【520後，台美應盡快落實資安合作架構】

近期公私部門駭客入侵事件頻傳，背後並不單純，很感謝AIT的史大慶博士與我討論，分享一點想法如下：

四年前，蔡英文總統喊出「資安即國安」，並在106年的總統府資安週活動中，宣示了三項國安級的資安目標，分別是第一、打造國家資安機制，確保數位國家安全，第二、建立國家資安體系，加速數位經濟發展，第三推動國防資安自主研發，提升產業成長。然而這三項到底具體落實如何？在520前接連爆發國營事業、國內多家重要能源及科技公司接連遭勒索軟體攻擊...，要不是總統府內電腦系統遭駭，引發政治漣漪，可能還不會引起大家對資安的關注，這些只是台灣面對中國資安戰的冰山一角。

過去我曾與民間學者跟組織，共同提出「資訊長組織法」草案、以及「資通安全管理法」草案，前著試圖改造政府組織架構，賦能政府處理資訊的能力、促成政府的數位轉型，面對數位社會的重重挑戰。後者參考美國聯邦資訊安全管理法案(FISMA)的精神，明定政府資安的分工架構與職責，此外，除了在公私關鍵基礎設施劃分上謹慎處理外，也將治理、執行、標準制定、人才培育等資安的不同細部環節進行拆解，尋找妥善的單位共同配合，除了可以盡量落實中央、地方所有機關都能夠有資安觀念，也避免了日後權責不清，相互卸責的可能。

當時三讀通過的法案，是妥協下的產物，因為不同於美國的FISMA已歷經數次修改，美國從二〇〇二年開始傾全國之力不斷討論進化而來，台灣二〇一七那時無法一次到位，儘管三讀通過的資通安全管理法為政府的資安奠定了基礎，且後續子法一一出爐試圖彌補法規的模糊，終究造成最後國家資安體系打造上的差異：台灣政府資安事全分散、權責不明、拉高民間資安防護無力、人才外流、資源不足。

台灣身處中共資安戰的前哨戰，過去幾年飽經對岸的假訊息跟駭客攻擊，不單如此，中國的軟體、設備，一再爆出「裝後門」疑議，讓美國更加關注台灣的資安國力，而網絡安全是美台印太夥伴關係的重要基礎，若台灣資安能做到美方放心的標準，也更有機會促成許多高科技產業上的密切合作。因此美國在台協會（AIT）過去頻頻舉辦資安論壇、以及跨國網路攻防演練（CODE），甚至提出希望與台灣合作設立「國際網路安全卓越中心」(International Cybersecurity Center of Excellence，ICCOE)，共同促進台灣及印太區域的網路資訊安全。

資安已經不只是國安，更攸關未來台灣在區域、在國際上的角色定位，也關係到台灣在未來全球產業的競合與佈局。而資訊安全不只是政院的事，新國會也應善用監督的力量，督促政府將提資安提高到國安所需的組織改造、戰略佈局、預算配置...等，協助搬開限制台灣資安發展的小石頭。

同時，台灣積極參與國際間的資安聯防已不可逆，因為我們無法憑一己之力抵抗中共的惡意攻擊，台灣應參照台美間的全球合作暨訓練架(GCTF)，將國際網路安全卓越中心落地成為台美間例行的合作，透過美國的力量，提昇資安實力，加入區域聯防，如同這次防疫的卓越成果一般，能夠貢獻區域和國際。

【賀《資通安全管理法》三讀，奠定數位國家基石】

就在剛剛，資通安全管理法三讀了，我要感謝與我一起努力許久的朋友、全院委員的努力，一起順利讓它通過，特別是委員會審查時，大力幫忙的 蔡易餘 家己人召委。

近幾年各界因為許多事件，對於資安的重視程度提升許多，在 蔡英文 Tsai Ing-wen總統宣示『資安即國安』之後，將資安的重視程度拉高至國安等級。

我進入立法院之後，致力發展數位轉型，也推動了許多政策，但我知道數位轉型的基礎，是建立在資安上的，因此我也有提出自己版本的《資通安全管理法》。

然而興奮之餘，我也在三讀後感言表達我的憂心，一個國家的資通安全並不能只有一部法律，需要的是一個完善的系統。從標準與人才的養成、觀念的提升，都該被涵蓋。這也是為什麼我在我的版本中，納入了扶植標準的內容，並且在每個區塊都給予了細緻的描述。今天我們礙於台灣的現況發展可能還不能如美國的FISMA 架構這樣完善，所以捨棄了這樣的安排，但不代表他是錯誤的或不重要的。反而，那才是我們該努力的目標。

因此我希望在此提醒行政院資通安全處，從提案到現在，這個法案爭議從來沒有少過。從最關鍵的原 18 條到關鍵基礎建設的定義都是。我非常謝謝簡處長願意接納我與其他委員、民間的意見，拔除行政檢查。但是也希望他能記得，對於《資通安全管理法》不認同的狀況並未結束，各界對於這個法案仍充滿疑慮。我相信簡處長也是明瞭的。

我期望簡處長能時時刻刻以這些意見為念，記得我們現在是妥協，而我們應該臻於至善。期許行政院資通安全處能夠扎實加強台灣的資通安全環境，並盡早讓台灣能夠邁向真正像美國 FISMA 那樣完善清楚的治理架構，充分顯現公私協力、業者自律的精神。

＃資安即國安
＃資通安全管理法三讀通過
＃感謝所有關心資安的大家

【反對Big Brother 擴權監控，尊重民間自律】

「在網路空間裡，⋯⋯壞人等於是在我們睡覺的時候已經站在床邊，但大多數人卻依然從容，甚至是對這種威脅一無所知。」 #國際刑警組織 顧問、《 #未來的犯罪》作者馬克．古德曼（Marc Goodman）的這句話，道出了當今資安危機已經迫在眉睫。

資安問題已經是國安問題，政府一方面有責任健全資安保護網，但另一方面也必須顧及民眾個資及隱私的維護，我們必須去思考法規管理與自由的天秤該如何平衡。

行政院版「 #資通安全管理法」草案，其中的第18條，「政府在稽查民間機構時，如有重大缺失，或遇重大資通安全事件，可派員進入非公務機關場所檢查，不得規避、妨礙或拒絕」，對於何謂「重大缺失」、如何認定「重大資通安全事件」，不僅定義過於模糊，更直接跳過司法機關的審查，直接將政府的手伸進民間，「這不是濫權，什麼才是濫權？」

包括Google、Facebook、LINE Taiwan- 再LINE一下以及AmCham Taipei美僑商會、歐洲商會都對這次的修法向我提出疑慮，我也擔心修法通過後，恐怕扼殺台灣剛要起步的金融科技產業。

我的版本主要參考美國「#聯邦資訊安全現代化法（FISMA）」，僅規範政府機關、公營事業及政府捐助之財團法人，未擴及民間業者。因為我相信政府要適度地信任民間機構、企業自律的能力，也只有公私彼此信任，才能真正達到維護資安的最佳效果。