時　　間　中華民國109年12月7日（星期一）9時至12時55分

地　　點　本院群賢樓802會議室

主　　席　蔡委員易餘

主席：現在開會。我們今天舉行「因應數位發展部成立，公、私部門資安人力建制及產業資源探討」公聽會，有鑑於各國開始研擬擴大個資保護規範，帶動企業資料保護商機，行政院也將啟動組改，預計增設整合管理資訊產業的數位發展部，但是政府未來將如何推動資安產業發展，又因應人工智慧數位網以及5G時代的來臨，公、私部門中主責資安業務的部會整合及人才應如何建置，以契合國家發展需要，均有必要聆聽學者專家的意見，以作為未來審議法案之參考。

現在請宣讀今天公聽會的討論提綱。

一、資安產業發展策略？

二、如何培育資安人才？及公、私部門資安單位部署規劃？

三、如何提升數位國力？

四、政府治理的數位轉型？

主席：在邀請各位發言之前，我要先說明幾點，第一，請學者專家先發言，發言次序依簽到次序，如需提前發言，請先告知主席，我們會予以調整。第二，本院委員按照登記先後發言，如果陸續到場，本席會穿插請委員發言。第三，最後再請政府機關代表發言，針對專家學者的意見加以回應。由於公聽會主要在聽取學者專家意見，所以每位學者專家的發言時間為8分鐘，必要時得延長2分鐘；本院委員發言時間為5分鐘，不再延長。請各位儘量控制時間，如果還有時間，我們會進行第二輪發言。

現在就開始請學者專家發言，首先，請台灣國防產業發展協會吳明蔚常務監事發言。

吳明蔚常務監事：主席、各位委員。我作為一個白帽駭客，還有在臺灣做資安創業，及在台灣國防產業發展協會推動國防產業大概5年，我有參與建置，所以就一些觀察跟各位分享。首先，就如提綱所寫的，資安其實是臺灣的軟實力，不論是我們的人才，以及可以號召大家一起創業的人物，臺灣都有。在企業方面，從原來沒有資安產業，到過去出現了滿多的資安新創產業，現在從臺灣正走向世界。可是除了這些機會之外，也有很多的挑戰，今天我就利用這8分鐘來跟大家進行交流。關於臺灣的資安困境，「困境」這兩個字看起來雖然很悲觀，但是全世界都面臨資安困境，我所點到的這些問題也都是全世界各國所面臨的挑戰，因此臺灣如果能夠珍惜這樣的經驗，就能夠把臺灣的能量發揮到全世界。

首先，關於資料外洩，在過去這幾年駭客一直持續進步，也因為以我們現在的科技，對比特幣交易無法追查金流，所以有非常多資料和攻擊武器都能夠在暗網上頻繁的出現。我舉一個例子，全球的人口不過七、八十億人，但是在暗網外洩的個資高達九十幾億筆，這些東西只要花數百塊美金就能全部買到。所以今天當詐騙集團要詐騙民眾的時候，其實充分瞭解民眾的一些基本資料，再加上各個網站在交易時很可能交易紀錄也都被駭客竊取，以致於民眾對於詐騙很難加以防範，幾乎是防不勝防，就是因為他跟原來的平臺業者所能夠講出來的個資、交易紀錄相差無幾，所以這也是臺灣所面臨的重大挑戰。我們看從165反詐騙平臺推出3年以來，這些電商也經常出現，每個禮拜都有公布新的高風險賣場，這些都是臺灣人民的挑戰以及面臨的困境。

第二，全世界的駭客攻擊都一次比一次嚴重，我舉一個例子，就是一般民眾都認為不可能會出現資安攻擊的地方，以金融為例，像證券交易所可能會停擺，像銀行也可能因為資安事件而關門，這些都是民眾所不能夠想像或難以想像的事情，但是現在都面臨到的挑戰。以臺灣來講，臺灣最強的就是製造業，今年有非常多製造業都面臨勒索軟體的攻擊，就是從520那一段期間開始，我們就有能源等各種產業遭到攻擊，接著一路到現在，幾乎每個禮拜都有發生攻擊。我舉最近的兩次攻擊為例，這些攻擊都有成功，也都有勒索到臺灣的廠商，所以這是臺灣所面臨並需要解決的問題。像比特幣的交易，基本上是給受害者一個錢包，這個錢包是受害者專屬的錢包，當這些數位貨幣打過去的時候，其實難以追查金流，但是監控那個錢包的交易，你會知道有人打錢進去，所以代表這個受害者應該是有支付贖金。第二，請看右邊這個例子，這個廠商並不願意支付贖金，因此駭客就用擠牙膏的方式一點一滴的外洩他的資料，讓他恐懼，其他受害者從這種蹂躪過程當中也觀察到，其實在受害的當下可能支付贖金才是明智之舉，所以像這種類似黑道的強取豪奪也正在臺灣的產業中發生，他們在遭遇資安攻擊的時候都措手不及。

請各位看這個畫面，美國NIST有一個資安計畫，整理了所有駭客攻擊的招式，駭客每年都推陳出新，去年是三百多招，今年是424招，也因此提醒臺灣的政府和臺灣的資安產業，在面對駭客威脅時要能夠與時俱進，因為整個進步跟變化非常的快速，所以都要時常滾動式修正。

關於資安人才的養成計畫，我分人手、人才和人物這三個面向來跟各位分享。關於人手，人手基本上就是工程師，給他們一個問題，他們就能夠很完整的解決那個問題，但是他們不會去開創更多其他的新方法來解決問題。一般對於在業界的工程師，我們會期待他們在學校就已經訓練完成，也就是說，當他們到業界的時候是即戰力，馬上就可以工作。所以過去幾年教育部有滿多的資安相關計畫，包括AIS3、臺灣好厲駭，都是訓練學生在就學期間就具備在業界作戰的能力，業界一般會將他們定義為很棒的資安人手，給他們一個系統，給他們一個駭客的犯罪現場，給他們一個需要被鑑識的場域，他們都能夠完成任務。

至於人才，標準就會比較嚴苛，人才基本上年薪超過100萬元到250萬元，我認為人才的養成需要有業界的經驗3到5年，就是非常優秀的資安人才。

那要創造一個資安的領導者、人物，至少需要5到10年，各位可以觀察到，他其實在業界的待遇會非常好，因為業界很需要這種能夠帶領團隊作戰的資安人物，他的年薪都是高達250萬元到700萬元。

我們透過這樣的數據調查和統計，可以讓年輕學子知道，在這個領域也像半導體那個領域一樣有很好的就業機會和未來的發展。如果這個人物選擇自己創業的話，那他可以創造出的產值應該是超過年營收2,000萬元。

我還要跟各位分享，當臺灣的新創企業要自己走向國際的時候，也面臨很多的挑戰，這些挑戰可以分為三個階段。第一個就是自己要募資，然後在全球競爭。我自己認為，如果是獨資的話，其實當你有一般的技術在過去已經變成一個人物，基本上要創業並不難，那你大概只要幾百萬元的資金就能夠創業了。可是如果你要在全球競爭，你要做各種資安布局，你要做各種據點的拓展，其實沒有幾億元，就沒有辦法把事情做好，你出去以後就可能會被消滅，因為這是兩個不同經濟規模的競爭。

關於全世界的資安地圖，如果我們盤點其技術與譜圖，其實非常之複雜，總共有大概46項，在每一項裡面都有非常多的競爭，因此當臺灣的新創走出臺灣、邁向國際的時候，面對的是更劇烈的競爭，所以我們必須要準備好。

最後，在腦力激盪方面，我要分享幾個議題，第一，要讓更多的民眾知道資安，所以必須要讓它生活化、趣味化，要讓更多的人才去學習資安，因此要能夠把很dry、很枯燥的東西轉換成年輕人所喜歡的東西，比如說塔臺、虛擬的線上遊戲，但是他們學到的還是資安的技能。類似這種虛實整合、VR、AR，其實有很多都是臺灣未來可以刻意去營造的創新價值，因為臺灣很強的就是硬體製造，對於上面的軟體和上面的資安，臺灣都可以發揮綜效。

最後就是結論的部分，在人才的養成計畫裡面，我會鼓勵公部門在規劃的時候能夠幫人才分成三種不同的目標，因為每個人對於自己生涯規劃、願景的想像不太一樣，所以要因材施教，有的人就是希望成為解決問題的人手，有的人希望能夠成為人才，有的人希望能夠成為人物，帶領一個團隊去解決更有趣、更有挑戰性的問題。目前臺灣的現況就是各行各業都需要資安人才，但是我們在供給面沒有辦法給那麼多，如果去看各個公部門所做人才培育的數量，跟各個單位所需要的相比，可能還是有努力的空間。

再者，當資安產業國際化的時候，我自己估計國內的產值大概有一、兩百億元是內銷的，就是自己國內的企業去採購資安產品，另外一、兩百億元就是外銷的。像臺灣這樣要以一、兩百億元養上百家的資安產業，會非常的辛苦，所以一定要走向國際化。我剛剛也跟各位分享過，外面有上千家國際大廠，因此一定要準備好，特別是專利布局等。

最後，關於數位國力跟數位轉型，我個人有做一些腦力激盪的東西，希望跟各位分享，謝謝。

主席：請核能流言終結者黃士修創辦人發言。

黃士修創辦人：主席、各位委員。各位好，我不是資安技術本科，所以我今天只是從人力跟行政的角度來提出一些建議。我今天會提出問題，但是合先敘明，我並不是要刁難這個法案或政策，我樂見數位發展部這個方向，但是我們接下來的問題就是在之後要去克服一些障礙。首先，先找事再找人，可是我們現在面臨到一個問題，就是數位發展部的定位其實不太明顯，我們在10月31日從新聞報導首次見到數位發展部的規劃，知情人士指出NCC的通傳業務要移到數位發展部，包括交通部郵電司、經濟部工業局電資組、國發會資管處都要納入，可是這些都只是既有部會的既有業務，這些平行移動其實並不是成立一個新部會的理由。所以我們要問的是，成立這一個新的數位發展部，所謂的跨部會整合要做哪些工作？在11月17日的時候，立法院也舉辦過一場公聽會，當時也是促請政府要有完善配套的法制，我覺得相關的基本法或作用法都很對，這些在當時都有提到。不過當時有提到數位發展部未來的職責範疇包括鼓勵數位治理、數位平權及縮短城鄉數位落差，這幾個形容詞跟名詞還是有一點點太空泛，我們都知道要部會整合，可是從這幾個名詞來看，很難具體知道我們要做什麼，所以重點在於既有部會的業務平行移動之後，舊的部會將會發生人力真空的情況，新的數位部有沒有要新增哪些業務？有沒有具備跨部會協調的能力？我覺得這是執政黨及在野黨委員都要去監督政府行政部門組改。

關於今天的討論提綱，第一個是資安產業發展策略，坦白說，我看到產業政策時，我心裡就想又來了！其實以前在講綠能的時候，我就曾說過國家政策跟國家產業政策不能混為一談，要認真談資安產業政策就談產業，要認真談資安政策就先談資安，之後才是產業。針對資安，大部分分為兩派，就像方才某位前輩的簡報當中也有提到，傳統派認為如果政府的資安系統是用國外所開發的可能會有一些secruity issue，我沒辦法說不是，因為像五眼聯盟也指控中國華為的技術有後門，雖然現在還沒有證明他們的後門埋在哪裡，反而是五眼聯盟要求一些科技公司必須要開後門給他們做一些執法動作，其實這在業界都是公開的秘密。另外一派卻認為以上這些都是bull shit，他們認為難道政府自己寫就不會開後門嗎？我沒有說哪一邊是對的，我只是想請大家想一下，這是一個敏感的議題，如果今天數位發展部及資安相關政策是由府院的大主管、大高層做主，它會直接影響預算，我們這幾年最喜歡玩所謂的國家隊、大臺灣路線，什麼都自己做、什麼都自己寫，當然這並不是不行，過去也不是沒有相對成功的案例，比如銀行與稅務系統的財金公司和關貿公司等相關的案例，但是和國際大廠相比，可能還是有很大的落差。再來是一個敏感議題，如果中國的東西都不要進來，實務上的困難在於根本沒辦法分辨中國開發，這就是一個資安的issue。譬如像微軟設立亞洲研究院，其中有許多code可能來自北京，在這種情況下，我們要不要用Windows跟Office？另外，Google也準備要回到中國大陸市場，臺灣如何面對？還是說我們和蝦皮一樣裝作沒有看到，反正我們的立法院長也分不出他買的其實是中資的紅酒。如果我們打算找國際大廠引進solution，結果大廠估算之後開一個天價，這時我們該怎麼辦？如果政府部門要自己招募團隊或是外包廠商開發自己想要的軟體，那麼需求是什麼？解決什麼問題？市場有多大？包括前一位報告者也有提到，國內的產值除了要養活這些廠商，另外還要與國外廠商競爭，其實這是一個很艱困的問題。再者，公務機關有什麼資格和能力判定這些資安？是不是既可以當球員也可以當裁判，還是球員、裁判都要當？規格都是你們在開。我不知道這樣對不對，我只是提出這個問題。如果我是行政院，可能我第一個會想到工研院和資策會，雖然工研院和資策會有相關資訊和資安部門，但並不是全部，所以我還是有點懷疑這樣的能量有沒有辦法負荷。再來我可能會想到要找國防部的資通電軍，但是軍方在研究開發上會有足夠的能量嗎？這一點我不知道，我只是覺得不要被國安局丟一些大內宣的案子，然後讓某個自稱搞資訊戰的學者在外面整天高潮就很好了。在此我提供一個具體的建議，我覺得在討論這個議題之前，執政黨跟在野黨委員應該要求行政部門清點過去各部會曾經花費預算所買的資安系統及資安服務，包括折舊怎麼算、效果怎麼樣。在談空泛的數位轉型之前，還有一個最淺薄的要求，那就是請先把公文系統統一。

第二項提綱是如何培育資安人才，其實最大的問題是現有公務體系找不出資安人才。剛才前一位發言者也有報告過，其實一位中階資安人才的待遇是非常高的，因為這個領域的門檻比較高，所以待遇也很好，現在的公務體系是沒有辦法pay這種待遇的，包括目前的升遷體制也很難讓這樣的人才在公部門裡面做下去。其實我不太擔心民間有這樣的人才和培育的能力，但如果是政府要做的話，我真的很擔心量能的問題。如果你們要從各部會抽人，將他們移到數位部來，請問誰來帶頭協調？除非你們要的只是執行單位和執行人力，而不是在旁邊指指點點、作秀的行政首長，如果從裡面找不出來，那就從外面挖進來，但是資安產業的技術門檻高、起薪也高，我覺得目前的公務體系可能請不起這樣的人才。

第三項討論提綱是如何提升數位國力，我覺得這個問題很空泛，不如我們就實際演練一次，今天有國發會代表在座，假設我們請國發會來報告這項議題，國發會可能會找台經院做一些研究，台經院可能會蒐集一些研究資料，包括主計總處可能也有一些過去的統計數據，但可能都是一些落後的指標，如果數位部成立之後，各部會有資料研調的需求，應該可以透過數位發展部協調，讓資料規格統一，但前提是數位部要有能力去協調平行部會，我覺得在府院體制當中，平行部會之間的協調有點困難，如果各部門拿法規卡來卡去，其實資料很難拿。而且只要有人拿資料，就要有單位加以監管，如果A單位要進行資料分析，A單位自己進行資料蒐集，嚴格來說這並不符合情報處理的原則，照理說，應該要有一個對稱的機構。另外，如果數位發展部算出來的數據和健保局算出來的不一樣，那要由誰來裁定？在此舉一個例子，我覺得我們可以參考NCCC（聯合信用卡處理中心）的做法，所有交易紀錄在NCCC、Visa、Master都各有一份，那麼銀行就會乖了，比如有人在凌晨2點鐘買了20萬元的花，他們一看就知道有問題。總之，我覺得數位發展部要當裁判也可以，但是請專心的監理，但如果是這樣的話，我覺得就不能稱為「發展」，必須要有另外的執行單位去實做。

第四項討論提綱是政府治理的數位轉型，在此我問一個問題，我們的基礎建設和基層服務該如何串接？比如現在很多縣市都有1999專線，雖然非常便民，但好像也沒有到那麼數位先進。假設今天臺北市做了一套系統，發現成效不錯，高雄市看了之後也想要一個，所以他們就多花一筆錢發包給廠商去做一個，那是不是有點疊床架屋？如果是中央部會跳下來做，是不是又有侵犯到地方自治權責的問題？另外，行政院內部可能也有抵抗的聲音，因為去年中選會針對張善政院長所提的數位國家公投案舉辦聽證會，當時行政院科技會報執行秘書就說設立新單位來代替原組織推動數位化，除了疊床架屋可能讓各組織的權責模糊之外，也可能因為缺乏原領域特定專業考量敏感度，導致外行指揮內行。設立數位發展部是蔡總統的政見，只是張院長所提的版本賦予更高的位階，當時就受到行政部門的一些抵抗，我不知道是不是府院先去打一架呢？還是故意要卡張善政的公投案？反正都已經過去了。最後我要提醒一點，這是一個過去臺灣不存在的組織，所以我很擔心過度擴權的問題，我真心希望數位發展部能夠有好的發展，不要讓它變成疊床架屋或是空降酬庸的單位，謝謝。

主席：請財團法人資訊工業策進會卓政宏執行長發言。

卓政宏執行長：主席、各位委員。很高興剛才聽到很多對於數位發展部的一些問題與看法，我想這是我們之所以要成立數位發展部一個很重要的原因，就是要學習各式各樣的問題。事實上，幾十年來，當我們從過去的資訊化到一段時間的網路化、行動化，到今天的智慧化，我們可以看到這些數位科技離我們越來越近，對我們生活的影響也越來越多。我們必須要面對這樣的世界，因此我們必須要做好很多各式各樣的準備，從公部門到產業界、到整個社會都有很多的功課要做，這也是我們成立數位發展部一個很重要的原因。

當然所有的科技進入我們的生活，有很多是慢慢的，但是在這個階段裡面，大家都會碰到一些不同的感受，有些人抱持歡迎的態度，有些人抱持抗拒的態度，甚至很多人是持懷疑的態度，這就是我們在這個民主社會裡面特別會碰到的問題，也是我們特別需要去處理的問題。講簡單一點，很重要的一點就是要讓大家放心，我們才有辦法很快地往前走。總歸一句話，就是要確立一個信賴的機制，這也是我們今天討論的時候會把資安視為一個很重要的角色來看。

從整個社會的角度來看，我們看到在過去這段時間，不管EAID、不管是各式各樣的一些新政策的推動，事實上都會有贊成、有反對，在這些贊成與反對中間，我們必須要去找一個適當的平衡點，因為我們知道，所有新科技的進度都會有風險。或者是說，得到利益的跟受到傷害的不見得是同一批人，所以就一直都會有各種不同的衝擊存在，從過去到加入WTO等等，我們都看到很多類似的狀況。新科技的導入也經常是這樣子的狀況，所以我們必須要建立一套比較有效的方式來改變過去這段時間常看到一些衝突的情況，如何在最有效的方法上取得最大的共識來推動數位科技。在此我們要特別提到今天的主題有關資安跟個資的問題，不管是資安或是個資，事實上都必須要訂有很清楚的一些規範，對於資料的使用、資料的取得等等，都要有一個完整的規範。這也是我們在提到數位發展部很重要的一個前提、其成立的一個重要任務或是一個原則，也就是數位平權，所謂數位平權就是大家有共同的權利去接取網路、受到服務，甚至在提供服務者跟一般民眾之間的立場、權利應該是要對等的，像我們現在連上一個網站，你只不過是申請一個coupon，它會跟你要身分證字號、要你的名字、要你的一大堆資料，有很多的服務都是你如果不同意一些規定，就沒辦法得到服務。如果那個東西是一個過分的要求，那我們是不是應該有辦法可以達到、形成這樣的一個環境，讓他接取服務的條件能夠是一個比較公平的狀況？我想這些都是我們關於個資的部分所該做的。

關於資安的部分，當然更多的問題是發生在攻擊者或者應該說有一方是你完全不知道的，他是匿名的，這樣子的話，我們就比較難從法律的角度來規範，因為基本上就是像俗話講的，有一群壞人在那邊，相對地，如果你沒有辦法抓到他，事實上對整個社會的影響是非常大的。

這部分我們在推動資安的時候，事實上有很多個角度要看，不過基本上就是從兩個重要的面向，一個是人才的培育，一個就是生態圈的建立。所謂人才培育，事實上這段時間內，人事總處也已規劃政府方面的人才培育，我們資策會也有規劃很多各式各樣的人才培育，不過，從人才培育的角度而言，前面大致上也已經提過，就是有很多不同的角度，基本上，有一些比較長期的，我們可以從學校的階段開始培養，那是一個長期的，但是社會的需求沒有辦法等那麼久，所以必須要有一些比較快速的建立方式。人事總處的作法就是在政府單位裡面去做一些人才培育，在我們的角度，我們是從產業界去做人才培育，因為事實上這裡面的人才有一種是真的非常專業，像今天在座有很多是駭客組織或是資安公司的人，他們事實上都有很高的技術含量，包含我們資策會資安所也是。但是另外有一些是屬於一般日常運作的，這個事實上可以在任何一個產業，我們從產業裡面去培養人才，這也是過去資策會在這個部分做比較多的，包含譬如說公共資安、包含各個領域、5G的資安等等，各個領域的人才培育。另外一個就是真正更專業的部分，我們有很多人才培育的一些規劃，總而言之，這個部分在過去一段時間都有在推動，比較重要的還是必須要擴大它的範圍到各個領域去培養，包含公部門跟產業界。剛剛提到的另外一個是產業生態的部分，事實上這個在前面也提到過，在產業裡面，事實上很重要一個就是能夠讓產業好好地發揮，所以各自扮演重要的角色。但是，很重要的是需要能夠建立所謂產業的秩序，剛剛也提到我們是當裁判或當球員？事實上，產業秩序在這裡面很重要的一點是，必須要有人，而且是分工的方式、能夠稽核的方式來建立產業一些包含標準認證、稽核等等的工作。而這些工作我們大概可以很容易從金融業裡面看到一些例子，事實上它是有一套很完整的機制可以建立的，包含這些不同的單位裡面本身內稽、內控的建立等等，當我們有比較好的一個裁判、即能夠建立這樣的規則與產業秩序的時候，產業界就只能夠好好地發揮，未來也比較能夠造成產業界大家分工而且能夠合作，也才能夠抵抗這些不同的資安威脅，這是我們在目前所看到的。

最後，我再占用一點時間，對於剛剛提到的政府數位轉型或是數位治理的部分，我想未來在數位發展部很重要的工作，除了大家所提到的資安工作以外，還包含跟其他很多部會的合作，這些合作也是之前大家在談到數位發展部會時所提的一些疑惑，就是希望能夠有一個部會，它有比較強的能量可以做比較多的事，但又希望有一個委員會可以做一些政策協調，我想這也是未來我們在立這個法的時候很重要的一部分，怎麼樣讓這樣的部會能夠跳脫以前的範圍、能夠做比較多的跨部會協調，當然在推動的部分，包含法人、學界、產業界都能夠幫很多忙，但是，政府在政策以及法令的規範上面，可能就是要花比較多的力氣，在這邊做一些引導的作用，因為畢竟政策能夠引導整個產業的發展，也能夠引導社會的正向循環。以上是我的報告。謝謝。

主席：謝謝卓執行長。

請財政部財政資訊中心陳泉錫前主任發言。

陳泉錫前主任：主席、各位委員。很榮幸在退休之後，還有機會到立法院來貢獻自己的意見，我的資料在今天會議資料的第4頁，請各位參考。今天很多產業專家在場，因為時間的關係，直接跳過第一個議題，從第二個議題開始，關於資安人才培育的問題，在討論之前，我先提出一個觀念就是資訊安全沒辦法單獨存在，沒有資訊直接談資安其實是不切實際的，所以在討論資訊安全時必須同時重視資訊，資訊和資安應該要並重，這個概念是我今天要提出來的。各位要注意開發程式、開發系統的每項程式都跟資訊安全有關係，所以歐盟在GDPR第二十五條提到，個資保護從系統設計一開始就要開始（by default and by design），所以資訊和資訊安全是等同的，這是我第一個提出的意見。

第二，不管是資訊或資安最根本的問題在於人，特別是人力。政府資訊部門因為歷史背景關係，在民國87年頒布資訊整體委外政策，該項政策是指政府部門的資訊系統最好委外，政府只要管理，系統的部分以委外方式，這樣的政策嚴格限制了資訊部門其人力的成長及設置，如此付出相當高的代價，演變結果是幾乎所有系統都是委外比較多。我個人不是反對委外，委外必須要有能力控制廠商，可是委外之後，因為已經失去技術能力，就沒辦法真正落實控制資訊安全，這是我認為國家資安面臨最大的風險就是過度的委外，因此這個問題是必須被重視的。如何解決過度委外的問題？首先是剛才提到的資訊及資安要配置合度的人力，當然每個單位都說自己的人力不足，現在用客觀事實來說明，例如在2014年美國聯邦政府的資訊部門人力8萬1,600人左右，人事部門是2萬7,000人，也就是美國聯邦政府資訊部門人力是人事部門人力的3倍，反觀我國資訊部門人力配置是很有問題的，政府目前人事部門人力遠多於資訊部門。再來，提倡資訊委外的國家是美國，美國聯邦政府自有資訊人力都還有4%，而我國卻只有1.5%，所以這個問題應該要被重視，也是客觀的事實。

接下來談資安在政府部門部署的問題，因為時間的關係，我只談一個概念，對於資安的部署建議要能藏兵於民，這裡的「民」是指政府各個部會，每當我們遇到資安問題時，往往要等資安處、調查局、偵九隊來幫忙解決問題，難道政府部門不能自己建立團隊嗎？當然，人力是問題，剛才我已先提了，但若硬要建立，到底該怎麼建立呢？其實兼辦的方式也可以，在各部會建立類似白帽駭客的團隊，如我在財政部服務的時候，建立了這樣的團隊，當時還拜託徐千洋先生來幫忙訓練，非常有成果，108年的網路報稅之前，讓團隊檢視承作廠商的系統，找出非常多關鍵問題，以致之後報稅時系統沒有出問題。這樣的團隊建立，平時可以保護自己，進而可幫助部會所屬機關進行資安健診，平常就做好健診可以減少駭客的攻擊，我覺得這件事是有幫助的，當然前提是要合度的人力。

第三個議題是如何提升數位資訊國力的問題，這個跟數位轉型是有關聯的。數位發展部要成立，最先要解決跨部會協調、整合（必要時裁量）創新業務及現有流程合理化，也就是政府部門要往前走，必須要能解決問題，舉一個非常實際的例子來說明其重要性。家暴案件發生時，法院會核發保護令，這張保護令形同廢紙，因為加害者照樣去殺、去剮，諸如此類的事情非常多，而且一再出現，難道我們社會就任由事情一再發生且束手無策，但真的是束手無策嗎？當然不是，其實有很多解決方法，而電子監控就是解決方法，為了防止這種情形出現，在核發保護令時，便要求加害者戴電子監控設備，當他接近被害者時有警示作用，比如接近被害者500公尺就會警示並同步通知警察機關，所以當你到達現場的同時，警察也到了，所以要不要到現場，自己可以考慮，這樣可以挽救很多無辜的生命，這種工作就要用電子監控，電子監控設備本質是一個不可拔下的手機，這種手機誰能做的好？臺灣做的最好，所以臺灣的產業如果能看到這樣的機會，未來若能量產賣到世界各地，除了發揮社會公益，同時也可做審判前的監控或毒品犯的監控等用途，但為什麼沒有去重視？主要是因為跨太多部會，我曾經在法務部協調這樣的問題，遇到要跨多個部會，結果沒辦法成功。再來舉第二個例子，現在辦理不動產過戶時，還是需要找代書，我們已經是第五代電子化政府，為什麼還要找代書？因為跨部會整合協調的困難，所以無法解決這個問題。因為時間的關係，我只能說這個問題能解決，現在不動產過戶當然可以單一窗口解決，但因為跨部會的關係，沒有人願意協調，所以一直卡住，對民眾來說是一個痛。

接下來，我建議要訂立作用法，即資訊基本法或數位國家發展法來解決這個問題。其次，臺灣要建立允許新創計畫失敗的文化，這是很重要的。第三，我們需要引導學校研究能量。補充說明新創文化的部分，在新創計畫中，10個能成功1個，已經是非常好的成果，可是目前政府的管考制度，只要預算執行率不好或成果失敗，馬上會被檢討，導致政府部門不敢往前走，所以這個文化一定要建立，是非常重要的一件事。而學校的研究能量目前跟產業沒有關聯，這個問題要有效的去解決。第四，數位發展部未來要能有統籌資訊預算規劃、調度、配置的職權，現在要增加預算，短時間是困難的，但至少把重大公共建設預算、科技預算、公務預算的經費有效整合及規劃，如此未來數位發展部的效果就會很強大，一支筷子沒有力量，一百支筷子很有力量，臺北市政府資訊局目前已經採用這樣的制度，這是可以參考的。第五，建議建立虛擬社會爭議調處或違規調處之執法體制，現在虛擬社會中不守規矩，沒有執法的機制，比如財政部要求國外電商要設籍課稅，若這家電商就是不設籍課稅又能奈何？目前沒有真正的執法機制來執行，我認為虛擬社會執法機制是非常重要的。以上是我的報告，希望對大家有幫助，謝謝大家。

主席：謝謝陳前主任，下一位請中華電信股份有限公司馬宏燦執行副總發言。

馬宏燦執行副總經理：主席、各位委員。目前我個人在中華電信擔任資安長的職務，同時也負責中華電信內部數位轉型。中華電信除了自己內部數位轉型以外，很重要的是從內服以後推到外用，所以針對自己在執行上及對外提供客戶夥伴們所遇到的議題做綜合觀察及建議。

第一個議題是資安產業發展策略方面，分幾部分說明：首先，最近參與科會辦討論資安及國安1.0升級到2.0的部分，科會辦有很多政策升級刻正討論中，包括希望從原來八大關鍵產業拓展到六大核心戰略產業，由原來的落實到拓展，同時在參與國際方面，如美國在講5G Clean Network，或國際的資安大使，都是未來在資安產業上位發展所需要考量的。另外，資安牽涉到很多法令的配套，除資安法之外，國安法、情工法、刑法等等的配套都要相對應的修改，如此，資安沙盒有法律的基礎後，相關的創新才有機會發展及衍生。業界有很多資安新創公司都小小的，除有待整合之外，也需要國家設置資安投資基金來鼓勵，這些都是資安產業發展策略中，可以cover到的林林總總事情。另外，我們實務進行推廣時遇到最大的議題是中小企業，中小企業是臺灣的立國根本，但其在資安應用平台方面是非常弱的，所以在此方面如何以政府的力量，協助中小企業建立資安應用共同平台是非常重要的議題，而目前正在討論的雲端化，可能是一個solution。

第二個議題是如何培養資安人才，從臺灣半導體或電子業的成長歷程來看，首先看到大專院校對人才的培育相當充裕，然後才慢慢發展產業。而資安這個場域，其實需要二方面的專長，一個是網路專長，一個是資訊專長，唯有結合這二個專長的人，並實際在這個場域實作後，才能訓練出資安能力，所以剛才理事長提到，需要三年、五年、十年才能訓練出來，事實上確實是這樣。以臺灣來講，不管是政府機構或民間機構都一樣，資安人才還有很大的成長空間，上網查詢結果，清大、臺大、中山及交大都有設立資安研究所，可是這樣的數量還是不足以供應國內人才需求，資安人才在公私資安部門部署規劃，先在人才供給足夠後，且政府部門對資安重視，加上剛才陳前主任提到資訊人才已不足，而上位的資安人才更是缺乏，所以這些方面都是政府需要著力的。

第三個議題提到如何提升數位國力，分層來看，第一、在最底層是基礎網路建設一定要到位，所以在今年6月30日5G行動網路已經開始提供，讓國內的5G在全世界是排名前段班。另一個就是光纖到戶要同步，讓民眾在室外或在室內都有Giga級的網路使用，國內新大樓的光纖到戶目前沒有問題，建築法規內已經明訂，但在舊大樓裡如何從原來銅纜升級到光纜，還需要法律來要求，或需要政府針對舊大樓提出政策來鼓勵大家升級網路。在基礎建設方面還有電子化政府的需求，這部分國發會目前做的非常好，以前研考會階段就開始做了，從電子化政府到智慧政府，現在六都、各縣市都在做智慧城市，這方面其實就是數位化應用，有Infra數位化應用後，政府可以讓數位國力往上提升。然而有關企業的數位轉型，因為從Infra到政府，再到企業整個都要數位化，如此數位國力才有辦法往上。至於企業方面，國內在5G、大數據、AI、IOT、雲端、資安等方面技術的強化，產業本身當然會努力，但是政府在策略面該如何支持產業界能在這方面有更多的投入及更到位的發展，也是很重要的。另外，中小企業除了需要政府提供資安平台外，中小企業的數位化也需要政府輔佐跟補助，要不然臺灣中小企業這方面比較弱。相對我也很擔心他未來的進度會趕不上，這個機會其實應該都在雲端上面。至於政府治理的數位轉型，如果依我們中華電信自己在數位轉型裡面一個很大的issue就是一定要走到data driven，也就是數據驅動，所有東西都用數據來說話，就是政府自己的數據怎麼使用、怎麼開放？那另外一個很重要的就是我們很多應用服務在各都會都有，可是怎麼垂直整合在一起，讓所有服務在每個地方貫穿下去也很重要，謹作以上一些補充，謝謝。

主席：請TEDxTaipei許毓仁創辦人發言。

許毓仁創辦人：主席、各位委員。首先先謝謝召委，還有劉委員，非常開心回到立法院，今天這個議題是我過去4年在擔任立法委員期間非常關注的，所以今天非常開心看到這麼多的專家學者與會，然後並以立法院委員會的層級召開數位發展部這樣一個重要的公聽會，所以我今天有幾點要跟各位分享，還有幾個我認為再往下走數位發展部所必須要考慮幾個重要、清晰的戰略方向，在談數位發展部之前，我想更重要的要先提出來的是，到底臺灣數位發展的願景是什麼？因為我們通常非常容易地去成立一個部會，然後把資源框進去，但是到最後我們只是在消耗這些資源，然後應用這些資源而已，所以在成立數位發展部之前，我們先要問為什麼？然後再問要做什麼？然後再談如何做？關於數位這件事情，我們都知道網路是無國界的，所以在無國界的狀態底下，以政府的角度，我們到底要怎麼管？要管多少？然後應該要如何管？我想這是一個非常重要的核心原則問題，我們必須要思考。那政府涉入的邊界要在什麼樣的範圍裡面？我們是打算用基礎建設跟法律的思維規範，還是要走向企業自治的模式？比如說在美國矽谷可能是所謂的企業自治模式，在1990年，網路剛興起的時候，當時的柯林頓總統就說網路這件事情無法管，所以沒辦法立法去管，還是我們要走向歐洲的政府管制模式，比如像法國的數位稅，還有像GDPR這種比較從整體的市場利益來牽制企業發展的方式，還是我們要走向網路主權思維的中國模式？針對這件事情，我們先要思考到底為何而做？為什麼而做？我們再想要如何做？比如前陣子推出來的OTT專法，其實在網路的國界裡面，我們是無法透過法律限制消費者使用這個行為模式，還有交易的方法，就如同我們今天透過app叫車，叫外送，甚至於看Netflix，我們都是付費給他們在海外開曼群島或是荷蘭登記的公司，政府雖然立了法，但是沒有辦法合理的抽到稅，所以問題就是將來數位發展部有沒有辦法管得到跨境的交易模式？如果沒有辦法管的話，那我們應該用什麼方式去看待它？

第二件事情是我們大家非常期待數位發展部的成立，當然我自己在過去4年也提了兩部跟數位相關的法，一部是數位經濟基本法，另外一部是人工智慧基本法，目前這兩部法都還處於一讀的狀態，而且都因為缺乏目的事業主管機關，所以目前都還躺在立法院裡面，所以我們也很希望將來數位發展部成立之後能夠有一個治理數位或者管理數位發展重要的主管機關，但是我個人是反對把每個部會可能掌管數位相關業務的人併入這個部會，因為這會出現一個大問題，就是這樣一個新的部會，會是一台多頭馬車，或是一台拼裝馬車，因為每個部會相關業務的人來到這個新的部會時，會有累積過去的包袱或者過去的本位主義，所以這件事情，我們必須要小心。再者，就是這個新的部會的位階到底在哪裡？將來在面對數位經濟跟實體經濟相互衝突時，這個新的部會。有沒有辦法盡到溝通、協調跟裁決這樣的重要功能？比如過去的爭議最大當然就是Uber，交通部、國發會等各個部會都進來協調，卻沒有一個最後裁決的單位，還有foodpanda跟Uber Eats一樣，連勞動部還有經濟部等單位都進來了，所以將來這個數位發展部有沒有足夠高的位階來處理這件事，我想這是新經濟、平臺經濟還有網路經濟不斷會遇到的問題。

第三，我認為最重要的事情是這個部會應該要有共通性的跨界能力，以整合性跨部門的運作方式來運作，這樣的數位部會才有辦法成功。我們都知道在軟體開發的世界裡面，是透過迭代，就是interation不斷地推出各種更新的版本，然後讓消費者得到不同的體驗，我也期待這個數位部會有這樣的思維，能透過不斷地迭代，不斷地修改、調整它的組織，能夠真正符合我們目前國家所需要的用法。我們現在另外面對最大的一個問題是，現在公部門所有IT的建置基本上都是外包，在一個大量外包文化底下，我們並沒有長期穩定的數位人才，所以我們今天談到資安、談到數位，最重要的核心就是人才，可是如果我們大部分的東西都是外包的時候，是沒有辦法長期去協助並且有系統性地建立數位文化素養，所以這件事情是非常重要的，而且我們的數位化不能夠再停留在無紙化這樣的階段，而應該至少認真地看待數位治理的思維來做這件事。那什麼是數位治理？大家在媒體上都有讀到，在現在這個年代更重要的事情是資料的治理，就是data governance，甚至於是資料的素養，data literacy，我想這兩件事情是非常重要的，當政府部門、企業跟個人懂得把資料視為資產的時候，這樣我們才有辦法真正地保護點對點、端對端之間所有訊息的安全性，所以當你思考資料變成資產，資產需要被保護的時候，我們在法律上就有很多法必須要被處理，待會我會提出幾個世界上非常重要的資料的相關法案，同時也敦請立法院可以想辦法往這個方向邁進。那我們到底該如何設定這個戰略方向跟組織調整？我認為有兩個國家的作法可以參考，首先新加坡在2014年推動smart nation計畫，他們在他們的總理辦公室直接設立了智慧國家諮詢與行政辦公室，同時訂定三個核心的目標，第一個是連結，第二個是蒐集，第三個是理解，以這三個步驟去進行滾動式的數位國家化，從基礎建設的方式來連接國民，還有所謂去識別化的累積資料，透過open data的方式提供大眾使用，公私協力，讓人民的生活更智慧化，而這樣具體清晰的大方向，是數位發展部所必須長遠規劃的。

第二個我想談的國家是英國，英國的作法非常有趣，他們把數位、文化、媒體暨體育這幾個功能性組織併在同部會底下，並提出七大數位戰略，分別為分別是連結力（Connectivity）、全民技能（Skills and inclusion）、政府支持數位創新（The digital sectors）、更廣泛的經濟（The wider economy）、更牢靠的網路空間（Secure cyberspace）、線上政府服務（Digital government）及資料經濟信心（The data economy confidence），很明顯的，這些是從基礎建設、人民終身教育和人才培養，以及創新的商業所推廣、去投資而成的，換句話說，也就是藉此來大力推廣公部門跟私部門的數位轉型。這些國家都走得比我們快，但這並不代表臺灣沒有優勢！重要的是，能看到自己所處的重要國際戰略地位，並作出符合國家競爭力，且可以保障全民，進而促進國家整體經濟發展的重要組織發展。2019年時，歐盟頒布了全新的數位單一市場著作權指令，賦予媒體對其摘要內容業者進行收費的權利，法國是第一個跟進的國家。各位可以想像，未來在網路上所留下的每一張照片，每一則PO文，或每一則訊息都是資產，既是資產，就代表有隱私，代表需要被保護，因此，很多國家已經開始在做這件事了。

最後，這個機構無論用何種方式存在，不論是網路界、新創圈或各位學者、專家，及立法院的委員們均有高度期待，我們覺得最重要的是，彙整、協調，調動所有資源去成立前，要想清楚未來國家數位發展的願景是什麼？特別是針對資料經濟、資料保護作出示範，扶持本土企業，增加國民的數位能力，加強國家的數位競爭力。這是本人對於數位發展部的高度期待，也期望可以成功，謝謝。

主席：請社團法人台灣駭客協會徐千洋理事發言。

徐千洋理事：主席、各位委員。很高興有機會可以在立法院闡述對於這幾年，就資安人才或資安產業發展的觀察與看法。不管是產業或人才，乃至數位發展部，以及相關法令，其實都是錯綜複雜，且彼此相連的問題，難以由單一面向解釋或解決。或許大家會好奇，社團法人台灣駭客協會到底什麼組織？畢竟大家聽到駭客這個詞，會覺得這是一個比較負面的詞，實則我們認為駭客是一個比較中性的名詞，而世界各地，如美國，每年都會舉行駭客研討會與駭客大會；至於臺灣，也會舉辦駭客研討會。

我們一開始組成駭客協會時，大家以為我們是黑社會組織，或是專門攻擊政府的網路組織。以這幾年的發展來說，駭客協會很努力在做人才培育，雖然我們沒有真正從事人才培育，但我們培育了不少人才。從2014年開始，我們率隊參加國際駭客大賽，如美國拉斯維加斯，這幾年也得到不錯的名次，也蒙蔡英文總統召見我們這個CTF戰隊。我們在這幾年得到優異的成績，雖然未能拿到世界第一，但我們最好的成績也是世界第二了！但這代表臺灣駭客與資安實力就是世界第二嗎？這並非一個等號，一些政府單位或許會質疑駭客拿到第二名，代表我們的資安實力就是第二？我認為不一定！或許有人會覺得很奇怪，既然有能力拿到駭客競賽第二名，那麼回來後，這些人才到哪裡去了？在2014年第一次拿到駭客競賽第二名，2015年、2016年這段時間，我們也陸陸續續在世界駭客競賽中拿到好成績，也吸引到一家企業的注意，那就是三星。三星直接派人與我們聯絡，希望能把整個戰隊直接挖角過去，可惜沒有成功，因為那些人當時還在唸書！當我們努力在培育人才時，若產業無法同時與時俱進的話，那麼這些人才就很容易流往鄰近的國家！其實人才流通非常快，因為世界大廠非常缺乏資安人才，因此開出了非常優惠的薪資與手段，所以培育人才很重要的一點為，只要產業好，薪資好，人才就往哪裡流！

這幾年不管經濟部、教育部或勞動部，都在資安課程上做了很多著墨與設計。但我必須強調一點，這些課程設計固然非常不錯，也培育了非常多的人才，而產業的薪資待遇水準，在面臨不斷競爭的情況下，薪資也越來越高；即便如此，和國外大廠比起來仍舊偏低。我看到很多資安人才都進入國外大廠就職，這是非常可惜的！或許我們的產業發展還有很多不足之處，這點我後面會再強調。就人才培育計畫來說，有一個很重要的現象，那就是缺乏師資與課程規劃！尤其這幾年做下來讓我覺得，我們對人才需求孔急，甚至到了揠苗助長的地步，希望剛從學校畢業的畢業生就可以直接上手，或者讓一些本來不是學資訊的，譬如做美髮的，在經過課程培訓以後就可以從事資安工作。不可否認，確實有這種人，但畢竟是少數。就能支持產業鏈與政府公部門需要的資安人才來說，畢竟仍存在著程度上的落差。因此，就師資規劃與培訓上，甚至是給師資的鐘點費上，如何才能突破以往規範？我認為這才是一個必須注意的事實。不管對數位發展部或是產業的期許，從產業部分來看的話，我覺得有幾個面向可以看，第一個就是法規的問題，我們都知道個資法當年通過以後，造就了不少產業，包含國內的一些新創產業。因為不管是從資料遮罩或是個資加密，這些產業突然間有利潤可以發展。可是個資法經過這幾年的發展，這些產業做這件事情慢慢又賺不到錢了，為什麼？雖然資料外洩，但沒有被罰錢。因為沒有被罰錢，所以這些企業在重視的程度上也會越來越不看重，因此很可惜。如果我們可以在個資法或是其他法規再加強，應該對產業發展會有幫助。

第二個就是採購，我與許多資安產業聊天發現，這些產業都叫苦連天，雖然政府這幾年好像對資安推波助瀾、鼓勵，但是每年都會說這些採購今年一定要比去年便宜，或是資安服務的軟體遠遠比不上硬體，所以很多產業的服務最後包裝的居然是硬體，這種賣硬體送服務是很奇怪的包裝！我覺得整個產業在採購上的法令，可能需要一些鬆綁或修改。

再來就是中小企業的部分，政府單位有所謂的技服中心，即資安處或是調查局等各方面在保護，可是中小企業沒有資源、沒有人，也沒有錢，可是絕大部分的產業都是中小企業，所以很多資料外洩也都是中小企業，很多勒索病毒也是針對中小企業，但是都不會上報，只有出事才會上報。對於中小企業的投入，到底是不是屬於數位發展部未來需要關心的部分，以及該怎麼做、預算要怎麼處理？我覺得這些也是未來可以探討的議題。以上，謝謝。

主席：請國立臺灣大學醫學院解剖學暨細胞生物學研究所錢宗良教授發言。

錢宗良教授：主席、各位委員。今天很榮幸能夠到立法院，好久沒來了！我今天只針對政府治理的數位轉型，即討論提綱最後一項，提出一些個人的看法。上禮拜五我跟張善政前行政院院長提到今天有這個公聽會，他就提醒我，我們去年幫韓國瑜參選人擬了科技數位政策，所以我今天大概就是補充說明一下有關數位政策的部分。張院長也特別提到，去年10月我們就已經把這個政策寫出來，後來蔡英文總統把它列為他的政見。誰先講不重要，誰先把臺灣的這個工作做好，讓臺灣數位產業能夠發展才是最重要的。我提醒一下各位我們所得的共識，這個共識都不是我個人的，我只是負責科技及數位政見的召集，參與討論的有兩位政委與一位部長，都是前任的。他們的看法是要訂定數位國家專法，另外建議在行政院的組織架構中成立數位創新委員會，請注意是創新委員會，不是管理委員會，因為產業需要的是創新，不是管理。然後在各部會設置數位創新辦公室及數位創新長，也就是要各司其職。在座有人事總處，我們希望你們要給足額的人以及經費，不是把任務交下去以後卻缺人、缺錢，要求各部會做這件事情，永遠都做不好。政見上有寫彈性延攬數位創新菁英，要從民間引進一些人才。至於後面的部分，請大家參考。

第二項是有關法規鬆綁，有一位政委，我不好意思提他的名字，他的建議是修正個人資料保護法。剛剛前面幾位先進都提到，包括怎麼解決結構性的問題，配合採購法的革新，增列數位資訊採購專章等等，請大家參考一下。我們不以人廢言，這些政見是為臺灣好，所以請大家參考。

以下是我個人的看法，2014年7月我陪張善政部長美國華盛頓特區，我沒有進白宮，但是當時的歐巴馬政府OSTP director是John P. Holdren，我們在白宮外面跟他們談，他們提到了一個很關鍵的東西，就是巨量資料與個資的保護。那時候白宮的OSTP有發表一個政策白皮書，他們就已經講得很清楚，任何一個國家要發展數位政策、要發展數位經濟，請把立法做好，要把遊戲規則做好，產業才會有發展。如果大家有興趣的話，可以Google一下OSTP，美國政府白宮都會把這些東西公開在網站上，即office sensitive security policy政策白皮書。大家應該知道歐巴馬政府對這些法規還是滿重視的，雖然這是前朝的，但是相當有參考價值。

最後針對個資保護法的修法，剛剛講過我們討論政策的時候有些爭議，我個人並不贊同那位政委的看法，就是要修個資保護法。我個人不贊成修個資保護法。就像上一次我來這裡參加公聽會是對於科技基本法的修法，我也不贊成再修任何的法。因為立法院針對行政體系送過來的草案，修一修都會走偏。我就舉科技基本法及勞基法為例，我不要唸那些條文，我也不記得條文。剛好有立法委員在座，我個人的感覺是越修越爛。我希望立法院尊重行政體系，行政院擬出的草案已經徵詢過很多專家學者，這些法也已經具有相對可行性，但是立法委員為求表現，時常在後面加附加條款，所以我認為個資保護法如果要再修，很顯然會再加很多附加條款，把產業勒死。我上次已經講了，修現在的法就等同想要鬆鐵鍊卻又上了麻繩，而這麻繩可以把人綁得更緊。大家應該知道這個比喻，尤其行政部門應該都知道。本來用意是要鬆的，很漂亮，鐵鍊鬆掉了，但是立法院又上了麻繩，上了麻繩以後就把人綁得更緊，形同沒有鬆綁。不好意思，錢老師還是喜歡上課。所謂的deregulation就是要把它鬆綁，但是我剛剛講了，立法院時常是reregulation，把regulation重新regulate，所以就越綁越嚴。回過來講，我個人建議不要修個資保護法，最衷心的建議─幫國家制定一部國家級的數位專法，讓產業發展，能夠跟歐盟所謂的General Data Protection Regulation接軌，我們希望產業能夠順利發展。我們在研擬政策時候有提到數位稅，後來大家說選舉到了，不要講抽稅，抽稅一定沒有票。但數位稅是一個必須思考的方向，現在不管是Amazon或Google，為什麼歐盟想要從他們身上扒一層皮？因為他們從民眾手上賺了不少利益，所以政府如果真正要制定一個數位專法，可以考慮抽數位稅，但是我剛剛講過了，我們的產業最怕的是法規不明、都不先講清楚，等到我賺錢了，你才來抽稅、才來剝皮，你可不可以先把遊戲規則講好？讓不管是做數位資安、數位資料應用，你把遊戲規則講好，我們就遵從這個遊戲規則，也就是我剛剛提到的，美國白宮政府就是歐巴馬政府那時候提的，一定要把政策、法規、遊戲規則訂清楚，產業才能夠順利發展。我在此再次拜託在場的立法委員，如果真的要為臺灣制定一個好的數位專法，一定要顧及產業發展，不要站在管理者、限制者的角度，而要站在幫忙產業發展的角度。我雖然是學者，但是現在在社團法人服務工作，知道產業有很多事情需要政府幫忙，所以要拜託立法委員不要再修改個資法，如果真的要修，朝鬆的方向修，不要往抽緊的方向修。當然針對這個數位發展部，我們還是希望能夠有一個真正的數位專法。

最後我跟各位講，我們還是希望數位發展部回到數位發展委員會，不管是創新委員會或發展委員會，為什麼？張前院長上禮拜跟我講，科技部為什麼要改回國科會？你們去瞭解一下，就知道我們應該要數位發展委員會還是要數位發展部。剛剛幾位先進已經提到了。以前我在行政院，我們說行政院跨部會什麼都不會，就是因為跨部會是很困難的，所以在組織架構上一定要有一個跨部會的、在行政院層級的委員會，負責數位創新或數位發展，而不是一個部。就像過去國科會改成科技部後，科技預算要審議的時候，就會產生一些技術問題。我們如果真要有前瞻的規劃，我會建議審慎評估成立數位發展委員會，把行政院的一些資源整合在一起，而不是再成立一個部，到時候部又不理部，這對產業發展會有很大的限制，謝謝。

主席：請劉委員世芳發言。

劉委員世芳：主席、各位學者專家、各位同仁。我們今天這個公聽會最主要的目的就是探討未來數位發展部成立之後主要的工作跟機能，或者其他的工作怎麼樣獲得更多人的支持。大家都知道，今年年中蔡總統上任時也講到，核心戰略產業裡面很多都跟數位發展相關，國發會也從前瞻計畫裡面挪了800到1,000億左右要來發展數位，當然不是明年，如果是明年的話等於就是大撒幣，不對，也就表示未來數位發展確實非常重要，所以各位學者專家發言的時候，請不要只針對我跟范雲，因為國會頻道是公開的，大家可以來聽，有問題可以跟各位交換意見。我等一下要請教幾個問題，如果各位學者專家可以回答我們的話，有助於未來制定的數位發展部組織法草案有更正向的發展。

資安即國安，大家都知道了，我就不再重複。未來的數位發展部，因為上個禮拜我們立法院提的數位發展部組織法草案已經送進去了，行政院也答應我們12月底之前行政院的所有部會的組織草案都要送進來，我希望行政院說話算話，否則會來不及。

在草案裡面，資安當然非常重要，我就不再闡述，現行的資安主責單位是在行政院資通安全處，是一個參謀或幕僚單位，所以數位發展部正式成立以後，我跟錢教授的想法不一樣，我認為資安如果沒有人管的話，就是一團亂。我們國家要成立數位發展部最重要的是因為我們要確立我們的數位主權在什麼地方，不要再受到其他國家的霸凌，所以數位發展部成立之後，我們希望可以成立一個資通安全署或資安鑑定委員會來鑑定什麼叫做資安，來鑑定資安如果出現問題之後，有沒有任何penalty或punishment，不管是公私部門。否則像現在一團亂。大家覺得臺灣現在最好的是金融產業界，但是各位也看到金融產業界也有很多外洩的問題，或者剛剛有幾位提到有國外的人要來臺灣高薪挖角，有的人其實已經被挖走了，有的人還沒有出去，我們怎樣確定人才留在臺灣？所以第二個議題就是資安人力缺口很大，包括行政院資安處也提出現在公務機關的資安缺口高達1,024人，這麼大還不論產業界，所以從正向發展來看的話，未來的資安可能是一個資安產業鏈，但是從負面來看的話，這些人從哪裡來？我們有沒有培育資安人才的教授、學者或其他產業界的專業人士？而不是到時候每個人掛名資安，結果什麼都沒辦法做，這是最大的重點。

再者，資安如果發現問題之後，有沒有通報應變辦法？其實這個辦法在2018年就公布了，但是它的復原、鑑定、改善機制是怎麼來的？有沒有這樣的委員會擔任auditing的工作、管理的工作來處理這件事情？目前為止，我還沒有聽到學者專家提供這方面的高見。有的人認為不要修個資法，我覺得剛好相反，就是因為個資法不好用，所以要修正。我跟各位報告，現在為止沒有用個資法罰過任何一個人，表示這個法是空的，沒有辦法跨部會來執行。號稱國發會在主導個資法，可是沒有一個部會用個資法來處理，所以我認為數位發展部成立之後，為了確保數位主權及數位治理，身分證件法、數位簽章法、個資法、公共資訊法都要修，甚至現在的資安管理條例裡面的資料交換層也要一個法律，還有數位通訊傳播法，聽說NCC要修這個法，另外還有一些服務跟資訊條例都必須用修法方式，才能夠爬梳臺灣未來數位發展的主要方向。

第四，這一點我跟錢教授的看法有點相近，有太多人投入數位產業鏈，那要不要徵稅？包括系統建置、基礎建設都是公部門投資的，但是未來的軟體應用部分有沒有人可以從中得到資源？臺灣是一個國家就應該徵稅，所以數位稅有沒有可能課徵，或許也可以討論，提供給大家參考，以上的意見請大家能夠回答我，謝謝。

主席：請范委員雲發言。

范委員雲：主席、各位學者專家、各位同仁。謝謝司法及法制委員會在這個時候能夠辦這一場公聽會，我想能夠蒐集到學者專家的意見非常重要。剛剛劉世芳委員已經講得很清楚，資安是現在一個滿重要的考慮，資安的能量非常需要盤點，我們聽過英國或北歐如何去做數位發展，但是臺灣跟他們不一樣的地方就是因為我們面對中國龐大的資訊戰，所以資安這個部分絕對需要盤整。

我首先要表達的是，目前各部會對資安的投入仍然嚴重不足，專職人力都沒有補足。我看了行政院資通安全處給的報告後，發現一個嚴重的問題─根據108年施行的資通安全管理法與相關子法，資通安全責任等級A級、B級、C級的公務機關應該分別配置4位、2位及1位資安專職人力，但是在109年6月計畫統計時，資通安全責任等級在C及以上的1,330個機關中，只有97%填報相關資料；在1,294個已填報機關中，依法應配置1,678名專職人力，目前卻只聘到993人，其中正式職員更只有685人。從正職、專職人力來看，居然有高達59%的缺額，反推全部1,330個機關，專職正式職位居然缺額破千，我想藉此提醒大家，其中有人才與人力問題。在上次劉世芳委員、我以及其他委員舉辦的相關公聽會中，大家也都談到，需要的不僅是資訊人才，而且必須跨領域。在人才這個部分，如果政府現在連依法需要的人力都補不足，我覺得在公務員資格等各方面可能也需要超前部署。

資通安全處告訴我，據統計顯示，多數機關對資安已有相當程度的重視，可是我看到的卻相反，如果到現在連專職、正職人力都有將近六成缺口，怎麼可以稱為重視？如果重視就應想辦法補足嘛！如果資安人員本身無法專職，還需要兼辦其他業務，那怎麼能保障我國的資安強度？待會兒如果有可能，人事總處人事長以及資安處簡鴻偉處長能不能回答在數位發展部成立以前的具體方向與措施是什麼，以及未來數位發展部如何避免同樣出現人力缺乏問題？尤其我們非常希望這些是跨領域人才。這是第一個問題，也就是人才現在都補不足，有高達59%的缺額，問題在哪裡，能不能去了解？問題是在公務員相關資格考試？或是薪資太低，導致相關人才不想到政府工作？還是大家心態上不夠重視？

我想問的第二個問題是數位主流化。我們之前聽到政府主責官員談到數位主流化，既然數位發展部必須真的能帶領各部門進行數位轉型化，就要做到數位主流化，也就是，不是只需要一個數位發展部，而是以數位發展部為首，帶領所有公私部門落實數位轉型，這才叫數位主流化，否則數位發展部就只是一個專責機構，其他部會─從教育部到各部會並沒有真正改變，必須從國家與數位世界的高度擴及每個產業。但就目前的設計，看不出能做到數位主流化，學者專家們如果對世界各國部會設計有研究，是否可以提供我們思考？到底在組織設計上怎麼樣才能把數位主流化做出來，而非只有一個數位發展部？譬如人事、會計人員可以滲透各部會，數位發展是否也有同樣做法？這是在目前設計上我們所看不到的。

如同剛才劉委員世芳提到的，我覺得個資資安專責獨立監理機構還滿重要的，比較各國個資保護的政策趨勢，2017年已經有八十多個國家，包含歐盟、英國、加拿大、日本、韓國、新加坡在內，都成立了個資保護專責機關。這種機關的層級不能太低，我也滿同意剛才委員講的，其實這是需要修法的，因為目前的法規沒辦法做到、完全綁住。如何有國家整體的data strategy資料戰略，又能保障資安，就是要在資安部分一定要有專責機構，法律上也需要修法。我先簡單回應到此。

主席：謝謝范委員。委員們都習慣質詢時間為10分鐘，不過今天給學者的時間比較多，等一下仍有二輪發言。

請國立中山大學黃義佑副校長發言。

黃義佑副校長：主席、各位委員。剛才錢老師講完，現在換黃老師講。我應該是今天唯一從南部來的學者，可說千里迢迢到此代表南部說點話。我個人贊成數位科技發展部成立，這點沒有問題，但各位委員提到的一些重點以及小弟待會兒要提的一些點，倒是可以在成立之前先釐清或把問題解決。

我認為數位發展部不是非常急迫、一定要設定在民國幾年幾月幾日成立─我覺得這樣不是很好。為什麼我這樣認為？有幾個原因。數位經濟在五年前就占臺灣GDP20%，我看到的數字是3.4兆元，到了2020年已經占25%，應該是四、五兆元。全世界各國─我是指各主要經濟國，基本上都把數位經濟視為該國經濟之轉型主軸。光是從經濟規模來看，範圍包括資通訊電子產業─這是大家都熟悉的，以及電信、媒體加值產業與資訊服務產業、數位內容、電子商務、文創、製造業與服務業的電子化加值等，當然也包含最近最夯的資安科技。資安科技全球一年規模大概快要2兆元，所以經濟規模很大，必須有一個機關統籌。

但剛才有幾位委員提到，過去相關業務是散在各部會的，有行政院資安處、有NCC、有交通部郵電司，甚至國發會，還有一些相關部會，大家都在做數位業務。但我要向各位報告，只要看看數位國家創新經濟發展方案九年計畫的資料，就會發現臺灣在過去二十幾年─任何政黨都一樣，提出很多關於數位經濟的大型計畫。比如說早期的產業自動化、電子化、E台灣、M台灣、U台灣、智慧台灣計畫、雲端數位及數位匯流發展計畫、最近的DIGI+計畫，還有資安產業發展行動計畫等，有一大堆計畫。每一項計畫都很好，都以提振、振興產業為主，但確實有幾個問題，也是數位發展部必須成立的原因。第一，以現在臺灣的數位經濟產業，也就是在剛才提到的產值中，硬體占了7成，軟體與服務占3成而已。軟體人才在臺灣其實不太足夠，傳產數位轉型的投資動力是很缺乏的，需要做很多宣導，不容易提升本土市場；要打國際盃，競爭力恐怕也不夠，所以人才培育要加快、加速、擴大，甚至延伸到國中小。我記得有些國家很先進，從國小就要學軟體，臺灣可能也有一些學校在做，不過我不確定。其實，軟體設計、程式設計是年輕人很想學的東西。這是第一點。在傳產數位轉型方面，如果傳產願意轉型，其實政府應該提供一點誘因或補助；如果已經補助，麻煩提高，因為以色列已提高至20%。

第二，剛才提到這麼多行政院或各部會這類大型計畫，雖然都有主責部會，剛才也有委員提到，我也在行政院服務過，知道各部會分工一定是很明確的，但是否緊密合作？有分工不見得有合作啦！不好意思，什麼政黨都一樣，只是現在愈來愈好，因為已在注意這件事，有政委主導，就我所知，過去四年來，很多跨部會整合確實是成功的，這點我一定要回應錢教授。但是成立數位發展部絕對重要，因為以前五大領域主管機關分散在各部會，包括資訊、資安、電信、網路與廣播，若能整合起來，就像蔡執秘在新聞上揭露的，業務的統籌固然沒問題，但還是需要一個機關。例如人力培育部分業務仍在教育部，國防資安業務又在國防部，即便把大部分可以整合的整合起來，未來跨部會的協調還是很重要，剛才不同與會者都提到這一點，未來的部長或次長對這方面大概要很重視。其次，以前在推動計畫時，大家普遍認為是政府在推，很少會依產業需求推動，所以麻煩未來的數位發展部，如果要推動大型計畫，就倒過來好了，至少把一半切開，由產業需求端推動，否則會變成政府做自己的，企業也做自己的，搞不好中間連不起來，也不太好。

在我看來，資安問題當然是一種威脅，也是一種產業，所以更應成立專責單位。就我所知，臺灣每個月平均遭到駭客掃描3億次，其中3,000萬次是攻擊，這已經不是國安問題而已，其實個人也會受到影響，包括個資外洩、假訊息、資訊服務中斷等等，這是全民的問題，所以需要專責單位。如果不做，以我的想法，就很像在企業裡─我以前在企業待過，企業做的所有研發都不申請IP以保護其智財。若資安不做，就像一個國家、一家企業開大門，讓對手或有心人糟蹋努力成果。

最後，行政院已將資安產業納入五加二產業創新計畫之國安資安的一環，根據我查到的資料，DIGI+九年方案每年大概編列200億元經費，其中資安一年大概有二、三十億元─我看到的數字好像是這樣，也就是DIGI+數位國家以及創新經濟發展這一塊一年預算大概200億元。剛才各位委員也都提到資安人才嚴重不足，沒有錯，但我建議大家去查一個國家，其資安產業位居全球第二，只輸美國而已，占全球10%，達1,800億元，快到2,000億元左右，這個國家就是以色列。以色列因為資源少、強敵環伺周邊，所以不得不做這一塊。以色列目前每年投入5億美元做幾件事：第一，是吸引優秀人才。第二，成立資安新創公司。第三，大膽給企業20%補助，只要企業敢做，政府就給，因為政府認為這是國安，就是戰力。

第二，建議教育部趕快研擬相關方案。如果要成立一個部會，其實教育部應該跟著動，資安科技與數位經濟這兩個領域的相關學者、系所、研究所要趕快開。剛才第一位發言的委員提到，中山大學在全國五個有資安研究所的學校中是第一個申請的，我們很早就覺得資安很重要了，所以率全國之先設立。但是不要只限資安，數位經濟也要趕快招生。至於師資可以比照二十年前，當時在推國家矽導計畫，我就是透過國家矽導計畫進入中山大學的。當時政府每年匡列幾十位教授到全國各大學，但要由各大學爭取，所以這是競爭性的，例如臺大可能要爭取100人，交大50人。無論如何，老師到了，課程就會有，不用擔心，人才自然會來。以上是師資部分，稱為公公合作。

另外，行政院剛通過國家重點領域產學合作及人才培育創新條例，簡單來講就是半導體國家學院，這是必須由企業出錢的，因為企業要培育自己的人。我建議在資安這塊也可以採公私合資，比照行政院剛通過的這項條例進行，兵分兩路才會快。

第三點建議：以色列成為全球網路國家之一的關鍵因素是從軍中培養網路菁英─8200部隊。現場有一位參謀總部少將，我覺得這點可以加以效法。他們的成員非常厲害，退休、離開軍隊後，都自己開設新創公司、當創辦人。臺灣其實也有很多年輕人很厲害，去年臺灣就有兩支隊伍在世界、全球最大規模駭客競賽獲得亞軍，政府與企業應該多網羅這些人，甚至建立資安團隊。

資安產業的發展應重視風險、分散風險，也要注意區域平衡。資通訊重鎮全都在北部，政府如果要推動資安產業，拜託考慮一下南部，不要什麼都在北部，這樣在戰略上的風險其實是很高的。南部有很多重工業，其實可以軟硬整合，不好意思，我從高雄來，所以要替高雄講話。高雄現在已有一處軟體園區，是小弟協助的，所以委員不用擔心沒有人，只要政府推動就好。我們當時從一次研討會沒幾件作品，到現在已經有幾千件作品，閱覽人數可達10萬人。所以，人很重要，拜託把資安產業放在南部。以上建議，謝謝。

主席：謝謝黃副校長，我也贊成設在南部，可是今天不能決定。好，繼續開公聽會。

請台灣經濟研究所研究四所王怡惠計畫負責人發言。

王怡惠計畫負責人：主席、各位委員。今天很榮幸受邀參與公聽會。針對今天的討論議題：「資安」，前面已經有很多先進提到，我的主要重點則會放在提升數位國力與政府數位轉型，也就是綜合談一下台灣經濟研究院一直在執行的政府相關政策。由於本人也參加過、執行過經濟部、通傳會、文化部等專案，所以就之前的研究成果提出一些觀察與分享。

剛才有先進提到數位轉型，其實數位轉型的定義在2008年就有學者提到，數位轉型包含三個要素，第一是發展數位能力，第二是數位使用，第三才是數位轉型，而數位轉型就是如何使用數位工具開發創意與創新。但是2015年WEF也提到，要達成數位轉型有三個重要障礙需要思考，一是監理機構是否合宜，一是基礎設施充足與否，最重要的是公眾對新興技術的信任，這是大家必須重視的要點。剛才各位先進也提到基礎設施的建置與對於技術、包括資料保護的信任。我則認為在治理上，「監理」這個概念還是要帶進來。

以提升整體數位國力來講，很明顯的是以技術推動一連串世界的文明與進步。以美國而言，白宮在幾個月前發布了國家關鍵和新興技術戰略，確認了20種新興戰略優先技術，重點就是確保國家能提供支持研發的環境與角色，透過公私協力方式與民間一起達成國家關鍵新興戰略技術的布建。我想把這個概念放在數位發展部還是很重要的，也就是政府部會還是要打造一個環境，與民間緊密合作。

同樣的，剛才談到數位轉型時，很多先進也提到人才培育的重要性。我們看看歐盟的政策，2019年歐盟就有一項數位歐盟計畫，他們推動一項七年計畫，投入92億歐元的預算，布局不同技術。而我們看到的就是政府必須有這項資源，而且這種資源必須長期投入，而不是短期布局而已，所以我也期許未來的數位發展部在進行時必須重視人才培育這一塊。有關人才培育的範圍，以歐盟的經驗而言，所重視的是包括公民跟公司行號。也就是不只在開發技術那一端，而是重視使用端能力的提升。

談到整個數位發展部，或是現在大家在講的數位經濟，其實數位經濟的範圍很廣，更具體而言，應該是數據經濟。剛才有先進也提到，現在的技術發展都是以數據的發展為中心。當然數據是扮演一個驅動的角色，但是在驅動的同時，也必須重視所謂的推力跟拉力。重點就是剛才各位先進都有提到的資料保護，監理單位還是要思考一些關鍵的問題。比如說剛才有先進提到，現在數位服務的使用，很多人需要一些個人資料，那到底誰有資料的擁有權，以及資料的儲存跟保護義務？以目前而言，演算法的運用非常普遍，但是民眾可不可以拒絕這些演算法的評估？或是可不可以要求業者將演算的資料讓民眾知道，並且還給民眾使用？這些是在將來立法的時候，可以去思考的一些點。

最重要的是在整個數位發展部會之中，我想提出一個數位監理生態系統的概念。剛才各位先進也有提到，所謂的數位發展不是單純一個部會的工作，它可能需要跨部會的協力，這個協力是因為數位經濟或數據經濟的衝擊，影響到各個層面，所以它不是單一部會的動作，而是需要各部會的協作。整個協作系統當然還是要配合國家數位政策的發展，同時為了鼓勵資源發展，我們也呼籲監理部分還是要朝向鬆綁的角度。不管是鬆綁、自律或是共管的方式，它的目的很明確，就是要促進創新、促進新技術的應用及引進投資。對於剛才有先進提出，包括監理沙盒的應用，我也支持。同時在今年電信管理法通過以後，創新頻譜的應用，允許頻譜共用的方式，也是一個值得鼓勵的正確方向。

剛才先進提到跨部會合作，說起來很簡單，做起來其實不太容易。剛才大家提到的可能是協作的廣度，但是就協作的深度而言，可能還是要建立不同的溝通機制，包括正式或非正式的協作機制。剛才提到公私協力的概念，所以政府跟民間還是必須要有一些溝通管道的配合。

整體而言，我們建議，首先是網絡安全的部分，剛才各位先進都有提到，事實上是數位經濟發展的重點，所以資料保護是整個數據發展的核心，要在數位轉型下確保民眾對新興技術使用的信心，同時重視人才的培育。除了技術開發人才以外，還有民眾數位能力的培養，也是促進整個數位發展很重要的一個方式。

其次就是在未來數位發展部門而言，ICT主管機關還是必須重視法規制定，法規制定是促進整個連結及基礎建設的發展，並且透過一些鬆綁的方式，促進整個創新環境的建造，繼而透過不同技術的競爭，促進產業的競爭與發展。

另外，也提到數位治理的部分，我們強調的是彈性協作的監理模式，很重要的一點是多方利益關係人的參與、促進跨部會的協作。以上簡單發言，謝謝。

主席：下一位請久鼎資本股份有限公司陳炳廷董事長發言。

陳炳廷董事長：主席、各位委員。謝謝主席及各位立法院同仁的邀請。今天其實不是我來，而是代表我的合夥人楊應超董事長過來的，我們合組金融投資、新創投資公司。因為我本人是在美國念大學，跟楊應超董事長一樣，從小都是在美國長大的，我們對國外的教育方面比較瞭解一些。

有關今天所提到的資安產業發展策略，臺灣是網通製造品的大國，在臺北又有國際的防毒大廠跟研發中心，更有豐富的資安風險數據庫，因為臺灣很好玩，全世界25%的攻擊都是鎖定臺灣打的，所以我們有很好的風險資料庫資料。但是很糟糕的是，臺灣只有一個軟、硬體分離的產業鏈，大家都各做各的，軟、硬體都做得很強，但沒有把軟、硬體合起來。在未來的資安模式方面，可能需要一個國人自行研發的軟、硬體整合UTM+AI的模式。現在已經有很多國際大廠在做跟軟、硬體整合的UTM，但是沒有再+AI的資料。這個產業鏈在全世界經濟規模能夠到達大概一千多億美元，也就是下一個兆元產業，臺灣是可以往這個方向去發展的，因為我們有很好的地理優勢，也就是被攻擊的地理優勢。

所謂的UTM+AI，是以用戶端的資料和雲端資料庫作為連結，加上人工智能辨別所有大數據分析，再把分析資料傳回，而且能夠自主學習，知道哪些封包是偽裝出來的，是可以去攻擊的；是偽裝的，我們可以辨別出來，然後把它擋回去。但是現在大部分大廠都只有做到數據分析，只能是被動的，也就是一旦被攻擊過，才知道有這樣的攻擊模式，沒有辦法做自主學習。在政府協助上，我建議政府能夠有一些半官方或官方投資，而由民間來主導的一個大型企業，像台積電這樣的公司，或是政府介入投資的模式，才能帶動下一個兆元產業。最好是能夠做到國內、國外各一套資安系統的防護，這樣才能封鎖外部對於臺灣國內的網路攻擊，也可以分層出來。

另外一點，我覺得臺灣可以再往「AI+資安」的產業方向，這跟「資安+AI」不同。「AI+資安」是一個通用人工智能，它不是單一品項或單一工業的智能，是從用戶端到雲端的行業整合，也就是在每個點上面，只要是網通的點上，所有設備的資安統統加到「AI+」這個大平台上。如果能夠再把資安產業鏈的軟、硬體同步的話，我相信臺灣的資安產業應該是有實力的，未來會比其他國家做得更好。

第二點關於如何培育這些資安人才？回過頭來，還是講教育的問題。除了資安技術之外，資安管理能力也是很重要。我們有資安的技術，但是很少有資安技術的人才懂得資安管理，所以應該要朝同時具備資安技術與資安管理能力的方向去培養人才。因為現有的資安技術人才跟資安管理人才在溝通的時候，還是有些鴻溝的。資安管理人才要什麼東西，資安技術人才不知道；資安技術人才寫得出資安防禦的機制，但他不知道該怎麼去做良好的資安管理。

再來，我們覺得在臺灣可以主辦一個國際型的資安競賽，因為我們有良好的天生優勢，常常被別人攻擊，資料量非常大。常被攻擊就能夠思考，如何吸引全世界人才來臺灣做這樣的競賽，並且能夠把國外的人才帶來，在臺灣能夠做進一步的教育訓練和認證考試，將經驗分享給國內一些大專院校。

對於公部門而言，資訊安全跟資訊自由是天平的兩端。太過嚴格的資安要求就沒有自由度，因為企業或產業的發展就容易被勒死。相反地，如果資訊自由太過，對於資安風險也就相對較大，公部門就要拿捏平衡點要放在什麼地方，所以我贊成有專責的公部門機構，做好嚴格的資安防護，甚至要做好資安的監督。如果再加上結合產官學界固定舉辦國家級的賽事，例如在座有國防部人員，甚至可以考慮跟資通電軍透過競賽的方式，讓國家在競賽結果上獲得最大利益。我們知道人才在哪裡，也會知道我們的網路弱點在什麼地方。

對於私部門而言，目前考量國際的情勢，建議應該有半官方性質的單位，串聯起國內外的資安，跟資安公私單位進行資安威脅的資料交換、人才交流或學術交流；甚至能夠做到資訊安全數據中心，為全球的資安產業提供龐大的資安威脅數據；在國民教育上加強資安觀念，因為國人的資安意識其實是不高的，在家上網時有什麼要使用的資料就寫一寫，甚至把個資交出去，都無所謂，沒有想一想這個資料會不會被使用？有很多私人企業辦的座談會、公聽會，會要求提供一些資料，但是實際上是被拿去當作個資利用的。

第三點，關於如何提升數位國力，還是要回到教育的層面。在教育方面，其實大專院校學生對於網路不很熟悉的比例非常高。根據國際組織的統計，臺灣的大專院校學生畢業後對於企業所需要具備的能力，排名逐年往下降，我們現在已經是第59名了。國家在發展重點半導體的時候，這樣的排名是很不好看的，因為這些都是屬於高科技人才必備的能力。

在政府治理的數位轉型上，建議不要忽略老年人口，因為未來在2026年時，臺灣將步入超高齡化的老年人口社會，應該教育這些老年人口如何使用網路、如何使用數位政府的資料，這是很重要的。不然，如果只有年輕人會，老年人不會，這個數位政府只會做一半。我今天的意見大概就這樣，謝謝大家。

主席：好，謝謝陳董事長。下一位請凌群電腦股份有限公司資安產品推進處暨資安研發處林瑞慶總處長發言。

林瑞慶總處長：主席、各位委員。我們是凌群電腦，我們是在產業界做資安的公司，我們服務的客戶包含政府單位、軍方、金融，以及一些commercial、製造業等等。在過去十幾年以來，我們看到各產業中非常多的資安問題。

今天主要討論的議題中，我們特別分享二部分，分別是資安產業的發展策略及培育資安人才。以我們公司而言，有許多所服務的客戶對象中，在人才這方面的問題非常嚴重，連我們自己都深受其害。雖然非常感謝中山或臺大等學校有成立資安研究所，但可能會太偏向理論化，真正到業界之後，會變成什麼樣子？可能必須全部從頭打掉，全部從頭再培訓起。因為資安非常講求經驗、實作及技術部分。因此今天要找一個資安人才，起跳時間平均是3年到半年。可是在這3年到半年時間內，資安的威脅不會因為這樣而來等待我們的。

對於人才的部分，我們後來怎麼做呢？當一個學校畢業的學生進來，必須從頭開始架一個lab環境，找一個mentor去training他們，training完之後，才讓他們正式上手。這會發生什麼問題呢？當我們從頭training完後，大概要花1年左右的時間，也就表示企業完全沒辦法從這個人上面獲得營收，必須得一直去培育，培育完之後，可能又被國外或被同業直接挖角走了。對企業而言，剛培訓完成之後，又馬上被挖角。挖角完之後，要從頭再培訓，永遠沒有辦法做起來。

剛才有其他先進提到，資安人才的面向需要懂網路、也要懂軟體。我們跟大家分享一下，資安這塊領域是浩瀚無窮的，非常地博大精深。不僅要懂網路、軟體、資料庫，他還要懂AP、Cloud，未來是Cloud的世界，他還要懂系統，甚至也要懂物聯網。但是滿可惜的是，今天在各學校當中所培育的，從小扎根的時候，只有看到少數幾個頂尖的大學有成立資安研究所，但是沒有成立資訊安全學系。也就是，如果人才可以從大學成立的資安學系當中來布建，經過4年學完之後，可以選擇繼續深造，也可以選擇就業，如此跟產業就可以馬上銜接。

剛才也有委員及其他先進提到，那講師的部分呢？其實講師可以跟企業界一起合作，也就是，我們有實戰經驗、有能力、懂一些場域的knowhow，學校如果需要講師，我們可以派出講師，跟學校談合作。對企業而言也有好處，因為學生是付錢給學校，企業只要派出講師將他training好，將來到了企業就不需要一方面付錢，一方面還要教他，甚至最後教完了，人還是跑走，這個邏輯叫做幫別人養小孩。

因此在資訊安全人才培育中，我們衷心期望，在目前資安人才無非從資訊學系、資工系、電機系過來的，如果有機會可以考量成立資訊安全學系，從頭扎根，講師可以由企業界來協助及早培育。

再來就是公私部門的資訊單位部署規劃，我剛才有提到，我們服務過非常多大型單位，包括政府單位、重要機構、地方單位以及一般客戶，我們有一個很大的感觸，剛才也有委員和先進提到。公部門的專職人員，有些先進們知道，這方面的專職人員叫CISO、資安長，例如中華電信就有資安長，可是很多政府單位或是私部門不見得有這些觀念。

公部門為什麼要有資安長？其實這個職務非常重要，依我們過去接觸的經驗，當發生資安事件的時候，往往和我們對口的人可能是網路背景，但是不了解資安，所以我們在溝通上就產生很大的gap，導致失去時效性。如果今天公部門有專職單位，我說的這個專責單位是具有專職的職能，什麼意思呢？如果他有專職的職能，因為他本身也懂這一塊，這樣我們溝通起來才會快速。不然會經常形成一個情況，我們承接一些客戶的專案，當發生問題或資安事件的時候，因為沒有證據，所以無法鑑識，但不鑑識就無法找出原因，沒有原因就會再次被擴散、被攻擊。有時候負責這個職務的人往往是兼職的，他們就會把責任都推給產業界，這樣根本就沒有辦法解決問題。如果是私部門，我們希望除了有專職人員之外，能夠同時培育資安人才，建立專職部門，資安產業的發展策略才會興起。

產業界看到的是什麼？剛才其他先進有提到個資法，以前都是由政府帶頭立法，之後才會帶動產業發展，早期制定個資法之後，這個產業的確一片蓬勃，那時候有很多vendor、企業不斷興起，可是當個資法的熱度一消除，之後又因為執法不力，所以根本沒有人懼怕。我們過去有幫一些客戶做資安健診，找出他們被埋的後門和惡意程式，我們也告訴他們要小心，但是這個客戶直接回我一句話，他不care，為什麼？他的資料遺失或他的客戶資料遺失，對我來說不痛不癢，所以他不在乎，當他不在乎的時候，他會不會重視資安這一塊？他當然就不會重視。

我們希望資訊安全通訊法和個資法如果能夠建立起來，這點非常好，但是我們也希望嚴格執法，否則今天私部門是不會在乎的，公部門可能會怕上新聞，所以他們會在乎，但是私部門不會在乎，如果不在乎，產業的發展策略就無法被建構起來。另外一點，剛才也有先進提到，我們從事資安這個領域十幾、二十年，所以我們的感觸很深刻，資訊安全是一個高度的知識經濟，它不應該以價格量化，什麼意思呢？我們在承接一些公部門或私部門的專案時，他們都是怎麼選擇的？往往就是用價格標衡量，這會造成什麼後果？我們提供的是knowhow、專才，當我們為了生存，被迫只能用這個價格承接，這時候我們就會不願意提供更多knowhow。我們很希望數位發展部成立之後能夠扮演協調的角色，進行採購法的修正，包含價格的部分也是一樣，不應該用價格去衡量資安這個領域。

另外還要協調什麼？就是協調教育部幫忙輔導各學校成立資安學系。最後，我們可以在網路界看見、在業界看見資安產業如何發展起來，其實有兩個國家可以被仿效的，第一個是美國，第二個是以色列，這兩個國家真的做的非常好。最後和大家分享一下，我們在業界常常說資安沒有辦法幫你們賺錢，但是可以幫你們省很多錢，同樣地，把這句話套在產業，它可以幫我們省非常多事，因為我們整天都被對岸的網軍攻擊，以上是我的報告。

主席：謝謝林總處長。

請國立臺北科技大學智慧財產研究所江雅綺教授發言。

江雅綺教授：主席、各位委員。非常榮幸今天有機會，在參加上一場范委員和劉委員主持的數位部公聽會，討論共享經濟和數位著作權之後，今天有機會以資料治理和資安為重點，繼續討論數位發展部未來的走向。我這邊剛好有一篇2017年The Economist journal的paper cover，這裡提到以前大家認為生產要素最重要的是能源、是石油，但是未來取代石油這個角色的就是data，就是我們今天在這邊討論的資料庫，所以它不只是國安的重要元素，也是未來產業發展的重要元素。

從這一點來說，剛才劉世芳委員也提出很多問題讓我們做功課，我就以這幾個面向做主軸。第一個，劉委員剛才提到資安的人力缺口，還有資安的鑑定，這個部分我們可以參考歐盟GDPR的規範，裡面有提到by design的概念，法規要求在軟體、硬體及所有流程中，應該把資安和隱私的標準納入考量。一方面在標準程序有明確基準之下，產業或是公部門才知道未來不管是硬體或軟體，或是人才的訓練、培育，他們可以做什麼樣的努力。

另外一方面，我要呼應剛才范委員提到的跨領域，其實2019年有一個資安調查單位做了一份報告，大家可能沒有想到，過去一年最大宗的資安事件來自何處？它來自網路學者稱為social engineering社交工程，利用人的弱點駭入這個系統。關於社交工程，我隨便舉個例子，大家一定都不陌生，例如你可能會收到一些e-mail，最愛的減肥藥品、最好的壯陽藥品、外星人的內幕、Michael Jackson怎麼死的、明星產品的折價券，還有最近最紅的COVID-19疫苗或是病毒，收到這樣的信件，很多人會產生興趣點進去看，點進去之後可能就會中毒或被植入木馬。或者是大家在使用Line的時候，對這種狀況可能也不陌生，就是利用對好友名單的信任，你會收到一些訊息，例如有件事情想要拜託你，最近可不可以借我一點錢，然後會連接一個帳戶讓你轉帳。這些東西並不像大家想像的，需要很高、很高的科技知識，相反的，可能只需要一般性的資安教育訓練，就可以阻擋大概一半的資安漏洞，這是根據資安調查單位的報告，大概46%的資安問題來自這種社交工程系統的弱點。我並不是指科技或者資安在硬體和軟體這部分的人才及訓練同樣需要加強，我想強調的是，其實只要用很小的成本在其他領域做一些加強，效果可能就會很大。

第二點，剛才很多先進都有提到個資法的問題，我非常開心，剛才很多產業界朋友都有提到，當時個資法的修正給他們帶來一波商機，這也是我經常在很多會議中想要強調的，不是只有法規鬆綁才會對產業有利，良好法規的制定同樣能夠帶來產業的商機。剛才很多先進也提到，當初個資法修正讓產業得到一波新的機會，但是它也有一些問題，所以導致這個產業後來的動能沒有辦法持續。今天也是剛好大家非常關心數位身分證這件事情，以車子來比喻好了，當初車子上路的時候，它也是一個新科技，對於這樣的新科技，我們很難想像在沒有任何道路交通規則之下，駕車行駛在路上，現在如果你撞到別人有第三人責任險等等，還有相關道路交通法規，如果發生事故，有相關的法制設計可以處理，所以我們無法想像沒有這些法規就可以上路的狀況。

為什麼資料這麼重要的事情，大家會覺得沒有一部更好的法律，沒有一套更好、更周全的法制予以規範是可以接受的？在這樣的法制修正架構之下，我想要強調一下個資專責獨立機關的重要性，例如今天在場的金管會、通傳會，金管會的業務範圍涉及銀行業，他們有很多客戶的個資，通傳會則是涉及電信業者，也掌握很多終端消費者的個資，但是這兩種個資的使用目的不一樣，所以在管理規範上，勢必也會出現不一樣的標準。基本上，現在的個資法管理權責是散落在各目的事業機關，由他們分別管理。也許這麼做有它的優點，因為每個機關可以share一些burden，但是這樣的結果就會變成沒有統一的標準。如果我們國家把資料視為國安方面高度重視的戰略物資，如果這對未來的數位經濟發展這麼重要，權責散落在不同單位，讓他們用不同標準管理，這樣如何讓人民放心？特別是之前也有很多先進提到，包括臺灣和歐盟之間的貿易也會受到影響，歐盟因為GDPR的法規標準，希望要求另外一方有同樣高度保護個資的水平。所以成立個資的專責獨立機關，配合個資法以及未來相關資料運用法制的修正也是非常迫切的主題。

第三個，剛才委員也有提到數位稅這件事情，剛好上禮拜五在一場研討會上，我有發表一篇關於數位稅的論文。數位稅在數位經濟扮演的角色，大家可以想像一下，就是可以對境外數位平台課稅的一種方式，但是可能要注意一點，目前的數位稅應用起來，很容易最終轉嫁到境內的終端消費者。我們希望把境外業者賺到的利潤回饋到境內的經濟發展產業，但是未必會達到這樣的效果。我覺得數位稅是一個很好的方向，但是最後數位稅的方案是不是真的能課到這些境外、我們想要追蹤的科技平台業者，而不是讓境內的個別消費者負擔更大的責任？我覺得在方案採行上需要好好考量。最後一點，我簡單說一下剛才范委員也有提到的數位主流化，還有跨領域這件事情，我覺得這一點對今天討論的主題非常重要，因為過去往往有太多關於數位科技、數位經濟及資安的討論，都太偏重於科技層面。其實這個部分除了我剛才說的，也許可以用一些人文、法律設定標準，讓這些人接受一定的資安教育之後，就能用很小的成本去解決很多事情。

剛才委員也有提到數位主流化，每一個部門都需要有一定基礎的數位知識或是資安素養，在跨領域的人才培育方面，我們也許可以透過過去的方式，例如要求私部門必須建立一定的智慧財產管理標準。這也是過去沒有的，因為國家考量到有這樣的需要，所以在今年的企業治理新標準裡面，新增智慧財產管理方面的章節。我相信未來這個部分可以通過公部門、私部門和教育單位，一起攜手做好社會最基層的、第一層的教育以及知識訓練，以上，謝謝。

主席：謝謝江教授。

請元智大學資訊管理學系周韻采教授發言。

周韻采教授：主席、各位委員。由於我不是資安專家，所以我先從第三個和第四個問題著手，從這幾個比較大的方向回答。要回答第三個和第四個問題，最重要的就是數位發展部是否應該成立？事實上各界對這部分有很多討論。現在的生活型態已經轉成數位化，在某種程度上可以看到過去這幾年的變化，不管是Uber或是Airbnb，他們很多服務的重要核心就是數據，卻被不同部會的本位主義所限，很多創新服務沒有辦法發展，所以它必須做到某一個程度，就是抽象化，必須形成以數據為核心的治理概念。從這邊來看，有可能是以單一部會管理，但是它可能會收納未來所有的數位服務，一旦所有的服務都數位化，這個部會就會成為巨無霸。另外一個方法，也就是以委員會的形式管理，因為只有委員會可以做跨部會協調，但是這個部分我們已經發現會有問題，尤其是十幾年前成立的NCC，這個實驗就是一個錯誤的結論。因為NCC是一個獨立機關，所以它沒有辦法協調其他部會，而且NCC自詡是一個監理機構，所以它也沒有辦法做政策的突破。

這個部分目前只剩下國發會可以做跨部會協調，但是也有同樣的問題，一旦國發會開始將數位服務納入管理，它也會變成一個超大型的巨無霸，而且有一些服務必須直接執行，但過去國發會都是擔任跨部會協調的角色，似乎也不應該在第一線執行業務。這兩種模式比起來，也許到目前為止，數位發展部是一個比較可行的做法，我個人非常贊成由數位發展部收納所有相關的數位服務。還有一點更重要，就是除了發展部本身的組織法以外，像數位服務法的草擬，未來可能是大院更重要的工作。

這部分應該包含什麼？其實就是回應到底什麼是數位服務？怎麼做數位治理和轉型？到目前為止，它的主要核心就是數據和演算法，數據和演算法合起來會構成一個平台，就是所謂的平台經濟，當平台經濟發展到一個程度以後，就會有所謂的反競爭議題。整體來說就是對數據怎麼規管？對演算法做什麼樣的規管？最後，對於平台經濟的practice、交易要用什麼樣的方法管理？另外還有反競爭的議題，未來的數位服務法應該包含這四大議題。

從這邊來說，對於數據，其實GDPR在歐盟的模式最值得我們參考，而且是我們應該納入的概念，就是資料落地以及所謂的數據可攜性data portability，這個部分如果能夠透過數位服務法給予規範，我個人覺得在這個層次上就不用特別再修個資法，事實上它就可以override，也就是當消費者要擁有就可以攜帶，我想這個部分行政院蔡執秘也很清楚，過去在修電信法的時候，其實是同樣的概念，也就是number portability，這個時候我的資料是我可攜的，所以可以促進交易和反競爭的一些問題。再來就是要界定什麼是必要數據，或者是我們講的關鍵數據，如同過去電信業的關鍵設施一樣，在這個狀態之下，當你去界定什麼是關鍵數據，必須以政府的力量要求擁有這些關鍵數據的業者或者是政府自己都必須公開，那這個時候第一個，可以保障數位人權；第二個，可以避免反競爭的問題，所以這是政府未來一定要做的。

在演算法這個部分，最重要的就是auditing，所以未來在政府部門裡面要有相關的演算法審計，包括地區塊鏈的人才放在政府部門裡面，未來對所有的產業開始用數據演算法的時候，才能夠真正去納管，否則的話，到目前為止，沒有辦法去做任何的規管措施，換句話說，對於演算法的認知和審計，這是政府部門刻不容緩的一個課題。那麼我粗略看了一下，從這邊我們再回來談人才，我個人是覺得目前政府針對資安人才培養口口聲聲說人才不足，但是我們看到的都是比較偏硬體的，還是屬於網管層次的。我很贊同剛才幾位業界專家的說法，現在已經是數據，甚至包括各種演算法、區塊鏈，這個部分的技術是日新月異的，過去可能是每5年汰換一個generation，現在可能是每6個月、3個月就汰換一個generation，如果從這個角度來說，政府一直強調資安人力不足，可是它有沒有想過資安的需求，人力的talent其實是動態變遷的。如果一直在強調有多少人力，那這些人力進入政府部門以後，萬一3個月、6個月以後，他的技術已經不適用了，問題是他已經成為公部門人力，基於公部門對公務人力的保障，事實上不可能任意解聘，所以這個時候會產生一個很大的問題，就是資安部門會越來越大，但是80%的人力可能都是過時的，那這樣子還有必要要一千多個人力嗎？所以我覺得大院對於行政院的所有說法都必須要很審慎的評估，要考慮動態變遷的人力需求，而不是實際上的人力缺額到底是多少。

有關這個方法，以美國國防部為例，大家看一看它對資安的需求，事實上美國國防部是世界上最大的contracting-out的業者，美國國防部對資安的需求應該是世界級的，但是它有多少的案子全部都是contracting-out，換句話說，如何與業者簽訂很好的保密協定以及做clearance，絕對比所有的人力都納在政府部門好，所以政府部門應該是做最低限度的限制、最低限度的員額，這樣子人力才不會僵化，而且現在有總員額管制，如果今天政府不斷地擴張，那其他業務的人力需求怎麼辦？再加上最近的通訊監察法以及個資法的一些問題，我認為如果越形擴張資安人力的需求，有沒有可能之後轉成「人二」數位監控？其實NCC前陣子開始在一個科室裡面專門監看假新聞，我覺得得到了很大的恐慌。事實上，政府本身有可能是未來對個人資料最大的侵入者，我想這個部分並不是我個人的夢幻囈語，Snowden的稜鏡其實已經說明了。

我想大院應該要很care個人的數位人權，明年內政部即將要執行的數位身分證有很高的人權疑慮，那不能只是講資安。如果在人權的保護、個資的保護都沒有做好之前，事實上是沒有資安的可能性，針對這個部分，台權會已經提出預防性不作為訴訟，我希望大院能夠從這個案例真正地去檢討，行政院在的資安需求上面到底到達了什麼等級，今天到底有多少人力能夠真正去執行演算法的審計以及區塊鏈的技術，從這邊我們才能去談到資安的人力需求，所以我個人認為前面兩個議題其實是假議題，因為根本不構成資安人力的需求。

主席：謝謝周教授。

請洪委員孟楷發言。

洪委員孟楷：主席、各位學者專家、各位同仁。今天舉辦這個「因應數位發展部成立，公、私部門資安人力建制及產業資源探討」公聽會格外具有意義，因為資訊安全和數位發展已經成為現在不可逃避的趨勢，如果這是政府發展的方向，公部門為了整合相關的資源人力有必要成立數位發展部，我想不分朝野應該要樂觀其成。不過我今天要提出幾個重點，希望相關的行政部門能夠去討論和考慮，畢竟國人對於數位發展還是會有疑慮。

首先第一個部分，「數位發展」4個字過於籠統，數位發展應該是一個技術，技術應該是中性的，你不可能擁有這個技術就掌握這樣的業務，譬如觀光行銷需不需要數位發展？需要。工業管理需不需要數位發展？需要。交通維運需不需要數位發展？需要。但是不是因為你有了數位發展之後，觀光行銷、工業管理或是交通營運馬上也變成是數位發展部可以指指點點，或是變成其他部會的上級機關，因此，技術和業務在這邊還是要明確地定義清楚，數位發展部著重的業務項目到底是什麼？

第二個部分，蔡英文總統之前對於數位發展部的規劃，她在8月11日有幾段發言，其中她有講到是要加速整合資訊、資安、電信、網路和傳播五大數位發展相關業務的機關。本席特別去看了一下這幾大業務相關發展，目前主要都在交通部或是NCC，有高度的重疊，不過以員額的分配來講，交通部在這個業務上面的人力編制是缺少的。那本席看了NCC過去的相關資料，NCC的預算員額大幅超過實際員額，而實際員額又大幅超過法定員額、之前我也請教過NCC的主委或是委員，為什麼NCC到目前為止還沒有把法定員額補足，這樣子人力是不是有所充餘？而當時法定員額還沒有補足都還要再增列約聘僱人員，所以我們未來如果要成立數位發展部，行政部門不要再疊床架屋，在人員的分配上，應該利用這個機會好好地檢視一下哪些單位有過多的員額，哪些單位的人力不足，通盤整合之後，讓數位發展部真的有人有權來進行。

第三個部分，剛才有先進提到，資安是未來數位發展部一個很重要的業務，這也是行政部門現在灌輸的，但是我們希望資訊安全這樣的大旗或帽子絕對不要無限上綱，為什麼？因為今年4月蔡英文總統在調查局成立資安工作站揭牌的時候，強調擴大查緝網路犯罪的重要性，如果資訊安全的業務在調查局有成立相關的部分，而數位發展部也一直強調資安的重要性，那未來會不會與資安有所連結，具有犯罪防治的性質？是被動消極還是主動積極？如果是主動積極的話，未來數位發展部難道還要再新增偵查或是警察等相關的行政權力嗎？這樣子會不會讓大家覺得是拿著資安的大旗無限擴權延伸？我們希望數位發展部有一個定位，但是絕對不能越權。

最後，如同剛剛講的，數位發展部最核心價值概念到底是什麼？以區塊鏈的部分來說，從2017年、2018年在國發會內部就已經討論要發展我國的區塊鏈，但是到目前為止就是一個大聯盟的辯論會形式，而且換了相關的主事者之後，可能對於這塊業務的重視性又不是那麼多，所以我們希望數位發展部在成立的時候，一定要著重於它的核心價值，而核心想要推動的法案到底是什麼也一定要一併提出來，不要徒有組織但是沒有業務，或是沒有核心目標，這是我們不樂見的。在這幾個前提之下，今天特別把這幾個問題提出來就教各位先進，希望我們共同來監督推動，讓數位發展部早日落成，好好行使職權，以上，謝謝。

主席：請財團法人青年和平團詹為元董事發言。

詹為元董事：主席、各位委員。今天很榮幸受邀來參加因應數位發展部成立的公聽會，在討論數位發展部成立之前，雖然我們今天討論的是比較後端的，包含資安，還有產業資源分布的問題，但是我覺得即便是未來的數位發展、數位治理以及資安的建立，這些都與這個部會成立的性質和組織的形式息息相關，所以我今天會分兩部分，第一部分，我們先來討論一下數位發展部成立的性質到底適不適合、妥不妥切，再來就是針對資安的部分向各位報告。

首先我向各位報告，我支持數位資通必須單獨拉出來成立一個專責的部門，因為按照歐盟GDPR的通則，各國應該建立一個單獨保護個資的單位，現在臺灣中央主管機關的管理是比較分散式，資通訊的部門和人員是分在各個不同的單位裡面，跨部門的流通性太低，導致我們沒辦法做出一個系統性、整合性的作為，所以在面對國外或其他的資安攻擊的時候，以目前的政府來說，在應對能力上或反應能力上，看起來稍嫌偏弱了一點。

今天我們討論成立數位發展部，除了剛才我講到歐盟這個理由之外，目前政府對於成立數位發展部沒有太明確的一個目標措施，我覺得比較像是以為單獨將數位發展成立一個部之後就能解決所有的數位發展問題，我認為象徵意義似乎大於實質意義，怎麼說呢？包含今天有很多與會學者討論到數位身分證eID，我們看到在立法院有很多立委質詢說它有資安的問題，要把它擱置，但是大家不要忘記現在有一個資通安全管理法，它的目的是什麼？它就是要建立一個資訊安全管理，現在已經有實實在在的法令在那邊，可是大家不去理它，對於數位人才和資通人才的建立和培養，好像也覺得這部法律不夠，以為成立數位發展部就可以讓未來的eID變得比較安全，請問成立了數位發展部之後，難道不需要法令配套的措施嗎？現在已經有資通安全管理法，為什麼放在那邊不用呢？所以回到我剛才講的，我認為數位發展部的象徵意義大於實質意義。

我們來看數位發展部成立的目標，它是結合資訊、資安、電信、網路、傳播，但是在結合這些東西的時候，會與其他部會產生一些法律必須修改的問題，譬如說經濟部有產創條例，科技部有科技基本法等，有的是促進產業的，有的是監控管理的，在各部會有不同面向的修法方向，難道是單單一個數位發展部就能解決問題嗎？勢必需要跨部會的協調嘛！與其這樣頭痛醫頭、腳痛醫腳的修法，為什麼我們不乾脆訂立數位發展基本法？包含今天與會的許毓仁委員，他之前有提出數位經濟基本法，類似這個邏輯，針對數位發展、針對數位經濟有一個基本法，用一個通盤性的法令解決各個部會各為其政的情況，我相信未來政府的資源在整合上也能比較妥當。

我並不是反對數位科技單獨成為一個專責單位，但我認為成為數位發展部是可以商榷的，現在草案還在一讀嘛！我覺得應該可以換一個方式思考，是不是成立一個數位發展會，甚至是直屬於行政院底下的數位科技發展委員會會比較好？怎麼說呢？我們看到前陣子科技部轉換成國科會，各位老師應該知道，以前學校都向國科會遞交提案，那為什麼會這樣轉變？政府給的答案是它轉變成會之後可以比較多的跨部會協調，代表它協調的能力比較好，那同樣的，數位發展也牽扯到各個部會不同的東西，難道它不需要協調嗎？現在就是因為協調不當才要把層級提高，既然層級要提高，開始在討論它組織改變的時候，為什麼不把它發展成行政院底下一個更具有協調能力的數位發展會？為什麼會這樣說？我們可以參考新加坡提出的Smart Nation 2025計畫，就是要去成立一個更高層級能跨部會橫向溝通的智慧國家辦公室，那為什麼要這樣？因為數位發展包含了媒體娛樂、智慧住宅、金融、智慧醫療，林林總總，所有東西都需要數位，在這個情況之下，它不只是資通訊而已，它會進入更多專業領域，那進入專業領域之後，當然需要更高層級的跨部會的一個組織、一個部會去統合，所以我認為真正重要的是跨域，跨域才是我們在討論數位科技接下來一個很重要的方向。

最後還有一點時間，我花一點時間討論資安的問題，我們在討論資訊發展的時候，很多人對於臺灣或者是政府的資訊安全有一點點不信任，為什麼不信任？我覺得根本原因是連政府都不信任自己的資安能力。我舉個例子來說，大家應該有聽過電子簽章法，剛才也有提到，它在民國90年經總統公布，91年實施，到現在已經19年快20年，電子簽章法施行之後，竟然被17個部會及8個地方政府公告排除，連電子簽章法這樣簡單的資訊工程，這樣的連署方式都被部會拒絕，為什麼拒絕？因為大家覺得不安全啊！大家覺得不知道誰簽的啊！這麼簡單的技術政府都不願意使用，那你叫老百姓怎麼接受這樣的資訊安全能力？包含剛才講到的數位身分證也是一樣，今天內政部提出的東西，結果其他人都說資安有問題，那不是代表政府每推出一個資訊的東西，連其他部會或其他委員就自己打臉自己，那要怎麼樣建立起民眾的信任呢？剛剛錢老師提到有數位人權的部分，我覺得在建立民眾對於資安的信任度之際，除了政府單位必須以身作則，此外大家也很擔心數位學習的部分。舉例來說，我最近要買空氣清淨機，所以會Google一下，結果我的手機和電腦中就跳出各品牌的空氣清淨機，相信各位資訊、資通或大數據的專家一定很清楚其邏輯何在，但對於民眾來說卻不是，民眾覺得很恐怖啊！可能他講的話被Siri錄起來，或者可能所搜尋的東西就留下數位印記的紀錄，出現在他的購物推薦名單上。老實講，對各位而言覺得很普通的事情，但民眾卻覺得很恐怖，因為我們搞不清楚它的運作邏輯是如何。所以這個時候政府在數位人權和數位治理方面，有必要跳出來告訴大家說我們處於一個數位安全的友善環境，才能讓整個國家、所有民眾對於數位發展有更佳的信任。

講到數位人才的建立，剛剛我看到行政院資通處的報告，按照資通法等資料的內容，目前資安人力缺口大概是1,224人吧！老實講，資通安全管理法於2018年就通過了，結果到了2020年仍有人力缺口。高雄市陳其邁市長過去在行政院是擔任第一任的國家資安長，他都公開在媒體說，現在我們最大的問題就是資通安全人力不足。這個法律通過兩年了，尚不足1,000多個資通人員，臺灣資通人才真的那麼缺乏嗎？當中有一點也很重要，資通人才過去原本是專責，應該是政府自己建立起一個人才庫後，改成專職，專職可以委外。各位試想，如果今天蔡政府告訴大家資安即國安，代表這麼重要的東西的核心技術不能外流。我們簡單的比擬，台積電將晶圓的核心技術委外，只要簽好保密條款就好，這樣就安全嗎？同樣的在資通訊裡面更應該建立一個政府自己的人才庫，當然剛剛教授有說到他們的資訊會落後，必須不斷地訓練。

最後還有一點我要跟大家講，我們要怎麼樣吸引優秀的資通人才進入政府，考公務員嗎？他們的薪水比台積電多、比業界多嗎？你們找得到下一個唐鳳嗎？唐鳳只有一個人，政府全部的資通人才都能夠像唐鳳嗎？不可能嘛！所以在這樣的制度下，薪水的誘因這麼低，你們要怎麼把臺灣最優秀的資通人才吸引到政府裡面？我覺得這才是接下來要依序去解決的問題。

主席：接下來請陳委員椒華發言。

陳委員椒華：主席、各位學者專家、各位同仁。資訊人才的培育非常重要，資通人才就業的相關資訊，或者政府應如何重視這個問題，讓相關人才看到未來的就業機會也是非常重要。尤其現在是資訊時代，非常多的問題可能出自電腦，或者是未來AI的零組件裡面。我們可能要開始擔心，以前在電影裡面看到電腦掌控人的世界之情節，或許漸漸地就可能到來。我自己是科技大學出身，我也看到技職體系相關的資訊系現在所能吸收到、找到的學生，在成績方面也逐漸掉到後面，相信在大學也有這樣的情況。所以政府應超前部署，從教育階段培訓相關人才，為他們未來的就業提供更好、前瞻的願景，我想這是責無旁貸的。

剛剛前面多位先進也提到這樣的問題，希望在教育制度面我們能夠儘早看到相關的問題；基於網路安全或資訊安全之重要性，能夠早日修訂相關的法規，並且立法以超前部署、趕快建立制度。我知道行政院最近也重視這部分的問題，甚至未來行政單位會成立相關部門專門做資安的部分，在政府體制面有所建置。未來在就業市場的穩定需求下，希望更多年輕人願意進入資安系或資訊系等相關科系，培育出更多這方面的人才。很高興今天能夠參加這個公聽會，未來會跟大家一起努力，謝謝。

主席：今天的公聽會，中午就不休息，直接開到會議結束，剛剛有發放便當，大家可以自由食用。

下一位請高委員虹安發言。

高委員虹安：主席、各位學者專家、各位同仁。非常感謝今天與會的學者專家，目前正值組改，數位發展部的成立也是非常重要的一個階段，各位學者專家寶貴的意見我全部都看過了，來自產業界的意見我希望部會也能夠聽得進去。首先就數位發展部，我在立法院多次的質詢或媒體的專訪當中一直在詢問，各部會針對數位發展部的組改草案到底會是什麼樣子？根據媒體所有披露的內容，從第一版開始，告訴我們說這是NCC改組；第二版則告訴我們說這是科技部改組，再來我們又看到是資通安全處、資策會工業局，看到媒體專訪時行政院的回應，我都覺得數位發展部好像是一日三變，每次看到專訪的時候都發現數位發展部又變了一個樣子，它就像是變形蟲一樣。今天在場的學者專家，如果你從3、4月開始關注數位發展部之變化的話就會發現，政府對於數位發展部這麼重要的一個政策，從以前到現在到底你們是怎麼樣規劃的，為什麼在短短幾個月內可以如此變化萬千？這是小英總統去年選舉時的政策，我真的很懷疑，當時小英總統想到數位發展部的政見、在爭取選票的時候，到底他心中的數位發展部是長得什麼樣子？

11月25日李孟諺秘書長面對媒體專訪時特別提到，包含在內政委員會我們也有質詢，有關行政院資通安全處，到時候會在數位發展部成立一個叫資安署的單位，負責的是各部會的資安防護，同時把國發會的個資保護專案辦公室併到資安署裡面來做個資保護。首先我想講，剛剛第一位發言人吳明蔚常務理事提到，現在製造業面臨到許多資安的問題是在於，比如勒索攻擊。我自己在竹科園區跟廠商座談的時候，他們真的是偷偷地告訴我，其實每個月可能都會有一次這種勒索攻擊真的成功發生在竹科廠商身上。我問他們，那你們怎麼辦？你們有沒有防護？他們說，他們沒有辦法像以前鴻海一樣，鴻海可能自己有辦法去防護所謂最難的APT滲透攻擊，但是這些小廠商沒有辦法，最後他們只能夠乖乖地付錢，所以剛剛吳明蔚常務監事講的現象是真實存在的。我再回頭來問，我們的發言人對外告訴大家，數位發展部資安署是要做各部會的資安防護。對於我們最重要的全國、全臺灣產業的資安，請問你們打算如何來提升國力？再帶到剛剛前面很多發言的專家學者都講到的，我們現在有一千多位資安人才缺口，剛好在我前面發言的詹董事有提到，我們2018年通過了資通安全管理法，可是很可惜地，為什麼到現在人才缺口還是如此大？到底為什麼會這樣？如果回頭去看資通安全管理法，其實第一條和第四條都是相當空泛的規範，其分別寫到「為積極推動國家資通安全政策，加速建構國家資通安全環境，以保障國家。」以及「為提升資通安全，政府應提供資源，整合民間及產業力量……」這是我們的法條，換言之，如果今天資通安全管理法是一個這麼空泛的法條，也難怪各部會在做資安的時候，可能還是相對屬於比較被動的角色。

剛剛我講到個人資料保護專案辦公室，國發會今天可能沒有列席，我剛剛在名單上沒有看到。國發會的個資保護專案辦公室是告訴我，目前個資保護專案辦公室所做的是在法規的制定及研擬各國的政策。但在法規的制訂上，大家都知道個資保護法也很久沒有調整，這點我就不贅述了。然後資通安全處目前的作法，其實是在做很多資安稽核的相關工作。如果今天這兩個部會到了數位發展部變成資安署之後，可以真的把全國的資安能力提升，我是樂見其成，但是到目前為止，不管從法規面或是目前的政策面，其實都還看不到這樣的跡象。更不要講剛剛提到的外包，有關外包，其實在2018年就發生過中科院伺服器的採購規格裡面就寫了要跟百度雲連結。你知道為什麼會發生這件事情嗎？其實就是很多部會人力的資安常識或素養不足，所以剛剛有提到，我們是不是可以培養很多資安的學生進入職場？但是我要先講，資安的訓練必須在上手的時候訓練，他並不是在學校內部就能夠習得資安上的實務經驗。再來，其實也很少資訊工程系的同學願意來公部門工作，我上個禮拜才去PyData，就是一個Python的大型研討會，是每年一次的大盛會。當天我就問在場的工程師，有沒有人願意去公部門工作？其實大家都不願意。我想這才是要解決的根本問題，人才在那裡？法規在哪裡？還有數位發展部成立的目標是什麼？產業的資安推動、產業的資安提升才是相當重要的事情。今天的公聽會有這麼多專家學者提供意見，部會一定要好好地聽進去，趕快把組織草案改好，讓大家能夠欣賞一下你們的大作，也讓立法院能夠做詳細的審查。以上報告，謝謝。

主席：請賴委員香伶發言。

賴委員香伶：主席、各位學者專家、各位同仁。今天這個主題對於未來，不管是在資安或是國家培養資安專才上，確實是一個重要的公聽程序，但是很可惜地，政府的腳步、政府的組織永遠落後實務上的需求。就以人力配置和人力需求的職缺問題來看，現在有關資通安全責任分級的機關，A、B、C級裡面缺了一千多位的專才。今天人資長應該有來，我想這個是人總最重要的任務，他能不能解決？不能解決。為什麼？我自己過去待的單位就是C級的，但是很特殊的，A、B、C、D、E級裡面，部門裡面要分類自己是哪一級，其實沒有一個很好的參採標準，所以造成你兩年內的核定跟未來調整之後是否會升級。基本上機關的態度跟機關的想法都是比較保守的，甚至是希望不要升級。我要先奉勸人總要好好去認識跟理解的，為什麼部門不願意到一定程度的A級和B級，關鍵就在於沒有這樣的人，這樣的專才不願意擔任公務員，公務員到這個領域之後，大概就離開了，這是一個非常專業的職缺，也需要相對專業的保障才會有人願意來擔任這樣的工作。所以第一個，請人總待會一定要回應，這個專才的缺口你們準備怎麼解決？如果沒有的話，在資安法通過、分級表通過之後，這兩年來，就如同剛剛各位先進就教的，一樣是在原地打轉、一樣沒有提升，這個問題是未來即使數位發展部成立也不會解決的課題。

第二個，從今天行政院資安處處長的報告中可以看到臺灣目前被攻擊的次數，特別是簡處長的資料也有提到，臺灣政府一個月被攻擊的次數大概是2,000萬次到4,000萬次，一年被攻擊成功的次數大概是360次，表示一天幾乎就有一個攻擊成功的事件，這對我們政府部門的資訊外流和資訊安全是非常大的疑慮。從它的分類中可以看到，在幾千萬次的攻擊裡面，非法入侵占了百分之五十七，網頁攻擊大概占百分之十七，所以我想就教的是，包括今天來的科技部也要面對，未來這樣新的量子電腦技術是不是在很多先進國家已經有成功的開發，而且能夠很快速的進展到跟金融、國防安全，甚至社會安全有關的資安問題？所以第一個，在這個領域裡面非常多專業者和學界都在，這是一個未來的課題。

我們還是很清楚地講，我們現在講的超級電腦以及現在Google已經開發出量子晶片，其運算速度已經超過超級電腦幾乎是一萬年的速率。在這樣的改變之下，我們現在探討的數位發展部、數位裡面的資安，我們的想法是不是還停留在過去？今天談到的數位發展部，不管是科技部也好，或是跟國防安全相關的部門也好，我認為第一個，行政院資安處層級真的太低了。第二個，剛剛有位董事提到，行政院在整體思維上，如果未來要成立數位發展部，它要面對、解決的是產業和人才的培育，可是回到行政院或是國家安全本身來講，是不是國家相關的數位委員會反而能夠更有效地勾稽和發展公私部門的資源，面對未來量子電腦發展後的技術，或是更能夠預防資安產生的影響？這個是要前瞻性的規劃跟政策，而不是只靠一個四年的行政院國家資通安全發展方案，我相信只靠一個方案是根本沒有辦法面對及因應未來量子電腦所造成產業上及科技上的需求。以上，希望各部門能夠回應這個部分，謝謝。

主席：請張委員其祿發言。

張委員其祿：主席、各位學者專家、各位同仁。我很高興有機會聆聽大家對於資通安全以及未來是否要有數位發展部的想法。今天我應該算是最後，當然我還是把這個問題總結一下，是不是未來有數位發展部之後，臺灣就真的有很好的數位政策？其實有沒有一個專責部會跟最後這個政策做得好不好並沒有直接關連，所以我們要將現在看到的問題提出來，因為只有這樣子，未來建立這個專責體系後，你才不會有問題。為什麼我們要談這個？目前我們也不是沒有政策，其實在行政院的資通安全管理法中就有規定要做哪些事情，這裡面也說得很清楚，包括每年要呈報資通安全維護計畫的實施，以及對它的缺失要進行檢討改善等等，這些都有，甚至也有規定由誰來做。但是目前看來，這些政策是不是有問題呢？比如說我們第一任的資安長，也就是陳其邁前副院長，按照這個辦法，他就是所謂的資安長，可是我們也要問，由這些副首長來擔任資安長是對的嗎？雖然我們承認現在陳市長也非常優秀，但是他真的是這個背景嗎？我們也不禁要問，就目前的現象來看，到底有多少資安長是這樣的背景？就是因為他的職務在，所以他就變資安長了，這樣子能把這件事做好嗎？

而且按照這些稽核辦法來看，資安等級C級以上就有1,330個，但是按照目前的稽核作業規範，每一年僅擇選10個機關分季進行稽核，但是這樣子可以嗎？其實目前的政策或辦法也是非常非常的鬆散，我們看到現下的問題就是如此嚴重，甚至最嚴重的A級機關，即最需要資訊安全的部分，也是每年辦理一次。有組織固然重要，但我們還是要問，到底這個組織要做哪些事情才是重點。以目前資安政策上的設計，其實還是可以看到很多問題。

剛剛有好幾位先進或委員也談到人力缺乏的問題，我們來看一下這個部分更好玩。我的簡報資料是2017年的，上面提到我們缺了1,024人，換句話說，106年的時候就已經說我們欠缺千餘人力，可是到今天好像還是欠缺這樣的人力。其實我們也不是不知道問題，問題已經被點出很久了，在這個方向，我們已經看到問題，但是那個布局還是有限。

其次，被攻擊的次數就是每月兩千多萬次到四千萬次，這也是非常嚴重，現在好像就認為這個部成立之後，就可以把問題解決，甚至希望在這個部下面設立資安署，其實這樣聽起來，問題也不小，為什麼？以往我們都希望這種資安問題能夠有跨部會的整合或什麼，但如果資安署是這樣子設計，現在光是把他擺在行政院下面，都覺得跨部會整合困難重重，未來他又變成一個部下面的再下面，等於是三級機關，這樣他能夠做好這件事嗎？

另外，我們還是要提醒，資安本身是重要的，但是資安這件事為什麼剛才會延續到人才等？其實我們還要問，未來這個部要成立的話，他對於整個產業的培植，無論是這件事情或是剛剛提到的人才培訓，不管是人才或產業，是不是這個部就能夠做這件事？因為現在光看資通安全處的任務規範，其實我們不太看得出來他能夠協助未來長期產業的發展或人才培育，而這個可能才是真的問題。也就是說，如果未來真的要成立這個部，這些部分可能也都要很清楚。

最後，我們還是要強調，不是只靠一個法就能夠完成，數位發展的產業和監理其實是兩段事情，這些東西真的要有配套，包括New eID的發展也是一樣，就是它可能還是屬於內政部、戶政這邊，另外一邊是監理。所以我們還是認為這件事還是在各部會身上，就算未來有了這個部，各部會還是有自己的重大責任存在，等於說很多事情還是散出去，在散出去的情況下，未來這個部成立之後，他也要想辦法把他們整合回來。另外，他自己還要肩負人才和產業培訓等任務，其實這些也要講清楚，而不是好像他只是一個負責安全防護工作的部會而已，其實他還有更大的責任。所以這個部會的成立是任重道遠，有很多事情也要把它配套、規劃清楚才行，以上，謝謝。

主席：各機關如有提出書面意見，請大家自行參閱。目前第一輪的發言已經完畢，請各機關代表針對學者專家的發言回應。如果有要登記第二輪發言，可以到主席台登記，或者是等一下可以舉手致意。

先請行政院人事行政總處蘇副人事長說明。

蘇副人事長俊榮：主席、各位委員。大家提到對人總的期待就是兩個字「缺人」。第一個，我們先來談「缺」，目前各個二級機關大概有一萬三千多個缺，缺都在那裡，重要的是各部會首長要去動這個缺，他不去補資安的人，卻一直在叫沒人，我覺得這件事情不公平。缺總共有一萬三千多個，資安處提出來的大概有幾千個，其實對他來講不到十分之一，只是看他有沒有要將這個缺調出來做資安而已，我想這一點要先澄清，因為很多人都說：人總很吝嗇，跟他要人都要不到。其實不是這樣，缺都在那裡。

第一個是缺，第二個是人。人的部分我們要從短、中、長程三個階段來講，在目前的階段，我們跟行政院資安處和國發會資管處都有合辦一些不同類型資安的training，比較專業型的就是資安處在辦，中央和地方是辦一般的。我們有跟國發會合作，我們總處在今年7月1日也成立了資安人才培訓中心，我們內部就招訓次長班、司長班和簡任班等，不同層級我們都有辦，因為這件事情我們要分進合擊，政府本來就一體，不要讓人覺得我們都各做各的。其實過去這段時間，我們跟行政院資安處和國發會都有非常密切的合作，所以這一點我也必須跟大家報告。

現在我們可能會面臨到一個困境，就是那些人要從哪裡來？如果是正式的公務人員，從報缺到考試進來，至少會有兩、三年的落差，所以最快的方式就是由目前的資訊人員去考試取得資安證照轉置，但是這樣又會遇到另一個問題，就是資訊人員「生吃都不夠，還要曬乾」，所以資訊人員一定會有缺口，必須要快速進補人力。至於最快的方式，在短期我會建議用公私合併來解決這個問題，因為如果要補正式考試的公務人員，都要一段時間，那個部分我會建議列入第二個階段。至於長期的話，大概有兩個方向，第一個方向就是國中小、高中、大學的資安相關科系，量體就是要放大出來。今年10月16日我們已經行文給教育部，未來學校老師或科系都授權給教育部去處理，本來各個學校就可以因應時代的需要去增設資安相關系所，這條路已經開放給他們，他們可以去進行，這個是從比較長期的角度來看，因為人力的培養要一步一步來，剛才也有提到，好像中山大學是第一個成立資安研究所的學校，目前國內大概有4、5間，說真的，那絕對不夠用！民間都搶光光了，怎麼還會進來公家機關？如果要進來公家機關，我們當然也要考慮到薪資的問題，所以我們會思考一個可能性，就是以後要報考資安的，都要有基本的資安證照才能去考，這樣考上後他馬上有即戰力，而不是考進來後還要重新再培養，這樣會有時間落差。我們希望朝這個方向，當然在資安的專業加給方面，我們也會適度地做一個合理的盤點規劃，不然公家機關請不到人，都被民間挖走了，大家也要面對這個事實。

此外還有一位提到，資安人力到公家機關，是不是有「三日無餾爬上樹」的問題？所以我們未來就資安能力也會採三年認證一次的方式，如果認證未通過就淘汰，一定要這樣，不然做久了以後，說真的，技術不能與時俱進的話一定會被淘汰，這些都是未來的配套，尤其在數發部，資安署進來以後，我想他們的政策規劃及執行量能應該會比較強。

剛才有些委員提到GDPR要進來，照目前來講，應該是不同的，資安歸資安，GDPR歸GDPR，要各自分開，不應把它們結合在一起，因為歐盟要求臺灣要成立一個獨立的機關，至於是三級或二級，到時再說。大家很關心數位發展部的內容，等一下行政院科技會報辦公室的執秘會說明，他們都默默在做，也花很多時間在聽取業界的聲音，不然業界的聲音不進來的話，等到規劃出來大家就會說：哇！怎麼是這樣！跟每個人的期待有很大落差。所以他們現在花很多時間去聽取業界的聲音，再融入其整個規劃，可是他們一定會避免一件事情，就是把現有相關部會的那些人找過來做相同的事情，如果是這樣，這件事情就是做白工了。總是要有一個新的願景，我們要數位轉型、展現數位國力，很多東西就是視目標在何處，看要到哪邊去找那些人、加以訓練，組織一個最強的團隊來執行這件事情，那就是我們所要的。稍後蔡執秘會詳細說明，等一下就資安部分，在場的簡處長也會說明，我先派工作給他們。以上是我們人總的回應，謝謝。

主席：謝謝蘇副人事長，被點名的人要準備一下。由於現場錄影機角度的緣故，可能要請行政院資通安全處簡處長到前面來報告，因為那支鏡頭轉到極限、轉不過來了。

請行政院資安處簡處長發言。

簡處長宏偉：主席、各位委員。今天非常高興在這邊能夠回應大家有關資安的議題，客套話就不講了，我直接講人才培育的部分，資安處對人才的培育，我們是從在職、在學、在營這幾個方面來做。跟學校的合作，如同剛才中山大學所提，有4所大學自108年起設立5個資安系所，中山大學自今年起開設資安博士班，有些私立學校也開設資安專班，就人才的培育其實我們營造的是一個氛圍、環境。在職的部分，自106年至108年我們跟工業局合作，培養了2,316個在職資安人才。同時我們和TWISC聯盟合作，對於高階資安人才的養成，3年大概培訓了774名資安碩博士生。各位也許會說，既然培養了這些人，為什麼政府還是缺人？如同剛才大家所說的，很多人到民間的薪水福利更好，也有很多人願意到政府來，主要原因是他可以接觸更多的攻擊案例，甚至有的人是抱持著一個理想，所以未來我們跟人事行政總處合作，看怎麼樣把政府這邊的資安環境做好，這是第一個回答。

第二個，剛才也有委員提到，行政院資安處光靠一個方案及稽核要怎麼做到，尤其是資安管理法自108年1月1日施行到現在，距離整個落實似乎還有一段很大的差距。在這邊跟各位報告，資安管理法所面對的是組織，跟以往不一樣的是它把有些關鍵基礎設施納入，譬如油水電、緊急醫療等等，這在以往的資安當中是沒有的。從108年1月1日開始實施，先針對政府機關；今（109）年1月1日開始我們把關鍵基礎設施的提供者納進來，陸續核定。把這些攸關整個國家社會穩定的關鍵基礎設施納進來，有一些資安的部分他們必須要去做。

同時依照資安管理法，我們面對的不再是個別機關，資安管理法其實是課責到中央目的事業主管機關及上層部會，所以以往我們會去稽核三級機關，甚至四級機關，資安管理法開始實施以後，我們所面對的是部會，同時也會協調其他各院。在這種情況之下，其資安稽核的綿密度比以往更高，因為由部會稽核所屬，行政院資安處去稽核部會，同時看他們怎麼稽核所屬，這也是整個資安管理法的精神所在。就數量上，我們有律定兩年內必須把整個部會全部看完，同時我們要求他們必須要看所屬的狀況，這也代表兩年內部會及所屬必須全部看完。這是我們當初的設計，不應該是由資安處把所有的事做完，而應該課責到部會。針對關鍵基礎設施而言，其中央目的事業主管機關也必須有這樣的責任，譬如NCC、金管會，在過去兩年裡面花了很多的時間和精力，甚至金管會擬定金融體系的資安方案，這些都一步、一步在落實，以上是針對稽核的部分。

剛才也有提到資安產業的自主能量，我們跟工業局合作，107年資安的產值是439.4億元；108年成長至493.4億元，尤其我們透過規定要求各機關在採購的時候必須以國產品為優先，跟工業局合作訂定資安自主產品的自製率。同時就物聯網，由於臺灣是製造業大國，我們希望做的一件事就是，臺灣出產的產品是security inside的概念，所以我們跟工業局及通傳會合作，訂定了IP Cam、NAS、DV這些資安標準。同時我們跟歐盟ENISA的Server security framework在看怎麼去介接，跟美國NIST的IoT Server security framework也在看可以怎麼介接。

我們更希望的是鼓勵國內的新創公司去打國際戰，如同剛才很多業界的專家也說了，國內的市場不大，而國內要怎麼做，其實就以色列一樣，我們應該是把國內的場域打開，讓國內的新創公司在國內嘗試，試了以後，其目標是在於國際。所以在六都聯盟部分，我們要求六都必須打開其場域，像南部的高雄、臺南跟當地有產學合作，邀請學校到市政府裡面去做去做攻防演練、幫忙去看，這都是很好的合作。這禮拜六我們跟臺南市在談的時候，臺南市那邊也提到，參與這個合作專案的學生，尚未畢業就已經有民間公司指名要他，這就是一個合作的方式。工業局協助了大概22家新創公司，同時我們跟民間也保持合作。

我們非常贊成資安的人力必須藏兵於民、必須像洋蔥式的模式，政府應該以資安的管理為主，之後跟民間合作，一層一層往外擴，更重要的是要跟國際合作。譬如在今年大家都知道中油的案子，中油的案子有沒有後續？有。因為我們國內把相關的資訊提供給國外，後來美國司法部起訴了5名中國駭客及2名馬來西亞的的中國籍商人，這些都是彼此分享資訊才能達成，所以也許是資安處平時對外的宣導不夠，讓大家認為國內的資安好像只有60分，但其實並不是如此。國外很多歐美先進國家都希望能與臺灣合作，因為就誠如剛剛專家提到的，有四分之一的攻擊其實是針對臺灣，所以我們有很多的數據和pattern。同時我們也可以看到，那些攻擊臺灣成功的案例，隔沒多久，也許是半年到一年之間就會在西方出現，所以很多國家都希望能和我們合作。我們其實會將這些資訊去識別化之後，免費提供給國內學術界研究，也會將這些當作與國外合作的籌碼。當國外想與我們合作的時候，我們就能利用此方式進一步的與對方交換情報。

資安處也會督導相關的組織，把我們在資安上的發現以自動化的方式與國外交換，在國外都有很好的名聲。未來該如何向國內做更多的宣導與說明，讓大家更瞭解資安是很重要的一件事。希望未來不是把全部的資安都課責在一個資安處或是未來的資安專責機關，我們認為資安其實要每個人做一點，組織做一點，就能完成縱深防禦。資安管理法確實還有很多地方必須進一步推動，我們會逐漸去做，並逐步落實，以上就是資安處針對各位委員的指教所提出的說明，謝謝各位。

主席：請行政院科技會報辦公室蔡執行秘書說明。

蔡執行秘書志宏：主席、各位委員。首先說明行政院科技會報辦公室在數位發展部籌備部分的協助角色。事實上，我們並沒有正式被指派為籌備的單位，不過我們基於過去在業務上有完整的科技計畫資料庫和管考資料，因此在協助數位發展部和數位相關計畫的盤點上，會配合行政院進行未來必要的業務移撥或整合方面的延續基礎，這方面的工作，我們都在進行。

剛剛提到在成立數位發展部之後，跨部會數位業務相關的協調工作該如何進行，這是個重要的議題。事實上，上週一行政院才召開數位國家創新經濟發展方案推動小組的會議，並由院長親自主持。未來跨部會數位相關的業務，在此方案之下，我們都會持續推動。方案未來進入2.0的階段後，我們會持續擔任協調跨部會數位業務的角色，也會在未來數位發展部成立後，配合業務功能的調整，進行必要的重新分工。

未來資安領域的人才需求，以及未來技術，特別是前瞻技術持續研發的需求，政府在106年到109年已針對相關計畫投入了120億元的預算，其中就包含了協助政府各部會進行資安防護的預算，也有相當的部分被投入在各領域資安技術的持續提升以及人才培育上。未來在科技計畫及前瞻基礎建設計畫中也會持續投入相關的資源。

特別要說明的是，許多產業界的朋友及學界都關切未來人才的培育，教育部在資安卓越深耕計畫中承諾，會依此計畫增聘資安方面的師資。剛剛許多專家也提到，行政院才剛通過「國家重點領域產學合作及人才培育創新條例」的草案，相信這樣的機制未來也可以綜合運用在提升資安相關師資的引進上。

有關未來整個資安產業能量的提升，在國發會主責規劃的六大核心戰略產業方案中，資安產業過去雖已是六大核心戰略產業之一，但資安領域將會擴及到其他五個戰略產業，因此所有的相關產業都會挹注一部分的資源，有助強化各體系的資安能量，以及相關的資安防護，相信這將對整個國家資安體系的健全，也會有相當地幫助，以上說明。

主席：請國發會資訊管理處謝處長說明。

謝處長翠娟：主席、各位委員。國發會簡單補充報告幾點，首先各位先進和委員都提到人才培育和資安的觀念，我們認為，不只是專業的資安人才，所有的資訊人才和所有的公務員都應該要有資安的觀念，所以人事行政總處副人事長就講到會和國發會合作。對此，我就簡單講一下，所有資訊的教育訓練都會把資安的觀念放進去，所以這就是我們在培力資安人才上的角色。

再談到資安業務，國發會的協助是，我們在審計畫的時候會特別著重計畫在資安部分應該要怎麼落實，及其投資數有多少。所以政府機關不會只有單一一個單位在做資安，而是全部的人都要協防，包含國發會所做的基礎設施，也要執行資安聯防的工作以及資安情資的分享。

另外，剛剛也有委員先進提到資料治理的部分，簡單來說，現在的資料可以分成兩塊，其一是去掉個資之後的一般資料，我們會努力將它們開放出來，讓公私協力共創資料經濟，這部分是一直有在做的。但若是涉及個資的部分，我們希望能努力地讓個資的所有權人可以決定自己的資料要怎麼用。

在跨部會計畫和跨部會業務的規劃上，剛剛也講到國發會在審議計畫的時候，包含未來重點業務的律定，都會在進行計畫審議和計畫輔導時一起放進去，在做計畫追蹤和計畫執行的時候就能把資安和未來的重點方向都放進去進行持續地追蹤和落實。

主席：請經濟部資訊中心李副主任說明。

李副主任水滄：主席、各位委員。經濟部在資安產業方面，最主要是配合行政院資安產業發展行動方案研定執行計畫，主要的計畫執行成果，方才簡處長已進行大力地說明。包括在資安人才的培育、資安自主產品、資安產業的標準認證上，我就簡單地補充幾點。

第一個、推動資安社群活絡與產業化。目前經濟部透過國際資安競賽平臺打造資安人才國際交流平臺，HITCON已經連續五年獲得全球最佳國際資安賽事，累計超過8,000隊22,000人次參與。

第二個、搭建資安新創合作平臺。這已經舉辦過三屆，有荷蘭、盧森堡、日本、以色列及美國等國家進行交流，它最主要在於搭接國內的資安新創與國內外的輔導機關、策略投資人、國外駐臺使館資源、國外資安培訓機構等，以實體及線上各種活動媒合對接。

另外，有關資安大會，今年度舉辦時有2,500人參加，參加廠商有30多家、40個展覽單位，我們會持續推動，讓它成為亞太最大的資安展。經濟部也儘量撮合國內廠商與國際交流，之前曾經舉辦和以色列的相關活動，有相當多廠商參與，簽署很多MOU。所以這一塊也是經濟部一直想要推動的。以上簡單報告，謝謝。

主席：請科技部陳主任秘書發言。

陳主任秘書宗權：主席、各位委員。剛剛有位委員提到量子電腦的發展，雖然現在量子電腦在全世界很火紅，但是它還在剛起步，是新興科技。這兩年行政院科技會報辦公室、科技部及中央研究院也積極投入推動這個技術發展當中。這個月行政院會召開全國科技會議，會中會再進行更深入的討論，並且規劃未來四年大家分工、整合及投入的方向。以上說明是對於剛才有位委員提出這個部分的回應。謝謝。

主席：謝謝。接下來，法務部有補充嗎？沒有。

金管會有補充嗎？沒有。

NCC有補充嗎？沒有。

國防部有補充嗎？沒有。

現在進入第二輪發言。如果有人要第二輪發言，隨時都可以來前面簽名。

請元智大學資訊管理學系周韻采教授進行第二輪發言。發言時間3分鐘。

周韻采教授：主席、各位委員。剛剛聽了各位及行政部門的報告，我稍微修正我原來對於單一部會的看法。事實上，現行行政院組織法也有明定「部」和「會」的權責是不一樣的，「會」主要還是處理跨部會的協調，而我們考慮到數位發展部不只有資安部門，它有很大部分要處理整體數位服務的發展，它還是有很多執行業務，所以我認為「部」還是比較符合現行行政院組織法的規劃，但是它的確需要很多跨部會的協調，尤其像我們剛剛講的數位身分證，這個部分也需要數位發展部的進入及評估，又因為這本來就是跨時代的政府組織再造，也是第一次從實體面要開始走到虛擬面的管理，可能需要更有創意的組織改造，所以我會覺得以目前國發會跨部會協調的功能，他們的首長可以政治任命，可是以數位轉型的mindset任命，這時他們可以協助數位發展部進行跨部會協調，讓部會之間對於整體數位轉型可以有比較一致的作法，而不會流於部會的本位主義。謝謝。

主席：謝謝周教授。我們非常感謝大家提的意見，包含剛剛影印送給大家參考的蕭乃沂教授所提書面意見，他是政治大學公行系的副教授。

今天的發言到此告一段落，所有發言及書面意見均列入紀錄，刊登立法院公報，並製作公聽會報告，送交本院全體委員及本日出列席人員參考。

本次公聽會到此結束，謝謝各位，現在散會！

散會（12時55分）

附錄：

陳泉錫前主任書面意見：

王怡惠計畫負責人書面意見：

錢宗良教授書面意見：

蕭乃沂副教授書面意見：

行政院資通安全處書面意見：

行政院科技會報辦公室書面意見：

科技部書面意見：

國家通訊傳播委員會書面意見：

國防部參謀本部通信電子資訊參謀次長室書面意見：