公報發言紀錄
發言片段
lineno: 531
| 發言片段: 0 |
|---|
| 林委員俊憲:(10時4分)感謝主席,本席邀請數發部的唐部長。 |
| 發言片段: 1 |
| 主席:唐部長請。 |
| 發言片段: 2 |
| 唐部長鳳:委員好。 |
| 發言片段: 3 |
| 林委員俊憲:部長好。部長,關於危害資安的產品,數發部現在有列一個清單嘛,我剛剛聽部長講的意思是你這個清單上面有哪些產品可能會有資安的問題、會危害到國家安全性,你這個名單不公布嘛! |
| 發言片段: 4 |
| 唐部長鳳:對。 |
| 發言片段: 5 |
| 林委員俊憲:我看部長理由是說,因為怕外界認為沒有在名單上面的就推定為不是危害的產品,是不是這樣? |
| 發言片段: 6 |
| 唐部長鳳:其實有兩個清單,一個是共同供應契約,就是公部門已經在用,而且沒有這方面問題的,所以大部分的選購都是直接從這裡面來採購,這第一個。第二個是說目前各部會有在使用,但是透過斷網等等方式把它的安全問題限制住的,這個清單也有,後面的這個清單不公開。 |
| 發言片段: 7 |
| 林委員俊憲:你前面那個清單行之多年,根本不用你們說。 |
| 發言片段: 8 |
| 唐部長鳳:我們跟工程會現在…… |
| 發言片段: 9 |
| 林委員俊憲:工程會當然就有一個平台,採購單位自己上去看啊!如果沒有在上面的呢? |
| 發言片段: 10 |
| 唐部長鳳:沒有在上面的我們就會來討論…… |
| 發言片段: 11 |
| 林委員俊憲:那就要來問你們啊? |
| 發言片段: 12 |
| 唐部長鳳:是不是中共有實質控制,沒有的話才列進去。 |
| 發言片段: 13 |
| 林委員俊憲:所以每一件產品都要問你們? |
| 發言片段: 14 |
| 唐部長鳳:但是那是新的才有。 |
| 發言片段: 15 |
| 林委員俊憲:我知道,有沒有算過有多少件?一年差不多多少件? |
| 發言片段: 16 |
| 唐部長鳳:我們跟工程會已經把資安相關的規範放進新的採購契約範本裡面,所以這部分我想就是對大部分的公部門來講,它可以透過其他機關已經採購的部分來達成。 |
| 發言片段: 17 |
| 林委員俊憲:如果上面沒有的呢? |
| 發言片段: 18 |
| 唐部長鳳:上面沒有的我們就會來評估。 |
| 發言片段: 19 |
| 林委員俊憲:它如果不問你怎麼辦? |
| 發言片段: 20 |
| 唐部長鳳:這部分是不是請資安署,牽涉到操作的細節,是不是請資安署? |
| 發言片段: 21 |
| 林委員俊憲:所以你部長不知道細節嗎? |
| 發言片段: 22 |
| 唐部長鳳:就是怎麼樣去驗證這種新的產品,然後…… |
| 發言片段: 23 |
| 林委員俊憲:不是怎麼驗證啦! |
| 發言片段: 24 |
| 唐部長鳳:實際來問我們的數量。 |
| 發言片段: 25 |
| 林委員俊憲:我是要看它這樣可行性的問題啦,一年政府採購20萬件,你扣掉一些可能共供以外,到底一年會有多少件資訊產品?基本上只要能上網的都必須經過核准,只要能插電、能上網的每樣產品,政府採購都要有安全上的認證,是不是這樣? |
| 發言片段: 26 |
| 謝署長翠娟:是的,報告委員,所有的產品其實我們是正面表列,就是沒有問題的大家比較容易查,所以絕大部分的機關都是採用沒有問題的…… |
| 發言片段: 27 |
| 林委員俊憲:沒問題的現在公共採購平台上有嗎? |
| 發言片段: 28 |
| 謝署長翠娟:對。 |
| 發言片段: 29 |
| 林委員俊憲:有問題的它哪知道?因為你沒有公布,所以它就問你啊?是不是這樣? |
| 發言片段: 30 |
| 謝署長翠娟:機關有兩個方法,第一個是沒有問題的,它直接查就有嘛,如果有疑慮的,它其實是可以請廠商出具切結書,如果再有爭議的話,它可以來問我們,這個比率的話,大概一年…… |
| 發言片段: 31 |
| 林委員俊憲:廠商出具證明,廠商出具什麼證明?證明說它的產品,它要賣東西給公務單位,它當然說它沒問題啊! |
| 發言片段: 32 |
| 謝署長翠娟:報告委員,其實廠商…… |
| 發言片段: 33 |
| 林委員俊憲:出具證明有法律上的規範嗎?它必須負責任嗎?如果廠商亂寫呢? |
| 發言片段: 34 |
| 謝署長翠娟:在契約上它…… |
| 發言片段: 35 |
| 林委員俊憲:你為什麼不直接公布就好啦?你就讓各部門的採購可以有一定的依循啊! |
| 發言片段: 36 |
| 謝署長翠娟:有公布正面。 |
| 發言片段: 37 |
| 唐部長鳳:因為委員現在在問的是說我們要不要公布各個機關正在用哪一些危害產品。 |
| 發言片段: 38 |
| 林委員俊憲:我是說第一個,你的資通安全法因為沒有罰則,假設我是使用單位啦,我自己認為這個沒有問題我就買了,結果是有問題的產品,它也沒有事啊!它也不用負責,如果每個單位都要去問你們,因為你們某部分有疑慮的產品沒有公布嘛,所以使用單位也不知道到底能不能用,它每一件都乖乖來問你們嗎?這個我很懷疑,我是覺得如果它沒有來問你就直接買了,你能怎麼樣? |
| 發言片段: 39 |
| 唐部長鳳:我們在稽核的時候會發現。 |
| 發言片段: 40 |
| 林委員俊憲:你用什麼稽核? |
| 發言片段: 41 |
| 唐部長鳳:我們都有盤點。 |
| 發言片段: 42 |
| 林委員俊憲:你怎麼盤點?是它自己盤點嗎? |
| 發言片段: 43 |
| 唐部長鳳:因為它要跑採購程序,所以其實它採購的哪些品項等等,這部分不管工程會還是我們都可以去檢視。現在委員所關心的比較是說是不是能夠去加深這樣的稽核或加深罰則等等,這個跟我們的方向是一致的,但是說公布各個機關目前正在用哪些危害產品,只是透過斷網的方式把它限制…… |
| 發言片段: 44 |
| 林委員俊憲:部長,沒有加深罰則這件事,目前是沒有罰則,資通安全法哪有罰則,你買錯東西哪有罰則?對不對?署長,是不是這樣?還有,你部長講的,每一個單位購買的能上網的產品你都知道嗎?每件都會給你們嗎? |
| 發言片段: 45 |
| 謝署長翠娟:報告委員,是的,為什麼?因為所有的產品都必須上網更新漏洞,所以它一旦要上網更新漏洞,我們就會知道,謝謝。 |
| 發言片段: 46 |
| 林委員俊憲:你可以抓到每一件能夠接上網路的政府各相關單位採購的產品嗎? |
| 發言片段: 47 |
| 謝署長翠娟:所有的電腦跟NB都必須……現在有個規定是導入VANS,所以它其實…… |
| 發言片段: 48 |
| 林委員俊憲:如果有問題你就會自動抓到嗎? |
| 發言片段: 49 |
| 謝署長翠娟:是的,就算沒有修補漏洞我們也會知道、也會催它。 |
| 發言片段: 50 |
| 林委員俊憲:什麼叫修補漏洞? |
| 發言片段: 51 |
| 謝署長翠娟:就是每一個系統在執行的過程中可能會有漏洞,它必須上網修補,所以我們會定期、每個月都必須要求部會的…… |
| 發言片段: 52 |
| 林委員俊憲:第一個,我們要確保安全,所以你現在定這個辦法,因為你們又沒有相關罰則,有些單位認為我為什麼要諮詢你們?我就自己買就好了,對不對?如果這樣買到有問題的不是很麻煩? |
| 發言片段: 53 |
| 唐部長鳳:但一旦連上公共網路就會被我們發現。 |
| 發言片段: 54 |
| 林委員俊憲:所以你要確定這一點,是不是這樣子?第二個,如果真的買到有問題的,你說有一個叫資產盤點,資產盤點在數發部的安全檢查裡面,各單位執行率最差的,很多單位都是虛應故事、都隨便做做,這個是你自己公布的嘛! |
| 發言片段: 55 |
| 唐部長鳳:對啊!這個是他們有盤到的跟我們偵測到的去比較嘛! |
| 發言片段: 56 |
| 林委員俊憲:對嘛! |
| 發言片段: 57 |
| 唐部長鳳:我們有偵測到他們反而沒有盤到就表示…… |
| 發言片段: 58 |
| 林委員俊憲:所以這個部分要請各單位加強。 |
| 發言片段: 59 |
| 唐部長鳳:是。 |
| 發言片段: 60 |
| 林委員俊憲:你現在買的東西如果出了問題,你要自己趕快抓出來嘛!是不是這樣? |
| 發言片段: 61 |
| 唐部長鳳:是。 |
| 發言片段: 62 |
| 林委員俊憲:還有,你不公布資安有問題的產品名單,民間單位如果想要知道呢?它去哪裡問你? |
| 發言片段: 63 |
| 唐部長鳳:不過資安法目前是拘束公部門跟關鍵基礎設施。 |
| 發言片段: 64 |
| 林委員俊憲:對啦!那我是民間單位我也要嘛!像之前臺鐵出包,那個就是它委外的嘛!對不對?這間承包廠商自己做的字幕被駭入嘛!它的系統被駭入,出現了臺鐵在車站裡面的螢幕上跑出了奇奇怪怪的文字。 |
| 發言片段: 65 |
| 唐部長鳳:臺鐵是公共場域,所以這個目前已經有納管。 |
| 發言片段: 66 |
| 林委員俊憲:沒納管啦!你那時候理由就是說臺鐵外包嘛,臺鐵要去負責追蹤外包廠商的設備有沒有合法。 |
| 發言片段: 67 |
| 唐部長鳳:我作為部長簽的第一份公文就是去預告需要把它納管…… |
| 發言片段: 68 |
| 林委員俊憲:這個叫幹話啦!你使用單位追得到承包單位用什麼設備? |
| 發言片段: 69 |
| 唐部長鳳:我們現在契約都會更新,都會必須要盤點…… |
| 發言片段: 70 |
| 林委員俊憲:根本就胡說八道!所以你也要讓民間的廠商,我也願意配合政府,我不要買到有資安疑慮的產品,你要讓民間團體或公司可以來詢問。 |
| 發言片段: 71 |
| 唐部長鳳:以我們所知…… |
| 發言片段: 72 |
| 林委員俊憲:你這個資訊其實有什麼不好公布的? |
| 發言片段: 73 |
| 唐部長鳳:以我們所知,他們都是看著可用的清單,包含共同供應契約、工程會等等來買。 |
| 發言片段: 74 |
| 林委員俊憲:你哪知道?不然臺鐵這個為什麼出包?隨便說說比較快。 |
| 發言片段: 75 |
| 唐部長鳳:這就是當時還沒有納管,但是我們數位部成立之後又修改了,就把它納管。 |
| 發言片段: 76 |
| 林委員俊憲:像這個問題怎麼處理?以後你們各個公務發包單位要去檢查、要去追蹤你的承包廠商使用的設備有沒有資安問題。 |
| 發言片段: 77 |
| 唐部長鳳:對啊! |
| 發言片段: 78 |
| 林委員俊憲:你隨便說說,哪可能做得到? |
| 發言片段: 79 |
| 唐部長鳳:像這樣子,如果它的廠牌…… |
| 發言片段: 80 |
| 林委員俊憲:你當時就是這麼講啊!臺鐵這個問題就是這麼講,不是嗎? |
| 發言片段: 81 |
| 唐部長鳳:如果它的廠牌有疑慮,像現在這種廣告看板,它都是在斷網的時候使用,所以就不會被攻擊進來。 |
| 發言片段: 82 |
| 林委員俊憲:你怎麼知道廠商用的東西有沒有安全? |
| 發言片段: 83 |
| 唐部長鳳:因為同樣地,它的場域…… |
| 發言片段: 84 |
| 林委員俊憲:我認為一般企業團體也不願意買有資安疑慮的,尤其如果它有要承包政府工程的話,但是它哪知道它的設備有沒有問題? |
| 發言片段: 85 |
| 唐部長鳳:它只要買共同供應契約或工程會的平台上…… |
| 發言片段: 86 |
| 林委員俊憲:你把那個名單,我都不懂,資安可能有問題的產品如果在平台上讓各採購單位甚至民間都可以有一定的參考了解,這有什麼不好? |
| 發言片段: 87 |
| 唐部長鳳:我們是希望引導它買沒有疑慮的,不是說…… |
| 發言片段: 88 |
| 林委員俊憲:它哪知道什麼東西沒有疑慮? |
| 發言片段: 89 |
| 唐部長鳳:我們共同供應契約、工程會白名單…… |
| 發言片段: 90 |
| 林委員俊憲:如果我買了剛好不在名單上,我也希望可以了解。 |
| 發言片段: 91 |
| 唐部長鳳:那就同樣地就是可以諮詢嘛! |
| 發言片段: 92 |
| 林委員俊憲:只有公務單位會諮詢你,民間單位去哪裡諮詢?你會理它嗎?有人會理它嗎? |
| 發言片段: 93 |
| 唐部長鳳:就三個部分,一個是已經有可以買的…… |
| 發言片段: 94 |
| 林委員俊憲:隨便講講! |
| 發言片段: 95 |
| 唐部長鳳:一個是我們公部門現在在用但是斷網…… |
| 發言片段: 96 |
| 林委員俊憲:我知道啦!你一直在跳針,我問東你答西,我也知道有這個狀況,我是民間團體,我買一個設備,我也不知道這個有沒有資安疑慮,這個也不在你們政府有公布的採購清單上,我不知道這個東西能不能買,現在它也沒得問嘛! |
| 發言片段: 97 |
| 唐部長鳳:它還是可以來諮詢,包含我們TWCERT/CC或者是資安院之類的,問說目前…… |
| 發言片段: 98 |
| 林委員俊憲:民間團體公司諮詢你,你數發部會理它?你們這種衙門,公務人員吃飽有這麼閒? |
| 發言片段: 99 |
| 唐部長鳳:不是啊! |
| 發言片段: 100 |
| 林委員俊憲:機關問你你們可能會答啦!民間公司問你,你會理他? |
| 發言片段: 101 |
| 唐部長鳳:尤其上市櫃公司有一個TWCERT/CC…… |
| 發言片段: 102 |
| 林委員俊憲:主席站起來了,謝謝主席。 |
| 發言片段: 103 |
| 主席:好,謝謝林俊憲委員,謝謝部長。 |
| 接下來質詢的委員是邱顯智委員。 |
公報詮釋資料
| page_end | 238 |
|---|---|
| meet_id | 委員會-10-8-23-5 |
| speakers | ["何欣純","陳椒華","陳雪生","洪孟楷","陳歐珀","李昆澤","林俊憲","邱顯智","陳素月","蔡培慧","許智傑","傅崐萁","魯明哲","游毓蘭","李德維","陳培瑜","趙正宇","邱臣遠","劉櫂豪"] |
| page_start | 167 |
| meetingDate | ["2023-10-23"] |
| gazette_id | 1127502 |
| agenda_lcidc_ids | ["1127502_00003"] |
| meet_name | 立法院第10屆第8會期交通委員會第5次全體委員會議紀錄 |
| content | 一、審查113年度中央政府總預算案關於數位發展部單位預算;二、審查113年度中央政府總預算 案關於數位發展部數位產業署單位預算;三、審查 113年度中央政府總預算案關於數位發展部資 通安全署單位預算 |
| agenda_id | 1127502_00002 |