機關實體安全維護現行法制與實務運作之研析(上)
機關實體安全維護現行法制與實務運作之研析(上)
科技法律研究所
2013年08月25日
機關實體安全維護,其主要內涵在於維護實體設施、設備、及辦公環境之安全性,確保機關業務不會因天災、刻意人為事故或意外而中斷運作,以及保障出入人員的人身安全。另就機關實體安全維護之任務,我國實務與通說均認其屬不涉及機密及公權力行使之一般業務,故極大的比例均是委由民間保全業者為之。
針對機關實體安全之規範,我國在法制設計上稍嫌不足,且對於保全業的管制寬鬆,參國外立法政策如英國、美國、澳洲,雖亦為求提升政府效能並合理運用預算,亦多將安全維護執行任務委外,但並不因此將責任全權轉嫁與保全業者,在法制設計上有相當嚴謹的政策、程序、細節性的機制與文件範本供各機關遵循,再藉由機關委外之法律規範、招標文件與契約設計,來規範民間保全業者;且對於保全業之工作,訂有證照制度、評鑑制度及豐富紮實的教育訓練等法制設計,因此保全人員之素質相較於我國,可謂已經嚴格之篩選。本文將從我國機關安全維護法制結構切入,並以澳洲之立法例為借鏡,最後提出我國現行待解決之問題,期能改善我國機關對於機關實體安全維護之概念。
壹、機關實體安全維護現行法制與運作
一、現行法制設計
機關可能遭遇的安全威脅來自於人為刻意或疏失及天災之危害。例如,辦公場所未列訂管制區或未有效率的把關,使具不同權限的內部人員或來訪的訪客,可輕易的接近、取走具敏感性的文件紙本,或以拍照、錄音的方式取得機密資訊;又或者,委外的資訊廠商、保全人員或清潔人員也能藉由職務上之便利進行側錄、側拍或安裝資料竊取裝置,爾後利用得來之消息販售獲利。另外,開放式機關和辦公場所位於商辦大樓內而與民間企業共構之機關,對於安全維護措施僅有參與權而無主控權,除出入人口複雜,對於火災、斷電等意外事故之預防控制,更是難以掌握。除了人為惡意破壞,單一意外事故亦能導致機關業務嚴重中斷或癱瘓。
目前機關安全維護責任是由各機關之政風機構所執掌[1],主要係依「政風機構預防危害或破壞本機關事業作業要點」[2]及行政院所發佈之「安全管理手冊」[3]為依循,均屬行政規則之法位階。另外相關規定包括:各級警察機關安全防護工作實施要點[4]、屏東縣政府消防局機關安全維護作業要點[5]、行政院國家科學委員會維護機關安全工作作業要點[6]和臺中市稅捐稽徵處加強機關安全維護值日員工應確實遵守事項[7]。
二、實務運作現況
(一)駐警人力不再,委外保全成為趨勢
相較於採用駐衛警察擔任機關安全維護的角色,機關傾向委外給保全業者[8],主因不外乎為預算考量,蓋依「各機關學校團體駐衛警察設置管理辦法」第10及11條[9],駐衛警察之待遇可比照駐在單位職員之支給,且其訓練、保險、退職、資遣、撫慰、服裝等各項費用均由駐在單位負擔。政府為精簡人事預算,對於駐衛警一職採取「只退不補」的政策[10],可預見未來機關對於委外安全維護的需求係不減反增。根據警政署的統計[11],至99年止臺灣已共有594家保全公司,可見保全業市場之蓬勃。
(二) 保全業相關法制與運作
肩負安全維護任務的工作者,除專業能力外,身家清白、忠誠度與品格更屬必要條件,故依保全業法第10之1條及第10之2條對保全人員定有消極資格,包括年齡限制、不得有特定犯罪前科紀錄及職前培訓與在職訓練[12]。惟主管機關對保全人員之資格與專業能力僅負消極查核義務,相關事項之執行與落實係由保全業者自主管理。目前保全業的中央主管機關為內政部、業務主管機關為警政署;地方主管機關為縣(市)政府、業務主管機關為縣(市)警察局[13],負責協助培訓的為警政署[14]。
基於政府與民間對於保全人力的益加倚賴,對其專業素質及品德操守的要求亦越發重視講究,警政署於95年起陸續邀集專家學者、相關行政機關及直轄市、縣(市)警察局代表研議保全業法的修正,但相關建議如證照制度、專業經營、分級管理、評鑑制度、排除旋轉門條款、落實嚴格監督管理、修正保全服務契約、輔導優秀軍警人員轉任保全與規範保全業越區經營範圍及報備制等規定均未列入現行法內[15]。
三、小結
承前,未來可預見現有駐衛警人力全部退休的情形下[16],除非機關編列預算將駐衛人力編制進組織內,否則委外保全業者全權負責機關安全乃不可逆之趨勢。
我國有明確的機關實體安全維護規範方針,不過在實際執行面向及科技技術應用面向上,較欠缺細節性規定與技術性標準。又除少數機關配有駐衛警、而得由駐衛警負擔內部具機密性、私隱性高之部分外,整體的安全維護任務,包括外圍之交通、門禁管制、夜間巡邏、監視系統監看及警民通報聯防等,不可避免的均係由保全業者擔任[17]。
然而,我國現行保全業法制規範上稍嫌不足,實務運作上之弊病亦非一日之寒,包括保全人員因待遇及前景上難以吸引素質佳的人才但又缺工嚴重[18],導致從業者素質良莠不齊且流動率極高;政府無統一職前培訓計畫與專業訓練輔導;另主管機關的定期查核流於形式等[19]。
針對保全業現況與法制研究,考量到文章主軸及囿限於篇幅關係,本文對此不再贅述。當務之急應係由機關本身有所警醒,對於實體安全維護的具體作法應建置更明確、細節的規範;其次是與保全業者的契約約定上,範本似有再修正及細緻化之空間。以下將介紹澳洲實體安全維護及委外服務安全管理之機制與作法。
[1]政風機構人員設置管理條例第4條;政風機構設置管理條例施行細則第10條;政風機構預防危害或破壞本機關事件作業要點。
[2]最後修訂日期:100年7月6日。
[3]發布日期:94年6月29日。
[4]發布日期:86年5月13日。
[5]發布日期:98年7月14日。
[6]發布日期:85年10月12日。
[7]發布日期:79年4月19日。
[8]如財政部各相關單位、交通部公路總局、郵局、台電、核電廠、中油、各級學校等均採委外保全。法務部調查局(2007,12月27日)‧政府部門委託民間保全辦理機關安全維護問題探討調查專報‧取自http://lkk73700.myweb.hinet.net/good/new_page_43.htm (最後瀏覽日:2013年6月4日)。
[9]最後修正日期:100年9月1日。
[10]筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[11]經濟日報(2010,1月28日)‧中華民國保全商業同業公會全國總會,開啟臺灣保全業嶄新里程碑‧取自http://edn.udn.com/article/view.jsp?aid=230903&cid=16''' (最後瀏覽日:2013年6月4日)。
[12]保全業法第10條之1:
「有下列情形之一者,不得擔任保全人員。但其情形發生於本法中華民國九十二年一月二十二日修正施行前且已擔任保全人員者,不在此限:
一、未滿二十歲或逾六十五歲。
二、曾犯組織犯罪防制條例、肅清煙毒條例、麻醉藥品管理條例、毒品危害防制條例、槍砲彈藥刀械管制條例、貪污治罪條例、兒童及少年性交易防制條例、人口販運防制法、洗錢防制法之罪,或刑法之妨害性自主罪章、妨害風化罪章、第二百七十一條至第二百七十五條、第二百七十七條第二項及第二百七十八條之罪、妨害自由罪章、竊盜罪章、搶奪強盜及海盜罪章、侵占罪章、詐欺背信及重利罪章、恐嚇及擄人勒贖罪章、贓物罪章之罪,經判決有罪,受刑之宣告。但受緩刑宣告,或其刑經易科罰金、易服社會勞動、易服勞役、受罰金宣告執行完畢,或判決無罪確定者,不在此限。
三、因故意犯前款以外之罪,受有期徒刑逾六個月以上刑之宣告確定,尚未執行或執行未畢或執行完畢未滿五年。
四、曾受保安處分之裁判確定,尚未執行或執行未畢。
五、曾依檢肅流氓條例認定為流氓或裁定交付感訓。但經撤銷流氓認定、裁定不付感訓處分確定者,不在此限。
保全業知悉所屬保全人員,有前項各款情形之一者,應即予解職。」
[13]臺北市政府警察局辦理保全業務作業要點第3點。
[14]以台北市保全商業同業公會為例,公會自主辦理「保全人員訓練護照」由中華保全協會策劃並請市警局督勤,另委請刑事警察局辦理「種子教官」訓練,解決各保全公司教育人員之不足。取自台北市保全商業同業公會網站(無日期)‧取自http://www.sca.org.tw/home/link1.asp?h=link1-45 (最後瀏覽日:2013年6月6日)。
[15]傅美惠、呂秉翰(2009,12月)‧保全業立法、修法與政策評析‧吳鳳學報,18,667-686。
[16]以台北榮民總醫院為例,現行駐衛警從原58名降為29名,平均年齡為60歲,可謂相當高齡化。筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[17]以台北榮民總醫院為例,醫院內部的1400顆監視鏡頭是由駐衛警負責監看,另保全公司所有的監控系統只負責醫院大門及停車場的部分,且會牽線至駐警室進行統一監看管理,不過夜間的巡邏及監看,因人手不足,需保全業者協力配合。筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[18]奇摩新聞(2013,2月2日)‧年前缺四成保全業全年徵人‧取自:http://tw.news.yahoo.com/%E5%B9%B4%E5%89%8D%E7%BC%BA%E5%9B%9B%E6%88%90-%E4%BF%9D%E5%85%A8%E6%A5%AD%E5%85%A8%E5%B9%B4%E5%BE%B5%E4%BA%BA-213000681.html (最後瀏覽日:2013年6月4日)。
[19]傅美惠、呂秉翰(2009,12月)‧保全業立法、修法與政策評析‧吳鳳學報,18,667-686。
FDA於今年(2012年)4月12日分別發布了兩項有關於評估應用奈米科技於化妝品及食物影響之產業指引草案(draft guidance)。其中就奈米科技應用於食品(以下簡稱奈米食品)之影響,FDA於「產業指引草案:評估包括使用新興科技在內之重要製程,改變對食品原料、與食品接觸物質及食品色素安全性及法規狀態之影響」(Draft Guidance for Industry: Assessing the Effects of Significant Manufacturing Process Changes, Including Emerging Technologies, on the Safety and Regulatory Status of Food Ingredients and Food Contact Substances, Including Food Ingredients that are Color Additives,以下簡稱新興科技衍生食品產業指引草案)中,對於食品製造商應採取哪些步驟以證明使用奈米科技之食品及食品包裝之安全性,有較為具體之說明。 於新興科技衍生食品產業指引草案中,明確表示奈米科技為此文件之涵蓋範圍,惟其聲明將奈米科技納入文件並不代表FDA認定所有內含奈米物質之產品皆屬有害,僅說明FDA認為依據奈米食品之特性,應進行特別的安全性評估以確保安全。文件中也強調,FDA對於食品製程中應用奈米科技所作之考量,與應用其他科技於食品製程者無異,並認為應用奈米科技所產出之最終產品,在原定用途之使用下,其特性及安全性與傳統製程產出者相同。 針對奈米食品之安全性評估,新興科技產業指引草案中指出,應就該食品所使用物質於奈米尺寸下之特性為其判斷基礎,而有可能必須進一步檢驗此等特性之影響,例如該物質對於生物可利用率及其於器官間運輸之影響等。此外,文件中亦提及FDA於過去針對食品添加物、色素及與食物接觸物質之化學及技術數據所作成之產業指引,於此應同樣被遵守,而將奈米食品所涉及與安全性相關之文件提供給主管機關。而FDA也將持續地向產業提供諮詢服務,以確保產品之安全性。 由FDA所發布之相關產業指引觀察,縱使FDA仍秉持美國對於奈米科技不具危害性之基本立場,其仍透過強化安全評估之科學工具及方法,以審慎之態度來取得大眾對於此類產品安全之信任。
「亞馬遜公司(amazon)」積極向美國政府機關推動其所開發的人臉辨識軟體“Rekognition”,將可能造成隱私權的重大侵害亞馬遜公司所開發的“Rekognition”軟體可以進行照片中的人臉辨識識別,單張圖片中可辨識高達一百人,同時可以圖片進行分析及比對資料庫中的人臉長相。目前亞馬遜公司積極向政府機關推銷這套軟體。可能造成的風險是,公權力機構可透過使用“Rekognition”軟體來辨識或追蹤任何個人,警察機關可以隨時監控人民的行為,各城市的政府機關也可能在無合理理由的狀況下隨時查看人口居住狀況,尤有甚者,美國移民及海關執法局(Immigration and Customs Enforcement, ICE)可以使用該軟體來監控移民的狀況,即使是無任何犯罪疑慮的狀況下亦可進行,將政府打造成巨大的監控系統,有造成隱私權嚴重侵害的疑慮。因此無論亞馬遜公司內外都有反對將“Rekognition”軟體推銷給政府機構的聲浪,尤其美國公民自由聯盟(American Civil Liberties Union, ACLU)更是發起多項連署抗議。 支持政府使用“Rekognition”軟體的意見則認為,使用“Rekognition”軟體將可以更有效率地辨識人臉,在尋找失蹤兒童或在公共中辨識出恐怖份子可以發揮更大的作用,不啻是保護公眾法益的進步。 佛羅里達的奧蘭多市警察機構曾經使用“Rekognition”軟體後因契約到期而一度停止使用,於7月9日與亞馬遜公司續約繼續測試使用該軟體,奧蘭多市警察機構宣稱以目前測試階段將不會使用一般民眾的照片進行測試,將不會造成人民的隱私權侵害。
美國指控中國兩大電信通訊商威脅國家安全,呼籲各機關及私人企業拒絕向其購買設備及技術美國眾議院情報委員會終於發佈了對中國兩大電信通訊商「中興」(ZTE)和「華為」(Huwei)的調查報告,報告結論指出,「中興」和「華為」確實危及美國的國家安全。 情報委員會呼籲美國政府機關和企業,尤其是政府機關,不應該讓「中興」、「華為」成為資訊系統相關設備或零組件的供應商,因為他們會安裝「後門程式」(backdoor)為中國政府和軍方進行間諜活動和網路攻擊,並敦促美國企業的經營者,應該阻絕未來收購、購併「中興」、「華為」的可能性。情報委員會亦呼籲美國國民不要購買任何由「中興」、「華為」製造的任何電子設備,包括手機、平板電腦、數據機等,否則個人資料將在不知不覺中全數洩漏給中國。 「華為」的建立者任正非(Ren Zengfe),同時也是「華為」執行長,1987年離開中國軍方創立「華為」,情報委員會認為他始終與中國政府和軍方保持密切聯繫,而「華為」拒絕配合情報委員會的調查,「中興」也不願提供完整的內部資料,報告指出:「中興」和「華為」應該讓公司內部架構、組織和財務管理及經營運作更加透明化,盡到美國法制要求的應盡義務」。 但英國政府表明支持「華為」,只是會採取必要的保護措施維護國家安全。「華為」在英國具有相當龐大的影響力,2001年在英國正式營運,投資了一億五千萬英鎊,並創造了650個工作機會,主要提供英國電信業者於寬頻服務的相關硬/軟體設備。另外英國手機營運商EE(Everything Everywhere)所發行英國首套的4G商用網,當中的行動作業系統便是使用「華為」的技術,EE的發言人表示:「我們有一套嚴格的安全檢查程序,確保合作伙伴和合作內容都符合EE的要求和標準,而「華為」是值得信賴和尊敬的伙伴」。 其他國家如加拿大和澳洲,則採取保守態度,評估這兩家電信通訊商的可信度和可用性。
因應使用「生成式AI(Generative AI)」工具的營業秘密管理強化建議2024年7月1日,美國實務界律師撰文針對使用生成式AI(Generative AI)工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議,其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中,而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊,以Chat GPT為例,原始碼(Source Code)可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者(AI Provider)用於訓練生成式AI模型等,進而導致洩漏;或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用,此時營業秘密可能在人工審查階段洩漏。 該篇文章提到,以法律要件而論,生成式AI有產生營業秘密之可能,因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」;因此,由生成式 AI 工具協助產出的內容可能被視為營業秘密,其範圍可能包括:公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例,故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出,即使訴訟上尚未明確,企業仍可透過事前的管理措施來保護或避免營業秘密洩露,以下綜整成「人員」與「技術」兩個面向分述之: 一、人員面: 1.員工(教育訓練、合約) 在員工管理上,建議透過教育訓練使員工了解到營業秘密之定義及保護措施,並告知向生成式AI工具提供敏感資訊的風險與潛在後果;培訓後,亦可進一步限制能夠使用AI工具的員工範圍,如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面,建議公司可與員工簽訂或更新保密契約,納入使用生成式AI的指導方針,例如:明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊;亦可增加相關限制或聲明條款,如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者(合約) 針對外部管理時,公司亦可透過「終端使用者授權合約(End User License Agreement,簡稱EULA)」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用,如輸入內容不可以被用於訓練基礎模型,或者該訓練之模型只能用在資訊提供的公司。 二、技術方面: 建議公司購買或開發自有的生成式AI工具,並將一切使用行為限縮在公司的私有雲或私有伺服器中;或透過加密、防火牆或多種編碼指令(Programmed)來避免揭露特定類型的資訊或限制上傳文件的大小或類型,防止機密資訊被誤輸入,其舉出三星公司(Samsung)公司為例,三星已限制使用Chat GPT的用戶的上傳容量為1024位元組(Bytes),以防止輸入大型文件。 綜上所述,實務界對於使用生成式AI工具可能的營業秘密風險,相對於尚未可知的訴訟攻防,律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中,換言之,企業可透過「營業秘密保護管理規範」十個單元(包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理,甚至是後端的爭議處理機制,如何監督與改善等)的PDCA管理循環建立基礎的營業秘密管理,更可以透過上述建議的做法(對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元)加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站(https://www.tips.org.tw)