在資訊戰興起、地緣政治影響下,關鍵基礎設施的維護早已涉及國家安全。在今年10月初舉行的台灣網路治理論壇中,屏東科技大學通識中心助理教授張雁翔分享了美國從法制面上保護關鍵基礎設施的經驗。他也指出,台灣偏向以「事後處罰」來嚇阻竊取關鍵科技、關鍵基礎設施的行為,但如何運用更多行政手段來達到「事前防範」,是應多加思考的方向。
關鍵基礎設施涵蓋能源、供水、通訊傳播、金融、醫療、政府機關、科技園區等,是國家正常運作的基石,在戰爭發生時也是重要的安全樞紐。然而,近年台灣的關鍵基礎設施屢次遭到攻擊。
根據中華電信統計,連接台灣與馬祖的海底電纜自2017年以來已發生29起斷纜事故,且今年2月發生的兩次斷網事件,都是因為海底電纜被中國船隻破壞。此外,去年美國眾議院議長裴洛西訪台期間,總統府、國防部、外交網站更遭到境外DDoS攻擊,網站因流量過大,一度被癱瘓。種種事件都顯示,台灣在保護關鍵基礎設施上仍有待加強。
美2018年修法擴大審查外資 軍事設施附近納管
張雁翔分享,近年歐美各國特別從法制面上改革,保護關鍵基礎設施與關鍵科技,避免被境外勢力竊取或破壞。較著名的案例是,美國在2018年通過《外商投資風險審查現代化法案》(FIRRMA),擴充「美國外資投資委員會(CFIUS)」的權限。
張雁翔解釋,美國外資投資委員會是一個跨部門委員會,參與者涵蓋商務部、財政部、司法部、國防部、國土安全部、能源部、白宮幕僚辦公室等,顯示審查外國人投資非常複雜,不能只考量經濟層面。
在2018年的通過的法案中,主要增加有關「敏感性投資」的審查,並以是否涉及「關鍵基礎設施」與「關鍵科技」為審查重點,目的在於管制外國資本直接進入基礎設施,或是控制美國企業的資本運作情形。該法案列舉了28類關鍵基礎設施,涵蓋電信、能源、金融、軍事設施等,關鍵科技則包含人工智慧、數據分析、生物科技、定位及導航技術等。
值得注意的是,外國人要購買或租賃美國軍事設施附近的房地產,也是CFIUS的列管範圍。「像台灣曾經發生軍事設施附近有可疑人士遊走的情況,美國則是直接列入投資管制」張雁翔說。
另一方面,CFIUS也非常重視美國用戶的「個資安全」。例如,被中國遊戲業巨頭北京崑崙萬維科技收購的美國同志交友軟體Grindr,就因掌握上百萬美國人個資、所在地等敏感資訊,2019年被美國外資投資委員會勒令售出股權。
美2018年同步立法 要求行政部門建立機制
考量到科技創新與時俱進,美國國會亦在2018年通過《出口管制改革法》(ECRA),作為FIRRMA法案的配套。該法案要求總統與各行政部門建立「新興基礎科技」的認定機制,並對這些科技進行出口管制。目前此業務由商務部轄下的工業安全局負責。2018年時工業安全局曾發布立法預告,列出14類擬管制的新興科技。
張雁翔指出,在針對FIRRMA法案的討論中,美國國會曾要求商務部定期研究中國人的投資,是否與「中國製造2025」計畫有一致性。可見FIRRMA法案是用來應對特定國家的侵略以及該國想要掌握關鍵基礎設施的計畫。
整體來說,美國的作法是建立「確認關鍵科技」的機制,有組織且持續性地更新列管名單。
保護關鍵基礎設施與科技 立院通過多項法案
回到台灣,立法院去年5月三讀通過《國家安全法》修正案,針對替中國或境外勢力竊取「國家核心關鍵技術之營業秘密」施以重罰,同時要求國家科學及技術委員會會商有關機關,建立「國家核心關鍵技術」的認定程序。
今年5月,立法院亦三讀通過強化國家關鍵基礎設施的22項法案,涵蓋《電業法》、《核子事故緊急應變法》、《大眾捷運法》等,修法重點在拉高刑責、處罰未遂犯。
張雁翔分析,去年《國安法》修法有點問題的是,條文使用「核心關鍵技術之營業秘密」一詞,因為「關鍵技術」與「營業秘密」是不同的概念,前者的「關鍵技術」與國家利益有關,是由國家指定哪些是需要保護的關鍵技術,而後者的「營業秘密」卻屬於私權,是個人可以處分、可以跟合作夥伴分享的。條文敘述混淆兩者,恐有公私不分的問題。
綜觀台灣修法方向,張雁翔認為,台灣在規範上主要以刑罰去嚇阻竊取關鍵科技、破壞關鍵基礎設施的行為。但刑罰作為手段仍有極限,台灣應思考如何透過更多行政手段去進行「事前防範」,如透過審查或要求據實告知等方式,來保護關鍵基礎設施與關鍵科技。
經濟部近年擴大管制中資 民團認為仍有漏洞
「經濟民主聯合」智庫召集人賴中強則批評,條文使用「核心關鍵技術之營業秘密」一詞的問題在於,「營業秘密」的擁有者是企業本身。因此如果企業經過董事會的合法程序將國家關鍵技術授權給中國,就不會「侵害營業秘密」,也不會構成違法。他直言,此條文「只能罰企業的叛徒,不能罰背叛國家的企業主」。
針對中資,儘管經濟部近年陸續擴大管制,賴中強認為仍有問題。例如,中資在「違法來台營業」和「違法來台投資」的罰則略有不同,前者將有刑事責任,後者卻只有行政罰鍰,未來法律適用恐會引發疑慮。
此外,目前對中資認定採「直接或間接持股超過30%」,或有半數董事席次而達到「具有控制力」,賴中強認為此門檻仍過於寬鬆,建議參考《會計準則公報》,只要企業直接或間接持股20%、擁有一席董事,或是企業之間有關鍵技術或智慧財產權的授權等,就應被視為「具重大影響力」。
賴中強說:「中國要影響一家公司的決策不一定要擁有股權,『持股30%』是不切實際的門檻。」