公報發言紀錄
發言片段
lineno: 304
| 發言片段: 0 |
|---|
| 黃委員世杰:(9時49分)數位發展部闕次長、資通安全署謝署長都有列席,今天我們的主題,針對歐美各國陸續頒布禁止使用或限制採購中國資通訊及科技產品,這也不是新鮮事,已經有一段時間了。只是最近美國又有一波新的發布令,對於他們公民在中國的相關產業裡面協力,作出了一些禁令,所以這個議題又再度變成重要話題。再加上今年美國眾議院議長Pelosi來臺之時,我們的很多公共場域曾發生疑似駭客入侵或被植入訊息,引發了一波討論。 |
| 回顧一下,最早在108年的時候,行政院頒布各機關對危害國家資通安全產品限制使用原則,你們每一個的報告裡面都提到;109年的時候,又以行政院秘書長函通知各機關,要求在110年年底以前完成汰換。我記得謝署長當時是處長,是不是?在國發會擔任相關議題的處長,是不是這個清單以及怎麼做的機制,當時是由你研議出來的?你可以說明一下,現在我們有這個清單嗎?既然曾經具體要求過各機關要汰換,好像警政署也說已經執行完畢了,你們的報告是寫已經依照這個原則執行汰換完畢了嘛!到底這個清單在哪裡、有沒有公布?請次長說明。 |
| 發言片段: 1 |
| 主席:請數位部闕次長說明。 |
| 發言片段: 2 |
| 闕次長河鳴:跟委員報告,108年的資通安全產品限制使用此一原則,是請公務機關把其使用的中國品牌產品造冊列管,列管在各個單位的…… |
| 發言片段: 3 |
| 黃委員世杰:只有列管,不用汰換? |
| 發言片段: 4 |
| 闕次長河鳴:列管的總共有6,496件,我們不會把它彙整成一個廠牌型號的清單。 |
| 發言片段: 5 |
| 黃委員世杰:那麼這個條文是訂假的啊!第三點規定「本法主管機關應基於國家安全、國際情資分享、……,蒐集相關機關意見綜合評估,據以核定生產、研發、製造或提供前點產品之廠商清單。」這是你們自己訂出來的原則。 |
| 發言片段: 6 |
| 闕次長河鳴:目前我們手上的是所有列管的清單,而不是廠商的清單。 |
| 發言片段: 7 |
| 黃委員世杰:那你們沒有依法辦理嘛!有或沒有? |
| 發言片段: 8 |
| 闕次長河鳴:應該是有依法辦理。 |
| 發言片段: 9 |
| 黃委員世杰:你們自己訂的法令,而且你們的報告裡面還寫,現在已經要提出這個原則的修正草案,那草案裡面還有沒有這一條,還是你要怎麼訂? |
| 發言片段: 10 |
| 闕次長河鳴:因為原來相關的是所有公務機關,現在我們修正法案的重點是放在針對裴洛西來臺…… |
| 發言片段: 11 |
| 黃委員世杰:你們開會的時候說是場域,對不對? |
| 發言片段: 12 |
| 闕次長河鳴:對。 |
| 發言片段: 13 |
| 黃委員世杰:從主體的概念轉換到場域。但是跟這一條沒有關係啊!這一條你們有修嗎?沒修之前你們就沒有依法辦理,修了之後呢? |
| 發言片段: 14 |
| 闕次長河鳴:這件事情,因為這是在資通安全會報,所以…… |
| 發言片段: 15 |
| 黃委員世杰:你知不知道?你不知道就說不知道,剛剛你一直都在搶答。 |
| 發言片段: 16 |
| 闕次長河鳴:我這邊不知道。 |
| 發言片段: 17 |
| 黃委員世杰:是不是可以請知道的人回答一下?這是今天的主題! |
| 發言片段: 18 |
| 主席:請數位部資安署謝署長說明。 |
| 發言片段: 19 |
| 謝署長翠娟:謝謝委員的關心。應該說我們有全面的盤點,所有政府機關之中有哪一些使用了陸牌的產品,我們會規定他們應該要定期汰換。剛剛次長跟委員報告過,現在我們政府機關內還有6,496個大陸廠牌的產品,包含學術資料庫、電子書,以及一些外館使用的電信服務。因為外館的整個環境沒有任何其他非陸牌的可以使用,所以他們有些電信服務非得選擇陸牌,但是這些我們都有做安全的監控,委員如果需要這6,496個產品的list,其實我們會後可以提供。 |
| 發言片段: 20 |
| 黃委員世杰:這六千多件是你們經過108年、109年到現在…… |
| 發言片段: 21 |
| 謝署長翠娟:我們每年會定期盤點。 |
| 發言片段: 22 |
| 黃委員世杰:對,經過汰換,現在剩下這六千多件嘛! |
| 發言片段: 23 |
| 謝署長翠娟:是。 |
| 發言片段: 24 |
| 黃委員世杰:這六千多件是你們盤點過的,所以有可能比如說同一種廠牌有A、B、C等等,所以有很多件嘛,對不對? |
| 發言片段: 25 |
| 謝署長翠娟:對。 |
| 發言片段: 26 |
| 黃委員世杰:而我現在問的是,依照法令,你們應該先有一個邏輯:哪些是危險的?這個法條寫得很清楚啊!要做綜合評估,然後核定廠商清單,你才可以去要求各政府機關到底哪些是不能用的,不是嗎?還是你們從來沒有做過這件事情,只要是中國製的統統都不OK?這樣會有一個盲點,你知道嗎?因為在世界產業鏈當中,有很多是代工,貼牌是哪個國家,和它實際生產是哪個國家未必一樣。你們完全沒有做這樣的盤點啊? |
| 發言片段: 27 |
| 闕次長河鳴:目前盤點的結果就是把中國品牌列入廠商清單,這是108年到現在實務上的狀況。的確是有委員講的貼牌的狀況,也有民眾檢舉,這些案例目前也在處理中,我們會在新的規定裡面處理貼牌的情形。 |
| 發言片段: 28 |
| 黃委員世杰:好,我要問一下國安局陳副局長,辛苦你今天特地趕來,但是這個問題不能說跟你沒有關係吧! |
| 發言片段: 29 |
| 主席:請國安局陳副局長說明。 |
| 發言片段: 30 |
| 陳副局長進廣:對。 |
| 發言片段: 31 |
| 黃委員世杰:那你們怎麼看待這個問題? |
| 發言片段: 32 |
| 陳副局長進廣:跟委員報告,這方面從108年、109年到110年年底,我們都配合相關機關…… |
| 發言片段: 33 |
| 黃委員世杰:我不是問你你自己這個機關怎麼執行或配合,而是問你,我們竟然沒有一個主管機關去釐清危害國家資通安全的產品!我不管是產品清單還是廠商清單,你們一定要有一個評估的過程啦!今天你也不能說它表面上非中國製或是其他國家製的就一律是安全的。你們到底有沒有這樣一個評核機制? |
| 發言片段: 34 |
| 陳副局長進廣:跟委員報告,事實上我們先前在情資方面都已經掌握有哪些實體的清單、它們具有哪些威脅,甚至包括有些貼牌的產品,我們都有把相關情資提供給主管機關。而且我們針對這部分的貼牌還有國內人員引進的部分,比如說它是用廠商服務的方式進臺,這部分我們都有從情報機關的立場加以掌握,同時提供給相關機關做為…… |
| 發言片段: 35 |
| 黃委員世杰:你們提供的資料行政院顯然沒有在用耶,不然怎麼會沒有一個廠商清單! |
| 發言片段: 36 |
| 陳副局長進廣:跟委員報告,我們本於職責,相關資訊都有提供給政府相關部門參考。 |
| 發言片段: 37 |
| 黃委員世杰:你們是透過什麼機制提供? |
| 發言片段: 38 |
| 陳副局長進廣:我們有一個正常的情資分送管道,同時也參與相關的資通安全會報。 |
| 發言片段: 39 |
| 黃委員世杰:資安署謝署長,這是你主管的耶!成立數位發展部之後,整個國家資通安全是你們在主管,卻沒有這樣的機制和程序!我們先不管是不是有那個清單,剛剛國安局說他們都有透過相關的情資管道分享出去,所以你們應該都知道才對啊!對不對?那為什麼可以沒有這個機制呢?你們要不要建立這個機制,以符合你們自己定的法令的規定? |
| 發言片段: 40 |
| 謝署長翠娟:跟委員報告,其實我們是有隨時在蒐集,因為廠牌的名稱會一直變、一直變,所以老實說,廠牌並沒有非常大的意義。我們現在做的事情就是,首先,如果明確知道它是陸牌,那就不能採購,在採購上面我們已經有明確的規定;在場域內,如果已經買的,它也不能連到他們的公務環境,這部分也有明確的規定;除此之外,還再加上資安的監控管理,萬一真的有個不小心,當它要包東西出去的時候,我們可以攔截下來。 |
| 發言片段: 41 |
| 黃委員世杰:我現在問的其實是兩個問題,你講的是後端,已經買的要怎麼樣去做補救、管理、定期汰換、不能汰換、要如何監控設備等等。但是我的問題其實是前端的部分,因為你們現在這個原則只是規範公部門,最多規範到公部門委外,或者是行政法人、政府捐助的財團法人等等,最多擴及到這樣的範圍,可是我們現在面對的國安問題不是只有公部門,私部門可能也需要知道哪些產品或廠牌有嚴重的資安疑慮或國安疑慮,私部門也需要啊!對不對?對於這些廠商,你們如果有一個機制可以去研議出來,但是卻不敢公布,其實美國他們都有公布耶!我今天沒有時間談這個部分,但是美國的做法你們是不是應該參考一下?讓整個社會知道到底哪些是有國安風險的,有國安風險就有資安風險,對不對?如果放任不管的話,搞不好我們還有很多監視器等等是隨時會被駭進來的,這沒有國安問題嗎?請國安局說明。 |
| 發言片段: 42 |
| 陳副局長進廣:謝謝委員指導。我們針對具有相關風險疑慮的部分,就像剛剛報告的,都有送給行政部門…… |
| 發言片段: 43 |
| 黃委員世杰:對啊,但是你們送給行政部門之後,他們就是用這種方式在處理,所以民間對此一無所知啊! |
| 我覺得你們是不是應該回去檢討一下?你們自己定了剛剛那一條的機制,定得很好,但是沒有下文啊!有什麼狀況是一定不能怎樣?我是覺得應該要思考一下。國際情勢正在轉變當中,如果我們的風險越來越高,你們應該讓更多人知道這些風險,這樣大家也會主動去迴避,而不是公部門清查到的,自己列管好就好了。不是這樣做資安的吧! |
| 最後請署長說明一下,因為我的時間也到了。 |
| 發言片段: 44 |
| 謝署長翠娟:跟委員報告,其實我們對民間也有很熱忱地提供服務,所以我們現在只要蒐集到任何攻擊樣態的情資,都會透過TWCERT/CC,提供給民間部門,讓他們對資安問題或攻擊樣態可以事先預防,萬一已經遇到資安問題,TWCERT/CC也可以輔導並協助民間部門排解。 |
| 發言片段: 45 |
| 黃委員世杰:好啦,你的說法就是如果有人有疑問的話,可以去找你們啦!但是如果他沒有這麼聰明,不知道你們有這個機制的話,他就沒有這個資訊啦! |
| 發言片段: 46 |
| 謝署長翠娟:我們會對外公布。 |
| 發言片段: 47 |
| 黃委員世杰:不是啦,我知道。問題是並非每一個個人或公司,因為我們有很多中小企業耶,你講的可能只是其中一部分。我的意思是說,既然你們正在研修這個草案,希望你們第一,要依法行政,第二,該精進的就要精進,不要只有去處理那個場域的問題。那個很重要,沒有錯,但是也要看到我們現在面臨的風險。裴洛西來臺那一次,解決的方式不是只有場域而已,對不對?今天公部門都守好了,私部門照樣給你突破,結果也是一樣啊!更不要講上次新聞台出現那件事情,雖然那是他們內部自己誤植,但如果將來是透過駭客的方式去取代的話,不也是一個很嚴重的事情嗎?對不對?好,以上。 |
| 發言片段: 48 |
| 主席:透過黃世杰委員的質詢,我發覺我國各單位對國安、資安的問題在法規上好像都各有本位,而沒有做橫向聯繫,所以遇到這些問題的時候,國安局是一個答案、數發部是一個答案。其實我今天安排這個議題,就是希望透過各單位的討論,自己去發覺在法令上有哪些窒礙難行的地方。各部會應該要做橫向的聯繫,把這些資安問題做銜接,而不是各自為政,完全沒有做橫向的溝通和聯繫,各做各的,都依照自己頒訂的法令或原則去做。我想黃世杰委員有點出這個問題,所以希望未來真的能夠更精進,因為資安方面真的要做適當的應變並擬出防禦機制,才能確保我國的資通安全。 |
| 接下來請游委員毓蘭發言。 |
公報詮釋資料
| page_end | 290 |
|---|---|
| meet_id | 委員會-10-6-36-9 |
| speakers | ["林思銘","曾銘宗","陳玉珍","黃世杰","游毓蘭","陳以信","陳歐珀","陳椒華","江啟臣","劉世芳","洪孟楷","劉建國","江永昌","邱志偉","周春米","鄭運鵬","邱臣遠"] |
| page_start | 235 |
| meetingDate | ["2022-10-24"] |
| gazette_id | 1119601 |
| agenda_lcidc_ids | ["1119601_00006"] |
| meet_name | 立法院第10屆第6會期司法及法制委員會第9次全體委員會議紀錄 |
| content | 邀請國家安全會議、數位發展部、國家通訊傳播委員會、國家安全局、國防部參謀本部通信電子 資訊參謀次長室、資通電軍指揮部、法務部調查局、內政部警政署率所屬單位主管列席就「面對 歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為 何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業 並採取因應對策」進行專題報告,並備質詢 |
| agenda_id | 1119601_00005 |