《資通安全管理法》修正通過，強化資安治理規範

總統於2025年9月24日公布立法院三讀通過之《資通安全管理法》（下稱資安法）修正條文，施行日期將由行政院另行訂定。

資安法納管對象分為公務機關及特定非公務機關。特定非公務機關包括：(1)關鍵基礎設施提供者、(2)公營事業、(3)特定財團法人或受政府控制之事業、團體或機構。關鍵基礎設施係指對國家安全、社會或經濟具重大影響之資產、系統或網路，由行政院公告指定領域，其提供者則經中央目的事業主管機關指定並報行政院核定納管。

為因應日新月異之資安威脅，資安法自2019年施行後首次修正，本次修法重點包含主管機關變更為數位發展部，並強化多項資安治理規範。重要修正內容如下：

1. 危害國家資通安全產品之使用限制
   明定公務機關不得下載、安裝或使用危害國家資通安全產品。所稱危害國家資通安全產品，係指經主管機關認定對國家資通安全具危害風險，可能影響政府運作或社會安定之系統、服務或產品，包括受國家安全法及反滲透法所稱外國、大陸地區、境外敵對勢力或其實質控制者所提供之產品。此禁止範圍擴及機關自行或委外營運場所提供之公眾視聽設備及網路接取服務，但因業務需求且無替代方案時，經主管機關核定後得以專案方式使用，並列冊管理。
   對特定非公務機關，則授權中央目的事業主管機關得予以限制或禁止使用該等產品，包括其營運場所提供之公眾視聽設備及網路接取服務。
2. 特定非公務機關應設資通安全長、資通安全專職人員
   新增特定非公務機關應由代表人或指派適當人員擔任資通安全長，督導資安維護事務；符合特定資通安全責任等級者，另應配置專職人員辦理資安業務。
3. 新增中央目的事業主管機關於特定非公務機關重大資通安全事件之調查權
   調查範圍包含通知當事人或關係人到場陳述意見、提出第三方報告及派員至其處所實施檢查。受調查者不得規避、妨礙或拒絕，違者處以新臺幣10萬元至100萬元罰鍰。
4. 提高特定非公務機關違規罰則
   針對未依規定通報資安事件者，提高裁罰上限至新臺幣1,000萬元。其他違規態樣如未實施資通安全維護計畫、未依規定提出執行情形、未提交改善報告、未訂定通報應變機制、未提交事件調查報告，及違反通報內容、演練作業規定等，經限期改正未改正者，提高裁罰上限至新臺幣500萬元，並得按次處罰。
5. 委外資安業務應簽訂書面契約
   機關委外辦理資通安全業務時，應與受託者簽訂書面契約明定權責，並配合數位發展部規劃辦理資安演練作業。
6. 資安個資事件雙軌處理
   明定資安事件如涉個資外洩，因規範目的不同，應另依個人資料保護法及其相關法令規定辦理。