政院公布危害資通安全產品使用原則，3個月內將公布禁用產品清單

行政院發言人Kolas Yotaka（谷辣斯‧尤達卡）在4月19日召開記者會對外公布，一項由行政院院長蘇貞昌4月18日同意通過的行政命令「各機關對危害國家資通安全產品限制使用原則」，並以電子公文發函給各機關。而這項原則原本應該在一月底公布，但因為外界有諸多疑慮，所以在綜合多方考量下，遲至4月中旬才對外公布。

Kolas Yotaka表示，這項行政命令的母法來自「資通安全管理法」，包括受該法規範的中央與地方政府以及關鍵基礎設施的提供者等，都必須在未來3個月內，優先盤點機關內已經採購的、來自危險地區的產品清單送交行政院，行政院也會彙整一份正面表列、禁止採購品牌的產品清單，給受資安法規範的機關參考；該份使用原則將溯及既往，適用先前已經採購的資安產品。

但她也強調，這個使用原則只適用於政府各機關，並不涉及民間私人企業採購以及民間消費行為。

受規範產品囊括網路攝影機及雲端服務在內

Kolas Yotaka表示，未來受資安法規範的機關單位，包括：中央政府的機關（構），各地方縣市政府，公立學校，公營事業、行政法人，還有關鍵基礎設施的提供者和政府捐助的財團法人在內，其中，後兩者則必須由該單位的中央目的事業主管機關進行相關的督導。

政府目前由國土安全辦公室制定的關鍵基礎設施提供者規定有八類，包括：水資源、能源、通訊傳播、交通、金融、高科技園區、政府機關與緊急醫療等，但各個類別中，有哪些單位確認為受資安法規範的單位，目前根據資安法的規定，正在進行相關的指定程序中。

為了避免不必要的誤會，Kolas Yotaka表示，在該原則中，不使用中國或陸資等敏感字眼，「因為可能產生危害臺灣資安通安全產品的來源不一定只有中國，還有其他國家，不點名特定國家別，也可避免疏漏。」

受到規範的產品範圍則囊括：伺服器主機、網路攝影機、遙測定點設備、無人機、雲端服務、電信業的核心骨幹網路設備電腦軟體、防毒軟體、機關委外開發的軟體系統、委外通訊設備顧問，以及委外企業開發資訊系統等，都被視為資通安全產品。

採購危害資安產品需經主管機關核可並列冊管理

在「各機關對危害國家資通安全產品限制使用原則」的條文中，也清楚規定，「各機關除因業務需求且無其他替代方案外，不得採購及使用危害國家資通安全的產品」，也要求採購的機關必須說明理由且經過主管機關核可後，才能以專案方式購置，相關產品也應該列冊管理，以及遵守「指定特地區域及特定人員使用」、「不得與公務網路環境介接」、「不得處理或儲存機關公務資訊」、「測試或檢驗結果應產出報告」、「購置理由消失時，或使用年限界滿應立即銷毀」等五項規定。

因為這項使用原則溯及既往，所以在條文中也規定，各機關應該要定期辦理資產盤點，在4月19日該使用原則公布前，就已經採購的危害國家資通安全產品，應該要在廠商清單提供後3個月內列冊管理，並不得與公務網路環境介接，也應該一致非敏感或非重要環境；如果該產品已經屆滿使用年限的話，則在廠商清單提供後，編列預算於該年度汰除；未達使用年限者，則明定汰除的期限。

由於這項使用原則適用對象包括中央與地方政府在內，加上關鍵基礎設施服務提供者以及政府捐助的財團法人，例如工研院、資策會等，也同樣在該法的規範範圍中。但高科技園區有內有許多民間企業在內，哪些單位是被資安法指定的關鍵基礎設施提供者，還有待相關清單出爐，但未來科技部與經濟部也將透過科學園區管理局，進一步和民間業者建立合作溝通的機制。

公務機關不遵守該使用原則，將依照資安法進行懲處

政府這項「各機關對危害國家資通安全產品限制使用原則」的行政命令，原訂在一月底就要公告，為了更周延內容故延後公布。

身兼國家安長的行政院副院長陳其邁在接受媒體訪問時也強調，如果未來縣市政府不遵守「各機關對危害國家資通安全產品限制使用原則」的規定，也將依據資安法第19條的規定，針對公務機關所屬人員未遵守資安法規定者，依照情結輕重予以懲戒或懲處。

但像是臺南市政府在一月下旬時，就已經發佈新聞稿公布，全面盤點所屬資通訊設備，並配合中央資安政策，全面禁用包括華為在內等危害國家資安產品。

臺南市政府更公告，為了避免潛在的資安風險，硬體採購除了配合採用政府共同供應契約外，更全面禁止提供中國產品；機關網路連線因採用政府網路網路服務（GSN），無法連上中國網站、可以防止機敏資料外流外；在資訊作業委外管理規範則要求業者進行「委外契約及需求規格書製作」時，應註明資訊安全保密條款，必要時，臺南市政府也會與委外廠商簽訂保密協定，以明確告知委外廠商應遵循事項。