在《資安法》修正的草案內容中,首先,有個大家都相當關注的調整重點,那就是:將現行「各機關對危害國家資通安全產品限制使用原則」的行政原則正式法制化,於是,這次修正草案特別新增了第十一條規定:「公務機關不得採購及使用危害國家資通安全產品」以及「公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品」。
對於政府遲遲不願意公開禁用產品的清單,成功大學電機系教授李忠憲於臉書發文,抨擊數位部研議修訂《資安法》,卻未將中共明列為「敵人」管制對象。他質疑,若不知道誰是敵人,就不知道如何防範,也不知道重點和主要的預算要放在哪裡。
也有學者表示,目前禁用危害國家資安產品限定為中國品牌的資通訊產品,但未來是否進一步,將禁用範圍擴及其他對臺灣有危害的國家產品,此舉有待評估。
而在公共政策網路參與平臺「眾開講」網友回覆意見中,有人建議,《資安法》修正草案新增該禁用條文後,應該要做到正本清源,就必須從政府資訊服務採購的源頭──共同供應契約著手,才能真正做到令行禁止。
政府行政命令規範禁用危害國家產品,資安署若從寬認定會產生矛盾
對於這次《資安法》修正草案內容,將「各機關對危害國家資通安全產品限制使用原則」的位階從現行的行政命令提升到法律層級,東吳大學科法所兼任助理教授王仁甫認為,修正條文提到「禁用危害國家資通安全產品」的定義並不清楚,若條文更清楚寫成「危害國家安全之資通安全產品」,除了不會造成文字混淆,他認為,主管機關應清楚對外說明,危害國家安全的資通安全產品定義,才可避免各界有疑慮。
事實上,目前的《資安法》並沒有規定,公務機關不可以使用或採購中國廠牌包含軟體、硬體和服務的資通訊產品,但有鑑於許多中國廠牌監控設備(例如:海康威視Hikvision)以及網通設備(例如:華為)傳出許多隱藏後門等資安事件,因此觸動政府部門的敏感神經。
因此,行政院秘書長李孟諺曾經在2020年12月正式發函,從嚴要求此事,下令公務機關原則上禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),並要求在2021年底完成全部中國廠牌產品的替換,部分例外須填報正當理由,交由行政院評估。
但後續出現不同調的狀況。例如,數位部資安署在2022年8月27日更新的「資安法常見問題中」,針對上述禁用大陸廠牌資通訊產品發函的注意事項,引用公共工程委員會於2018年12月的舊函釋,將大陸廠牌的定義限縮在「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」的資通訊產品,則不在限制範圍之內。
對此有資安專家質疑,為何資安署在網站公告禁用危害國家產品注意事項,卻反而從寬認定大陸廠牌?這與外界要求從嚴認定的觀點不符。
對此,資安署在公布的注意事項提及,各機關在辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮的業務範疇」,應確實於招標文件中載明,不允許經濟部投資審議委員會公告的陸資資訊服務業者參與投標。
注意事項也規範一種狀況,例如,若是公務機關委外執行標案的團隊成員,不得同時為中國大陸國籍人士,若是多重國籍人士,只要其中一個國籍有中國大陸國籍,都在限制範圍內;若是香港及澳門國籍者,則不在此限。
該注意事項也指出,目前基於現實考量,禁用的資通訊產品不可為大陸廠牌,但並未限制大陸廠牌的零組件;若為了滿足特定需求,公務機關的採購可以在招標文件要求提供的資通訊產品,不可以在大陸廠區生產或製造零組件。
資安署在限制使用危害國家資通安全產品的問答網頁時,引用工程會對大陸廠商的舊函釋,外界認為這與行政院從嚴認定的原意不同,也不符現在的潮流。
從政府採購源頭,明文禁用中國廠牌產品
原先政府部門只是以行政命令規範公務機關禁用大陸廠牌的資通訊產品,但實務上,要達到政府規範的禁用目標,就必須從採購源頭著手,禁止使用危害國家的資通安全產品。
負責政府採購的主管機關行政院公共工程委員會,也於9月25日正式公布《政府資訊服務採購作業指引》,該作業指引其中的一項重點就是:涉及國家安全或是資通安全的採購,公務機關應該直接在招標文件中規定,不允許陸資廠商(包含其分包廠商)以及陸藉人士參與。
而根據該作業指引對陸資廠商的定義,則包括:大陸地區廠商、第三地區陸資廠商,以及在臺灣的陸資廠商。這個規範也合乎行政院秘書長於2020年12月的發函,要求從嚴認定「大陸廠牌」的定義。
該作業指引也明定:如果機關招標案件涉及國家安全的採購,必須依照採購案件的特性和實際需要,限制招標廠商的資格;若對廠商的資金來源比例有特定限制的話,例如,懷疑廠商資金來源有陸資的話,可以要求廠商提出相關董監事、股東名冊和資金來源等文件;如果是涉及僑外投資的話,也可以要求廠商提出授權查核同意文件,有必要時,亦可請求目的事業主管機關協助查察。
此外,機關在執行相關的採購契約時,不管是履約標的或是執行過程中,都不得提供或使用大陸廠牌的各種資通訊產品,相關的履約人員也不得為大陸藉人員。
但是,有些國外的駐點單位或金融單位海外分行等,因為業務需求且無其他替代方案,不得不使用大陸廠牌的資通訊產品時,該機關就應該說明原因,並且經過該機關的資通安全長,以及上級機關資通安全長進行逐級核可後,同時函報《資通安全管理法》主管機關數位部進行核定;最重要的是,機關在該產品未達汰換年限前,也必須加強相關的資安強化措施。
透過作業指引的規範,讓政府機關在採購資通訊產品時,都不能採購大陸廠牌的資通訊產品,也必須將《各類資訊(服務)採購之共通性資通安全基本要求參考一覽表》,作為各機關資訊系統資安防護等級的資安規範參考。
然而,不同法令要求的對象有別。例如,政府採購法適用的對象,主要是政府機關、公立學校、公營事業,以及接受機關補助金額過半的採購單位,《資安法》適用的公務機關及特定非公務機關中,有些關鍵基礎設施提供者是民間企業,本身並不會受到《政府採購法》規範。
有鑑於此,便有網友在「眾開講」平臺建議:「資安署應在網站公布危害國家資通安全產品列表,提供各機關查詢,方可避免資通訊產品驗收爭議。」這應該是可行的配套措施;此外,網友認為,資安署也應該負起職責,定期更新禁用產品內容。
另外,有學者表示,目前危害國家資通安全產品的定義是指「中國品牌」,但未來,我們也可以評估是否擴大適用範圍,涵蓋俄羅斯、伊朗或北韓(朝鮮)等國家的資通訊產品。
公務機關要做到禁用危害國家資安產品,就必須從政府採購的源頭——共同供應契約做起,而工程會日前公布的「政府資訊服務採購作業指引」已經明訂公務機關禁止採購大陸廠牌的資通訊產品。
數位部不公布禁用危害國家產品清單,因為擔心業者洗產地
資安署在「資安法常見問題」的網頁中,也提到:「由主管機關核定禁用廠商清單的效益有限,便決定由主管機關透過跨部會協調平臺與各機關溝通,推動後續危害國家資通安全產品的限制使用事宜。」
數位發展部部長唐鳳在面對立委質詢,針對為什麼不能公布危害國家資安產品清單的問題時,她表示,為了避免業者「洗產地」改名規避審查,所以數位部不會公開禁用的產品名單。
唐鳳先前接受其他媒體訪談時提到,如果法律明文禁用「中國製」資通訊產品時,因為軟體相對難定義產地,若以官方註冊產地來看時,國際版抖音TikTok透過海外註冊的方式,正好可以繞過「中國製」的法律規範。
她指出,數位部是以中國政府能否實質控制這家公司或組織,作為是否危害國家資安產品的認定標準,即便危害國家產品的廠牌或官方註冊產地有變,都不會影響數位部對其危害國家資安產品的認定。
為了杜絕危害國家資安產品「洗產地」,唐鳳認為,列在共同供應契約的產品,至少都有兩個以上的機關在使用的產品,等於是機關認同可以採購的「白名單」;若是全新的產品或品牌,就要透過跟數位部查詢的方式,確認沒有資安疑慮後,再行採購。
因為在修正草案新增的第十一條中,已經明定「公務機關得向主管機關查詢危害國家資通安全產品及其廠商。」這也表示,數位部只允許有需求的機關向數位部查詢名單,並不願意對外公布禁用清單的態度。
數位部資安署署長謝翠娟日前在立法院回覆立委詢問時表示,數位部的禁用危害國家資安產品的清單,分成網路、系統、資料庫、機器人等十多個類別,目前列管的品項超過一千個,其中五分之一與資料庫和電子書有關,而向數位部查詢禁用清單的數量,平均每天約有一件查詢、每個月平均為二十多件查詢需求。
臺灣現在有些業者採購中國的白牌產品,然後貼牌為臺灣廠牌的商品,這樣就可以避掉《資安法》對大陸廠牌的限制。不過,有資安專家憂心指出,這些貼牌產品重要的核心系統是大陸製的情況下,貼牌臺灣廠牌反而會讓採購的公務機關缺乏警覺性,可能誤入未知的後門陷阱。
數位部既然擔心業者洗產品而不願意公布禁用產品清單,倘若民間業者對採購大陸廠牌資通訊產品有資安疑慮,應該怎麼辦?唐鳳建議,民間業者可參考列在共同供應契約的白名單產品。
不過,民間業者對於產品採購的規格和需求,相較公務機關更為彈性與多元,對於只能被動採購共同供應契約上的產品,或者被動詢問資安署欲採購產品是否是在禁用清單的作法,民間業者不會買單。
相反地,數位部若能在網站定期更新、主動公布禁用危害國家資安產品清單,不僅可以便利公務機關與非公務機關即時查詢,也會因為禁用產品相關資訊公開透明,在所有競爭業者和使用者的共同監督下,大陸廠牌的資通訊產品,想要透過「洗產地」改頭換面的難度,也會大幅提高,民間業者採購效率也會比只能單向跟資安署查詢高。
面對立委質詢為什麼不公開政府列管的危害國家資安的禁用清單,數位發展部部長唐鳳表示,憂心清單公布後會有業者洗產地的疑慮。
明文嚴禁公務手機下載中國App
在修正草案第十一條規定,「公務機關」不得採購及使用危害國家資通安全產品外,也不得在公務設備上下載、安裝或使用危害國家資通安全產品,也就是說,政府機關所核發的公務手機,皆不能下載、安裝或使用中國抖音、微信等App。
不過,「眾開講」平臺上面的網友直接建議,認為政府部門核發的公務資通訊設備,應該限制僅限於公務使用,不能轉做私人用途,而這樣的作法,也符合Cyber Hygiene(網路衛生)的觀念。
該網友也表示,有許多國內外資料外洩、社交工程資安事件發生原因,都是因為公私不分造成的,像是為求便利,在公務設備上做私人事情,不管是收發私人電子郵件,或在公務用的通訊軟體裡使用私人帳號、加入私人的群組等,都可能因為釣魚郵件或簡訊等社交工程手法,導致帳密外洩等資安事件。
不過,王仁甫認為,保護國家安全不只是公務機關的責任,《資安法》規範的其他特定非公務機關,有很多都有這樣的處境,它們一旦遭到損害,就會危及國家民生的重要單位,因此,也都應該要肩負起相對應的責任。
《資安法》修正草案重點之一的條文內容
【第十一條】
公務機關不得採購及使用危害國家資通安全產品;其自行或委外營運,提供公眾活動或使用之場地,亦同。但因業務需求且無其他替代方案者,經該機關資通安全長及其上級機關資通安全長核可,函報主管機關核定後,得以專案方式購置,並列冊管理。
公務人員獲配之公務用資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
公務機關得向主管機關查詢第一項產品及其廠商
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-26
2024-04-25
2024-04-22