認為，從這件事可以看出，目前實務上有個很大的問題，就是勞檢報告從未公開透明，連勞工本人都不知道勞檢的過程，只能知道最後有沒有被裁罰，其中事實認定與法律適用完全由勞工局自由心證，勞工從頭到尾完全沒辦法發表意見。
-
也就是說，只要無良僱主敢睜眼說瞎話，就能讓勞檢黑箱作業，就能讓勞檢制度形同虛設，
以這個案子來說，如果受害人能看到自己完整的勞檢報告，就可以發現金山區公所謊稱已經有預防過勞的措施，或許他就能及早跟勞工局反應勞檢不實，也就能避免這次的悲劇；吳香君呼籲新北市政府應該將所有的勞檢報告公開透明，保障勞工朋友的權益，避免像嘉緯這樣的悲劇再次發生。
-
改善公部門約聘僱人力狀況：短期公開相關資料，長期應修法為目標
-
陳姳臻表示，這件事凸顯了公部門約聘僱勞力的運用問題，市府各單位進 用了多少職務代理人與約僱人員，而他們又負責了什麼業務更是一大黑數！陳姳臻拿出監察院的調查報告表示，嘉緯實際辦理的業務以公共關係、新聞發布等業務為主，但若依據金山區公所官網上所公布的業務職掌來看，可以發現這被歸類在「秘書室」的業務項目中，但嘉緯在去世前一年先後所屬的民政災防課與社會人文課並未包含這些業務。
-
陳姳臻認為，自2019年9月起，區公所指派嘉緯擔任新媒體小組組長，統籌應由主管負責之貼文審核及議題行銷等業務，這完全違背《行政院與所屬中央及地方各機關約僱人員僱用辦法》第2條第1項：「本辦法所稱約僱人員，指各機關以行政契約定期僱用，辦理事務性、簡易性等行政或技術工作之人員。」以及第3項：「約僱人員不得擔任或兼任主管職務。」等規定。嘉緯不但執行超出法定業務範圍的工作內容，更執行主管的職務，根本顯示現行公部門的分工與人力需求，根本脫離了約僱人員定期、辦理簡單事務性業務的範疇，卻硬是使用保障較差的職種聘僱員工。
-
陳姳臻表示，市府要讓外界安心，最直接的方法就是公開各單位約僱人員的數據，比照臺北市將所轄各單位約僱人員的人數公諸於「政府資訊公開平臺」，資料透明有助於約聘雇職場的揭露，可以間接避免過勞、避免相關危害勞動權益的事情發生。甚至，要更進一步地將約僱人員的業務範圍，去識別化後公開，避免像此過勞案一樣一人做多職務代理。陳姳臻認為，在公部門約僱人員運用問題上，短期應朝資訊揭露的方向前進，市府公開各單位約僱人員數量及其業務範圍，但這只是第一步而已。
-
陳姳臻說，若要改善約僱人員，也就是這群既不是公務員，又是勞基法孤兒的勞動者發生過勞問題，從長期來看仍需要做完善制度的討論，比如該人員提供勞務的內容是否應有一致性？而非從事契約之外的工作項目，以及工時制度應該要參考醫學專業提供保障，甚至長遠來看應該將公部門非公職考試的長期人力，尚未規範的部分必須跟上勞基法的腳步。受僱於政府的人一樣是勞工，不應該保障低於基本的勞基法。另外，有鑒於本次勞動檢查不小心排除約僱人員的部分，也點出制度曖昧造成的問題，因此在此呼籲不僅要規範勞檢部門落實公部門勞檢事宜，議會也要做好監督，關心整體的市府用人的形式以及相關人員是否有合理待遇與保障。
-
何昀峯表示，發生在陳嘉緯身上的憾事凸顯市府的兩個問題，一是市府過度忽略人力成本、時間成本，沒有評估做事的必要性。倘若金山區公所人力如此有限，自然不應該要求區公所自己負擔媒體經營的業務，像是攝影、圖文製作、影片剪輯，若要求品質，都需要一定的技術性，當然也要留意機關是否適合自行辦理的適當性。
-
其二，事情有輕重緩急，業務有核心非核心，效果也有直接間接之分，很難說每項工作都讓人備感意義，若是沒有明確地將核心業務與次要業務區分，只是不斷的添加業務，那真正的情況應該不只是小編過勞，恐怕整個組織都在過勞。坦白說，行政機關勞逸不均的現象眾所皆知，在非必要業務不斷增加的趨勢下，誰又知道小編猝死相較每年公務猝死的比例又是多少？還有，會不會不是「所有人」都過勞，而是只有「能者」過勞呢？
-
何昀峯說明，在長期制度建立面，新北市政府可以將在各個機關間不斷傳換工作的聘僱用職務代理人資訊蒐集起來，建立聘僱用人員的人才庫，以利管理也能避免酬庸疑慮。另外市府應該要將橫跨數年的任務工作，提供穩定的聘僱用員額，而不是使用中短期職務代理人的模式，否則還是會有像陳嘉緯一樣，明明都在同一個機關服務，卻得受到職務代理原因消失，而必須一直重新換約，甚至越做收入越低的情形發生。
-
針對嘉緯過勞逝世所引出的問題，彭盛韶也向侯友宜提出四大問。一問，整起事件後續的檢討和改進了什麼？二問，現階段相關人員的懲處到哪？三問，監察院所指出的107年度(2018年)「職業安全衛生推動計畫督導考核」又在哪？為何2017年的考核資料公開出來，關鍵的資料反而不在？四問，嘉緯過勞死是否僅是新北市境內的冰山一角，其他基層人員的工作待遇仍是未知數，是要怎麼知道悲劇不會重演？彭盛韶表示，若市府對這些問題不能給個交代的話，社會大眾將難以相信侯友宜市長的虛心檢討，到底要檢討什麼？
-
王婉諭總結，為了避免嘉緯的遺憾重演，若要公部門勞權具備更全面的保障，市府應該做什麼改革呢？對此，新北黨部提出以下四點呼籲：
1⃣ 議處相關失職人員，儘速提出懲處名單。
2⃣ 公開新北市府各單位約僱人員數量及其業務範圍。短期內，市府應該公開各個單位約僱人員的運用狀況，及其所執行的業務內容。
3⃣ 建立長期制度以保障公部門約僱人員權益。長期而言，市府應該訂定契約人員進用與管理辦法，包含規定約僱人員異動送交議會備查等事宜。
4⃣ 落實公部門勞檢，資料上網公開。從嘉緯過世事件來看，市府的勞檢未落實其實間接導致他的猝死，把關機制應該更落實，並將勞檢資料公開上網。
-
王婉諭說，我們知道公部門約僱人員被濫用的問題在短時間不易解決，但即便如此也不代表可以不試著尋求解方，敷衍了事，讓悲劇再度的發生。市民所需要的遠不止是道歉與補償，「再多的道歉與補償也喚不回這些生命」，誰也不會希望自己的家人因為進入政府部門為民服務卻踏上人生的不歸路。時代力量仍會持續監督，並提出相關的對策，要求市府進一步的改善約僱人員被濫用的弊病，避免悲劇重演的可能性！

▎ 從行政院國發基金創業投資電腦系統遭駭事件，看台灣資安現況 🧐

「資安即國安，切莫淪為口號！」

有鑑於近年來國內外資安事件頻傳，虹安於國會問政也經常關心我國資安政策與規劃。甫於上個月，行政院國家發展基金的創業投資電腦系統遭疑似來自中國大陸的駭客惡意入侵，顯現出政府機關的資安意識與作為仍然相當薄弱，所謂的「資安國家隊」似乎僅淪於口號而並非具有實質作用？

💡前情提要💡
6月底，行政院國家發展基金的創業投資電腦系統突然無法開機，近日終於釐清原因，該單位的電腦遭疑似來自中國大陸駭客惡意入侵，導致系統主機遭植入病毒程式，該單位主要負責國內產業新創與公司轉型業務，此事件已通報為三級資安事件，影響層面涉及投資企業與融資業務、個人資料恐已外洩...等，屬於極度嚴重的資安事件。

虹安曾多次公開呼籲，政府或企業要提高資安意識，且應定期執行模擬演練攻擊；政府也應該儘速盤點相關政策，加速產官學研資安防護能力。比如說定期執行紅隊演練攻擊（模擬駭客入侵，對各企業端點進行攻擊）的服務，藉此找出資安防護的弱點加以改進。全世界皆面臨著資訊戰以及日益猖獗的惡意竊盜資料的網路攻擊，近年更有許多企業遭到駭客組織的「勒索軟體即服務」（RaaS）新興手法攻擊，公私部門之資安意識、能力和人才提升，勢必得馬上佈建、徹底執行。

🎯🎯🎯國發基金的創業投資電腦系統遭駭，問題可能出在哪？

① 重要主機資訊系統並沒有資安團隊或資安人員進行主動積極防禦，突顯資安人才短缺問題造成的影響仍持續擴大。

② 資訊系統委外開發及維運，顯然並沒有進階資安防護的要求，造成甲乙雙方置系統安全不顧。建議應檢視所有目前政府重要系統委外營運之合約，無論新舊，對於資安的要求是否符合規範。

③ 國發基金系統既然委外由兆豐銀行開發及維運，此事件是否表示兆豐銀行在資訊安全管理上有所疏漏，不知是否有檢視兆豐銀行整體資安防護措施？雖然在金管會要求下銀行都有專屬的資安團隊及應該做好的防護，不過今天的事件，是否代表著兆豐在資安維運上存在某種瑕疵？又，這類的事件是否會在銀行系統中發生？

如果今天遭竊的不是所謂四五年前的舊資料，而是所有納稅人的血汗錢以及國庫資金？後果不堪設想。

所以，當我們發現國發基金委託外部建置的系統至今毫無有效的資安防護措施、一遭攻擊就破功，著實令人震驚！此舉形同開大門邀請別人來攻擊，#門打開嘸人顧厝，這樣的疏漏相當嚴重也不可容忍。試問數以百計政府機關單位中，是否可能還有類似情況？人民、企業、甚至是國家該如何有保障？

剛出爐的《109年國家資通安全情勢報告》才寫道：109政府單位資安稽核重點是以「行政院所屬部會行總處署」為主，隸屬於行政院的國發基金系統竟然仍存在著資安薄弱的問題！

🔊 虹安再度呼籲，行政院應該要針對所有政府機關與國營事業做 #資安總體檢，找出系統弱點漏洞，否則以台灣政府單位每年遭受2-4000萬次網路攻擊的頻率(2018年公開資料)，政府重要機密與民眾個人資料如何能有效保障安全，實在令人高度憂心！