機關實體安全維護現行法制與實務運作之研析(上)

刊登期別
2013年09月03日
 

機關實體安全維護現行法制與實務運作之研析(上)

科技法律研究所
2013年08月25日

  機關實體安全維護,其主要內涵在於維護實體設施、設備、及辦公環境之安全性,確保機關業務不會因天災、刻意人為事故或意外而中斷運作,以及保障出入人員的人身安全。另就機關實體安全維護之任務,我國實務與通說均認其屬不涉及機密及公權力行使之一般業務,故極大的比例均是委由民間保全業者為之。

  針對機關實體安全之規範,我國在法制設計上稍嫌不足,且對於保全業的管制寬鬆,參國外立法政策如英國、美國、澳洲,雖亦為求提升政府效能並合理運用預算,亦多將安全維護執行任務委外,但並不因此將責任全權轉嫁與保全業者,在法制設計上有相當嚴謹的政策、程序、細節性的機制與文件範本供各機關遵循,再藉由機關委外之法律規範、招標文件與契約設計,來規範民間保全業者;且對於保全業之工作,訂有證照制度、評鑑制度及豐富紮實的教育訓練等法制設計,因此保全人員之素質相較於我國,可謂已經嚴格之篩選。本文將從我國機關安全維護法制結構切入,並以澳洲之立法例為借鏡,最後提出我國現行待解決之問題,期能改善我國機關對於機關實體安全維護之概念。

壹、機關實體安全維護現行法制與運作

一、現行法制設計
  機關可能遭遇的安全威脅來自於人為刻意或疏失及天災之危害。例如,辦公場所未列訂管制區或未有效率的把關,使具不同權限的內部人員或來訪的訪客,可輕易的接近、取走具敏感性的文件紙本,或以拍照、錄音的方式取得機密資訊;又或者,委外的資訊廠商、保全人員或清潔人員也能藉由職務上之便利進行側錄、側拍或安裝資料竊取裝置,爾後利用得來之消息販售獲利。另外,開放式機關和辦公場所位於商辦大樓內而與民間企業共構之機關,對於安全維護措施僅有參與權而無主控權,除出入人口複雜,對於火災、斷電等意外事故之預防控制,更是難以掌握。除了人為惡意破壞,單一意外事故亦能導致機關業務嚴重中斷或癱瘓。

  目前機關安全維護責任是由各機關之政風機構所執掌[1],主要係依「政風機構預防危害或破壞本機關事業作業要點」[2]及行政院所發佈之「安全管理手冊」[3]為依循,均屬行政規則之法位階。另外相關規定包括:各級警察機關安全防護工作實施要點[4]、屏東縣政府消防局機關安全維護作業要點[5]、行政院國家科學委員會維護機關安全工作作業要點[6]和臺中市稅捐稽徵處加強機關安全維護值日員工應確實遵守事項[7]

二、實務運作現況

(一)駐警人力不再,委外保全成為趨勢
  相較於採用駐衛警察擔任機關安全維護的角色,機關傾向委外給保全業者[8],主因不外乎為預算考量,蓋依「各機關學校團體駐衛警察設置管理辦法」第10及11條[9],駐衛警察之待遇可比照駐在單位職員之支給,且其訓練、保險、退職、資遣、撫慰、服裝等各項費用均由駐在單位負擔。政府為精簡人事預算,對於駐衛警一職採取「只退不補」的政策[10],可預見未來機關對於委外安全維護的需求係不減反增。根據警政署的統計[11],至99年止臺灣已共有594家保全公司,可見保全業市場之蓬勃。

(二) 保全業相關法制與運作
  肩負安全維護任務的工作者,除專業能力外,身家清白、忠誠度與品格更屬必要條件,故依保全業法第10之1條及第10之2條對保全人員定有消極資格,包括年齡限制、不得有特定犯罪前科紀錄及職前培訓與在職訓練[12]。惟主管機關對保全人員之資格與專業能力僅負消極查核義務,相關事項之執行與落實係由保全業者自主管理。目前保全業的中央主管機關為內政部、業務主管機關為警政署;地方主管機關為縣(市)政府、業務主管機關為縣(市)警察局[13],負責協助培訓的為警政署[14]

  基於政府與民間對於保全人力的益加倚賴,對其專業素質及品德操守的要求亦越發重視講究,警政署於95年起陸續邀集專家學者、相關行政機關及直轄市、縣(市)警察局代表研議保全業法的修正,但相關建議如證照制度、專業經營、分級管理、評鑑制度、排除旋轉門條款、落實嚴格監督管理、修正保全服務契約、輔導優秀軍警人員轉任保全與規範保全業越區經營範圍及報備制等規定均未列入現行法內[15]

三、小結
  承前,未來可預見現有駐衛警人力全部退休的情形下[16],除非機關編列預算將駐衛人力編制進組織內,否則委外保全業者全權負責機關安全乃不可逆之趨勢。

  我國有明確的機關實體安全維護規範方針,不過在實際執行面向及科技技術應用面向上,較欠缺細節性規定與技術性標準。又除少數機關配有駐衛警、而得由駐衛警負擔內部具機密性、私隱性高之部分外,整體的安全維護任務,包括外圍之交通、門禁管制、夜間巡邏、監視系統監看及警民通報聯防等,不可避免的均係由保全業者擔任[17]

  然而,我國現行保全業法制規範上稍嫌不足,實務運作上之弊病亦非一日之寒,包括保全人員因待遇及前景上難以吸引素質佳的人才但又缺工嚴重[18],導致從業者素質良莠不齊且流動率極高;政府無統一職前培訓計畫與專業訓練輔導;另主管機關的定期查核流於形式等[19]

  針對保全業現況與法制研究,考量到文章主軸及囿限於篇幅關係,本文對此不再贅述。當務之急應係由機關本身有所警醒,對於實體安全維護的具體作法應建置更明確、細節的規範;其次是與保全業者的契約約定上,範本似有再修正及細緻化之空間。以下將介紹澳洲實體安全維護及委外服務安全管理之機制與作法。


[1]政風機構人員設置管理條例第4條;政風機構設置管理條例施行細則第10條;政風機構預防危害或破壞本機關事件作業要點。
[2]最後修訂日期:100年7月6日。
[3]發布日期:94年6月29日。
[4]發布日期:86年5月13日。
[5]發布日期:98年7月14日。
[6]發布日期:85年10月12日。
[7]發布日期:79年4月19日。
[8]如財政部各相關單位、交通部公路總局、郵局、台電、核電廠、中油、各級學校等均採委外保全。法務部調查局(2007,12月27日)‧政府部門委託民間保全辦理機關安全維護問題探討調查專報‧取自http://lkk73700.myweb.hinet.net/good/new_page_43.htm (最後瀏覽日:2013年6月4日)。
[9]最後修正日期:100年9月1日。
[10]筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[11]經濟日報(2010,1月28日)‧中華民國保全商業同業公會全國總會,開啟臺灣保全業嶄新里程碑‧取自http://edn.udn.com/article/view.jsp?aid=230903&cid=16''' (最後瀏覽日:2013年6月4日)。
[12]保全業法第10條之1:
「有下列情形之一者,不得擔任保全人員。但其情形發生於本法中華民國九十二年一月二十二日修正施行前且已擔任保全人員者,不在此限:
一、未滿二十歲或逾六十五歲。
二、曾犯組織犯罪防制條例、肅清煙毒條例、麻醉藥品管理條例、毒品危害防制條例、槍砲彈藥刀械管制條例、貪污治罪條例、兒童及少年性交易防制條例、人口販運防制法、洗錢防制法之罪,或刑法之妨害性自主罪章、妨害風化罪章、第二百七十一條至第二百七十五條、第二百七十七條第二項及第二百七十八條之罪、妨害自由罪章、竊盜罪章、搶奪強盜及海盜罪章、侵占罪章、詐欺背信及重利罪章、恐嚇及擄人勒贖罪章、贓物罪章之罪,經判決有罪,受刑之宣告。但受緩刑宣告,或其刑經易科罰金、易服社會勞動、易服勞役、受罰金宣告執行完畢,或判決無罪確定者,不在此限。
三、因故意犯前款以外之罪,受有期徒刑逾六個月以上刑之宣告確定,尚未執行或執行未畢或執行完畢未滿五年。
四、曾受保安處分之裁判確定,尚未執行或執行未畢。
五、曾依檢肅流氓條例認定為流氓或裁定交付感訓。但經撤銷流氓認定、裁定不付感訓處分確定者,不在此限。
保全業知悉所屬保全人員,有前項各款情形之一者,應即予解職。」
[13]臺北市政府警察局辦理保全業務作業要點第3點。
[14]以台北市保全商業同業公會為例,公會自主辦理「保全人員訓練護照」由中華保全協會策劃並請市警局督勤,另委請刑事警察局辦理「種子教官」訓練,解決各保全公司教育人員之不足。取自台北市保全商業同業公會網站(無日期)‧取自http://www.sca.org.tw/home/link1.asp?h=link1-45 (最後瀏覽日:2013年6月6日)。
[15]傅美惠、呂秉翰(2009,12月)‧保全業立法、修法與政策評析‧吳鳳學報,18,667-686。
[16]以台北榮民總醫院為例,現行駐衛警從原58名降為29名,平均年齡為60歲,可謂相當高齡化。筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[17]以台北榮民總醫院為例,醫院內部的1400顆監視鏡頭是由駐衛警負責監看,另保全公司所有的監控系統只負責醫院大門及停車場的部分,且會牽線至駐警室進行統一監看管理,不過夜間的巡邏及監看,因人手不足,需保全業者協力配合。筆者親自訪談台北榮民總醫院政風室(2013年,5月30日),台北榮民總醫院,石牌路二段201號。
[18]奇摩新聞(2013,2月2日)‧年前缺四成保全業全年徵人‧取自:http://tw.news.yahoo.com/%E5%B9%B4%E5%89%8D%E7%BC%BA%E5%9B%9B%E6%88%90-%E4%BF%9D%E5%85%A8%E6%A5%AD%E5%85%A8%E5%B9%B4%E5%BE%B5%E4%BA%BA-213000681.html (最後瀏覽日:2013年6月4日)。
[19]傅美惠、呂秉翰(2009,12月)‧保全業立法、修法與政策評析‧吳鳳學報,18,667-686。

※ 機關實體安全維護現行法制與實務運作之研析(上), 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=6316 (最後瀏覽日:2024/06/23)
引註此篇文章
你可能還會想看
歐盟法院裁決:網站「預先選取同意」不構成ePrivacy Directive及GDPR合法有效的同意

  歐洲聯盟法院(CJEU)2019年10月1日對Planet49案(Case C-673/17)作出裁決。Planet49 GmbH為線上遊戲公司,用戶必須註冊並填寫姓名、地址等資料,點擊「參加」鍵後,會出現兩個選項框,一為「同意接收贊助商及合作夥伴的廣告訊息」,用戶必須勾選此一選項始可參加;另一選項框是「同意將用戶的Cookies用於廣告目的與分析」,此一選項已被預先勾選,而用戶可以取消勾選;在選項旁附有說明(如Cookie的用途等),並告知用戶可以隨時刪除所設置的Cookie。   歐盟法院針對《電子通訊隱私指令》(ePrivacy Directive, ePD)以及《一般資料保護規則》(General Data Protection Regulation, GDPR)進行闡明,重點如下: 一、ePD所要求對於Cookie儲存與使用的「同意」必須符合GDPR的「同意」原則,必須是當事人自願、具體、知情且明確的同意,本案「預先勾選同意」不構成有效同意。 二、「同意」必須特定對象,而不能藉由其他標的加以包裝、暗示,用戶點擊「參加遊戲」不能代表「Cookie的同意」。 三、ePD是對於用戶資料儲存與取得的保護,不論是否涉及「個人資料」均有ePD的適用,而必須取得用戶同意。 四、對於Cookie的使用必須清楚揭露,包括Cookie用途、運作期間、第三方是否有機會取得此一資訊等,以確保用戶確實了解其所為「同意」的內容與範圍。

中國大陸開發資訊系統,加強落實電子出版物書號管理

  國家新聞出版廣電總局繼2011年底頒布《音像電子出版物專用書號管理辦法》後,歷經3年整備,去(2014)年底終完成「音像電子出版物專用書號實名申領資訊系統」開發,並於今(2015)年一月上線運行。預計透過此資訊系統,將能簡化書號申領、核發許可程序,落實「中國標準書號」(簡稱中國ISBN)及其配套之「書號實名制」推動。   同時,為配合系統運作,亦修訂《音像電子出版物專用書號管理辦法》,明文要求出版單位應安排、訓練專人從事相關書號的申請管理,及賦與出版單位對於申報內容、出版物品質及出版活動嚴格的自審責任。對於違規使用ISBN者,新法亦明文宣示主管部門可以按相關法規給予處罰,除採取警告發出責令改正的行政罰外,並有罰金的適用。   可以預期的是,在音像電子出版物專用書號實名系統的推動執行下,中國大陸關於電子出版物行政管理過程中的統計、查找、選擇、獲取等將建立統一性更透明的單一標準。正面而言,將促成電子書有秩序的發展環境,改善過去一號多書、買賣書號等亂象。另一方面而言,也表示電子書之出版,將趨於嚴格、減少模糊空間。

英國政府宣佈將內化歐盟電子通訊隱私指令,訂定cookie相關規範

  歐盟電子通訊隱私指令(Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive)針對cookie(即業者為辨別使用者身份而儲存在用戶端上的資料)設置的規範,於2009年修正,將在今年在5月25日之前全面施行。歐盟跟據該項規定,要求業者,當其使用cookie追蹤網路使用者的使用行為時,必須取得網路使用者的「明示同意」,且每隔一年,業者皆必須重新取得該項「同意」,網路使用者亦得隨時撤回。實務上對於該項同意究竟應由業者「主動」要求,亦或「被動」等待網路使用者以允許cookie設置方式而直接視為同意,仍有爭議。   儘管如此,英國政府仍已決定內化該指令,制定其國內cookie設置規範。英國資訊委員會(Information Commission)將提出指導原則,協助業者遵循該規範。相關政府單位,亦已開始著手協助業者重新設定網頁瀏覽器。有關當局表示,英國政府將會在歐盟限定的期限內推動此規範,不過,該歐盟指令係強制規範,業者是否能在短期內完成該規範遵循仍有疑議。針對此點,英國政府已通令其資訊委員會,對於已著手改正其隱私規範並重新設置瀏覽器的業者,即便未於期限內完成該規範遵循,亦不受罰。英國未來實施的cookie設置規範究竟會如何發展,仍待觀察。

印度政府公告個人資料保護法草案

  2018年7月27日印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)公告個人資料保護法草案(Protection of Personal Data Bill),若施行將成為印度首部個人資料保護專法。   其立法背景主要可追溯2017年8月24日印度最高法院之判決,由於印度政府立法規範名為Aadhaar之全國性身分辨識系統,能夠依法強制蒐集國民之指紋及虹膜等生物辨識,國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料,因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵,進而認為國民有資料自主權,能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害,因此認定Aadhaar專法與相關法律違憲,政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會,研擬個人資料保護法草案。   草案全文共112條,分為15章節。主要重點架構說明如下: 設立個資保護專責機構(Data Protection Authority of India, DPAI):規範於草案第49至68條,隸屬於中央政府並由16名委員所組成之委員會性質,具有獨立調查權以及行政檢查權力。 對於敏感個人資料(Sensitive personal data)[1]之特別保護:草案在第4章與第5章兩章節,規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前,必須獲得資料主體者(Data principal)之明確同意(Explicit consent)。而明確同意是指,取得資料主體者同意前,應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式,以及可能對資料主體者產生之影響。 明確資料主體者之權利:規範於草案第24至28條,原則上資料主體者擁有確認與近用權(Right to confirmation and access)、更正權(Right to correction)、資料可攜權(Right to data portability)及被遺忘權(Right to be forgotten)等權利。 導入隱私保護設計(Privacy by design)概念:規範於草案第29條,資料保有者(Data fiduciary)應採取措施,確保處理個人資料所用之技術符合商業認可或認證標準,從蒐集到刪除資料過程皆應透明並保護隱私,同時所有組織管理、業務執行與設備技術等設計皆是可預測,以避免對資料主體者造成損害等。 指派(Appoint)資料保護專員(Data protection officer):散見於草案第36條等,處理個人資料為主之機構、組織皆須指派資料保護專員,負責進行資料保護影響評估(Data Protection Impact Assessment, DPIA),洩漏通知以及監控資料處理等作業。 資料保存之限制(Data storage limitation):規範於草案第10條與第40條等,資料保有者只能在合理期間內保存個人資料,同時應確保個人資料只能保存於本國內,即資料在地化限制。 違反草案規定處高額罰金與刑罰:規範於草案第69條以下,資料保有者若違反相關規定,依情節會處以5億至15億盧比(INR)或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義,草案第3-35條規定,包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分(transgender status)、雙性人身分(intersex status)、種族、宗教或政治信仰,以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料(health data)。

TOP