這一年來陸續在不同場合,聽到不同的利益相關者對於昨天出委員會的《資通安全管理法》有比較深刻的討論,「利益相關者」遍及政府部門、產業聯盟、政府法人、資安業者、律所、立法院和外國通訊社等。對於一般網路業者而言,《資安管理法》的立即影響似乎不及其他蔡政府高度加速運作之法案,例如俗稱的「一例一修」的態度反覆轉變,以及其後續引發的龐大社會輿論,兩者可說是相差不可以里道計。但如此積極的立法動作由余宛如(不分區)等「年輕」立委接手處理,在我看來是國會系統無法且沒有足夠能力處理新興議題的具體呈現,而這現象是全面發生的,短期內也沒有改懸易轍換人代表的機會。
草案條文的各種討論,這一年來有為數不少的公開和邀請制的討論,可惜這些討論多半流於社交媒體上的瑣碎洞見,對於任何一個非直接利益相關者而言,基本上是沒有接入討論的友善空間。這個現象在資通訊和網路領域特別明顯,絕大多數之肇因可歸咎於:資通訊和網路的發展過去多半被框限於專注在全球供應鏈生態的價值獲取。數十年來如一日推動「經濟發展」論述,可說是完全外於本地社會發展和立法關注在平行走著。大概除了服務的提供者(如政府和業者)間的密門座談交流會議外,本地十幾年來一直沒有比較良好、包容和相對開放的誘因結構,能促成討論網路政策的平台(複數)。因此即使議題事涉量體和利益體極為龐大的關係人,會議桌或是臉書上的十幾個人,就成為了所有公開討論的核心,而且過了風頭都還找不到。
另外,網路普及後所爆發的新型態利益相關者,例如基盤急速成長的消費者(不限於本國)甚至是外國政府和「境外勢力」等,在立法過程是被系統性勢力結構所慣性排除的。這樣對於利益相關者的切分雖然不精細,但至少讓我們有初步的理解:只有一個立法委員的代表是不夠的,尤其是被授意的代表仍是新來乍到,其幕僚背景,其過去經驗等,在此議題都是在在不足。當議題落於急需各利益相關者高度協作,連一個百人組織化的政策智庫團隊都不敢信心滿滿的領域時,在台灣成為卻是被挑選為實驗性立法之標的,目前的《資通安全管理法》可說是極致代表之一。
在立法草案總說明部分,有極高層次的「協助產業經濟轉型」、「有效解決社會發展議題」、「提升民眾生活品質」、「維護公共利益」、「帶動產業發展及國家整體競爭力」。也有為達上述目的所稱之「統籌分配資源」、「整合民間力量」、「提升我國整體資通訊安全環境」等說法。我想在高度變動的互連互通)(和互相干擾)的網路社會,如此立法意識和途徑可說是讓我想起了「葵花寶典」等級的「葵花法典」華麗出世。
我們可以合理推斷,余宛如的角色只是繼承源自於其他利益相關者的立法意識,這個意識對於新興領域的實務非常缺乏,對於網路普及後所帶來必須調整因應的資安作為,也沒有足夠的跨境、跨領域、跨單位和協調與管理的經驗。在立法技術缺乏細緻度,對立法的效用過於期待,甚至是頗為「貪心」。推動此等立法動作的成因,在可見的公開網路討論部分,部分台灣資安學者的殷切建議可能是原因之一。
令人莞爾的是在可見的未來十年,最複雜和變動高速的網路,在台灣所能創造出以 GDP 所衡量的經濟規模,雖然不足以和土地開發所得利益相稱,但以國際關係、整體社會發展,國民消費型態轉變,社會風險管理,勞動型態丕變所能帶動的影響實然面來看,立法院竟然只有一個「余宛如」,我認為蔡英文和幕僚的態度是不負責任,輕挑而且嚴重偏廢的。《資通安全管理法》出委員會是一個系統性無能 (system incapability) 所造成的議題內爆 (implosion),初期爆的小,留下的引子,未來會在四處爆發。如果部分法人有心,或許可以長期系統性在政策面尋求國際合作的資源,好好研究本區域內各政府對於 “cyber” 的態度,也能將台灣對於網路 (cybersecurity) 的資安 (information security) 立法途徑作為一個區域討論的案例。
T.H. Schee 