機關實體安全維護現行法制與實務運作之研析(上)
機關實體安全維護現行法制與實務運作之研析(上)
科技法律研究所
2013年08月25日
機關實體安全維護,其主要內涵在於維護實體設施、設備、及辦公環境之安全性,確保機關業務不會因天災、刻意人為事故或意外而中斷運作,以及保障出入人員的人身安全。另就機關實體安全維護之任務,我國實務與通說均認其屬不涉及機密及公權力行使之一般業務,故極大的比例均是委由民間保全業者為之。
針對機關實體安全之規範,我國在法制設計上稍嫌不足,且對於保全業的管制寬鬆,參國外立法政策如英國、美國、澳洲,雖亦為求提升政府效能並合理運用預算,亦多將安全維護執行任務委外,但並不因此將責任全權轉嫁與保全業者,在法制設計上有相當嚴謹的政策、程序、細節性的機制與文件範本供各機關遵循,再藉由機關委外之法律規範、招標文件與契約設計,來規範民間保全業者;且對於保全業之工作,訂有證照制度、評鑑制度及豐富紮實的教育訓練等法制設計,因此保全人員之素質相較於我國,可謂已經嚴格之篩選。本文將從我國機關安全維護法制結構切入,並以澳洲之立法例為借鏡,最後提出我國現行待解決之問題,期能改善我國機關對於機關實體安全維護之概念。
壹、機關實體安全維護現行法制與運作
一、現行法制設計
機關可能遭遇的安全威脅來自於人為刻意或疏失及天災之危害。例如,辦公場所未列訂管制區或未有效率的把關,使具不同權限的內部人員或來訪的訪客,可輕易的接近、取走具敏感性的文件紙本,或以拍照、錄音的方式取得機密資訊;又或者,委外的資訊廠商、保全人員或清潔人員也能藉由職務上之便利進行側錄、側拍或安裝資料竊取裝置,爾後利用得來之消息販售獲利。另外,開放式機關和辦公場所位於商辦大樓內而與民間企業共構之機關,對於安全維護措施僅有參與權而無主控權,除出入人口複雜,對於火災、斷電等意外事故之預防控制,更是難以掌握。除了人為惡意破壞,單一意外事故亦能導致機關業務嚴重中斷或癱瘓。
目前機關安全維護責任是由各機關之政風機構所執掌[1],主要係依「政風機構預防危害或破壞本機關事業作業要點」[2]及行政院所發佈之「安全管理手冊」[3]為依循,均屬行政規則之法位階。另外相關規定包括:各級警察機關安全防護工作實施要點[4]、屏東縣政府消防局機關安全維護作業要點[5]、行政院國家科學委員會維護機關安全工作作業要點[6]和臺中市稅捐稽徵處加強機關安全維護值日員工應確實遵守事項[7]。
二、實務運作現況
(一)駐警人力不再,委外保全成為趨勢
相較於採用駐衛警察擔任機關安全維護的角色,機關傾向委外給保全業者[8],主因不外乎為預算考量,蓋依「各機關學校團體駐衛警察設置管理辦法」第10及11條[9],駐衛警察之待遇可比照駐在單位職員之支給,且其訓練、保險、退職、資遣、撫慰、服裝等各項費用均由駐在單位負擔。政府為精簡人事預算,對於駐衛警一職採取「只退不補」的政策[10],可預見未來機關對於委外安全維護的需求係不減反增。根據警政署的統計[11],至99年止臺灣已共有594家保全公司,可見保全業市場之蓬勃。
(二) 保全業相關法制與運作
肩負安全維護任務的工作者,除專業能力外,身家清白、忠誠度與品格更屬必要條件,故依保全業法第10之1條及第10之2條對保全人員定有消極資格,包括年齡限制、不得有特定犯罪前科紀錄及職前培訓與在職訓練[12]。惟主管機關對保全人員之資格與專業能力僅負消極查核義務,相關事項之執行與落實係由保全業者自主管理。目前保全業的中央主管機關為內政部、業務主管機關為警政署;地方主管機關為縣(市)政府、業務主管機關為縣(市)警察局[13],負責協助培訓的為警政署[14]。
基於政府與民間對於保全人力的益加倚賴,對其專業素質及品德操守的要求亦越發重視講究,警政署於95年起陸續邀集專家學者、相關行政機關及直轄市、縣(市)警察局代表研議保全業法的修正,但相關建議如證照制度、專業經營、分級管理、評鑑制度、排除旋轉門條款、落實嚴格監督管理、修正保全服務契約、輔導優秀軍警人員轉任保全與規範保全業越區經營範圍及報備制等規定均未列入現行法內[15]。
三、小結
承前,未來可預見現有駐衛警人力全部退休的情形下[16],除非機關編列預算將駐衛人力編制進組織內,否則委外保全業者全權負責機關安全乃不可逆之趨勢。
我國有明確的機關實體安全維護規範方針,不過在實際執行面向及科技技術應用面向上,較欠缺細節性規定與技術性標準。又除少數機關配有駐衛警、而得由駐衛警負擔內部具機密性、私隱性高之部分外,整體的安全維護任務,包括外圍之交通、門禁管制、夜間巡邏、監視系統監看及警民通報聯防等,不可避免的均係由保全業者擔任[17]。
然而,我國現行保全業法制規範上稍嫌不足,實務運作上之弊病亦非一日之寒,包括保全人員因待遇及前景上難以吸引素質佳的人才但又缺工嚴重[18],導致從業者素質良莠不齊且流動率極高;政府無統一職前培訓計畫與專業訓練輔導;另主管機關的定期查核流於形式等[19]。
針對保全業現況與法制研究,考量到文章主軸及囿限於篇幅關係,本文對此不再贅述。當務之急應係由機關本身有所警醒,對於實體安全維護的具體作法應建置更明確、細節的規範;其次是與保全業者的契約約定上,範本似有再修正及細緻化之空間。以下將介紹澳洲實體安全維護及委外服務安全管理之機制與作法。
[1]政風機構人員設置管理條例第4條;政風機構設置管理條例施行細則第10條;政風機構預防危害或破壞本機關事件作業要點。
[2]最後修訂日期:100年7月6日。
[3]發布日期:94年6月29日。
[4]發布日期:86年5月13日。
[5]發布日期:98年7月14日。
[6]發布日期:85年10月12日。
[7]發布日期:79年4月19日。
[8]如財政部各相關單位、交通部公路總局、郵局、台電、核電廠、中油、各級學校等均採委外保全。法務部調查局(2007,12月27日)‧政府部門委託民間保全辦理機關安全維護問題探討調查專報‧取自http://lkk73700.myweb.hinet.net/good/new_page_43.htm (最後瀏覽日:2013年6月4日)。
[9]最後修正日期:100年9月1日。
[10]筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[11]經濟日報(2010,1月28日)‧中華民國保全商業同業公會全國總會,開啟臺灣保全業嶄新里程碑‧取自http://edn.udn.com/article/view.jsp?aid=230903&cid=16''' (最後瀏覽日:2013年6月4日)。
[12]保全業法第10條之1:
「有下列情形之一者,不得擔任保全人員。但其情形發生於本法中華民國九十二年一月二十二日修正施行前且已擔任保全人員者,不在此限:
一、未滿二十歲或逾六十五歲。
二、曾犯組織犯罪防制條例、肅清煙毒條例、麻醉藥品管理條例、毒品危害防制條例、槍砲彈藥刀械管制條例、貪污治罪條例、兒童及少年性交易防制條例、人口販運防制法、洗錢防制法之罪,或刑法之妨害性自主罪章、妨害風化罪章、第二百七十一條至第二百七十五條、第二百七十七條第二項及第二百七十八條之罪、妨害自由罪章、竊盜罪章、搶奪強盜及海盜罪章、侵占罪章、詐欺背信及重利罪章、恐嚇及擄人勒贖罪章、贓物罪章之罪,經判決有罪,受刑之宣告。但受緩刑宣告,或其刑經易科罰金、易服社會勞動、易服勞役、受罰金宣告執行完畢,或判決無罪確定者,不在此限。
三、因故意犯前款以外之罪,受有期徒刑逾六個月以上刑之宣告確定,尚未執行或執行未畢或執行完畢未滿五年。
四、曾受保安處分之裁判確定,尚未執行或執行未畢。
五、曾依檢肅流氓條例認定為流氓或裁定交付感訓。但經撤銷流氓認定、裁定不付感訓處分確定者,不在此限。
保全業知悉所屬保全人員,有前項各款情形之一者,應即予解職。」
[13]臺北市政府警察局辦理保全業務作業要點第3點。
[14]以台北市保全商業同業公會為例,公會自主辦理「保全人員訓練護照」由中華保全協會策劃並請市警局督勤,另委請刑事警察局辦理「種子教官」訓練,解決各保全公司教育人員之不足。取自台北市保全商業同業公會網站(無日期)‧取自http://www.sca.org.tw/home/link1.asp?h=link1-45 (最後瀏覽日:2013年6月6日)。
[15]傅美惠、呂秉翰(2009,12月)‧保全業立法、修法與政策評析‧吳鳳學報,18,667-686。
[16]以台北榮民總醫院為例,現行駐衛警從原58名降為29名,平均年齡為60歲,可謂相當高齡化。筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[17]以台北榮民總醫院為例,醫院內部的1400顆監視鏡頭是由駐衛警負責監看,另保全公司所有的監控系統只負責醫院大門及停車場的部分,且會牽線至駐警室進行統一監看管理,不過夜間的巡邏及監看,因人手不足,需保全業者協力配合。筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[18]奇摩新聞(2013,2月2日)‧年前缺四成保全業全年徵人‧取自:http://tw.news.yahoo.com/%E5%B9%B4%E5%89%8D%E7%BC%BA%E5%9B%9B%E6%88%90-%E4%BF%9D%E5%85%A8%E6%A5%AD%E5%85%A8%E5%B9%B4%E5%BE%B5%E4%BA%BA-213000681.html (最後瀏覽日:2013年6月4日)。
[19]傅美惠、呂秉翰(2009,12月)‧保全業立法、修法與政策評析‧吳鳳學報,18,667-686。
新加坡金融管理局(Monetary Authority of Singapore, MAS)於2023年8月15日發布穩定幣監管架構,旨在維持金融穩定發展,並將與新加坡幣或十大工業國(G10)貨幣掛勾之單一貨幣穩定幣(single-currency stablecoins, SCS)納入監管,確保穩定幣的安全可靠。符合監管規範之穩定幣發行人,可向MAS申請標註為「MAS監管之穩定幣(MAS-regulated stablecoins)」,有助於區分其他不受政府監管之數位支付代幣(digital payment tokens),以保障穩定幣持有人權益及降低金融穩定之潛在風險。 依據本監管架構,穩定幣發行人需遵循的監管要求包括:(1)價值穩定性,穩定幣儲備資產須遵守其構成、估值、託管與審計方面的要求,以維持價值穩定性;(2)資本,發行人必須維持最低資本與流動資產,以降低破產風險;(3)贖回,持有人可在發行人收到贖回請求後5個工作天內,以穩定幣面值贖回;(4)資訊揭露,發行人必須向持有人揭露相關重要資訊,包括有關穩定幣價值穩定機制、穩定幣持有人權利以及儲備資產審計結果等資訊。MAS表示,穩定幣若受到適當監理,維持價值穩定,將可成為可信賴的數位交易媒介,開創更多創新的金融科技應用,促進金融穩健發展。
美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。 該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。 OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
何謂「企業實證特例制度」?企業實證特例制度規定於日本產業競爭力強化法第8條、第10條、第14條及第15條,在企業或任何事業團體有進行新事業活動(引進新商品或服務之開發或生產、新商品或服務之導入)之需要時,若現行法規上有滯礙難行之處,則可提出創設新規制措施之申請,藉以排除某些法令之限制,使新事業活動得以進行。 企業實證特例制度分為兩階段,首先由欲實施新事業活動者向事業主管機關提出申請,而事業主管機關將會與法規主管機關討論後,在安全性得到確保之情形下,由事業主管機關同意創設新規制措施。第二階段則需提出新事業活動計畫申請核准,經核准後便得在一定期間內於一定地區進行新事業活動。 新事業活動計畫備核准後,事業團體得進行新事業之活動,其需於各事業年度終了後3個月內向事業主管機關提出報告,就新事業活動之進行情形(包含新事業活動目標達成程度、新特例措施施形狀況、法規所要求之安全性目的之確保措施…等事項)為報告。法規主管機關亦會綜合新事業活動之施形狀況、國外相關法制情形以及技術進步等等情形,決定是否進行修法。
美國第三州!科羅拉多州正式通過《科羅拉多州隱私法》美國科羅拉多州州長於2021年7月正式簽署《科羅拉多州隱私法》(Colorado Privacy Act, CPA)草案,科羅拉多州正式成為美國第三個制定全面性隱私專法的州,該法將於2023年7月1日施行。 隨著全球化及科技快速發展,以及大數據的應用趨勢,資料的蒐集、處理、利用規模及範圍逐漸擴大,全美各地隱私保護規範遍地開花,期待能促使企業在「保護個人資料」與「資料自由流通」及「資料商業運用」中取得平衡。 2018年美國加州首先制定《加州消費者隱私保護法》(California Consumer Privacy Act, CCPA)成為全美第一州級隱私保護專法後,包含華盛頓州、伊利諾州、紐約州等,也都提出各該州級隱私保護法案,而美國維吉尼亞州議會於今年2月通過《消費者資料保護法》(Consumer Data Protection Act, CDPA)法案,並在3月經由州長簽署,正式成為美國第二個擁有隱私保護專法的州,該法預計於2023年1月1日生效。 科羅拉多州於今年6月將CPA草案送交州長簽署後,於7月順利成為第三個通過隱私保護專法的州。一旦CPA生效,消費者除將享有近用權(right of access)、更正權(right of correct)、刪除權(right of delete)、資料可攜權(right of data portability)外;CPA規定在資料控制者對其消費者進行目標式廣告(targeted advertising)、銷售消費者個人資料,或者將對消費者決策產生重大影響時,消費者享有選擇退出權(right to opt out)。 整體而言,儘管 CPA 與CCPA及CDPA規範相似,在隱私保護規範上可能不是特別具有開創性,但CPA反映了美國各州強化隱私保護的趨勢與決心。舉例而言,去(2020)年不僅美國大選結果受矚目,美國各州隱私保護相關公投案,包含《加州第24號提案》、麻州《汽機車機械資料》、密西根州《電子資訊搜索票》及緬因州波特蘭市《臉部辨識禁令》也獲通過。美國在尚未具有統一聯邦隱私保護法下,透過州級隱私立法,保有各州特色並作為各州隱私保護執法依據。