iThome
在《资安法》修正的草案内容中,首先,有个大家都相当关注的调整重点,那就是:将现行「各机关对危害国家资通安全产品限制使用原则」的行政原则正式法制化,于是,这次修正草案特别新增了第十一条规定:「公务机关不得采购及使用危害国家资通安全产品」以及「公务人员获配之公务用资通讯设备,不得下载、安装或使用危害国家资通安全产品」。
对于政府迟迟不愿意公开禁用产品的清单,成功大学电机系教授李忠宪于脸书发文,抨击数位部研议修订《资安法》,却未将中共明列为「敌人」管制对象。他质疑,若不知道谁是敌人,就不知道如何防范,也不知道重点和主要的预算要放在哪里。
也有学者表示,目前禁用危害国家资安产品限定为中国品牌的资通讯产品,但未来是否进一步,将禁用范围扩及其他对台湾有危害的国家产品,此举有待评估。
而在公共政策网路参与平台「众开讲」网友回复意见中,有人建议,《资安法》修正草案新增该禁用条文后,应该要做到正本清源,就必须从政府资讯服务采购的源头──共同供应契约著手,才能真正做到令行禁止。
政府行政命令规范禁用危害国家产品,资安署若从宽认定会产生矛盾
对于这次《资安法》修正草案内容,将「各机关对危害国家资通安全产品限制使用原则」的位阶从现行的行政命令提升到法律层级,东吴大学科法所兼任助理教授王仁甫认为,修正条文提到「禁用危害国家资通安全产品」的定义并不清楚,若条文更清楚写成「危害国家安全之资通安全产品」,除了不会造成文字混淆,他认为,主管机关应清楚对外说明,危害国家安全的资通安全产品定义,才可避免各界有疑虑。
事实上,目前的《资安法》并没有规定,公务机关不可以使用或采购中国厂牌包含软体、硬体和服务的资通讯产品,但有鉴于许多中国厂牌监控设备(例如:海康威视Hikvision)以及网通设备(例如:华为)传出许多隐藏后门等资安事件,因此触动政府部门的敏感神经。
因此,行政院秘书长李孟谚曾经在2020年12月正式发函,从严要求此事,下令公务机关原则上禁止使用及采购大陆厂牌资通讯产品(含软体、硬体及服务),并要求在2021年底完成全部中国厂牌产品的替换,部分例外须填报正当理由,交由行政院评估。
但后续出现不同调的状况。例如,数位部资安署在2022年8月27日更新的「资安法常见问题中」,针对上述禁用大陆厂牌资通讯产品发函的注意事项,引用公共工程委员会于2018年12月的旧函释,将大陆厂牌的定义限缩在「大陆地区厂商」,至于「第三地区含陆资成分厂商」及「在台陆资厂商」的资通讯产品,则不在限制范围之内。
对此有资安专家质疑,为何资安署在网站公告禁用危害国家产品注意事项,却反而从宽认定大陆厂牌?这与外界要求从严认定的观点不符。
对此,资安署在公布的注意事项提及,各机关在办理采购案时,如属经济部投资审议委员会公告「具敏感性或国安含资安疑虑的业务范畴」,应确实于招标文件中载明,不允许经济部投资审议委员会公告的陆资资讯服务业者参与投标。
注意事项也规范一种状况,例如,若是公务机关委外执行标案的团队成员,不得同时为中国大陆国籍人士,若是多重国籍人士,只要其中一个国籍有中国大陆国籍,都在限制范围内;若是香港及澳门国籍者,则不在此限。
该注意事项也指出,目前基于现实考量,禁用的资通讯产品不可为大陆厂牌,但并未限制大陆厂牌的零组件;若为了满足特定需求,公务机关的采购可以在招标文件要求提供的资通讯产品,不可以在大陆厂区生产或制造零组件。
资安署在限制使用危害国家资通安全产品的问答网页时,引用工程会对大陆厂商的旧函释,外界认为这与行政院从严认定的原意不同,也不符现在的潮流。
从政府采购源头,明文禁用中国厂牌产品
原先政府部门只是以行政命令规范公务机关禁用大陆厂牌的资通讯产品,但实务上,要达到政府规范的禁用目标,就必须从采购源头著手,禁止使用危害国家的资通安全产品。
负责政府采购的主管机关行政院公共工程委员会,也于9月25日正式公布《政府资讯服务采购作业指引》,该作业指引其中的一项重点就是:涉及国家安全或是资通安全的采购,公务机关应该直接在招标文件中规定,不允许陆资厂商(包含其分包厂商)以及陆藉人士参与。
而根据该作业指引对陆资厂商的定义,则包括:大陆地区厂商、第三地区陆资厂商,以及在台湾的陆资厂商。这个规范也合乎行政院秘书长于2020年12月的发函,要求从严认定「大陆厂牌」的定义。
该作业指引也明定:如果机关招标案件涉及国家安全的采购,必须依照采购案件的特性和实际需要,限制招标厂商的资格;若对厂商的资金来源比例有特定限制的话,例如,怀疑厂商资金来源有陆资的话,可以要求厂商提出相关董监事、股东名册和资金来源等文件;如果是涉及侨外投资的话,也可以要求厂商提出授权查核同意文件,有必要时,亦可请求目的事业主管机关协助查察。
此外,机关在执行相关的采购契约时,不管是履约标的或是执行过程中,都不得提供或使用大陆厂牌的各种资通讯产品,相关的履约人员也不得为大陆藉人员。
但是,有些国外的驻点单位或金融单位海外分行等,因为业务需求且无其他替代方案,不得不使用大陆厂牌的资通讯产品时,该机关就应该说明原因,并且经过该机关的资通安全长,以及上级机关资通安全长进行逐级核可后,同时函报《资通安全管理法》主管机关数位部进行核定;最重要的是,机关在该产品未达汰换年限前,也必须加强相关的资安强化措施。
透过作业指引的规范,让政府机关在采购资通讯产品时,都不能采购大陆厂牌的资通讯产品,也必须将《各类资讯(服务)采购之共通性资通安全基本要求参考一览表》,作为各机关资讯系统资安防护等级的资安规范参考。
然而,不同法令要求的对象有别。例如,政府采购法适用的对象,主要是政府机关、公立学校、公营事业,以及接受机关补助金额过半的采购单位,《资安法》适用的公务机关及特定非公务机关中,有些关键基础设施提供者是民间企业,本身并不会受到《政府采购法》规范。
有鉴于此,便有网友在「众开讲」平台建议:「资安署应在网站公布危害国家资通安全产品列表,提供各机关查询,方可避免资通讯产品验收争议。」这应该是可行的配套措施;此外,网友认为,资安署也应该负起职责,定期更新禁用产品内容。
另外,有学者表示,目前危害国家资通安全产品的定义是指「中国品牌」,但未来,我们也可以评估是否扩大适用范围,涵盖俄罗斯、伊朗或北韩(朝鲜)等国家的资通讯产品。
公务机关要做到禁用危害国家资安产品,就必须从政府采购的源头——共同供应契约做起,而工程会日前公布的「政府资讯服务采购作业指引」已经明订公务机关禁止采购大陆厂牌的资通讯产品。
数位部不公布禁用危害国家产品清单,因为担心业者洗产地
资安署在「资安法常见问题」的网页中,也提到:「由主管机关核定禁用厂商清单的效益有限,便决定由主管机关透过跨部会协调平台与各机关沟通,推动后续危害国家资通安全产品的限制使用事宜。」
数位发展部部长唐凤在面对立委质询,针对为什么不能公布危害国家资安产品清单的问题时,她表示,为了避免业者「洗产地」改名规避审查,所以数位部不会公开禁用的产品名单。
唐凤先前接受其他媒体访谈时提到,如果法律明文禁用「中国制」资通讯产品时,因为软体相对难定义产地,若以官方注册产地来看时,国际版抖音TikTok透过海外注册的方式,正好可以绕过「中国制」的法律规范。
她指出,数位部是以中国政府能否实质控制这家公司或组织,作为是否危害国家资安产品的认定标准,即便危害国家产品的厂牌或官方注册产地有变,都不会影响数位部对其危害国家资安产品的认定。
为了杜绝危害国家资安产品「洗产地」,唐凤认为,列在共同供应契约的产品,至少都有两个以上的机关在使用的产品,等于是机关认同可以采购的「白名单」;若是全新的产品或品牌,就要透过跟数位部查询的方式,确认没有资安疑虑后,再行采购。
因为在修正草案新增的第十一条中,已经明定「公务机关得向主管机关查询危害国家资通安全产品及其厂商。」这也表示,数位部只允许有需求的机关向数位部查询名单,并不愿意对外公布禁用清单的态度。
数位部资安署署长谢翠娟日前在立法院回复立委询问时表示,数位部的禁用危害国家资安产品的清单,分成网路、系统、资料库、机器人等十多个类别,目前列管的品项超过一千个,其中五分之一与资料库和电子书有关,而向数位部查询禁用清单的数量,平均每天约有一件查询、每个月平均为二十多件查询需求。
台湾现在有些业者采购中国的白牌产品,然后贴牌为台湾厂牌的商品,这样就可以避掉《资安法》对大陆厂牌的限制。不过,有资安专家忧心指出,这些贴牌产品重要的核心系统是大陆制的情况下,贴牌台湾厂牌反而会让采购的公务机关缺乏警觉性,可能误入未知的后门陷阱。
数位部既然担心业者洗产品而不愿意公布禁用产品清单,倘若民间业者对采购大陆厂牌资通讯产品有资安疑虑,应该怎么办?唐凤建议,民间业者可参考列在共同供应契约的白名单产品。
不过,民间业者对于产品采购的规格和需求,相较公务机关更为弹性与多元,对于只能被动采购共同供应契约上的产品,或者被动询问资安署欲采购产品是否是在禁用清单的作法,民间业者不会买单。
相反地,数位部若能在网站定期更新、主动公布禁用危害国家资安产品清单,不仅可以便利公务机关与非公务机关即时查询,也会因为禁用产品相关资讯公开透明,在所有竞争业者和使用者的共同监督下,大陆厂牌的资通讯产品,想要透过「洗产地」改头换面的难度,也会大幅提高,民间业者采购效率也会比只能单向跟资安署查询高。
面对立委质询为什么不公开政府列管的危害国家资安的禁用清单,数位发展部部长唐凤表示,忧心清单公布后会有业者洗产地的疑虑。
明文严禁公务手机下载中国App
在修正草案第十一条规定,「公务机关」不得采购及使用危害国家资通安全产品外,也不得在公务设备上下载、安装或使用危害国家资通安全产品,也就是说,政府机关所核发的公务手机,皆不能下载、安装或使用中国抖音、微信等App。
不过,「众开讲」平台上面的网友直接建议,认为政府部门核发的公务资通讯设备,应该限制仅限于公务使用,不能转做私人用途,而这样的作法,也符合Cyber Hygiene(网路卫生)的观念。
该网友也表示,有许多国内外资料外泄、社交工程资安事件发生原因,都是因为公私不分造成的,像是为求便利,在公务设备上做私人事情,不管是收发私人电子邮件,或在公务用的通讯软体里使用私人帐号、加入私人的群组等,都可能因为钓鱼邮件或简讯等社交工程手法,导致帐密外泄等资安事件。
不过,王仁甫认为,保护国家安全不只是公务机关的责任,《资安法》规范的其他特定非公务机关,有很多都有这样的处境,它们一旦遭到损害,就会危及国家民生的重要单位,因此,也都应该要肩负起相对应的责任。
《资安法》修正草案重点之一的条文内容
【第十一条】
公务机关不得采购及使用危害国家资通安全产品;其自行或委外营运,提供公众活动或使用之场地,亦同。但因业务需求且无其他替代方案者,经该机关资通安全长及其上级机关资通安全长核可,函报主管机关核定后,得以专案方式购置,并列册管理。
公务人员获配之公务用资通讯设备,不得下载、安装或使用危害国家资通安全产品,并应遵守相关法令规范。
公务机关得向主管机关查询第一项产品及其厂商