公報發言紀錄
發言片段
lineno: 400
| 發言片段: 0 |
|---|
| 林委員昶佐:(10時5分)主席,請陳院長跟數發部唐部長。 |
| 發言片段: 1 |
| 主席:請陳院長、數發部唐部長。 |
| 發言片段: 2 |
| 陳院長建仁:林委員好。 |
| 發言片段: 3 |
| 林委員昶佐:院長早安。部長也是老朋友了,早安。 |
| 發言片段: 4 |
| 唐部長鳳:早。 |
| 發言片段: 5 |
| 林委員昶佐:今天我想要先討論的是資通安全的問題,因為最近網路上很多朋友跟學者專家都在討論,相關規定是不是有稍微比較疏漏,因為自從華為的後門程式事件以及海康威視的攝影機事件之後,全世界在這五年多以來對於中國這些資安產品都越來越嚴格,都怕他們會偷藏一些東西來偷拿國家的資料,尤其是民主國家的資料。所以在2019年時,行政院就已經制定各機關對危害國家資通安全產品限制使用原則,根據該原則第三點的規定,本法主管機關應基於國家安全、國際情資分享、潛在風險及衝擊分析等因素,應該提供前點產品之廠商及前點之產品清單。簡單講就是應該限期三個月左右提供有資安問題的廠商跟產品清單,這是那時行政院講的,但到目前好像這個清單都還沒出來,是不是請部長或院長說明一下? |
| 發言片段: 6 |
| 陳院長建仁:我請部長回答一下。 |
| 發言片段: 7 |
| 唐部長鳳:謝謝委員。我們現在透過您剛才提到的危害國家資通安全產品限制的清單,任何公務機關的資安專責人員或採購人員,如果無法判斷這個產品是不是中共實質控制的,因為這個產品可能不在共同契約裡面,這時他就可以來問我們,所以這個並不是對外公告的,而是對各個機關的採購人員或資安專責人員,讓他們查詢。 |
| 發言片段: 8 |
| 林委員昶佐:所以應該說有這個清單,但並不是對社會大眾公布,而是在採購上面,跟資訊相關的採購,如果他們有問題,可以來洽詢數發部。 |
| 發言片段: 9 |
| 唐部長鳳:對,因為我們不是只看它的廠牌,好比說中共有時會透過全額控股的方式,它註冊在一些小島上或其他的國家…… |
| 發言片段: 10 |
| 林委員昶佐:對,洗產地的意思。 |
| 發言片段: 11 |
| 唐部長鳳:我們都把這些當作危害產品。 |
| 發言片段: 12 |
| 林委員昶佐:是。但我要進一步問,因為去年資通署的網站有寫「核定廠商的清單效益有限」,所以應該沒有效益有限的問題,只是有沒有要對外公布,是這個意思嗎? |
| 發言片段: 13 |
| 唐部長鳳:應該這樣講,我們現在手上的清單是各個部會以前曾經採購過,它可能一下子還沒有換掉,我們就希望它斷網,然後簽到資安長,再簽到我們,在這樣的情況下,可以用到有替代品出現為止,因為斷網的話,資安的問題就比較小,所以我們有的其實是這個部分的清單,而不是所有可能採購的,那個清單太長了,而是曾經有機關想要採購,或正在用斷網的方式控制風險使用的這個清單。 |
| 發言片段: 14 |
| 林委員昶佐:對,為什麼我要問這個問題?因為在2019年之後的2020年,就是在1年之後行政院就有公布幾個規定,共有四項,其中有的是說不得提供或使用大陸廠牌資通訊產品,這個就比較簡單,它說機關要辦理採購時可以要求不能用中國的產品,這個比較簡單;但它也有說如果委外營運,提供公眾活動或使用之場地,不得使用危害國家資通安全產品,而這個不得使用危害國家資通安全產品裡面,就是依照我剛才提到,行政院公布的各機關對危害國家資通安全產品限制使用原則所規定的名詞。 |
| 發言片段: 15 |
| 唐部長鳳:對。 |
| 發言片段: 16 |
| 林委員昶佐:如果從部會來講,它有問題的話可以洽詢數發部,但是廠商要去標的時候,他怎麼知道現在合作的這些廠商符不符合資通安全這個問題? |
| 發言片段: 17 |
| 唐部長鳳:最簡單的方式是按照我們有公告的,包含共同供應契約或者是像臺灣雲市集上面能夠上架的這些,就是機關正在採用或者我們推薦民間業者採用的,所以絕大部分的廠商是拿這個已經知道、別人在用也沒有問題的清單,所以是他們要用一個全新品牌產品的時候才會需要這樣查詢。 |
| 發言片段: 18 |
| 林委員昶佐:對,我不知道院長有沒有聽出來我現在的意思? |
| 發言片段: 19 |
| 陳院長建仁:是。 |
| 發言片段: 20 |
| 林委員昶佐:我們現在如果針對有在用的,大概他還可以去比照,如果是政府相關部門還可以直接洽詢數發部,如果有一個全新的採購標案出來,廠商如果要查詢清單,他其實沒有清單可以查詢。 |
| 發言片段: 21 |
| 唐部長鳳:我上任第一個公文就是簽這個,像臺鐵雖然是用他的場地、沒有接到他的網路,但是像那個廣告看板,委員可能記得去年8月的時候就變成一個破口,所以我們是把它納管,例如一定是臺鐵租出這個廣告的場域或什麼,這部分有一個主管機關,所以這個廠商如果不確定的話可以請這個公務機關來問我們。 |
| 發言片段: 22 |
| 林委員昶佐:對,我現在的意思是,政府部門可以跟數發部查詢,那以後應該也要有一個廠商可以直接查詢的對口,他如果想要去標什麼案,能確認他現在用的這些產品裡面有沒有被列管或者是不是符合我們的資安規定,應該要有他的對口。 |
| 發言片段: 23 |
| 陳院長建仁:私部門的部分。 |
| 發言片段: 24 |
| 林委員昶佐:一般來說,你說要廠商請政府部門再去幫忙問,對廠商來講,還不如自己本身就有一個能夠因應的對口,這個部分我希望數發部可以來考慮。 |
| 發言片段: 25 |
| 唐部長鳳:這一部分我們有明定在資通安全管理法新的修法預告草案,還有兩個星期,所以這個預告的部分我想大家都可以討論。 |
| 發言片段: 26 |
| 陳院長建仁:私部門就會…… |
| 發言片段: 27 |
| 唐部長鳳:我們現在是私部門使用公務機關場地的時候才納管,因為一路納管到所有私部門的話,民間也有很多聲音說管的有一點太寬,所以這部分兩邊的意見不同,我想我們在預告期間會蒐集大家的意見。 |
| 發言片段: 28 |
| 林委員昶佐:是。我接著有一個實際的案例來討論在這樣子的管理之下有一些疏漏,包括一些部門踢皮球的狀況也跟部長、院長講一下,之後希望不會再發生類似的情形。之前大家在新聞上比較有看到的是2年前區間測速的事情,區間測速系統爆發中國產品的爭議,所以那時候交通部說如果要減少這個疑慮,希望這些資料傳輸應該要符合行動應用資安聯盟公布的標準,要不然就是用TAF認證第三方資安實驗室進行檢測,那個時候因為大家怕現在拍照的事情或是測速的全部資料,被中國掌握的話怎麼辦,所以有說就算用中國的產品、至少要符合這些標準,那是交通部那時候講的。 |
| 然後到了去年的時候,交通科技執法系統是臺南市警察局委託臺灣銀行辦理的一個共同採購,那個採購契約裡面直接就寫說可以用中國產品,既然可以用中國產品,我們的想像當然是至少要像之前交通部講的,就要符合哪一些資安標準,結果沒有!所以他沒有說要怎麼樣檢測才可以,然後也沒有說如果不檢測,乾脆中國的不要用,這也是一個方法,竟然都沒有!我那時候就覺得很奇怪,因為這個也是有人陳情、跟我們講了以後,我們疑惑這樣子的話應該要怎麼處理?這有3個處理方式,我再講一遍,第一個,要不然你就有廠商列表,這些廠商清單是不能用的;要不然你就說中國的不能用,但你還說可以用;要不然你就要像剛剛講的,有第三方的檢測才可以。 |
| 他那個其實也都沒寫,所以我就去問臺銀,臺銀是辦共同採購的,他說這個放心,到現在都還沒有廠商是中國貨,他沒有回答我的問題,如果繼續這樣下去,因為你說可以是中國貨,所以這個問題不在於現在還沒有,你就好像很放心,這樣你一開始就規定不行就好了,所以他回答我說沒有中國貨,但我的問題是在於這一個過程裡面的這個疏漏!他說他沒有中國貨,那就不管,他說但是他沒有辦法管那麼多、他就辦理採購而已,他只能告訴我現在沒有中國貨;因為他說這是臺鐵要辦的,那我就去問交通部,交通部說他管不了地方的事,這是臺南市警察局;臺南市警察局又跟我說,中央沒有規定。 |
| 我問了這幾個單位以後,一個是說他只辦採購;一個是說這個中央沒有規定。我就去問資通署,因為我看起來就是有缺漏的地方嘛!我就問資通署,像這樣中央到地方還有辦採購的,大家都不知道是誰規定,只說都沒有規定,還是資通署覺得很安全?就是交通執法、科技執法其實沒有那麼嚴重,它也可以這樣回答我,但它要告訴我為什麼,結果它跟我說這個還是要由地方自己決定,就是地方跟我說中央沒有決定、沒有規定,我問中央的時候,中央跟我說地方自己決定,所以我那個時候其實問了一輪回來,然後辦採購的跟我說這個其實不是它的事,它只能告訴我現在沒有中國的那個,所以部長會不會覺得這個裡面有個bug? |
| 發言片段: 29 |
| 唐部長鳳:這個我可以回答。 |
| 發言片段: 30 |
| 陳院長建仁:這個部長可以回答。 |
| 發言片段: 31 |
| 唐部長鳳:因為目前各機關對危害資通安全產品限制使用原則,它是一個原則,對於其他四院或者對於地方政府,它的效力目前等於是由其他四院跟地方政府來進行執行,但是我們為什麼要在新版的資通安全管理法的修法草案裡面,把它提升到法位階?就是要回應委員剛剛提出的,它的法律定性、它的效力要明確這樣。 |
| 發言片段: 32 |
| 林委員昶佐:我現在先岔題一下,我想確定一下資安管理法新的修法大概會是什麼時候? |
| 發言片段: 33 |
| 唐部長鳳:現在預告期還有兩個星期左右,裡面就有一條就是專門把危害產品的位階入法。 |
| 發言片段: 34 |
| 林委員昶佐:所以大概會是在什麼時候?你說在…… |
| 發言片段: 35 |
| 陳院長建仁:兩個禮拜公告完。 |
| 發言片段: 36 |
| 唐部長鳳:兩個禮拜預告完之後,我們蒐集大家意見,就再送行政院審查。 |
| 發言片段: 37 |
| 林委員昶佐:所以不會是今年?如果以今年…… |
| 發言片段: 38 |
| 唐部長鳳:如果一切都非常順利的話,是有機會的,但是我們儘量先推進大家有共識的部分。 |
| 發言片段: 39 |
| 林委員昶佐:好,因為我自己本身希望在新的法制制度出來以後,可以處理我剛剛說的那些部分,因為以剛剛講的這個個案來講,我相信部長其實很專門、很專業啦!這個部分你一定會知道,它絕對不會沒有資安問題,即便就我剛剛說交通部要求要有行動應用資安聯盟或TAF認證的這一種,即便是這個位階,它大概也只有處理到偵測攝影機跟儲存的主機,第一,最前面我們要去自動偵測車輛的那一個偵測主機是沒有的,只有到拍照跟儲存的,所以即便是第二個跟第三個在處理,然後我們剛剛講的那一些民間的位階也是管得很鬆啦!它只有就現在有的這些漏洞去檢查而已,但比較高階的突破,它也沒辦法。 |
| 發言片段: 40 |
| 唐部長鳳:委員,我再補充一句,我們在盤點的時候也有發現像公務人員獲配的公務手機或是公務平板等等,我們現在也把它提到法位階裡面,就是它不但不能夠安裝、甚至下載或使用這些危害產品,我們都會把它納管。因為預告期還有兩個星期,所以這一部分希望委員能夠多給我們一些指導。 |
| 發言片段: 41 |
| 林委員昶佐:是,不會,如果是往更嚴謹的方向,我一定支持啦!我剛剛說這些是因為它發現科技執法系統是很好破解的,民間專家很多發現這個很好破解,即便是用我剛剛說的那種資安審查檢驗標準都很好破解,更何況我們沒有要審查它,這樣就會更煩惱。最後我希望至少剛才部長說的這三個部分能夠完備起來,第一個,不要用哪一些產品清單,你把這個入法化讓它的位階提高以後,我相信我們對這一些規範就會更清楚,再來就是我們沒有辦法窮盡列舉,所以剩下來以外的那一些產品它應該要經過什麼樣的機制才可以確保它的資安是可以的,如同我剛剛說的,即便是現在有的檢驗疏漏也還很多,所以第一塊先把不能用的列出來,第二個,可以用的我們要怎麼檢驗它合格?我覺得這兩塊應該都是未來我們要盡力地來彌平的。 |
| 發言片段: 42 |
| 唐部長鳳:完全同意。 |
| 發言片段: 43 |
| 林委員昶佐:不好意思,今天主要就是要讓部長來…… |
| 發言片段: 44 |
| 陳院長建仁:我覺得這是很重要的問題,謝謝委員提出這個問題,讓數位部可以來改進,數位部也已經努力在公告,我們希望這個相關的法能夠公告完、修完以後儘快送來審議。 |
| 發言片段: 45 |
| 林委員昶佐:我也希望如此,因為現在民間有一些疑慮啦!我相信部長也知道,這一些專家的疑慮我相信在未來公布、應該說蒐集民間意見的時候,我相信民間也還會有更多的討論,我也希望最後能夠有一個更嚴謹的。這個其實也是是站在國際、我們在強化民主韌性這一塊的最前面,臺灣如果能夠有一個更嚴謹的法規出來,我相信對這些民主國家來說也會是很有代表性的更往前一步,相信也有更多我們可以分享給其他國家的作法。雖然我看最後上線的時候可能我已經不是委員了,但是我在民間應該也是會繼續針對這個問題跟大家一起努力。 |
| 發言片段: 46 |
| 陳院長建仁:謝謝委員的關心,我想那些專家學者如果有意見,也可以上網對我們公告的這個法規做相關建議,未來我也希望數位部可以邀請民間的學者專家,在相關法律規定上給他們提供寶貴的意見。 |
| 發言片段: 47 |
| 林委員昶佐:是,謝謝部長、謝謝院長。 |
| 發言片段: 48 |
| 陳院長建仁:謝謝。 |
| 發言片段: 49 |
| 唐部長鳳:謝謝委員。 |
| 發言片段: 50 |
| 主席:謝謝。 |
| 接下來請林宜瑾委員。 |
公報詮釋資料
| page_end | 224 |
|---|---|
| meet_id | 院會-10-8-6 |
| speakers | ["蔡其昌","邱顯智","陳超明","陳亭妃","羅明才","林昶佐","林宜瑾","賴惠員","魯明哲","吳琪銘","楊曜","李昆澤","賴香伶","莊競程","蔡培慧","賴士葆","溫玉霞","邱泰源","張育美","陳靜敏","鄭正鈐","洪申翰","蘇巧慧","王婉諭","蘇治芬"] |
| page_start | 115 |
| meetingDate | ["2023-11-07"] |
| gazette_id | 1127601 |
| agenda_lcidc_ids | ["1127601_00004","1127601_00005"] |
| meet_name | 立法院第10屆第8會期第6次會議紀錄 |
| content | 施政質詢 對行政院院長施政報告繼續質詢─ 繼續質詢─ |
| agenda_id | 1127601_00004 |