日前，立法院三讀通過涉及22項法律案之「強化關鍵基礎設施保護法案」。此修正案原先由行政院邀集經濟部、衛福部、金管會等8個部會草擬，各項採取相同的立法模式，區分實體及虛擬設施之破壞樣態，對破壞關鍵基礎設施行為者，一律施以刑罰。這次修法只採取事後刑罰之制裁手段，不包含任何事前或事後的行政管制配套措施，但這樣的作法真的足以保護關鍵基礎設施嗎？

關鍵基礎設施（Critical Infrastructure, CI）是國家與社會順暢運作的重要基石，也是維護國家平時與戰時安全的樞紐所在。這些設施支持國家功能運行，如國防、能源、電力、供水、運輸物流、緊急服務系統等，橫跨實體虛擬設施，上至衛星，下至海底電纜，一旦關鍵基礎設施失能，無論肇因於天然災害、人為疏失、恐怖攻擊或（準）軍事行動，都可能對社會穩定與國家安全造成嚴重衝擊。

然而，近年來，我國關鍵基礎設施發生事故的例子可說是不勝枚舉，例如，馬祖海纜兩度斷纜事件造成的通訊中斷、興達電廠因人為因素導致的全台大停電、桃園機場第二航廈因電纜遭剪斷發生大停電；又如去年（2022）美國國會眾議院議長裴洛西（Nancy Pelosi）訪台期間，總統府、外交部、國防部等政府機關網站陸續遭分散式阻斷服務（Distributed Denial-of-service, DDoS）攻擊，台鐵電子看板螢幕亦遭駭客入侵等，罄竹難書。

由於地緣政治緊張，國際局勢升溫，自從21世紀以來，包含美國、歐盟、澳洲及我國鄰近的韓國等，紛紛把「關鍵基礎設施防護」（Critical Infrastructure Protection, CIP）列為優先推動的國家政策，並加速立法來識別、檢測、阻止及制裁對國家關鍵基礎設施的威脅和危害。

我國此次修法注意到了保護關鍵基礎設施之重要性，向前邁進一步，固然值得肯定，但刑罰不足以自行，有效的CIP重點應該在於事前與事後完整的風險控管，運用行政與刑罰等不同管制手段達成通盤防禦效果。然而我國此次CIP修法劃地自限，僅片面仰賴事後刑罰手段，顯然不足以達成防護目的。

簡言之，參照歐美立法先例，CIP立法有三個步驟與課題：

1.盤點關鍵基礎設施：哪些設施列入受保護標的範圍？

2.辨識威脅態樣：哪些威脅手法會危及關鍵基礎設施的運作？

3.發展管制與制裁手段：因應可能威脅態樣，

以軍機場鄰接土地之管制為例，2021年中國富豪孫廣信在美國德州空軍基地附近購買萬頃土地，據稱要設置風力發電設施，卻引發了重大的國家安全爭議，被認為可能蒐集軍事情報、或透過接通電網發動網路襲擊、切斷電力供應等攻擊。我國軍事基地如軍機場、軍港、導彈發射彈基地等，也可能處於相同威脅，一旦鄰接土地被境外敵對勢力蓄意取得，近水樓台，日以繼夜用以蒐集相關參數與軍事情報，可能直接造成軍機洩漏的嚴重國安危機，不可不防。

有鑑於此，美國法及歐盟法，皆將「關鍵基礎設施之鄰接不動產」，一併納入CIP法案的保護標的。其次，上開軍機場購地案的直接威脅態樣，並非物理性破壞，而是疑似境外敵對勢力或其人員以「交易」手段取得關鍵基礎設施鄰接土地，CIP法案必須先辨識這種交易威脅型態，進而發展管制與制裁手段。這些事前管制的預防手段包含：關鍵基礎設施鄰接土地造冊、交易採事前申報或核准制、限制特定境外勢力（含其人民）交易特定設施或土地等；最後，對於違反事前管制措施者，再施以刑罰制裁。

反觀我國此次CIP修法，雖然橫跨8部會修正22部法律，但一來，「關鍵基礎設施之鄰接不動產」根本未列入修法，保護標的本身就漏洞百出；二來，威脅態樣辨識不足，連最典型的交易威脅都忽略，遑論其他；三來，對抗威脅態樣，僅有刑罰制裁，事前風險控管與行政管制的預防措施，付之闕如。

具體檢視我國此次CIP法案，四大缺失如下。

我國此次CIP修法，雖洋洋灑灑列出22項法律，但對照歐、美、韓等國的CIP法案，可知在盤點受保護關鍵基礎設施方面，我國仍是掛一漏萬。歐美立法方式多為以專法或專章規範，先定義基礎關鍵設施，再逐項列舉受保護基礎關鍵設施。

對照歐美等國CIP法案可知，我國此次修法所涉之保護標的仍有諸多未涵蓋的項目，如倉儲及運輸物流、緊急服務部門、關鍵製造業以及關鍵基礎設施鄰近之不動產等，不勝枚舉。

參照歐美CIP法案，第二步驟是「盤點可能的威脅態樣」。至少包含：

本次修法對於關鍵基礎設施可能如何受到威脅的態樣想像主要有兩種：一為實體、物理性地破壞關鍵基礎設施，二為虛擬地威脅核心資通系統，也就是上述的第1、2兩類威脅，22項修法也僅以此兩種模式進行調整。其他威脅型態，完全不在修法範圍。

以交易威脅（上述第3類）而言，早已是各國CIP法案辨識出來的典型威脅，如前述美軍機場購地事件，再如，科學園區物流在股權交易下落入中資掌控，這樣的威脅對國安而言不可不慎。但按照我國目前僅規範破壞物理與資通系統的立法模式，此種交易威脅未能放在當前關鍵基礎設施保護框架下處理。

再以人員威脅（第4類）為例，如果重要的設施經營人員遭受境外敵對勢力人員滲透，就算沒有物理上的破壞、系統也照常營運，國家安全仍然暴露在危險之中，但本次修法沒有辦法處理這種類型的風險。由此可知，我國本次CIP修法，對於可能威脅關鍵基礎設施樣態之認識顯然不足，實有大幅擴充之需求。

管制手段的選擇，除了刑罰，其實也有更加多元的行政管制手段可供運用，例如可能有針對人員之管制（人員出境限制、外人參與限制等）、針對行為之管制（例如資本管制、揭露利害關係等）、以及針對場所或設施之管制（例如場所與設施使用之限制或通報機制），這些手段利用有助於完整化對於關鍵基礎設施威脅於事前與事後的保障。

以美國法為例，美國外資投資委員會（Committee on Foreign Investment in the United States, CFIUS）針對關鍵基礎設施進行投資管制，以避免關鍵基礎設施實際遭到外國勢力之持有。再如，上開美國德州軍機場購地案後，德州議會通過一項基礎設施保護法，針對來自中國、俄羅斯、朝鮮和伊朗公司的投資，進行交易管制，禁止上述國家的企業投資德州諸如電網、供水系統和網路安全等基礎設施。

相對而言，我國本次修法僅設計對破壞行為課以刑罰手段的事後處理方式，顯有不足。實則，以本次修法狀況而言，事前／事後、管制人員／行為／場所或設施、如何管制，都可以有更立體的想像。

舉例而論，我國對於人員的管制明顯不足。對於關鍵基礎設施實體或虛擬的攻擊與破壞不一定來自外部，也可能來自內部人員：涉及關鍵基礎設施營運的重要人員，基於國家安全目的，可能也有受管制之需求。至於具體管制手段，例如與中國黨政軍之往來申報等形式，以提升透明度；若不配合相關申報義務，也可考慮設計禁止執行特定任務等配套措施。

最後，本次修法之範圍皆為作用法，除了欠缺統籌組織調整外，也完全沒有規劃任何預警、調查和追訴的配套措施，在程序工具完全付之闕如的窘境下，權責機關綁手綁腳，難以偵測、查緝破壞核心關鍵基礎設施的不法行為。

例如，分析我國過往威脅國安案件，幾乎所有共謀者間皆使用「微信」（WeChat）加密通訊軟體作為彼此聯繫的主要管道，但在欠缺植入間諜程式（來源端通訊監察）立法授權的限制之下，我國執法機關對此一籌莫展。未來亦可預見，境外敵對勢力若欲指使破壞我國關鍵基礎設施行動，亦可能利用此種監察漏洞來作為規避我國查緝，事前難以察覺、事後難以蒐證，空有刑罰、無從追訴，僅是紙上談兵。對照德國法，自2017年8月起立法授權准許來源端通訊監察，2021年6月又三讀通過國安包裹立法，擴大運用在國家安全事件，授權19個國安／情報機構使用此種新型監察方式。

再如，我國此次修法雖然針對「駭」入關鍵基礎設施的資通系統，加重刑罰，但法制面向來欠缺防制駭客入侵的程序配套，例如，利用NetFlow流量分析工具監控IP異常活動，相關通訊保障及監察法修正草案已經提出數年，迄今亦未完成立法。

綜上所述，基於關鍵基礎設施保護的重要性，筆者雖然理解本次修法的努力，但認為仍有許多需要補強之處，建議執政團隊參照外國CIP法案經驗及我國本土需求，盡速亡羊補牢！