《资通安全管理法》修正通过，强化资安治理规范

总统于2025年9月24日公布立法院三读通过之《资通安全管理法》（下称资安法）修正条文，施行日期将由行政院另行订定。

资安法纳管对象分为公务机关及特定非公务机关。特定非公务机关包括：(1)关键基础设施提供者、(2)公营事业、(3)特定财团法人或受政府控制之事业、团体或机构。关键基础设施系指对国家安全、社会或经济具重大影响之资产、系统或网路，由行政院公告指定领域，其提供者则经中央目的事业主管机关指定并报行政院核定纳管。

为因应日新月异之资安威胁，资安法自2019年施行后首次修正，本次修法重点包含主管机关变更为数位发展部，并强化多项资安治理规范。重要修正内容如下：

1. 危害国家资通安全产品之使用限制
   明定公务机关不得下载、安装或使用危害国家资通安全产品。所称危害国家资通安全产品，系指经主管机关认定对国家资通安全具危害风险，可能影响政府运作或社会安定之系统、服务或产品，包括受国家安全法及反渗透法所称外国、大陆地区、境外敌对势力或其实质控制者所提供之产品。此禁止范围扩及机关自行或委外营运场所提供之公众视听设备及网路接取服务，但因业务需求且无替代方案时，经主管机关核定后得以专案方式使用，并列册管理。对特定非公务机关，则授权中央目的事业主管机关得予以限制或禁止使用该等产品，包括其营运场所提供之公众视听设备及网路接取服务。
2. 特定非公务机关应设资通安全长、资通安全专职人员
   新增特定非公务机关应由代表人或指派适当人员担任资通安全长，督导资安维护事务；符合特定资通安全责任等级者，另应配置专职人员办理资安业务。
3. 新增中央目的事业主管机关于特定非公务机关重大资通安全事件之调查权
   调查范围包含通知当事人或关系人到场陈述意见、提出第三方报告及派员至其处所实施检查。受调查者不得规避、妨碍或拒绝，违者处以新台币10万元至100万元罚锾。
4. 提高特定非公务机关违规罚则
   针对未依规定通报资安事件者，提高裁罚上限至新台币1,000万元。其他违规态样如未实施资通安全维护计划、未依规定提出执行情形、未提交改善报告、未订定通报应变机制、未提交事件调查报告，及违反通报内容、演练作业规定等，经限期改正未改正者，提高裁罚上限至新台币500万元，并得按次处罚。
5. 委外资安业务应签订书面契约
   机关委外办理资通安全业务时，应与受托者签订书面契约明定权责，并配合数位发展部规划办理资安演练作业。
6. 资安个资事件双轨处理
   明定资安事件如涉个资外泄，因规范目的不同，应另依个人资料保护法及其相关法令规定办理。