公報發言紀錄
發言片段
lineno: 854
| 發言片段: 0 |
|---|
| 江委員永昌:(12時8分)闕次長,現在資通安全管理法當中管制的就是公務機關還有特定的非公務機關,在特定的非公務機關裡面,就把政府捐助的財團法人、公營事業還有關鍵基礎設施提供者納進去了。關鍵基礎設施提供者必須是那八大類,我這樣講你應該明白,然後是經中央目的事業主管機關指定跟行政院核定,那當然它就變成有義務,它主要有三個義務,第一個就是它要提出資安的計畫,然後要接受稽核,如果有資安事件發生就要通報,在違反這三個義務的時候,它有沒有罰責?就是要處以罰鍰。那我就要問你,假設它有提出資安計畫,可是卻違反了,被你在稽核的時候發現,或是它在資安事件的通報上沒有通報得很完整或是怎麼樣,像這些都有處罰的規定,可是你如何禁止它使用我們所限制的危害資通安全之產品?你如何限制它採購、限制它使用,到底是規定在哪裡?你懂我的意思嗎?你說要報計畫,那我就報計畫,我就說有用中國製或限制廠商的產品或其他限制產品,我有報啊!而且我是因為有必要,我沒有其他的替代方案,那你要怎麼處罰? |
| 發言片段: 1 |
| 主席:請數位部闕次長說明。 |
| 發言片段: 2 |
| 闕次長河鳴:是不是要請資安署說明? |
| 發言片段: 3 |
| 江委員永昌:次長不能回答嗎? |
| 發言片段: 4 |
| 闕次長河鳴:第一,我們任何的查核當然會有對應的行政處分,但是不會第一次就去罰它,會先讓它去改善,這是第一個,就是在行政程序上所有查核所對應的是先內審再外審,然後如果有重大情節而沒有辦法改善,才會有罰責的產生。第二,如果這個危害資通安全的產品就像剛剛講的是一些中國的品牌,因為可能會有這種問題,所以在修法上要注意這一點。在行政機關裡面的財產一定會有財產清單,在財產清單裡面會有廠牌、型號,所以從這裡面就可以很清楚地知道在這些財產和物品裡面有哪一些是中國品牌,如果有使用到中國品牌的產品,就必須做列管,也就是該產品如果有網路功能,它的網路功能就必須被隔離,比如說有一台儀器所搭載的電腦是中國品牌,這樣那一台電腦就不能上網,不能跟其他資通安全產品的網路相連,它只能夠被限定使用一部分的功能,就是對這個東西要列管。針對新的部分,在這個原則頒布以後,基本上在採購上面就不會同意它去做這樣的事情,除非它能夠證明它有必要性,或在它的所在地是沒有選擇的,才會同意它採購中國品牌的資訊、通訊產品。 |
| 發言片段: 5 |
| 江委員永昌:你還是沒有理解我問你的問題,它沒有報資安計畫,它不接受稽核,它對資安事件的通報有問題,你都可以去處罰,但是問題來了,你剛剛講的有關資通安全產品限制使用原則,你自己去看這個原則,就是中央跟地方機關、公立學校、公營事業跟行政法人要有資通的安全防護,在這裡面並沒有寫到提供關鍵基礎設施的民間企業,都沒有提到這個,那你靠的是什麼?你靠的是「資通安全責任等級分級辦法」中的附表,對於這些關鍵基礎設施的提供者,你是用附表去連接到你對公務機關限制使用的那個原則,你藉此來限制它使用,可是這個位階有夠低。我要問你的並不是它亂報資安計畫,你對它所做的處罰,我要問的是,你說它亂報,可是你的處罰並不涉及它使用你限制的廠商所生產的產品,你懂我的意思嗎?它可能會造成整個資安、國安的大問題,那個處罰到底在哪裡?那不是針對它所提計畫札不札實或說明清不清楚、完不完整的處罰,這個要切割開。它造成國安問題、造成資安問題,你沒有法律位階的規定可以處罰,你只靠一個附表去連接到限制使用,這個限制使用是權利或義務還是什麼?2019年行政院就有講這些關鍵基礎設施者所使用的產品,我們公務部門對他們有督導跟要求,我舉例來講,假如有金控、電信公司用了危害國家資通安全的產品,那金管會可以要求限期汰除嗎?要用哪一條規定?並沒有法律位階的規定喔!到底要用哪一條?這個事情很重要,你有聽懂本席所講的問題嗎?你可以回答,也可以請資安署回答。 |
| 發言片段: 6 |
| 闕次長河鳴:我請資安署向委員說明。 |
| 發言片段: 7 |
| 主席:請數位部資安署謝署長說明。 |
| 發言片段: 8 |
| 謝署長翠娟:非常謝謝委員提這個問題,其實我們也很關注,所以我們怎麼做呢?第一個,它必須要盤點他所有的設備,他必須要報請主管機關同意,也就是說,它不一定要汰換,因為這是銀行、是民間機關,但是它必須要有相對的控制措施還有相對的管理原則,而且它要報主管機關同意。我們怎麼發現它是不是虛報呢?我們會去稽核,所以我們的稽核項目就有一個是中國廠牌設備的清查跟汰換,我們會去看它是不是真的有這個項目、是不是真的有報主管機關同意、是不是有相對的控制措施,不同領域有不同狀況,比如說某個產品非得用它不可,那它就相對就要有SOC、弱掃、防毒及24小時監控。 |
| 發言片段: 9 |
| 江委員永昌:我想你也是沒有分清楚,我跟你講,我就說它的計畫報不完整、報不詳實,你可以對它處罰,它使用了限制使用的產品跟廠商的時候,另外一個處罰要有公權力的法律位階效力,就是要去補那塊,我跟你講,像美國政府要去除中國製的元素,當然我不是針對什麼,它對於非僅限於公務部門的情況,也是透過美國總統2020年簽署的安全可信通訊網路法,去做有關於禁止使用不管是聯邦經費去採購的或是禁止名單上的法人去建置美國國內的關鍵電信設施,或者對這樣的電信業者在拆除或更換的時候,還會有對企業的基礎設施補償機制,它是有立法的,所以我希望你去分清楚這一塊。你們的管制其實是對公務機關的管制,理解本席的意思?法律對它做使用限制的部分還是要加強手段,這是我要提出的第一個部分。 |
| 第二個部分,我剛剛講的是關鍵基礎設施提供者,對於應該要限制會影響資通安全,甚至到國家安全等級的廠商跟產品,一直講說要把這個清單公開,什麼時候要公開?我就直接講因為時間有限,一個是強制,對於這些基礎關鍵設施提供者,我強制你就是不可以;另外一個就是其實企業這麼多,中小企業也有很多資訊,都應該要保護,它願意自願地配合政府,可是它哪有自己的工作技術人員?政府如果能夠列出清單的話,它就可以自願來遵守,它可以知道哪些它就不要去用,到時候你如果用相關的手段說用了這些會對臺灣有危害、要處罰,至少它可以是自願的。現在很多國家都是強制跟自願並行,基礎設施提供者要嚴加管控,另外對於一般企業,你願意成為自願者,甚至可以找第三方公證,公證完了之後,民眾也會有意願、動力依市場的趨勢去買這樣的品牌,它不會採用現在所限制的廠商、限制的產品,也會建立它的企業形象,也對國家的整體有幫忙,你們有沒有這樣子在考慮,有沒有這樣在思維?回答我一下。 |
| 發言片段: 10 |
| 闕次長河鳴:跟委員報告,的確在第三條裡面,我們會核定生產、研發、製造、提供產品的清單,但是這個清單在這個法規裡面只要求主管機關要定期檢視廠商清單,也必須滾動式調整,為什麼要做滾動式調整?其實就是針對常常在發生的貼牌事件,因為法條裡面並沒有公布的義務,所以我們今天所有的回答就不會正面回答出要不要公布清單,因為我沒有公布的義務,公布的話會有其他的效應,就是一旦公布完整的清單,第2天它就馬上貼牌,此時在行政程序上,因為公布清單就是正面表列,反而會製造更多的困難。其實這個東西我們討論非常久,也在考慮有沒有適當的程序或適當的方式可以來做這件事情,委員的考慮我們瞭解,對於公務機關一體適用的原則,如果能夠對民間開放、可以增加全民的韌性,這樣的思維我們是贊成的,可是如何在達成這樣的思維又讓原來對公務機關的控管能夠達成一個平衡,不要因為我公布了這個清單導致後續管制上的困難,其實我們內部跟資安署跟行政院…… |
| 發言片段: 11 |
| 江委員永昌:我要打斷你的話,你真的誤會了,第一個你要去看國外現在怎麼做,我剛剛講一是強制、二是自願,現在這樣的行政指引其實是黑暗一片,連我們政府自己都不知道我可以有效地公布到哪,你可以隨時滾動式地羅列限制的廠商跟產品,民眾當然知道你沒有辦法全部羅列完,但是至少你已公布的,我是採自願,這可沒有處罰喔!我講的是另外一個,不是關鍵基礎設施提供者,是一般的中小企業跟其他企業,沒有在你的強制名冊當中,我是自願者,我願意配合、我希望臺灣安全嘛!不然你的指引是一片空洞啊!大家當然知道永遠規範不完,但是不是用要處罰它的方式,你也沒有要立法處罰它,但是它會帶動一個正面效應,我不用、你不用、他不用、大家都不用,那請問你,它是自願的,在品牌、在市場的評價上、在國人的信心上得到肯定,你公布說至少這些不要用,儘量去找尋、儘量去研究出所有應該要限制的,這是正面在走啊!其他國家也都這樣在跑啊!你還在猶豫、考慮,因為你越晚做,就像剛剛你們在回答其他委員的,關鍵基礎設施提供者,你還要等它汰除耶!在這段期間當中,所有的資安被破壞,以及沒在強制名單當中的其他企業願意來配合的,也沒有給它一個方向,這種鼓勵性質的也沒有給它一個方向,你這就是破洞、就是漏網,你永遠補不滿,時間是不等待人的,請回答。 |
| 發言片段: 12 |
| 闕次長河鳴:跟委員報告,比如政府的標案或是政府的場域,像工業局或是現在在數位部產業署的智慧城市的案子,我們就會要求它做場域的資安驗證,或者是跟政府相關出現的app,我們在標案或者是計畫補助上就會強制它必須通過資安驗證,也就是說我們的司委會…… |
| 發言片段: 13 |
| 江委員永昌:那就公部門採購嘛! |
| 發言片段: 14 |
| 闕次長河鳴:對,我們司委會是…… |
| 發言片段: 15 |
| 江委員永昌:這個我同意,我希望再補有關民間企業願意配合的那塊。 |
| 發言片段: 16 |
| 闕次長河鳴:比如說民間企業,其實很多銀行的app或者是大家常用的很多app,其實它可能都有受到公部門的補助,我們要講的是,事實上廠商可以主動…… |
| 發言片段: 17 |
| 江委員永昌:我又要打斷你的話,真不好意思,因為已經用了延長的時間在回答。公部門的或者用公部門經費去補助的、受補助的關鍵基礎設施提供者,這些一定要在強制的手段當中,德國、美國現在都這樣在走。我現在是在講另外一塊也要補起來,就是不在強制裡面的,廣泛的其他企業願意自願來提供的,它不可能自己去研究它用了哪些會害到國家資通安全的限制性廠商跟產品,它不可能自己去研究啊!但是你有至少給它一些方向的時候,它可以看到這個清單,它自己就不要去用,第三方給它認證或者它可以建立品牌形象時,國人更有信心嘛!那個部分就不是處罰嘛! |
| 發言片段: 18 |
| 闕次長河鳴:在數位部裡面的電信技術中心,針對物聯網的資通安全認證有一支計畫在政府已經運作了一陣子,這個認證跟美國的UAL認證是結合的,也就是說如果廠商要證明它的產品是安全的,它其實可以主動去拿這些資安標章,我們覺得民間企業要去使用資通安全產品的時候,應該要有一套民間的標章或是標準去認定,使用者或是民間企業可以由這些標章去確認它使用的是不是安全的,而不是由政府給它一個負面表列說哪一些是不安全的,因為你給它一個負面表列,每個月可能就有幾千種通訊產品會出現,那這個表列是永遠做不完的,而應該是去正面表列哪一些是安全的,政府會想辦法建立一套機制,讓這些產品可以主動受到驗證,包含資通訊產品的硬體、軟體及app,我覺得這才是比較正面的解決方式。 |
| 發言片段: 19 |
| 江委員永昌:你這樣不就政府自己打到自己?其實清單一定存在,但如果你拿不出來,我就不知道你要如何要求關鍵基礎設施的提供者要避開哪些品項,我就不知道囉!如果你拿不出清單、我是用自願者的角度來看,你說清單很困難,那你如何應付關鍵基礎設施者的強制限制不能使用清單裡的品項?這不是自我矛盾嗎? |
| 發言片段: 20 |
| 闕次長河鳴:這二個並沒有矛盾,因為政府內部的清單是滾動式的,如果每個禮拜都在滾動,其實公布的時候會有困難。因為每年做的資安查核是固定的,政府的財產管控也有制度,所以從採購這邊正本清源,就不會有新的資安產品進來,我這邊的管控只是針對既有的,我們希望在財產報廢的時候就銷毀。 |
| 發言片段: 21 |
| 主席:江委員,這部分請他用書面答復你,好不好? |
| 發言片段: 22 |
| 江委員永昌:你這樣會打臉到行政院過去曾經發言過的…… |
| 發言片段: 23 |
| 主席:用書面答復比較詳細。 |
| 發言片段: 24 |
| 江委員永昌:強度強的清單跟品項其實可以公布。 |
| 發言片段: 25 |
| 主席:到底有沒有矛盾?我聽起來也有矛盾。江委員,所以這部分就以書面答復,OK? |
| 發言片段: 26 |
| 江委員永昌:可以。 |
| 發言片段: 27 |
| 主席:請邱委員志偉發言。 |
公報詮釋資料
| page_end | 290 |
|---|---|
| meet_id | 委員會-10-6-36-9 |
| speakers | ["林思銘","曾銘宗","陳玉珍","黃世杰","游毓蘭","陳以信","陳歐珀","陳椒華","江啟臣","劉世芳","洪孟楷","劉建國","江永昌","邱志偉","周春米","鄭運鵬","邱臣遠"] |
| page_start | 235 |
| meetingDate | ["2022-10-24"] |
| gazette_id | 1119601 |
| agenda_lcidc_ids | ["1119601_00006"] |
| meet_name | 立法院第10屆第6會期司法及法制委員會第9次全體委員會議紀錄 |
| content | 邀請國家安全會議、數位發展部、國家通訊傳播委員會、國家安全局、國防部參謀本部通信電子 資訊參謀次長室、資通電軍指揮部、法務部調查局、內政部警政署率所屬單位主管列席就「面對 歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為 何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業 並採取因應對策」進行專題報告,並備質詢 |
| agenda_id | 1119601_00005 |