立法院第10屆第6會期司法及法制委員會第9次全體委員會議紀錄
時 間 中華民國111年10月24日(星期一)9時2分至12時34分
地 點 本院紅樓302會議室
主 席 林委員思銘
主席:出席委員8人,已足法定人數,現在開會。
進行報告事項。
報 告 事 項
一、宣讀上次會議議事錄。
立法院第10屆第6會期司法及法制委員會第8次全體委員會議議事錄
時 間:中華民國111年10月20日(星期四)上午9時至12時35分
地 點:本院紅樓302會議室
出席委員:鄭運鵬 陳歐珀 曾銘宗 游毓蘭 黃世杰 林思銘 陳以信 陳玉珍 江永昌 周春米 柯建銘
委員出席11人
列席委員:李貴敏 陳椒華 洪孟楷 鄭天財Sra Kacaw 李德維 楊瓊瓔 吳玉琴 高嘉瑜 廖婉汝 陳明文 何欣純 鄭正鈐 張其祿 邱志偉
廖國棟Sufin.Siluko
委員列席15人
列席官員:考試院副院長兼公務人員退休撫卹基金監理委員會主任委員 周弘憲
秘書長 劉建忻
考選部部長 許舒翔
銓敘部部長兼公務人員退休撫卹基金管理委員會主任委員 周志宏
公務人員保障暨培訓委員會主任委員兼國家文官學院院長 郝培芝
行政院主計總處公務預算處專門委員 吳銘修
基金預算處專門委員 吳婉玉
主 席:陳召集委員歐珀
專門委員:梁雯璍
主任秘書:張智為
紀 錄:簡任秘書 陳杏枝
簡任編審 薛復寧
科 長 鮑夏明
專 員 林宗賢
報 告 事 項
一、宣讀上次會議議事錄。
決定:確定。
二、邀請考試院秘書長、考選部部長、銓敘部部長及公務人員保障暨培訓委員會主任委員列席報告業務概況及立法計畫,並備質詢。
決定:報告及詢答完畢。
三、考試院函,為111年度中央政府總預算決議,檢送凍結該院「一般行政」500萬元書面報告,請查照案。
四、考試院函,為111年度中央政府總預算決議,檢送凍結該院「法制業務」項下「法制作業及法規編印」5萬元書面報告,請查照案。
五、考試院函,為111年度中央政府總預算決議,檢送凍結該院「施政業務及督導」30萬元書面報告,請查照案。
六、考選部函,為111年度中央政府總預算決議,檢送該部決議(一)預算凍結書面報告,請查照案。
七、考選部函,為111年度中央政府總預算決議,檢送該部決議(二)第2目「考試業務研究改進」凍結50萬元書面報告,請查照案。
八、考選部函,為111年度中央政府總預算決議,檢送該部決議(三)預算凍結書面報告,請查照案。
九、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(一)凍結「基本行政工作維持」中「業務費」之「國外旅費」30%書面報告,請查照案。
十、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(三)凍結「一般建築及設備」100萬元書面報告,請查照案。
十一、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(四)凍結「補助公教人員保險事務經費」50萬元書面報告,請查照案。
十二、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(五)凍結「公務人員退休撫卹管理」50萬元書面報告,請查照案。
十三、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(六)凍結「公務人員退休業務」30萬元書面報告,請查照案。
十四、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(十二)凍結「資訊系統之使用及管理」50萬元書面報告,請查照案。
十五、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(十三)凍結「資訊系統之使用及管理」中「業務費」之「資訊服務費」100萬元書面報告,請查照案。
十六、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(十四)凍結「資訊系統之使用及管理」200萬元書面報告,請查照案。
十七、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(十五)凍結「人事法制及銓敘」5%書面報告,請查照案。
十八、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(十六)凍結「人事法制及銓敘」30萬元書面報告,請查照案。
十九、銓敘部函,為111年度中央政府總預算決議,檢送預算凍結書面報告,請查照案。
二十、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(一)「國外旅費」預算凍結30%書面報告,請查照案。
二十一、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(二)「一般行政」預算凍結5萬元書面報告,請查照案。
二十二、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(三)「保障暨培訓」預算凍結5萬元書面報告,請查照案。
二十三、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(六)「保障暨培訓」預算凍結5萬元書面報告,請查照案。
二十四、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(八)「一般行政」預算凍結60萬元書面報告,請查照案。
二十五、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(九)「一般行政」預算凍結20萬元書面報告,請查照案。
二十六、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(十)「保障暨培訓」預算凍結10萬元書面報告,請查照案。
二十七、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(十一)「保障暨培訓」預算凍結100萬元書面報告,請查照案。
二十八、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送國家文官學院「一般行政」預算凍結10萬元書面報告(更正本),請查照案。
決定:第三案至第二十八案均另定期繼續處理。
討 論 事 項
一、審查112年度中央政府總預算案關於考試院及所屬主管收支部分。
二、審查112年度中央政府總預算案附屬單位預算非營業部分關於考試院考選部主管「考選業務基金」收支部分。
三、審查112年度中央政府總預算案附屬單位預算非營業部分關於考試院銓敘部主管「公務人員退休撫卹基金」收支部分。
四、考試院函,為111年度中央政府總預算決議,檢送凍結該院「議事業務」10%專案報告,請查照案。
五、銓敘部函,為111年度中央政府總預算決議,檢送該部決議(二)凍結「人事法制及銓敘」100萬元書面報告,請查照案。
六、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(四)「保障暨培訓」預算凍結5萬元書面報告,請查照案。
七、公務人員保障暨培訓委員會函,為111年度中央政府總預算決議,檢送決議(五)「保障暨培訓」預算凍結50萬元書面報告,請查照案。
(本次會議有委員鄭運鵬、游毓蘭、陳歐珀、黃世杰、林思銘、曾銘宗、陳玉珍、楊瓊瓔、吳玉琴、高嘉瑜、江永昌、張其祿、陳以信提出質詢;委員陳明文、周春米、劉建國提出書面質詢。)
決議:
一、報告及詢答完畢。
二、第一案至第七案均另定期繼續審查、處理。
三、委員質詢時,要求提供相關資料或以書面答復者,請相關機關儘速送交個別委員及本會。
四、審查會委員針對本日議程所列討論事項第一案至第三案之預算提案,請於10月25日(星期二)上午11時前送交本會,逾時不予受理。
散會
主席:請問各位,上次會議議事錄有無錯誤或遺漏之處?(無)無錯誤或遺漏之處,議事錄確定。
繼續報告。
二、邀請國家安全會議、數位發展部、國家通訊傳播委員會、國家安全局、國防部參謀本部通信電子資訊參謀次長室、資通電軍指揮部、法務部調查局、內政部警政署率所屬單位主管列席就「面對歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業並採取因應對策」進行專題報告,並備質詢。
曾委員銘宗:本席要求程序發言。
主席:請曾委員銘宗程序發言。
曾委員銘宗:謝謝召委安排今天的議程,這個議程非常重要,但是對於行政單位今天的列席名單,其實昨天我們就已經看到了,國民黨黨團不能接受。第一,警政署昨天本來是要派警務委員列席,不用來啊!國安局則是派一位副處長,後來今天提升為處長。數位發展部部長不能來改派政務次長列席,這是OK的。列席官員是來立法院答詢的,你們給的理由是他們對於業務熟悉,如果這樣,以後統統都派科長來好了,因為科長對業務最熟啊,以後你們派來司法及法制委員會的列席人員就派科長來就好了!所以這個我不接受!國安局看是局長要自己過來,還是派副局長過來,不然今天會議不要開!謝謝。
警政署也請署長過來!
主席:請國安局的人去聯絡一下,派局長過來,局長……
曾委員銘宗:警政署也要請署長來!
主席:還有警政署,請署長過來。
曾委員銘宗:警政署署長不來,就請內政部長或次長過來!
主席:請相關人員去聯絡一下,我們等聯絡好署長或局長來之後再繼續開會,現在休息。
休息(9時7分)
繼續開會(9時12分)
主席:現在繼續開會。
經聯絡,國安局將派陳進廣副局長列席,他大約9時40分會到達,請相關人員再去催一下。警政署署長因另有要公,就由陳永利副署長列席備詢。
本次議程排定「面對歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業並採取因應對策」進行專題報告,並備質詢。
現在進行報告,報告時間為3分鐘。
首先請數位部闕次長報告。
闕次長河鳴:主席、各位委員、各位女士、先生大家早。今天應邀列席貴委員會,本部針對業務職掌「危害國家資通安全產品使用或限制情形」提出專題報告並備質詢,敬請指教。
壹、前言
為持續強化我國資通安全防護及降低國家資通安全風險,行政院針對資通安全管理法納管對象、關鍵基礎設施提供者委外人力及資通訊產品採購,研擬涉及資通訊設備、軟體、服務及資安相關品牌風險評估與禁用管理機制,是行政院前於108年4月18日頒布「各機關對危害國家資通安全產品限制使用原則」,降低中央與地方機關(構)、公立學校、公營事業及行政法人之資通安全風險。
貳、現行管制措施
為避免公務及機敏資料遭不當竊取,導致機關機敏公務資訊外洩或造成國家資通安全危害風險,行政院於109年12月18日以行政院秘書長函,請各公務機關盤點及汰換大陸廠牌資通訊產品(含硬體、軟體及服務),並重申各公務機關使用資通訊產品相關原則,且要求各機關未來若因業務等特殊原因須採購大陸廠牌資通訊產品時,須經機關資安長核可後,函報行政院核定(備),且每年定期盤點危害國家資通訊產品使用情形,持續掌握相關風險。
行政院公共工程委員會配合修正相關契約範本,並將前揭禁止使用及採購大陸廠牌資通訊產品相關規定納入契約範本中,供各機關採購運用。行政院續於110年7月13日函送「資訊服務採購案之資安檢核事項」予各機關採購併參,並列為履約要求項目。
為避免各機關自行或委外營運,提供公眾活動或使用中之場地,因資安攻擊資通訊產品致錯誤之影像或聲音傳播供不特定人士直接收視或收聽,成為傳送不當或錯假訊息之破口,本部研提「各機關對危害國家資通安全產品限制使用原則修正草案」明確增訂相關管理規範,並在公共政策網路參與平臺徵詢建議與意見,草案修正後分行各機關遵循。
參、結語
本部將持續精進資通安全管理措施,確保資安或機敏資訊保護之要求,透過適當風險管理機制,維護國家整體資通安全。本部承大院各委員之指教及監督,在此敬致謝忱,並祈各位委員繼續予以支持。
主席:請通傳會射頻處陳簡任技正報告。
陳簡任技正俊安:主席、各位委員大家好。今日很榮幸,應邀到貴委員會進行專題報告並備詢。以下本會謹就大陸資通訊及科技產品議題,涉及本會業管「電信終端設備與電信管制射頻器材之審驗及輸入管理規定、電信業者使用之電信設備應符合有關機關國家安全考量」進行專題報告。
一、我國電信終端設備與電信管制射頻器材之審驗技術規範與國際接軌
本會依據電信管理法辦理電信終端設備及電信管制射頻器材審驗。依該法第44條規定略以,連接公眾電信網路之電信終端設備應符合技術規範,並經審驗合格,始得製造或輸入,該技術規範應確保電氣安全之容許、電磁相容及與其他頻率之和諧有效共用、與公眾電信網路之電信介面相容。同法第65條第2項略以,經主管機關公告之電信管制射頻器材,應經核准,始得製造、輸入,故自外國(含中國大陸及港澳地區)輸入至我國之電信管制射頻器材,均須符合本會相關規定,始能合法輸入。另同法第66條規定略以,電信管制射頻器材除經主管機關專案核准外,應符合技術規範,經審驗合格,始得販賣;查本法要求該技術規範之目的,係為減少電波干擾發生,確保電波和諧使用,以維持電波秩序。
我國現為世界貿易組織(WTO)會員國,應採用相關國際標準之技術規範,以符合其技術性貿易障礙協定(Agreement on Technical Barriers to Trade,簡稱TBT協定)規定,並與國際接軌。
基上,為能達成前揭應確保事項,並防止TBT問題,本會所訂之技術規範均參考國際標準技術規範,並依據電信管理法授權範圍訂定測試項目及合格標準(如發射功率限制、頻率穩定度、電磁相容、電氣安全及最大傳導輸出功率等)。
二、電信業者使用之電信設備應符合有關機關國家安全考量
電信管理法第37條及第38條分別規定,申請設置使用電信資源及未使用電信資源之公眾電信網路者,檢具之網路設置計畫應載明「使用符合有關機關國家安全考量之電信設備」。
另查依電信管理法第36條第1項授權訂定之公眾電信網路設置申請及審查辦法第5條及第10條分別規定,使用資源及未使用資源之公眾電信網路設置者,檢具之網路設置計畫應載明使用符合有關機關國家安全考量之電信設備。同辦法第13條及第17條規定,公眾電信網路設置計畫之審查基準,包含是否載明使用之電信設備配合有關機關國家安全考量。
本會審查公眾電信網路設置者之網路設置計畫,均依前揭規定辦理。
三、我國資通安全事項已由數位發展部規劃及推動
數位發展部業於111年8月27日成立,依該部組織法第2條第5款規定,掌理事項包含「國家資通安全政策、法規、重大計畫與資源分配等相關事項之擬訂、指導及監督」。復依該部處務規程第8條規定「韌性建設司」掌理事項包含「…六、通訊網路資通安全防護政策之規劃及資通設備資通安全驗證機構之監督管理。…」,爰屬應依電信管理法辦理之資通安全相關職掌及業務,已隨數位發展部成立移撥。
四、結語
本會將持續關注最新國際標準技術規範,依電信管理法規定,辦理電信終端設備與電信管制射頻器材之審驗及輸入管理,以確保維持電波秩序並保障消費者使用權益,同時要求公眾電信網路設置者使用之電信設備應符合有關機關國家安全規定。
主席:今天要報告的單位很多,已經列於書面報告中的部分,請列席代表儘量簡要報告。
請國安局第五處呂處長簡要報告。
呂處長:主席、各位委員先進、各位女士、先生大家好!感謝大院安排本局進行「面對歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為何?國安會及相關國安單位是否於年度預算中制定計劃針對各類國際情勢演變進行相關評估作業並採取因應對策」專題報告,謹就中共資通訊產品安全威脅等四項,向大院各位委員報告如次:
一、中共資通訊產品安全威脅:
(一)近年立陶宛及比利時等國均曾披露陸牌手機非法蒐集用戶資訊,且美國聯邦通信委員會(FCC)日前以國家安全為由,擬全面禁用華為、中興、海康威視、浙江大華及海能達等五家通訊及監控設備。
(二)反觀我國近期因臺鐵新左營站、便利超商等廣告看板遭駭,經查均使用陸製軟體所致,且據本局觀察陸牌資通訊軟硬體因更新需要,均回連至特定主機,中共可依據其「國家情報法」及「網絡安全法」等規定,要求陸企提供用戶敏感個資,或協助執行情報工作,儼然已形成嚴重資安威脅,故行政院重新檢討日前頒訂「各機關對危害國家資通安全產品限制使用原則」,進一步擴大管制,研擬未來公部門、公部門委外場域不得使用陸牌資通產品。
二、本局扮演角色:
(一)權責劃分:有關我國資安主管機關權責,在政府機關資安防護業務部分,依「資通安全管理法」規定係由行政院(數位發展部資安署)主責;情報機關部分,依「情報工作法」規定,係由本局主責統合該等機關,執行網安威脅預警情蒐工作。
(二)合作機制:
1.在資安聯防情(技)資交流面,本局如蒐獲涉我政府機關之網駭威脅預警情資(如入侵偵測指標),均即時提供行政院數位部資安署納政府網防措施及資安偵測防阻運用。
2.在政策推動部分,本局(科技業管副局長)於行政院「國家資通安全會報」擔任委員,定期(每半年)配合該院參與委員會議,並適時提供國家資通安全防護政策意見,以及參與國家資通安全發展方案等各項重大資安政策研討。
三、現行管制作法:
(一)我國:行政院於108年7月召開2次「危害資通安全產品廠商清單審查小組會議」,研擬「各機關對危害國家資通安全產品限制使用原則」;另於前(109)年底函請各公務機關,於去(110)年底前汰換所使用或採購之陸牌資通訊產品(含硬體、軟體及服務),同時要求公務機關全面禁用。
(二)本局:配合參與行政院「危害資通安全產品廠商清單審查小組會議」,並依會議所訂限制使用原則,全面禁用陸牌資通訊產品,並將相關要求納入採購合約規範,且同步透過各類會議要求各情報機關配合辦理。
四、採取對策:
(一)網路駭客利用疫情全球化所造成之工作形態改變,以及民生智慧化所衍生之新資安防護弱點等情況,傳統網路安全架構已難以確保高度安全,以致各先進國家(美、歐盟等)愈加重視資安問題,且美國國家標準技術研究院(NIST)於2020年正式頒布「零信任」標準文件(SP 800-207),並形成政策推動。
(二)本局現已偕同行政院規劃「零信任」架構暨資安整體規劃方向,然而資安架構的遷移非一蹴可及,需要滾動調整及大量技術投資,始可完備,本局續將務實規劃導入進程,循序提升整體資安防護能量;另將逐步推廣各情報機關,強化國安團隊聯防合作,提升我國網駭威脅防禦能量與預警力度。
五、結語:綜觀目前各國因應中共資通訊產品安全威脅,多採取禁用管制措施,我國在面對中共網路空間灰色地帶攻擊情況下,本局除持續全面禁用陸牌資通訊產品,並推動「零信任」網防機制,以提升本局資通訊安全防護能量,確保機敏資訊安全。
以上報告,敬請大院委員先進不吝指導,並持續對本局工作給予大力支持。謝謝!
主席:國防部的部分,請大家參閱書面報告。
請法務部調查局資安處余處長報告。
余處長尚賢:主席、各位委員及在場的各位先進大家好。關於大陸資通訊及科技產品對我國國家安全之危害,中共網軍藉由陸製資通產品,持續尋找我國可利用之資通訊設備弱點漏洞,作為攻擊我國政府機關或供應鏈廠商、關鍵基礎設施等跳板。
以今(111)年8月美國眾議院院長裴洛西訪臺期間,臺鐵新左營站、南投縣竹山鎮公所及統一超商之電子看板遭駭客攻擊利用,置換「老巫婆竄訪台灣,是對祖國主權的嚴重挑釁……」、「祖國必將統一,台毒必需滅亡」及「戰爭販子裴洛西滾出台灣」等威懾文字為例,該資安事件經本局赴現場調查發現,臺鐵新左營站等單位電子看板之訊源播放系統,製造商係大陸「卡萊特科技股份有限公司」(下稱:卡萊特公司,公司成立於2012年,總部位於中國廣東省深圳市南山區,各地服務據點超過50個,港澳台地區服務團隊為其中一處服務據點;該公司曾於2021年中共建黨100周年鳥巢文藝匯演及2019中共國慶70周年閱兵典禮上,提供螢幕拼接電視牆控制器於現場節目演出),因系統設備在無設定帳號密碼及未開啟「局域網認證」功能下即透過IP連接外部網路,相關設備遭境外駭客透過物聯網裝置搜尋引擎找到固定IP後即可直接控制而置換螢幕內容,故可足證採用大陸資通訊及科技產品,旨揭產品極可能為中共操縱作為對我國進行資安駭侵或認知作戰之跳板,對我國國家安全之危害不言而喻;行政院亦於109年12月18日以院臺護長字第1090201804A號函即通函各機關表示,為避免公務及機敏資料遭不擋竊取導致機敏公務資訊外洩或造成國家資安全危害風險,公務機關禁用大陸廠牌資通訊產品(含軟體、硬體及服務),並重申公務機關使用資通訊產品原則如下:
1.公務用之資通訊產品不得使用大陸廠牌,且不得安裝非公務用軟體。
2.個人資通訊設備不得處理公務,亦不得與公務環境介接。
3.已使用或採購之大陸廠牌資通訊產品列冊管理,且不得與公務環境介接。
從資安駭侵事件到中共對我進行假訊息認知作戰,陸製設備皆可能遭當作中共對我資安攻擊之跳板。為因應陸製資通訊設備對我國國家安全之危害,本局目前因應對策如次:
1.於今(111)年度即以在計畫經費下採購相關網路空間搜尋引擎,搜尋目標不僅包括網站主機、還包含網路攝影機、路由器、IoT等物聯網裝置。透過「網路資源探索」方式尋找全球的物聯網設備並擷取其相關資訊,調查人員可發掘國內潛在資安漏洞設備,並即時進行漏洞修補防止遭駭客不法利用。
2.隨著物聯網等智慧應用興起,大量傳統設備新增聯網功能,伴隨的資安風險也逐漸提升,因物聯網設備的資安事件與日俱增,國人日常生活經常使用之物聯網設備一旦遭駭侵,恐成為駭客進入內網之跳板;有鑑於此,本局於今年度「資安威脅獵蒐子計畫」下已建置「IoT弱點檢測系統」,主動針對有疑慮之設備進行硬體、軟體及通訊等不同層面測試,模擬駭客攻擊手法進行檢測,找出駭客可能入侵管道,若發現相關設備漏洞恐遭利用時,立即向上級機關通報反應,提升單位資訊安全。
主席:請內政部警政署陳副署長報告。
陳副署長永利:主席、各位委員女士、先生。今天應邀列席貴委員會工作報告,並備質詢。首先,誠摯地感謝各位委員對本署的長期支持與重視,期盼繼續給予策勵與指教。本署謹就大陸資通訊及科技產品對我國國家安全影響、因應之相關評估計畫及採取對策,簡要報告如下。
壹、執行現況
(一)全面清查、汰換現有大陸廠牌資通訊設備
本署及所屬各警察機關皆遵照行政院規範,於108年起禁止使用及採購大陸資訊產品;少量於108年前採購之具資安疑慮者品牌資通訊設備均依規定於110年9月30日全面完成汰換。
(二)落實委外廠商資安管理與禁止遠端登入
本署遵照行政院「資通系統籌獲各階段資安強化措施」,落實委外廠商資安管理,並將資通系統於需求、建置、維護等委外辦理過程納入採購契約規範,以強化資安防護需要。並遵循行政院規範,嚴格禁止委外廠商遠端存取控制,降低資安事件發生。
(三)強化稽核機制
本署配合上級機關稽核、每年2次自主內部稽核、邀請第三公正單位進行外部稽核,檢視禁止使用大陸產品與資安防護辦理情形;稽核及清查結果,本署及所屬各警察機關之個人電腦、主機伺服器、網路交換設備、資料庫儲存設備、資安防護設備、錄影監視設備、環境監控設備、跑馬燈、手機、無人機、視訊設備等均符合行政院規範。
貳、策進作為
一、本署及所屬各警察機關持續禁止採購陸製設備:
(一)本署持續遵照行政院禁止採購大陸資通訊產品函示要求,禁止採購及使用相關軟、硬體設備、行動應用App,並加強關鍵基礎設施資安演練作業,另配合行政院「各機關對危害國家資通安全產品限制使用原則」、「資通安全自主產品採購原則」等規範,修訂本署「資訊安全管理系統(ISMS)」程序書規範。
(二)現行各類資訊產品技術普遍穩定成熟,排除大陸地區廠牌資訊產品,仍可採購國內產製或其他國家產品,並不影響我國警政業務發展。且目前我國軟體開發、設計能力,在國際上已具有相當程度實力,可依警政業務需求,自行開發設計各項功能。
二、打擊資通犯罪,各直轄市、縣(市)警察局成立科技偵查隊
為提升警察機關整體數位鑑識能力、科技偵查效能並吸引優秀人才,本署105年起開始推動將各直轄市、縣(市)警察局科技犯罪偵查隊納入正式組織編制,建立中央與地方整體科技犯罪防制陣線,由各直轄市、縣(市)建立第一線的網路犯罪打擊、科技偵防器材之運用與管理、電腦鑑識與網路通訊監察等工作量能。
目前各直轄市、縣(市)除了連江縣以外皆已完成警察局刑事警察大隊下設科技偵查隊之正式編制;另臺北市、新北市、桃園市、臺中市、高雄市、嘉義市及彰化縣已完成分局下設科偵小隊;其餘機關亦配合業務需要陸續規劃中。
三、強化本署科偵人力、軟硬體設備
(一)研擬計畫及執行經費:本署111年起盤點實務上因新興科技發展所衍生之困境,分析因應做法與具體對策,擬定「111年至113年精進警察科技偵查設備及人才培訓」及「112年至115年邁向新框架厚植科技偵查能量」等計畫,以充實各警察機關科技裝備及強化專業人才培訓為目標,因應未來挑戰。
(二)規劃科偵人力量能:警政署針對具辦案需求之所屬機關、各地方警察局科技偵查隊及分局科偵小隊進行全盤規劃,並依我國實務需求量身訂製科技偵查教材、辦理教育訓練,以有效提升全國科技偵防能量,因應未來趨勢變化所帶來之挑戰。
(三)積極培訓資安人才:配合國家資通安全政策,本署積極培訓資安人才,建置警政資安訓練教室,真實模擬攻防演練實體訓練環境。另成立警政資安團隊,負責本署資安資安技術訓練及研討、提供資安政策參考資料、資安技術服務諮詢等資安防護技術支援,並編列相關預算,調訓全國各警察機關資訊人員,積極派員參加國際資安證照訓練與考試,增加警政整體資安防護能量。
四、建立專案團隊以及應變處理機制
(一)建立本署網路防護團隊:本署自109年起,規劃綜整本署刑事警察局、資訊室、保防室成立專案團隊,針對本署資安防護、網路輿情認知作戰、資安案件偵查進行整合工作。
(二)建立本署資安事件通報應變處置團隊:本署整合全國各直轄市、縣(市)刑大科偵隊,成立專案團隊,針對全國各直轄市、縣(市)公務機關、民生關鍵基礎設施、學校、醫院或非公務機關突發之嚴重資安事件,可立即進行通報、應變以及處置等相關工作。
參、結論
維護社會治安,保障民眾生命財產安全,是警政工作的第一要務,本署將秉持一貫嚴正執法立場和強勢打擊手段,滾動調整各項偵防策略,賡續執行各項社會治安維護工作,守護安居樂業的社會環境。
以上報告,敬請各位委員先進賜予指教,謝謝!
主席:現在進行詢答,本會委員詢答時間為8分鐘,必要時得延長2分鐘;非本會委員詢答時間為5分鐘,並不再延長。上午10時30分截止發言登記。
首先請登記第一位的陳委員玉珍發言。
陳委員玉珍:(9時34分)謝謝主席。謝謝各部會代表的照本宣科。我想請教NCC,上個星期金門縣議會召開定期會,有位資深的許玉昭議員表示,旅客一到金門下飛機就手機不通,觀感不好,4G不到一格。我們的觀光處的回覆是有將此問題轉給權責單位,應該就是NCC嘛,請問現在這個問題怎麼處理?
2017年NCC有到金門去查核過這個問題,金門的收訊品質確實不好,根據審計部110年的審核報告,金門現在的5G涵蓋率是75.3%,全國的平均是90.65%,我們還有兩個鄉鎮的涵蓋率低於50%,還有一個地方──烏坵是完全沒有設置5G的基地臺。請NCC先回答一下。
主席:請通傳會射頻處陳簡任技正說明。
陳簡任技正俊安:謝謝委員的提問,有關電波涵蓋率的部分,當然我們會持續督促電信業者去做改善。至於提升涵蓋率的部分,因為很多我們的行政措施,包括普及服務基金,包括建設基地臺的補助部分,都已經移到數位部去了,所以……
陳委員玉珍:所以那個部分現在要歸數位發展部?
陳簡任技正俊安:當然,有關統計的資料,我們可以繼續請業者提報沒有問題,但是相關的行政工具,我們這邊已經沒有了。
陳委員玉珍:所以現在NCC就只是在做統計的工作就對了,沒有實質上的效果啦,你的意思這樣子,是嗎?是這樣子嗎?你剛剛說你們做統計嘛,你們沒有任何的功能,NCC已經沒有功能存在了?
陳簡任技正俊安:我們還是會持續督促它做……
陳委員玉珍:就是做統計啦!你們的工作就是統計嘛,對不對?是嗎?你剛剛回答是這樣子嘛!是吧……
陳簡任技正俊安:我們會持續……
陳委員玉珍:你們就是做統計工作,好。NCC現在沒有功能,就只做統計工作。那本席請教數位發展部,這個問題要怎麼處理呢?這個業務移到你們手上了啊!
主席:請數位部闕次長說明。
闕次長河鳴:跟委員報告,NCC的基礎處已經移撥到數位發展部的韌性司,目前您講的這二個業務,包含基站的補助跟偏遠地區涵蓋率的改善,這個都是在韌性司的範圍……
陳委員玉珍:就在你們部裡面啦!
闕次長河鳴:對。
陳委員玉珍:好,關於金門的部分要怎麼處理?
闕次長河鳴:事實上,我過去長期是NCC普及服務的委員,以我看到的資料,基本上只要是在法定的偏鄉地區,包含離島,它提出來的改善計畫通常都是會被優先處理。
陳委員玉珍:OK,現在金門和臺灣之間有幾條海纜?
闕次長河鳴:現在有3條,113年底會再增加1條。
陳委員玉珍:有認真喔!那3條是什麼時候設的?
闕次長河鳴:這3條是什麼時候設的,我不知道耶,我只知道新的是113年底會完成,澎金四號是113年底會完成。
陳委員玉珍:是,有80年的、88年的,都已經非常久了,都超過使用年限了,前一陣子馬祖還斷線,金門之前也曾經就斷了,斷了以後,你知道我們怎麼處理嗎?如果臺金之間的海纜斷了以後,怎麼處理?你們知道現在的情形是怎麼樣嗎?
闕次長河鳴:應該是有微波的備援。
陳委員玉珍:那是備援,但備援頻寬不太夠嘛,你知道大部分是怎麼處理呢?國防部知道嗎?金門、馬祖也是屬於大家管轄的範圍內啊,之前斷過幾次啦,如果臺金之間的電纜斷掉了,現在是怎麼處理?實際情況是怎麼樣呢?NCC知道嗎?這之前是你們的業務。
陳簡任技正俊安:如果海纜斷掉,應該是走微波,微波再過來就是……
陳委員玉珍:微波以外呢?之前用什麼方法,大家知道嗎?
陳簡任技正俊安:要不然就是走衛星過去。
陳委員玉珍:不對!還有呢?都不知道嗎?國防部也不知道嗎?今天開會的議程是有關資訊安全,但你們都不知道,如果斷了,之前是怎麼做的?之前是通到廈門去,再從廈門往北邊走,然後再從外國繞回來,所以我們金門的通訊變成是走國際電纜,跟廈門連結,然後整個再倒回來。這樣的話,在我們今天要討論的資安問題上就會有很大的疑慮了,對吧?如果臺金之間的海纜斷了,事實上已經斷過,之前就是這樣做的。在80年、88年設置的電纜已經很久了,事實上也斷過,所以我們就往廈門去通回來,這個是現在發生的情形,所以在113年、114年中華電信的確有提出來,因為現在還是歸中華電信嘛,他們有提出來要做四號的新電纜,這個四號電纜現在是數位發展部負責嗎?新的臺澎金四號海纜啦。
闕次長河鳴:海纜應該還是中華電信負責。
陳委員玉珍:是嗎?數位發展部預計給多少錢呢?
闕次長河鳴:數位發展部預計給多少錢的問題……
陳委員玉珍:它的總投資金額大概快10億元,臺金澎這條海纜線,整個投資大概快10億元,然後每一年中華電信那邊是虧幾千萬元,因為人口不多嘛,當然是不容易賺錢的,請問數位發展部要支持我們多少錢在這裡做?還有微波擴大的部分?不知道嗎?
闕次長河鳴:同仁在查資料,因為他們給我一份……
陳委員玉珍:以後有金門的委員來質詢,你們對於金門的資訊要瞭解清楚一點。
闕次長河鳴:瞭解。
陳委員玉珍:他們總共要投資的金額大概是9.8億元,希望數位發展部法可以支持,因為這個是滿重要的,跟資安也有很大的關係,不然以後再斷的話,一樣得通到大陸去,現在既然我們跟大陸的關係比較危殆,這也涉及很多資訊安全,我為什麼會問國防部?因為金門也有金防部,也是很多資訊要這樣通,如果萬一發生什麼事情的時候,而臺金之間的海纜斷掉的話,現在還是要走大陸,所以這個當然要趕快去做。次長,數位發展部可以承諾盡全力協助這筆預算嗎?
闕次長河鳴:跟委員報告,除了這個海纜的預算,其實……
陳委員玉珍:海底電纜。
闕次長河鳴:海底電纜的預算以外,我們這邊其實有二個作法,這二個作法今年會開始執行,第一個作法是海纜登陸站我們會有2,300萬元的預算去補助它做分散式的上岸……
陳委員玉珍:你說哪裡?金門嗎?
闕次長河鳴:這個是整體的……
陳委員玉珍:2,300萬元?海底電纜就要10億元了耶!
闕次長河鳴:對,這是它的登陸站,登陸站如果能夠……
陳委員玉珍:喔,是登陸的部分,那海底電纜的部分呢?數位發展部要給多少錢?查出來了沒有?
闕次長河鳴:還沒有。
陳委員玉珍:你是次長,你可以做承諾,你是代表部長來的嘛!
闕次長河鳴:我要知道整體預算才能做承諾。
陳委員玉珍:不是,現在對中華電信來講,它做這個是不划算的嘛,花9.8億元去做,不管怎麼做它都是虧錢啦,這個我們都知道,每一年它大概都要虧5,000萬元,4,300萬元左右。
闕次長河鳴:這個預算……
陳委員玉珍:那你們支不支持這樣的海底電纜的布建?
闕次長河鳴:我們原則上支持,但是這個應該已經編列在前瞻預算裡面,所以我們要回去查一下。
陳委員玉珍:你查一下再告訴我。
闕次長河鳴:好。
陳委員玉珍:我想請問國安局,我們的護國神山台積電,台積電不是一直受到邀請要去美國發展、設廠,對吧?美國最近又有資訊產品不能賣到大陸去的相關政策,這也影響台積電在販賣等各方面的整體營收,請問會下降多少,你知道嗎?
主席:請國安局陳副局長說明。
陳副局長進廣:報告委員,對於這個部分,我們沒有具體的數字。
陳委員玉珍:你是哪個單位?
陳副局長進廣:國家安全局。
陳委員玉珍:國家安全局不知道護國神山的營收影響,如果它到美國去設廠的話,今天的主題就是這個耶!主席,今天的主題不就是現在美國規定不能賣到大陸去的相關情形,所以有影響嘛!
陳副局長進廣:跟委員報告……
陳委員玉珍:對於護國神山台積電,國安單位應該要相當瞭解這個影響究竟有多大,對台積電整個營業額的影響有多少呢?這不列入考慮,是嗎?
陳副局長進廣:這部分的業務是經濟部,那我們針對……
陳委員玉珍:經濟部我知道,你們要做總體考量啊,你是國家安全局,包括經濟安全、國防安全等各方面都要整體考慮啊,還有資訊安全,不是……
陳副局長進廣:對,謝謝委員,我們會改進。
陳委員玉珍:所以你們不知道?
陳副局長進廣:我沒有具體的數字。
陳委員玉珍:你是國安局的……
主席:陳委員,我介紹一下,時間暫停一下。現在我先介紹一下,副局長才剛進來。
陳委員玉珍:是副局長?副局長怎麼會不知道呢?
主席:對,國家安全局現在是陳進廣副局長列席備詢。
陳委員玉珍:副局長,是不是要派局長來才會知道?因為國家安全是包括整體的嘛,不是只有軍隊、資訊安全,對於護國神山的影響,我想在座的都知道啊,這個新聞也有報導啊,你們怎麼做整體評估呢?影響很大啊,影響大概十分之一,影響很大。
陳副局長進廣:對,謝謝委員。報告委員,對於這部分我沒有具體的數字……
陳委員玉珍:你不知道就對了?
陳副局長進廣:對,不知道具體數字。
陳委員玉珍:那你們平常是負責什麼?國家安全是負責什麼?除了要抗中保臺外,真正的數據都不知道耶,這很奇怪!
陳副局長進廣:我們有同仁會掌握相關的數據來提供整體的政策判斷。
陳委員玉珍:所以你不用知道嗎?你今天代表國安局來國會向國會議員報告,你可以不知道數據嗎?這個不是……
陳副局長進廣:這個我們會檢討,謝謝委員。
陳委員玉珍:國家安全這樣就很危殆了,等你檢討可能就有危險了!美國商業部長跟財政部長都說美國過度依賴台積電會有國安危機,所以現在他們想把要它移到美國去,這是我們大家都有看到的,變成美國的護國神山,關於這個部分的整個局勢,對我國有什麼影響?你簡單說一下。
陳副局長進廣:跟委員報告,這涉及到我們台積電的全球布局,要多元分散,它除了在中國大陸有投資,未來在美國、還包括日本……
陳委員玉珍:如果台積電大部分移到美國,對我國的國家安全有什麼影響?
陳副局長進廣:事實上這樣的生產線,它是各國的共同結合,任何一個國家要負責其優勢的部分,比如日本負責整個半導體的生產……
陳委員玉珍:簡而言之,你覺得影響不大,是嗎?
陳副局長進廣:不是影響不大,而是……
陳委員玉珍:所以影響有多大?
陳副局長進廣:建立一個安全的供應鏈,這是安全供應鏈的全球布局。
陳委員玉珍:您說的安全供應鏈是指,它到美國去就會替美國建立一個安全的供應鏈,你是中華民國的國安局喔!
陳副局長進廣:任何一個全球化的生產過程,尤其這種半導體不是單一國家可以完成的,包括荷蘭的機台、美國的研發技術及日本的部分。
陳委員玉珍:美國都希望台積電遷過去、設廠,所以你支持嗎?
陳副局長進廣:事實上我們都面臨到這樣的問題,這也就是……
陳委員玉珍:你支持嗎?
陳副局長進廣:美國提出人才的禁令之後,對三星以及臺灣是豁免的。
陳委員玉珍:怎麼豁免?
陳副局長進廣:他們在限制人才方面,提供半導體整個產業鏈的部分,美國提出來,所有華人的禁令,事實上他們對三星以及……
陳委員玉珍:我的問題是,台積電如果被美國要求遷到美國去,之前還有訊息說如果臺海危機的時候,要特別派台積電可能是研發或相關人等、資深的研發人員到美國去。這對我國國安的影響,你有什麼看法?
陳副局長進廣:這部分有兩點,第一個,針對台積電的多元布局,基於其產業發展的需要,確實有必要。
陳委員玉珍:所以有必要?資訊安全是國家整體安全之一環,現在科技戰也是戰爭的一個型態……
陳副局長進廣:沒錯,因為美國本身……
陳委員玉珍:你是支持台積電把這些部分,就是現在我們認為最重要的護國神山,包括晶圓廠及某些部分就移到美國去,是不是?
陳副局長進廣:生產業是全球布局,其產業內部分工,必須要整體結合。
陳委員玉珍:所以你是支持?現在你不是代表個人,而是國安局的立場喔!
陳副局長進廣:我代表的是,整個國家的產業都要做多元的布局……
陳委員玉珍:你支持嗎?
陳副局長進廣:我支持。
陳委員玉珍:你支持喔!現在美國一直希望把台積電重要的晶圓廠遷到他們那裡去。站在國安局的立場,你們支持喔!國安局是支持的。包括美國說,到時候如果臺海有事的時候,派專機把資深或特別重要的研發人員送到美國去,這個國安局也是支持的嗎?
陳副局長進廣:這部分我們局長已在其他委員會──他會答復。
陳委員玉珍:沒關係,你回答我就好了。也是支持的嗎?專機的部分。
陳副局長進廣:我們沒有掌握類似像這樣的美國政府之立場……
陳委員玉珍:你們連外國的資訊都沒有掌握,美國的相關媒體都公開報導了。
陳副局長進廣:這是媒體的報導,並不代表……
陳委員玉珍:不是媒體,美國戰略學院的兵推。這不是媒體報導,而是美國的國防智庫提出來的,到現在你們都沒有掌握。
陳副局長進廣:這部分並不代表美國政府的立場……
陳委員玉珍:但這是智庫的立場,他們的智庫會影響其國家政策。
陳副局長進廣:媒體這樣的報導……
主席:我有個建議,國安局就陳玉珍委員所提出的,護國神山的晶圓廠部分,對於我國國安有何影響、如何因應,請你提出書面答復。
陳副局長進廣:好的。
主席:我給你10天的時間,提出書面答復予陳玉珍委員及委員會,好不好?
陳副局長進廣:沒問題,謝謝委員的指導。
陳委員玉珍:不過主席,針對這個……
主席:因為他沒有回答得很清楚。
陳委員玉珍:這個要做紀錄,剛剛國安局竟然表明立場說他支持,我們所依靠的護國神山把晶圓廠移到美國!這要留下紀錄。
陳副局長進廣:跟委員報告,剛剛我的回答是,我們針對國內產業的多元布局,基於整個安全風險分散……
主席:你在書面答復中寫清楚,好不好?
陳副局長進廣:是。
陳委員玉珍:謝謝。
主席:請黃委員世杰發言。
黃委員世杰:(9時49分)數位發展部闕次長、資通安全署謝署長都有列席,今天我們的主題,針對歐美各國陸續頒布禁止使用或限制採購中國資通訊及科技產品,這也不是新鮮事,已經有一段時間了。只是最近美國又有一波新的發布令,對於他們公民在中國的相關產業裡面協力,作出了一些禁令,所以這個議題又再度變成重要話題。再加上今年美國眾議院議長Pelosi來臺之時,我們的很多公共場域曾發生疑似駭客入侵或被植入訊息,引發了一波討論。
回顧一下,最早在108年的時候,行政院頒布各機關對危害國家資通安全產品限制使用原則,你們每一個的報告裡面都提到;109年的時候,又以行政院秘書長函通知各機關,要求在110年年底以前完成汰換。我記得謝署長當時是處長,是不是?在國發會擔任相關議題的處長,是不是這個清單以及怎麼做的機制,當時是由你研議出來的?你可以說明一下,現在我們有這個清單嗎?既然曾經具體要求過各機關要汰換,好像警政署也說已經執行完畢了,你們的報告是寫已經依照這個原則執行汰換完畢了嘛!到底這個清單在哪裡、有沒有公布?請次長說明。
主席:請數位部闕次長說明。
闕次長河鳴:跟委員報告,108年的資通安全產品限制使用此一原則,是請公務機關把其使用的中國品牌產品造冊列管,列管在各個單位的……
黃委員世杰:只有列管,不用汰換?
闕次長河鳴:列管的總共有6,496件,我們不會把它彙整成一個廠牌型號的清單。
黃委員世杰:那麼這個條文是訂假的啊!第三點規定「本法主管機關應基於國家安全、國際情資分享、……,蒐集相關機關意見綜合評估,據以核定生產、研發、製造或提供前點產品之廠商清單。」這是你們自己訂出來的原則。
闕次長河鳴:目前我們手上的是所有列管的清單,而不是廠商的清單。
黃委員世杰:那你們沒有依法辦理嘛!有或沒有?
闕次長河鳴:應該是有依法辦理。
黃委員世杰:你們自己訂的法令,而且你們的報告裡面還寫,現在已經要提出這個原則的修正草案,那草案裡面還有沒有這一條,還是你要怎麼訂?
闕次長河鳴:因為原來相關的是所有公務機關,現在我們修正法案的重點是放在針對裴洛西來臺……
黃委員世杰:你們開會的時候說是場域,對不對?
闕次長河鳴:對。
黃委員世杰:從主體的概念轉換到場域。但是跟這一條沒有關係啊!這一條你們有修嗎?沒修之前你們就沒有依法辦理,修了之後呢?
闕次長河鳴:這件事情,因為這是在資通安全會報,所以……
黃委員世杰:你知不知道?你不知道就說不知道,剛剛你一直都在搶答。
闕次長河鳴:我這邊不知道。
黃委員世杰:是不是可以請知道的人回答一下?這是今天的主題!
主席:請數位部資安署謝署長說明。
謝署長翠娟:謝謝委員的關心。應該說我們有全面的盤點,所有政府機關之中有哪一些使用了陸牌的產品,我們會規定他們應該要定期汰換。剛剛次長跟委員報告過,現在我們政府機關內還有6,496個大陸廠牌的產品,包含學術資料庫、電子書,以及一些外館使用的電信服務。因為外館的整個環境沒有任何其他非陸牌的可以使用,所以他們有些電信服務非得選擇陸牌,但是這些我們都有做安全的監控,委員如果需要這6,496個產品的list,其實我們會後可以提供。
黃委員世杰:這六千多件是你們經過108年、109年到現在……
謝署長翠娟:我們每年會定期盤點。
黃委員世杰:對,經過汰換,現在剩下這六千多件嘛!
謝署長翠娟:是。
黃委員世杰:這六千多件是你們盤點過的,所以有可能比如說同一種廠牌有A、B、C等等,所以有很多件嘛,對不對?
謝署長翠娟:對。
黃委員世杰:而我現在問的是,依照法令,你們應該先有一個邏輯:哪些是危險的?這個法條寫得很清楚啊!要做綜合評估,然後核定廠商清單,你才可以去要求各政府機關到底哪些是不能用的,不是嗎?還是你們從來沒有做過這件事情,只要是中國製的統統都不OK?這樣會有一個盲點,你知道嗎?因為在世界產業鏈當中,有很多是代工,貼牌是哪個國家,和它實際生產是哪個國家未必一樣。你們完全沒有做這樣的盤點啊?
闕次長河鳴:目前盤點的結果就是把中國品牌列入廠商清單,這是108年到現在實務上的狀況。的確是有委員講的貼牌的狀況,也有民眾檢舉,這些案例目前也在處理中,我們會在新的規定裡面處理貼牌的情形。
黃委員世杰:好,我要問一下國安局陳副局長,辛苦你今天特地趕來,但是這個問題不能說跟你沒有關係吧!
主席:請國安局陳副局長說明。
陳副局長進廣:對。
黃委員世杰:那你們怎麼看待這個問題?
陳副局長進廣:跟委員報告,這方面從108年、109年到110年年底,我們都配合相關機關……
黃委員世杰:我不是問你你自己這個機關怎麼執行或配合,而是問你,我們竟然沒有一個主管機關去釐清危害國家資通安全的產品!我不管是產品清單還是廠商清單,你們一定要有一個評估的過程啦!今天你也不能說它表面上非中國製或是其他國家製的就一律是安全的。你們到底有沒有這樣一個評核機制?
陳副局長進廣:跟委員報告,事實上我們先前在情資方面都已經掌握有哪些實體的清單、它們具有哪些威脅,甚至包括有些貼牌的產品,我們都有把相關情資提供給主管機關。而且我們針對這部分的貼牌還有國內人員引進的部分,比如說它是用廠商服務的方式進臺,這部分我們都有從情報機關的立場加以掌握,同時提供給相關機關做為……
黃委員世杰:你們提供的資料行政院顯然沒有在用耶,不然怎麼會沒有一個廠商清單!
陳副局長進廣:跟委員報告,我們本於職責,相關資訊都有提供給政府相關部門參考。
黃委員世杰:你們是透過什麼機制提供?
陳副局長進廣:我們有一個正常的情資分送管道,同時也參與相關的資通安全會報。
黃委員世杰:資安署謝署長,這是你主管的耶!成立數位發展部之後,整個國家資通安全是你們在主管,卻沒有這樣的機制和程序!我們先不管是不是有那個清單,剛剛國安局說他們都有透過相關的情資管道分享出去,所以你們應該都知道才對啊!對不對?那為什麼可以沒有這個機制呢?你們要不要建立這個機制,以符合你們自己定的法令的規定?
謝署長翠娟:跟委員報告,其實我們是有隨時在蒐集,因為廠牌的名稱會一直變、一直變,所以老實說,廠牌並沒有非常大的意義。我們現在做的事情就是,首先,如果明確知道它是陸牌,那就不能採購,在採購上面我們已經有明確的規定;在場域內,如果已經買的,它也不能連到他們的公務環境,這部分也有明確的規定;除此之外,還再加上資安的監控管理,萬一真的有個不小心,當它要包東西出去的時候,我們可以攔截下來。
黃委員世杰:我現在問的其實是兩個問題,你講的是後端,已經買的要怎麼樣去做補救、管理、定期汰換、不能汰換、要如何監控設備等等。但是我的問題其實是前端的部分,因為你們現在這個原則只是規範公部門,最多規範到公部門委外,或者是行政法人、政府捐助的財團法人等等,最多擴及到這樣的範圍,可是我們現在面對的國安問題不是只有公部門,私部門可能也需要知道哪些產品或廠牌有嚴重的資安疑慮或國安疑慮,私部門也需要啊!對不對?對於這些廠商,你們如果有一個機制可以去研議出來,但是卻不敢公布,其實美國他們都有公布耶!我今天沒有時間談這個部分,但是美國的做法你們是不是應該參考一下?讓整個社會知道到底哪些是有國安風險的,有國安風險就有資安風險,對不對?如果放任不管的話,搞不好我們還有很多監視器等等是隨時會被駭進來的,這沒有國安問題嗎?請國安局說明。
陳副局長進廣:謝謝委員指導。我們針對具有相關風險疑慮的部分,就像剛剛報告的,都有送給行政部門……
黃委員世杰:對啊,但是你們送給行政部門之後,他們就是用這種方式在處理,所以民間對此一無所知啊!
我覺得你們是不是應該回去檢討一下?你們自己定了剛剛那一條的機制,定得很好,但是沒有下文啊!有什麼狀況是一定不能怎樣?我是覺得應該要思考一下。國際情勢正在轉變當中,如果我們的風險越來越高,你們應該讓更多人知道這些風險,這樣大家也會主動去迴避,而不是公部門清查到的,自己列管好就好了。不是這樣做資安的吧!
最後請署長說明一下,因為我的時間也到了。
謝署長翠娟:跟委員報告,其實我們對民間也有很熱忱地提供服務,所以我們現在只要蒐集到任何攻擊樣態的情資,都會透過TWCERT/CC,提供給民間部門,讓他們對資安問題或攻擊樣態可以事先預防,萬一已經遇到資安問題,TWCERT/CC也可以輔導並協助民間部門排解。
黃委員世杰:好啦,你的說法就是如果有人有疑問的話,可以去找你們啦!但是如果他沒有這麼聰明,不知道你們有這個機制的話,他就沒有這個資訊啦!
謝署長翠娟:我們會對外公布。
黃委員世杰:不是啦,我知道。問題是並非每一個個人或公司,因為我們有很多中小企業耶,你講的可能只是其中一部分。我的意思是說,既然你們正在研修這個草案,希望你們第一,要依法行政,第二,該精進的就要精進,不要只有去處理那個場域的問題。那個很重要,沒有錯,但是也要看到我們現在面臨的風險。裴洛西來臺那一次,解決的方式不是只有場域而已,對不對?今天公部門都守好了,私部門照樣給你突破,結果也是一樣啊!更不要講上次新聞台出現那件事情,雖然那是他們內部自己誤植,但如果將來是透過駭客的方式去取代的話,不也是一個很嚴重的事情嗎?對不對?好,以上。
主席:透過黃世杰委員的質詢,我發覺我國各單位對國安、資安的問題在法規上好像都各有本位,而沒有做橫向聯繫,所以遇到這些問題的時候,國安局是一個答案、數發部是一個答案。其實我今天安排這個議題,就是希望透過各單位的討論,自己去發覺在法令上有哪些窒礙難行的地方。各部會應該要做橫向的聯繫,把這些資安問題做銜接,而不是各自為政,完全沒有做橫向的溝通和聯繫,各做各的,都依照自己頒訂的法令或原則去做。我想黃世杰委員有點出這個問題,所以希望未來真的能夠更精進,因為資安方面真的要做適當的應變並擬出防禦機制,才能確保我國的資通安全。
接下來請游委員毓蘭發言。
游委員毓蘭:(10時4分)謝謝主席。主席今天排的這個題目是很重要的資安及國安相關議題,但是本席很遺憾國安會還是不肯來,所以我還是針對國家安全的問題先請教陳副局長。副局長,我們知道昨天中國二十大已經閉幕了,前天就閉幕了,最關鍵的就是它把反臺獨寫進中共黨章之內,同時在10月19日,美國海軍部長Michael Gilday也警告臺海的戰事非常有可能發生在2024年之前,甚至在今年;國務卿Blinken在3天內就兩度公開宣稱大陸已經加快統一的時間表。貴局的陳局長雖然最早在立法院就告訴我們蔡總統任內絕對不會發生戰爭,但是後來他又修正說他是指北京不會發動登島戰役,上個星期四他在這邊答復記者的訪問時,又宣稱非常有可能明年就要以戰逼和了。我是想要問副局長,我是相信陳明通局長說的這些絕對跟政論節目上面的那些名嘴,或是網路上傳的那種推背圖統統都不一樣,應該是有依據的,國安局內部有沒有針對這些情勢做過一些討論呢?
主席:請國安局陳副局長說明。
陳副局長進廣:事實上有關於中共武力犯臺從2023年、2027年、2035年等等都有一系列的外部說法,我們都非常尊重,尤其是包括像美方的退休將領跟學者,事實上這些提醒無非是要讓我們在整個臺灣……
游委員毓蘭:我剛剛所談的Blinken不是退役的。
陳副局長進廣:我知道。尤其針對二十大,中共把臺獨列為黨綱,同時在整個常委的人事,我們可以看到他已經排除團派這部分的人士,所以未來習近平的個人意志貫徹政策的決心會更強。
游委員毓蘭:也就是我們對他是不可測的。
陳副局長進廣:所以要跟委員報告,我們對於中共可能的武力犯臺都有一些想定的設定,譬如說它的內部問題是不是可能會用外部問題來解決,這部分我們也必須要很嚴肅地把它列為未來在建軍備戰跟強化防衛決心上面的一個議題。
游委員毓蘭:其實本席一直關心的也是到底are we ready、我們準備好了沒有?尤其我們看到在隔壁委員會,國防部長三天兩頭被請到這邊來,但是他怎麼樣都不告訴我們,因為其實美國對我們明說暗講,都叫我們一定要延長兵役的役期,可是現在延長役期的問題好像並不是在做專業的評估跟考量,也不在於我們現在到底離戰爭有多近,好像沒有這樣子考量,而是完全都在考慮這會不會影響選情,難道國安局在情蒐這部分沒有給層峰一些應該要做判斷的情資嗎?
陳副局長進廣:這分三點來講,第一個,有關於中共武力犯臺徵候的部分,我們跟國防部隨時都保持密切的關注;另外,因為中共整個人事的改變,對於中共對臺策略跟政策意圖的部分,我們真的是要密切地去關注,但是針對這些議題的部分,我們尊重國防部的專業判斷。
游委員毓蘭:是,但是陳明通局長幾次在談到大陸攻臺的可能性跟時間表的時候,真的是初一、十五不一樣,每天都在變化,當然國際形勢可能也不盡相同。本席認為國安局身為最高情治單位,本身就能夠接收到旁人所不知道的情報,而且我們對對岸有很多的訊息掌控,我自己去參觀過你們的設施,我知道我們也有,對於這些可能會影響到國人對安全跟戰爭與和平之間的判斷,能不能夠更精準一點或更慎言一點呢?
陳副局長進廣:跟委員報告,我們不管在人與人及科技情報的掌握上,絕對是24小時密切關注,尤其像這一次二十大的人事變化,之前陳局長也做了一個相關想定的判斷,我們密切去關注比如說他為什麼在事前提出所謂的「能上能下」,事實上從這一次的整個中央委員、政治局跟常委,他已經打破過去所有我們分析中國大陸人事變化的規則。
游委員毓蘭:所以你們當時並沒有預估到會完全都由習派人馬掌控?
陳副局長進廣:我們把它列為可能性之一。
游委員毓蘭:之一而已,但是沒有想到還有當眾架離胡錦濤這樣的作法。
陳副局長進廣:對,但是我們要注意的就是能上能下的規則對他的整個政治判斷,所以他對忠誠度的選擇更甚於專業。
游委員毓蘭:再回到資安的問題,因為在上次國安局長赴泰行程被洩密的這個事件上,我們就必須知道中共對我們進行科技統戰的問題,因為中國是世界的代工大國、世界的工廠,全國的科技產品,其中都會有中國製的零組件,小至螺絲大至主機板,甚至於產品全部都是「made in China」的零件所組裝,但是我們現在經常看到有很多號稱是MIT的產品,其實是被我叫做「臺皮陸骨」的。所以接下來我要請教闕河鳴政次,我們對於大陸的產品要如何規範,認定的依據為何?因為經濟部投審會有公告企業是不是中資,但認定的依據也不清楚,也沒有跟業界做資訊整合,就好像聯想(Lenovo),我以前在美國讀書的時候IBM是最大廠,比如說它的ThinkPad,現在聯想明明是陸資的,可是它是在荷蘭註冊,有沒有被列為陸資企業?第二個問題是公共工程委員會把陸資廠商分為大陸廠商、第三地區含陸資成分廠商及在臺陸資廠商,但是110年8月清查大陸廠牌時只針對大陸廠商,後面兩者經評估不涉及國安,這個評估是由哪個單位來評估?如何進行?目前行政院公布進用的大陸廠牌有8個,但是有沒有確定這些品牌沒有利用貼臺灣、洗產地或第三地廠商的廠牌銷售情形?數發部有沒有持續追蹤?
主席:請數位部闕次長說明。
闕次長河鳴:我先回答第一個,聯想的部分,因為我剛從學校借調到數發部,我在學校有一台聯想的電腦,現在也是在6,496個管制項目之一,因為那是當初採購儀器的時候跟儀器一起來的。就我的瞭解,在公務機關裡面,聯想的電腦,就是以前的IBM電腦是管制的,而且是列為不可以上網……
游委員毓蘭:但是這樣有務實嗎?有切實際嗎?比如說我以前在警察大學,警察大學好不容易有錢可以更新一套電腦設備,但是因為這些規定,他們又不能使用,或者是我知道臺大有很多CCTV、視訊上課也都碰到同樣的問題,這樣子有切中要點嗎?
闕次長河鳴:實務上就是那台電腦就不能上網,只能連到特定的儀器,因為上面有特定軟體是跟儀器連在一起的,所以只在量測設備上使用,這些東西就是每半年要寫報告,就我自己的經驗,目前的管制力道是用這樣的方式在處理。公務機關也會要求你要訂定期程,期程到了或者是保存期限到了,那台設備一定要淘汰,如果不淘汰的話要有具體的理由,就是要兩個資安長同意,所以現在的implementation是這樣。基本上,以我自己的經驗,的確你把某一樣電腦產品拿去審核,它有沒有資安疑慮要從二個層面來看,第一個層面,它的BIOS有沒有後門,我們之所以……
游委員毓蘭:次長,不好意思!這部分我希望您會後提供一份比較詳細的資料給我。我倒是想請教一個問題,陳明通局長回答有關赴泰行程被公開的事情,他說是因為海康威視的鏡頭跟華為的server所造成,這會不會有一點太誇大?我認為像是為匪宣傳一樣,好像我們臺灣毫無招架之力,只要他們一有華為的server,我們就完全任人宰割,他們真的這麼厲害嗎?我們的資安要如何防範?
闕次長河鳴:這跟剛剛的第一個問題是連動的,我們針對它的鏡頭或伺服器有做一些限制,或者對它的app有做一些宣導,其實是因為在對岸的法律架構裡面,它可以取得雲端資料,如果它在法律架構上可以取得雲端資料,這就勢必是……
游委員毓蘭:他們講到大家都害怕了,連用小米的掃地機器人都能讓它瞭解臺灣每個家庭的狀況。現在政府機關的資通跟資安人才都不夠,經常都要委外,廠商之間我們要如何控管?我覺得這也要納入考量。以及現在有很多國軍或政治上的重要單位,他們長年跟IBM、Cisco這些外商做交易,不管是採購單位、承辦人員、專案內容或BOM(物料清單),甚至大到設備主機,我覺得數發部作為資安主管部門一定要好好做一些完整規範。
所以本席最後要求數發部應該要與各部會合作,研擬防範非陸製設備採購中國製零組件,政府單位在採購時如何判斷設備有無機敏資料洩漏的疑慮,應該針對設備維護管理廠商制定相關的資安規範,而且要在契約內載明並定期檢討,這樣可以嗎?會後請給本席一份詳細報告,謝謝。
闕次長河鳴:謝謝。
主席:請陳委員以信發言。
陳委員以信:(10時18分)首先請教數位發展部,今天我們針對這麼重要的議題在討論,為什麼部長沒有來?
主席:請數位部闕次長說明。
闕次長河鳴:部長有好幾個行程,有跟召委請假。
陳委員以信:立法院的行程不重要嗎?你們必須要對立法院負責,還有什麼行程比立法院請你來報告還重要?為什麼不來?
闕次長河鳴:跟委員報告,因為資通安全業務是由我負責。
陳委員以信:所以他不懂就對了?因為他不懂,加上是你負責,所以他才不來,是這樣嗎?
闕次長河鳴:並不是這樣,原來……
陳委員以信:跟你懂不懂有什麼關係?為什麼他不來?
闕次長河鳴:我沒辦法代替他回答這個問題。
陳委員以信:藐視國會,不尊重司委會。而且我跟你講,今天所有部會的報告題目都跟你們不一樣,今天司委會擬定一個專題報告的題目,雖然比較長,但有我們的用意,為什麼就數位發展部的報告題目不一樣?自己創題目!考卷是我們出的,你寫答案就好了,為什麼連題目都改掉呢?
闕次長河鳴:這個我們以後會改進。
陳委員以信:再來,明明是專案報告,為什麼變書面報告?自己還降格!你們數位發展部拿預算都要五十幾億元、六百多人,為什麼連這種基本的作業都不及格?最嚴重的是什麼?你看這份報告除了標題外,就這麼一頁,翻過來馬上就沒有了,你知不知道有多少個字?你有沒有算過?你大概連算都沒算過吧!
闕次長河鳴:委員使用office就可以幫你算。
陳委員以信:我問你啊!今天報告是你寫的,還要我幫你算?我幫你算過了,738個字!
闕次長河鳴:謝謝。
陳委員以信:738個字。
闕次長河鳴:這是考量……
陳委員以信:考量什麼?這件事情不重要,寫738個字就好了。
闕次長河鳴:這是考量本人在2分鐘內可以唸完的字數所得的結果。
陳委員以信:所以呢?內容都沒有!我跟你講,你唸的738個字,基本上都是廢話,只有一句話我已經劃出來了,裡面只有一句話是重點,前面講問候、後面講官話,只有一句話叫做「本部研提各機關對危害國家資通安全產品限制使用原則修正草案」,就這句話跟你的部有關!其他都是其他部會的事情,你剛才唸過,我也仔細看過,738個字的重點就這句話,這句話還是空話,如果738個字都在講修正草案內容是什麼,我還覺得你講得有點道理,結果不是!裡面全在講人家怎麼樣、人家怎麼樣,我今天叫數位發展部來幹麼?數位發展部來這邊就是要說明數位發展部要做什麼,結果數位發展部就這句話,還沒有內容,難怪部長不來、難怪部長不肯來!數位發展部才剛成立,態度就如此傲慢,跟部長一樣,這樣的內容有什麼好講的?今天我對這個內容非常不滿意,我現在就把它撕掉,我希望數位發展部針對這個題目由部長提書面報告,不然老實說,這報告是沒有內容的東西。
我現在要請問國安局,今天我們是邀請國家安全會議,你是唯一代表總統府來的,為什麼國安會沒有人來?
主席:請國安局陳副局長說明。
陳副局長進廣:委員好。我沒辦法幫國安會回答這個問題。
陳委員以信:你說什麼?
陳副局長進廣:個人沒辦法幫國安會回答這個問題,因為所有的到會通知是由委員會負責。
陳委員以信:我跟你說,國家安全會議屬總統府,但預算歸司法及法制委員會來審,每次國安會屢傳不到,只有預算審查才要來,對不對?要錢才要來!要質詢它都不來,只有要錢才要來,質詢都不來,我們幹麼要給它錢?如果國家安全會議認為只要來要錢就好,統統不用來這邊接受我們的質詢,那我們為什麼要給錢?為什麼要審它的預算?今天你坐在這邊代替總統府,我要你把話傳回去告訴國安會,如果專案報告要求他們來卻都不來,只有要錢、要預算才要來,那你看看我們要不要給它預算!如果對我們負責的態度是這樣,只來跟我們要錢,不來跟我們說明,我們為什麼要給它錢?第二個,雖然國安局在這邊,但局長也沒來,為什麼局長沒來?
陳副局長進廣:跟委員報告,委員會通知我們,我們就派適當的層級參與這次會議。
陳委員以信:所以局長層級不適當就對了?
陳副局長進廣:我們是委員會通知就配合,本局全面接受大院的監督跟質詢。
陳委員以信:原則上,通知局長就是局長應該要來,我不要為難你們,請把話帶回去。既然你來了,我就要跟你針對議題好好討論,中共二十大的新常委名單出來,我上禮拜在外交委員會有跟他討論,我說中共二十大的人事變遷會怎麼樣、哪些人會入常,我還特別提5個可能的人選,其中有3個人選被我們猜中了,我問他到底是七上八下還是三上三下,當時他說七上八下及三上三下都有它的原因,他特別講出也有四上四下的可能,的確我們後來看到是四上四下,所以在這一點上面,國安的情報蒐集是有所掌握,這是值得肯定的。他私下跟我講四上四下會是誰,他跟我咬耳朵,但我聽到的人名和我後來看到的人名不一樣。
陳副局長進廣:跟委員報告,早上我們在開相關會議的時候,局長針對這個問題,也確實要求我們不能再用過去傳統的分析方式,對於相關情資的掌握要更多元、更全面……
陳委員以信:他早上是怎麼分析的?
陳副局長進廣:針對這個部分,整個政治局和政治局常委的人選,已經打破了過去所謂的七上八下,而是能上能下,最主要是看習近平所講的政治判斷能力。所以習的意志事實上是主導相關人事政策的發展,我們也看到過去7名所謂比較注重檢討經濟發展或者改革開放的這批人,事實上都已經不在常務委員的名單上了。所以針對這些人事變化對於未來整個政策走向,包括我剛才提到的有關反臺獨列入黨章等等這一切,我們都會密切去關注有關的預警。
陳委員以信:這一個部分,我們剛才談過了,我現在要特別強調,最主要不是沒有猜到有4個會下來,是沒有猜到第4個上去的會是誰,結果第4個上去的是誰?是蔡奇對不對?
陳副局長進廣:對,蔡奇。
陳委員以信:蔡奇是北京市委書記,這就是為什麼我要你分析,為什麼是蔡奇上去?
陳副局長進廣:跟委員報告,蔡奇過去在北京市委的時候,對於他推動清除低端人口的部分,產生了最大的爭議。這份名單裡面,第一個,他是習的之江新軍一系列的人;第二個,他非常貫徹習的命令,就像李強在上海貫徹清零政策一樣,即便外界批評還是堅持清零,蔡奇是對於清除低端人口、維持北京社會穩定的部分強力地執行。
陳委員以信:其實我們本來都是猜陳敏爾啦!你這樣的意思是說陳敏爾不夠聽習近平的話,是不是這個意思?
陳副局長進廣:不是。
陳委員以信:那是什麼?為什麼不是陳敏爾,是蔡奇?
陳副局長進廣:這份名單裡面,當然陳敏爾也是之江新軍裡面的一員,他當初在浙江的時候是一個媒體人。但是對於這份名單中,最後他出線的原因,我們確實要去做後續的追蹤。以上跟委員誠摯地報告。
陳委員以信:好。那陳敏爾會不會去上海?
陳副局長進廣:這也是我們後續要去觀察的,但是我們要注意的一點,這邊提出來,到下次兩會舉辦,還有兩次人大常委會,人大常委會跟過去不一樣的地方,人大常委會也會晉用部長甚至副總裡,所以在人大常委會之前,對於這些進入政治局、政治常委名單,可能會有一些相關政府部門的人事運用。這也是未來我們在觀察整個中共人事及政策變化中,需要列為密切關注的焦點。
陳委員以信:我們原來在講四上四下的時候就比較擔心,本來如果是三上三下的話,會說改革開放路線是否一息尚存,但四上四下就會覺得是習的強權、習核心;沒有明規則、沒有潛規則,只有習規則。現在狀況是李強有可能從上海市委書記,直接變成國務總理的可能人選囉?
陳副局長進廣:打破過去……
陳委員以信:這打破所有過去的傳統。
陳副局長進廣:對。但是不排除……
陳委員以信:這怎麼分析呢?是他完全沒有副總理的資格,然後就坐上去,到底改革開放或者經濟的路線一息尚存,還是奄奄一息,怎麼判斷?
陳副局長進廣:跟委員報告,這有兩點,第一,就是我剛才說的在未來兩次人大常委會裡面,我們不排除會對李強做增補的動作,因為他可以去補副總理,不管任期是長或短。
陳委員以信:很短的時間有可能。
陳副局長進廣:第二,因為目前的整個清零政策,IMF對於未來經濟預估成長率是悲觀的,所以這一部分由李強擔綱,繼續貫徹清零和經濟發展。現在就是對於習近平的政策既要怎麼樣又要怎麼樣,這是目前面對的一個困難。確實在清零政策下,它的整個經濟發展受到一定的衰退,但是後續怎麼去執行,我們也在看後面有沒有新的政策,包括像清零政策是否會再檢討,都是我們關切的。
陳委員以信:我想中共二十大新的人事布局等於換了一個完全新的領導班子……
陳副局長進廣:遊戲規則完全改變。
陳委員以信:遊戲規則都改變。而且這一份名單裡面,我看到最大的特點就是沒有接班人,沒有接班人就是最大的特點!這預測了未來我們面對的對手是什麼樣……
陳副局長進廣:更加複雜。
陳委員以信:更加複雜,臺灣海峽更加困難、凶險。
陳副局長進廣:我們會密切關注。
陳委員以信:我要請國安單位要特別加強相關的研究。也要請你們局長,他每次最喜歡私下報告,現在才是需要私下報告的時間,請他儘快來做私下報告,而且我相信外交及國防委員會也會召開機密會議來聽取。謝謝。
陳副局長進廣:謝謝委員的指導。
主席(曾委員銘宗代):請林委員思銘發言。
林委員思銘:(10時30分)就這個議題,我想先請教調查局,2016年第一銀行ATM的盜領案,經過檢調人員調查發現,分別在臺北及臺中有22間分行、41臺的ATM皆於更新時被植入兩款惡意程式,嫌犯透過惡意程式成功侵入銀行內網後,再通過通訊設備喚醒程式讓ATM吐鈔,總共被盜領了8,327萬元。我想請問調查局,遙控臺北及臺中第一銀行ATM的操作指令是來自哪裡,你知道嗎?
主席:請法務部調查局資安處余處長說明。
余處長尚賢:因為那是2016年發生的,據我們所知應該是來自於境外。
林委員思銘:你不知道嗎?是境外,是遠在1萬公里外的英國,可見網路世界是無遠弗屆!
余處長尚賢:是。
林委員思銘:第一個被逮捕領錢的車手,是拉脫維亞籍洗錢嫌疑犯安德魯,他被移送時面對警方和媒體的詢問,曾經講得很小聲、悠悠地說:「你們只是擔心那些被搶的錢」。這句話的弦外之音是什麼?是影射出我國的資通安全,看似牢固,但實際上是大有漏洞。
另外根據iThome電腦週刊在2019年5月30日的報導內容,根據臺灣資安業者奧義智慧的揭露,總計有5個A級政府機關及地方政府,在當年4月被植入惡意程式,同樣是透過硬體、軟體的更新服務時植入後門。
我提到這兩件例子都是我們金融機關跟政府機關資安防護的大漏洞。我今天想要瞭解,我先問調查局,待會請警政署一併回答,你們兩個單位是我國重要的偵防單位,請問對於你們內部資通核心系統的定期檢測、維修、更新以及驗證的程序為何?你們更新維修後,透過公正第三方驗證,是否會滴水不漏?請回答。
余處長尚賢:謝謝委員的指教。我們局裡在十幾年前就導入ISMS管理機制,所以整個資通安全的管理是在第三方驗證之下來完成的,而且每年都要經過驗證之後才能讓證書持續有效。我想第三方驗證是非常嚴格的,我們局裡也針對核心系統把它列出來,列為檢測的核心目標,我們也時時做相關的檢測。我特別說明,呼應今天的主題,行政院雖然規定我們禁用大陸品牌的產品,但是我們局裡因為考量整個資料的保護還有機敏性,在相關的規定上面,我們任何的採購都在契約上規範,包括所有的聯網設備統統統不能用中國製造的,也就是大陸製造的產品,我們全部摒除在外,然後在前年我們就已經完成所有的清查。
林委員思銘:處長現在提到你們都有透過公正的第三方驗證,但是現在全世界的各種產品,很多的代工都來自中國大陸,我剛才為什麼問你是否滴水不漏,而你認為你們跟廠商之間的契約,透過第三方驗證、委外做驗證就一定能夠達到滴水不漏嗎?你們還有沒有其他的方式來做驗證?
余處長尚賢:跟委員報告,我們局裡的網路架構裡面,從一開始我們就是採取實體分離的方式,也就是說我們的內網跟外網實體上是完全的隔絕,僅留一些對外服務的網絡在外面。
林委員思銘:我要強烈建議你們,對於整個政府機關的重要產業、資通訊產品還有核心系統在安裝維修更新完成後,除了要經過第三方實驗室完全、安全無虞的認證,對於這些實驗室所進行的前面的晶片、軟體、硬體、韌體有沒有駭客植入惡意程式等安全檢測,這個部分你們一定要做,所以現在我想瞭解這部分你們是如何做、有沒有做?
余處長尚賢:跟委員報告,其實在我今天的專案報告裡面有特別提到二點,我們有一個中程計畫是從110年到113年,我們會主動針對國內一些聯網設備,也就是所謂的IoT設備,會主動進行測試,對於一些覺得有問題的……
林委員思銘:主動測試是如何測試?也是委外嗎?
余處長尚賢:沒有,我們自己有一個檢測平台,尤其在今年,我們大概都已經開發得差不多了。
林委員思銘:針對我們的本土或國際產業,尤其在資通安全上,因為他們有很多是對岸的公司,或是將技術研發、資料庫設在對岸,當進行安全疑慮審查的時候,一旦發現有疑慮時,我要請教數發部,如果你在做整個資通安全的審查時,發覺這些產品的生產是來自對岸的公司,技術研發或是系統資料庫都是設在對岸,請問你發覺這樣的產品有安全疑慮的時候,即一旦有這個疑慮的時候,你們目前作法是如何?
主席:請數位部闕次長說明。
闕次長河鳴:跟委員報告,目前的作法,當一個單位被列為關鍵基礎設施,像剛剛警政署報告的,他們會先做自我的測試,然後再請第三方檢測,一旦發生任何資安事件的時候,不管是由檢調介入,或是由……
林委員思銘:次長,我現在是說,因為現在在使用中,一旦發覺有疑慮,你還要再做檢測嗎?所以若有這個疑慮,則你現在預期要做的是什麼?你是不是應該要停止使用?
闕次長河鳴:關於一旦發覺有疑慮的時候,如果是我們想要知道情資的話,像資安署這邊會有一些儀器,就是說……
林委員思銘:我現在要瞭解的是你現在會怎麼做,你一直說你會重新做一些檢測,但我現在是說,你已經檢測出來有問題了、有這個疑慮了,則你的作法是要馬上停止這個產品的使用嗎?
闕次長河鳴:有疑慮當然要停止使用。
林委員思銘:那你有沒有訂定相關的原則或辦法?
闕次長河鳴:有。
林委員思銘:你們有沒有一個遵守的原則?而不是你現在口頭跟我說有就是有。
闕次長河鳴:請資安署說明,好不好?
主席:請數位部資安署謝署長說明。
謝署長翠娟:報告委員,如果發現有疑慮的話,要立刻停止使用,就是要先離開網路,然後做蒐證,我們必須把那個病毒或是它有任何的駭侵找出來,才能夠建置它的軌跡。
林委員思銘:停止使用的相關辦法有訂定嗎?
謝署長翠娟:對。
林委員思銘:我想這部分一定要做,因為歐美都這樣做,我想數發部也應該要做這方面的部署或訂定相關的原則。
謝署長翠娟:是。謝謝委員。
林委員思銘:接下來我再請問一下,就是我們國內大型電信業者違反在大陸地區從事投資或技術合作許可辦法,將客服中心業務轉由中國大陸的公司執行,我想這個就有洩漏國人個資的疑慮。根據媒體的報導,就是我們經濟部投審會副執秘曾經表示,當然這是2011年的報導,就是客服中心因不屬獨立營業項目,並非全面禁止赴陸投資的項目,所以我想請問數發部或NCC,對於客服中心能否赴陸投資設點一事,你們有沒有相關法令的限制?
闕次長河鳴:監理的部分應該是NCC的業務,我沒辦法代為答復。
林委員思銘:好,請NCC答復。客服中心可以到中國大陸去投資設點嗎?
主席:請通傳會射頻處陳簡任技正說明。
陳簡任技正俊安:應該是不行。
林委員思銘:電信業者的部分。
陳簡任技正俊安:相關法條我沒有很清楚,但是我覺得應該是不可以。
林委員思銘:你還不清楚啊?
陳簡任技正俊安:就是精確的法條怎麼寫的我不是很清楚。
林委員思銘:那你現在的回答是不行,是嗎?
陳簡任技正俊安:對。
林委員思銘:那你所提精確的法條是什麼,請趕快提供給我。
我告訴你答案好了,當然就是不行,NCC在保護個資的前提下,你有要求電信業者在臺灣客戶部分的客服中心不得到大陸設點,但是你這個要求僅針對我們電信業的客服中心,如果是電信業者以外的服務業,比如說飯店業、旅遊業,他們把080服務號碼轉接到國外或是大陸的客服中心,現在他們為了節省相關費用,即隨著電話節費裝置的發展,他們通常都會這樣做,請問你們要如何管制?包括銀行、金融服務業的客服中心,也有很多都到對岸去設置服務中心。
陳簡任技正俊安:跟委員報告,依據電信管理法,我們能管的業者只有電信事業,所以它客戶的行為我們沒有辦法了。
林委員思銘:請教數發部,針對這個問題,你們未來要如何來做管制?這個會有洩漏我們個資的問題,國人的個資可能都會被洩漏,這可能有重大的國安問題。
闕次長河鳴:這可能要回到各目的事業主管機關,比如說金融機關的管轄機關應該是金管會;如果是一般的工商團……
林委員思銘:次長這樣回答就是回到我剛才講的,你們現在各個部會都沒有橫向就相關法令有一個互相聯繫的平台,所以你剛剛講是要回到哪裡呢?
闕次長河鳴:如果是工商業,應該是經濟部的權責。
林委員思銘:數發部成立了,不是也要去協助他們嗎?也要訂定統一的規範啊!
闕次長河鳴:數發部的角色是協助數位轉型,而不是管轄各行各業。
林委員思銘:我想這涉及到整個國家資通安全的問題,就是我們各行各業把他們的客服中心設到中國大陸對岸去,然後對我們所有臺灣的個資來說,這就有洩漏的疑慮啦!難道數發部不用去告訴各個部會,包含國安局?比如說蘋果的手機客服中心,也是到大陸去設點,即我們打客服電話給蘋果,整個就是由大陸的客服中心在做服務,所以這都可能會洩漏國人的個資,對此,你們要如何防範?你先回答我。
闕次長河鳴:跟委員報告,數位發展部跟資通安全署是國家資通安全會報的幕僚機關,委員現在問的這個層級其實是跨到不同的部會跟不同的業務,即我們是幕僚機關,所以這個問題是資通安全會報的問題,資通安全會報的召集人是行政院副院長及國安會諮詢委員,我們則是僅就……
林委員思銘:那我提的這個問題,你現在回去後是不是要馬上跟行政院來反映?有這個問題啊!你們難道都沒有查到嗎?你們都不瞭解嗎?
闕次長河鳴:我們可以呈報到資通安全會報,因為我們是幕僚機關。
林委員思銘:這個要馬上來做,真的,這是很嚴重的國安問題。以上,謝謝。
主席:謝謝。在請下一位陳歐珀委員質詢之前,我說明一下,NCC有夠誇張,派一個簡任技正備詢,要怎麼詢問?對不對?譬如剛剛召委就問到你了。NCC下次不要太誇張,派個簡任技正來,真的是藐視司法及法制委員會,莫名其妙!
接著請陳委員歐珀發言。
陳委員歐珀:(10時45分)主席、各相關單位代表。近來國際局勢丕變,除了我國要求公務機關全面不得使用中國資通訊產品之外,其實世界各國都相當重視對中國的資安議題,國際上為了因應整個貿易戰,美國在前兩個月訂定了晶片法案,全面防堵中國半導體業的發展。當然,首當其衝的就是我們這些護國神山群,因此本席想就這個議題請教國安單位及數位發展部。今年6月22日工程會吳澤成主委表示公務機關頻爆違規用中國貨,其中就以資通訊產品造成國安上很大的疑慮,再講不聽就要處分。請問國安單位知不知道這個事情?
主席(林委員思銘):請國安局陳副局長說明。
陳副局長進廣:跟委員報告,針對這部分,事實上我們都已經密切掌握中,甚至包括貼牌產品部分,我們也都有掌握,同時也通報各調查單位做……
陳委員歐珀:有沒有處分?我是問這個部分。
陳副局長進廣:我們在做後續的偵辦當中,因為必須要有……
陳委員歐珀:都沒有一件處分?副局長,現在的問題在這裡,政府信誓旦旦講大話、講空話,難怪國內相關政府單位不當一回事,因為你們不處分,那麼不得使用中國資通訊產品的這個原則形同虛設,現在有什麼對策嗎?國安單位、數位發展部有對策嗎?你們現在想不起來沒關係,我只是提醒你們,今年臺北市立大學校園內仍有中國海康威視身影,光是天母校區行政大樓就有高達50台攝影機;還有臺鐵電子看板的事情,到現在我看不到下文,你們還在研究?就慢慢研究吧!
數位發展部訂定危害國家資安產品限制使用原則,訂定好了嗎?
主席:請數位部闕次長說明。
闕次長河鳴:跟委員報告,這個原則已經訂定,目前在公告、公聽,並送行政院核定中。
陳委員歐珀:這個原則是108年4月18日訂定的,已經3年半了,歷經3年半,到現在清單都沒有弄出來嗎?
闕次長河鳴:不是,這個原則是108年訂定,但我們最近修訂的是針對臺鐵事件及7-ELEVEN事件,還有擴大場域的適用,擴大的部分,現在正在訂定中。
陳委員歐珀:請問廠商清單何時可以出爐?限定中國哪些廠商的產品到臺灣來?你們到現在都沒有進度啊!我看不到啊!現在世界上認為危害最大的嚴重問題就是華為,大家都鎖定華為,限制華為產品,臺灣有限定嗎?有沒有?限定華為哪些產品?
闕次長河鳴:如果是我們講的公務機關,是中國品牌統統都不能使用,所以華為是一定不能使用的。
陳委員歐珀:我希望你們要落實你們部長講的話,為了防公共電子看板遭駭,唐鳳部長表示,視同連線公務網路管理。你們自己講的話,你們要做到,好不好?
另外,大家口口聲聲說中國資訊嚴重影響臺灣國安,當然經濟也是國安議題,國安單位應該怎麼協助我們這些護國神山群?我剛剛講到,首當其衝是我們的護國神山群,如何建立一個出口監管機制?現在美國晶片法案強迫半導體業要選邊站,台積電首當其衝,針對這些護國神山群、這些相關產業,臺灣竟然都沒有規範,次長,臺灣沒有規範喔!要趕快制定規範,現在所有規範都是美國幫我們訂定的,哪些可以買、哪些不能買,我們臺灣變成是美國的殖民地嗎?欸!這個不能開玩笑,因為我們現在的敵對國是中國,好不好?現在又發現一個問題,中國灑幣拚半導體,挖角臺日2大咖,新公司執行長竟然是台積電退將!這種惡意挖角的行動源源不絕,我們有沒有考慮成立晶片戰略小組,將我們的技術納國安法列管?次長應該知道,我們整個晶片產業占臺灣出口總額35%,是35%喔!所以我們再不訂定相關規範,臺灣經濟會重創,也會影響到我們的國安,這是很嚴重的問題,因為晶片已經成為全世界的重要戰略物資,次長知道這個重要性嗎?
闕次長河鳴:跟委員報告,我本身就是教IC設計的學校老師,所以這個重要性我非常瞭解。
陳委員歐珀:瞭解喔!國安單位瞭解嗎?
陳副局長進廣:針對科技竊密和人才拉攏部分,事實上我們都已經成立專案小組跟各國安單位積極查辦,目前幾乎每個月都會有相關斬獲。
陳委員歐珀:請問副局長,國安會跟國安局有沒有去拜訪過台積電?
陳副局長進廣:有關這部分,都有做密切連繫。
陳委員歐珀:有沒有拜訪?
陳副局長進廣:這部分麻煩……
陳委員歐珀:聽聽業者的意見、心聲,當然不是只針對台積電,我們這些護國神山群,這麼多產業,你們要找他們來開會,問問有什麼困難,大家共商對策才對嘛!就像發生新冠肺炎時,我們就把宜蘭縣所有旅宿業者、交通運輸業者集合在一起,聽一聽他們的意見,看要怎麼因應,這才是會做事的政府啊!對不對?
陳副局長進廣:對。
陳委員歐珀:所以今天我們特別請你們來,就是很擔心你們大家都覺得無所謂啊!
陳副局長進廣:相關產業的意見……
陳委員歐珀:還有一個問題我覺得很納悶,政府持股台積電比例占7.46%,如果是一般民營公司,我們大概可以接受1席董事,但是我看一下台積電大股東持股明細表,以目前情勢看起來,10席董事我們只占1席,表示政府不重視國安,現在除了行政院國發會龔明鑫占1席董事外,我建議你們回去把這個問題列入討論,因為台積電是臺灣護國神山群的火車頭,我建議國安局或國安單位應該占有1席董事,然後經濟部也占1席,這跟產業有關係,因為台積電的資本額太大了,我們擁有7.46%股份,應該可以占3席董事,這個我請教過相關財政專家,表示可以占3席,政府如果要積極協助或輔導,防止我們的國安問題,占3席董事不過分,絕對可以達成。副局長有沒有意見?
陳副局長進廣:感謝委員對於國家安全與產業發展必須兼顧的支持。
陳委員歐珀:其實政府有錢,也可以提升、增加持股,達到3席董事。如果持股要增加到10%,大概預算還要再加2,500億元左右。我是建議啦!因為大家面對新時代來臨。為什麼成立數位發展部?本來政府整個組織架構都好了,好不容易政府、小英總統與行政院長說服大家支持數位發展部。如果這個最重要的部會對於要輔導的產業,在臺灣面對各方面情勢下,包含國際情勢與國安議題,都沒辦法把關好,那這個機制等於沒有用嘛!
針對今天的議題,我提出三點建議,我再重新提出。第一個,儘速提出危害國家資安的廠商清單,落實防堵措施。請問一下,什麼時候可以提出這份廠商清單?
闕次長河鳴:我們回去以後給委員書面報告,詳細說明目前的處理情形。
陳委員歐珀:這份廠商清單要趕快提出,好不好?這很重要。
第二個,將科技產業納入國安決策範圍,建立相關監管措施。你們有資安會報,要把科技產業納入國安決策範圍,並建立相關監管措施,否則什麼都聽美國的,這不像話啦!美國不可能保護我們臺灣的產業,對不對?他們只會保護他們國家的利益、他們的產業啦!
第三個,我也建議考慮仿效美國訂定晶片科技產業保護法、晶片保護法。我們要訂定晶片保護法,這點應該積極,美國都已經訂定,法案兩個月前已經提出來了。就訂定晶片科技產業保護法而言,現在是非常重要的時期,可以給予我們這些護國神山群實質的支持與協助,否則我們辛辛苦苦生產出來的晶片技術一旦被轉移,或者被很多國家限制東、限制西,將造成競爭力衰退。以上三點,我提供給相關單位參考。以上,謝謝。
主席:針對陳歐珀委員的三點建議,包含兩項須提出相關措施,以及建議提出相關法律案,請數位部與國安局回應。他提出的要求你們知道嗎?
陳副局長進廣:知道。
主席:知道喔?關於他剛才講的,你們要確實、趕快訂立,要確實提出及訂立給委員會和陳歐珀委員,好不好?1個月好不好?好,謝謝。
陳委員椒華發言完畢後休息5分鐘。
請曾委員銘宗發言。
曾委員銘宗:(10時58分)首先請教國安局陳副局長,這兩天大家很關注的議題就是習近平進入第三任期,我要請教整個國安局初步評估情況,尤其是反臺獨寫入黨章;另外,未來他的整個領導班子似乎都對中華民國抱持非常強硬的立場,請問副局長,對於習近平進入第三任期之後對臺灣可能的影響,國安局有沒有評估?如何因應?
主席:請國安局陳副局長說明。
陳副局長進廣:謝謝委員的指導。我基本上從三點作分析。第一個,從人事、常委名單,還包括政治局委員的名單來看,我們可以看到政治局委員名單裡沒有女性,而且打破過去的七上八下,像張又俠72歲、王毅69歲,這些規則都已經打破過去分析的邏輯,所以從整個領導階層的集體名單裡可以看出貫徹習近平的個人意志,所以我們非常關注他之前提出所謂的「能上能下」以政治忠誠作為主要的判斷,而這次人事布局上所展現的是貫徹習近平個人的意志。
第二、從人事來看政策,過去包括李克強、汪洋,外界一般認為他們在整個經濟改革開放支持度相對比習近平重視整個「國進民退」這部分,還會來得有一些制衡跟政策走向,但是我們從這次來看,基本上這個名單比較偏向習近平過去之江新軍裡面的成員,所以他們比較重視所謂的安全,尤其他們提出內部的安全,包括獨立自主的路線,可能是我們後續要去觀察的。
第三、在對臺部分,誠如剛剛委員所關注的,就是將反臺獨列入他的黨章,我們從他的軍事常委會的成員,包括副主席跟委員會的成員來看,第1個,比如說有東部戰區的對臺經驗;第2個包括相關的成員,也有一些越戰的經驗,這是我們所注意的部分,再者就是我們針對他整個對臺所可能採取的行動,包括相關的徵候判斷,我們基本上分不同的想定都列入密切的觀察,但是有一點要特別注意的,就是過去我們一般所關注的,當中共發生內部問題時,它可能透過外部的方式來轉移內部問題,所以針對中國大陸過去常常都是呈二位數的成長,但就目前來講,它的經濟成長將處於一個衰退的狀況,包括整個社會控制的問題,比如在四通橋事件上就已經出現一些破口,所以我們要關注的就是不排除它為了要轉移內部某些社會跟經濟的問題,會採取一些外部的動作轉移,以上。
曾委員銘宗:好,謝謝副局長,這就是早上我們為什麼堅持一定要有國安局的高層列席,像我剛剛問的一些問題,處長哪有辦法答復,所以謝謝您的列席……
陳副局長進廣:感謝委員給我們這樣的機會說明。
曾委員銘宗:現在大家都很關心這件事,你來才能答復這個問題,謝謝。
基本上如同你剛才講的,過去中國大陸全力發展經濟,所以他的GDP從6%、7%、8%一直在成長,但是過去一年來,基本上已經不太重視經濟發展,完全偏向安全維穩,照這個情況,未來這個路線會繼續維持,對不對?
陳副局長進廣:是,尤其它提出所謂中國式的現代化,這是有別於一般西方對他們的限制。
曾委員銘宗:好,照國安局內部的評估,你認為兩岸在1年內發生打仗情況的機率高不高?
陳副局長進廣:根據我們過去的分析,我們對每一種可能性,都要做好充分的準備,尤其遇到壓迫或霸凌時,我們更應該堅定地團結內部,然後展現堅決防衛的決心,這才是面對外部壓力威逼,甚至恐嚇威脅最好的方法,以上。
曾委員銘宗:1年內發生打仗的機率高不高?
陳副局長進廣:我們局長上次在外交及國防委員會說過,我們不排除他為了轉移內部的某些壓力做以戰逼和的策略,我們對任何策略都謹慎評估,掌握相關的預警態勢。
曾委員銘宗:因為局長的想法近期內已經有重大轉變,早期他認為在蔡總統任內不會發生軍事衝突,但上個禮拜他的想法有變,請教副局長,這樣的改變是不是國安局內部的評估的結果,還是完全是政治考慮?
陳副局長進廣:報告委員,我們所有的評估都依據事實的預警掌握相關徵候,尤其提醒國人要有強烈防衛的決心,事實上我們從1949年面對中共任何的威脅,我們都應該抱著這樣的立場,以上。
曾委員銘宗:好,謝謝您早上趕來列席,本來是派處長來,但因為處長不敢答復這個問題,那像我們今天問的問題如果問處長那就問不到了,所以謝謝你。
陳副局長進廣:我們全力配合……
曾委員銘宗:接著請教數位部闕次長,現在數位部進用了300位約聘人員,對不對?
主席:請數位部闕次長說明。
闕次長河鳴:跟委員報告,現在沒有進用這麼多……
曾委員銘宗:我知道,現在已經進用多少人?最多可以進用300人,對不對?
闕次長河鳴:現在大概進用二十幾個人。
曾委員銘宗:採什麼方式甄選?是誰來interview這些人?你們所持的標準是什麼?
闕次長河鳴:甄選的過程是它有成立一個委員會,當初成立這個委員會是由人事行政總局跟我們籌備小組一起辦理的,委員會裡面包含兩位次長、主秘,還有政風跟主計人員,因為當初是在籌備時期,所以是以籌備小組的方式處理,但我並沒有在這個小組裡面,所以我不瞭解細節。
曾委員銘宗:所以基本上甄選並沒有外部的專家學者參與,對不對?
闕次長河鳴:因為還是以公務系統的進用方式為原則,所以徵選委員跟我們在進用公務人員時,應該是同一個審查小組。
曾委員銘宗:基本上你們的標準是什麼也不清楚,也不是公開透明的,對不對?
闕次長河鳴:我們的標準是公布在公務人員的徵才網站上,其所公布的標準有規定該職位需要具備什麼樣的專業能力,這些都經過人事總處幫我們看過。
曾委員銘宗:當然現在已經進用了二十幾個人,外界一直質疑,原本網軍或側翼或許還在檯面下,會不會以後慢慢進用達300人之後,讓原本側翼的網軍檯面化?會不會出現這樣的情況?
闕次長河鳴:每年的預算員額,包含約聘人員的員額都有報立法院備查,至於預算的部分,根據我在預算書裡面看到的資料,明年應該在40人以下。
曾委員銘宗:你沒有答復我的問題,那是預算員額,我意思是說會不會藉著這些約聘僱的員額把本來分布在各單位的網軍檯面化?會不會?
闕次長河鳴:我沒有聽過這樣的事情,我不曉得各單位……
曾委員銘宗:當然現在還沒有,所以你不會聽過,我的意思是說你把以前、現在,甚至目前有些是在行政院或是民進黨部的,你們會不會透過這種方式在interview時聘請這些網軍到數位部,而讓網軍檯面化?針對這種情況,在這裡有錄音、錄影,絕對不能讓它發生。你認為究竟會不會發生?
闕次長河鳴:我相信是不會發生,因為我們應該不會做這麼傻的事情。
曾委員銘宗:好,希望數位部屆時不要成為一個網軍的指揮中心,謝謝。
主席:謝謝曾銘宗委員。
接下來請陳委員椒華發言。
陳委員椒華:(11時9分)現在的資安業務,當然是包括中央部會、地方政府,還有中央部會之下的各個機關,有關國安局的資安部分係由國安局自己負責,請問國安局自己是如何進行資安的稽核?這些資安稽核團隊是怎麼組成?是委外還是國安局自己的內部人員?
主席:請國安局陳副局長說明。
陳副局長進廣:這分兩個層次:第一,本局參與整個政府團隊的資安稽核工作;第二,針對所有情報機關,包括本局本身在內,均配合國安會就國安機關可能弱點有稽核機制在,亦有相關成員組成。
陳委員椒華:自己負責,是不是?
陳副局長進廣:還包括國安會相關成員在內。
陳委員椒華:所以是國安局、國安會……
陳副局長進廣:因為國安會是國安局的上級機關。
陳委員椒華:所以是整合的稽核團隊?
陳副局長進廣:對。
陳委員椒華:所以是自己做,而非委外?
陳副局長進廣:對。
陳委員椒華:那麼總統府的資訊安全是由國安局負責嗎?是否有稽核團隊?
陳副局長進廣:這部分目前有兩個資通安全稽核,一個是行政院,一個是國安會……
陳委員椒華:我現在問的是總統府。
陳副局長進廣:總統府係由行政院作稽核。
陳委員椒華:由誰稽核?
陳副局長進廣:行政院的資通安全團隊。
陳委員椒華:行政院稽核總統府的資安?是嗎?
陳副局長進廣:是。
陳委員椒華:這個稽核團隊就是剛剛說的資通安全會報?
陳副局長進廣:是。
陳委員椒華:其次,依照副局長所說,那麼資通安全管理法第七條的規定,對總統府、立法院、司法院、考試院、監察院這部分,也符合剛剛副局長所回答的情況嗎?這點誰可以回答?次長可以回答嗎?
主席:請數位部闕次長說明。
闕次長河鳴:委員是針對法條……
陳委員椒華:因為剛剛副局長說總統府資安由行政院資通安全會報稽核,是嗎?
闕次長河鳴:對,那是總統府裡面的行政機關。由於資安署係資通安全會報中的行政部門資安機關,而總統府與各院中,只要被列為行政機關者,均由資安署稽核……
陳委員椒華:所以立法院、司法院、考試院及監察院的資安,也是由資通安全會報稽核,是嗎?請問有法源嗎?稽核的法源為何?也是資通安全管理法嗎?
闕次長河鳴:我們只稽核行政院所屬機關。
陳委員椒華:所以不包括我剛剛念的四個院?請把問題釐清好嗎?因為剛剛說總統府的資安是資通安全會報稽核,但資通安全會報主要的執行單位應該是數發部,且其委員組成都是地方政府首長與中央各部會部長之類的。
雖然剛剛有聽到次長回答,但本席再請教,數發部成立的目的到底是什麼?
闕次長河鳴:數發部最主要的目的為協助各行各業,即部長講的三發:社會發展、突發狀況的資通安全與產業發展。
陳委員椒華:其中哪一個最重要?數位發展部成立最重要的目的是什麼?
闕次長河鳴:最重要的應該是協助各行各業數位轉型與維護資通安全,兩者同等重要。
陳委員椒華:同等重要?不是,資通安全最重要!次長剛剛說數位轉型,但這並不是最重要的!本席和召委問的是類似的問題,之前也問了好幾次!現在要釐清的是,數發部在資通安全管理法與資通安全會報上扮演了非常重要的幕僚角色,同時也是執行單位,所以到底由誰來稽核公務機關?依照資通安全管理法規定,公務機關應稽核其所屬,並提供維護計畫與缺失送交稽核。爰此本席請教,國家資通安全會報稽核團隊過去一年針對各部會與地方政府稽核過幾次?如何稽核?有無作業要點?因為現在提過來的資料裡並沒有看到,請回答。
闕次長河鳴:這問題我請資安署來回答。
主席:請數位部資安署謝署長說明。
謝署長翠娟:先回答委員剛剛整體提問。首先,行政院資通安全會報稽核行政院及所屬,而任何單位均由其上級機關稽核下級機關。其次,委員問到四院,四院是以行政協調方式進行。也就是說,原則上應該要自己成立稽核團隊稽核其所屬,若需要我們協助,則採行政協調,由我們給予協助,畢竟我們屬行政院……
陳委員椒華:聽起來實在很讓人擔心!到底資安要如何防衛才能做到最好?你剛剛的回答讓我們覺得是有問題再去看一下……
謝署長翠娟:不是這樣子,請容我再小小補充說明一下,讓委員更清楚。我們的稽核是,其他單位在沒有問題時我們本來就應該去檢查,而且必須定期檢查!但其他四院因為與行政院平行,故必須先自己稽核自己,如果有需要的話,可以行政協調我們協助……
陳委員椒華:自己怎麼稽核自己?譬如經濟部自己稽核自己?臺南市政府自己稽核自己?臺北市政府自己稽核自己?所以現在很重要的是:公務機關要怎麼稽核?這些中央部會要怎麼稽核?有沒有法源?有無稽核作業要點?
謝署長翠娟:有。
陳委員椒華:如果有的話,為何我到現在都沒有看到?這件事是如此重要!我剛剛問到總統府、立法院、司法院該怎麼稽核?我沒有看到啊?你拿不出來嗎?拿不出來沒關係,我質詢的目的就是希望如果法源尚未完備的話,就要趕快定,而資安是數位發展部成立的最重要任務,並非數位轉型!我要跟次長再表達一下!如果中央部會的稽核、地方政府的稽核還有府院、四院的稽核都沒有法源與規範,屆時恐怕到處都是資安漏洞,這點非常重要!我拜託召委,這部分請繼續幫忙。
主席:陳委員講的,也是我剛才所提,數發部不能丟給行政院資安會報,很多事情你們要主動提規範要點,發現問題就馬上處理,積極去做,好嗎?這是很重要的資安問題。
現在休息5分鐘。
休息(11時18分)
繼續開會(11時23分)
主席:現在繼續開會。
請江委員啟臣發言。
江委員啟臣:(11時24分)主席、列席的各位長官。請教數位發展部及其他相關單位,2019年行政院曾經發布各機關對危害國家資通安全產品限制使用原則,要求中央與地方政府、各機關學校、國營事業、關鍵基礎設施等提供者遵守,同時表示3個月內會發布正面表列清單供大家參考。請問正面表列清單是否公布了?
主席:請數發部闕次長說明。
闕次長河鳴:應該是沒有。
江委員啟臣:為什麼沒有?當初不是講3個月嗎?
闕次長河鳴:那時候數位發展部還沒成立,所以我不曉得。
江委員啟臣:當然,這跟數位發展部沒有關係沒有錯,可是那時候有行政院的資安單位,對不對?是行政院發布的啊!在場有沒有當時行政院負責資安的人在場?今天有沒有來?都沒有,所以行政院講這句話是空話是不是?你不能說數位發展部後面才成立,好像就不干你們的事,你們有資安署耶!對不對?資安署的人難道不是從行政院那個部門移過來的嗎?
闕次長河鳴:資安署大概有一半的人是從行政院……
江委員啟臣:對啊!那些人當初就是負責這件事的,不能說不知道,這是政府講的話,到現在沒有公布,你說要正面表列也沒有,然後呢?其他國家很多是正面表列,你看你們沒有把清單列出來就算了,2020年也是一樣,行政院發布一個報告,5月份的時候一個調查報告,全國有1,108個公務機關使用中國資通設備,這個你應該知道吧!2021年5月又公布,全國有2,596個中央部會、地方政府、公私立學校、公務機關使用1萬9,256個中國資通產品。數量最多的是大疆創新公司所生產的無人機,還有攝影機這些等等,多達717個公務機關使用,數量達1,848臺。結果數量沒有減少,還double,使用的機關沒有減少,還double,你們要禁止,也沒有列任何的清單,那你用原則,我也不曉得你要怎麼樣約束,這也難怪,政府就帶頭了;政府講說要禁止使用,我有資安的考量,結果嘴巴講,但實際上你們沒有提供任何所謂的清單。你說原則,原則很簡單,現在弄了很多子公司,要如何去界定它是不是中國大陸的公司?它用很多子公司去規避嘛!所以美國是直接用國安為理由,它就禁止採購,比如華為、中興、大華科技、海能達與海康威視這些等等,日本、英國、澳洲、捷克與越南,他們直接就禁止大疆的相關產品,這叫正面表列。我們一直在講資安就是國安,可是我們到底做了哪一些措施啊?你說數位發展部現在成立了,你們會正面表列嗎?
闕次長河鳴:跟委員報告,現在的正面表列就是公務機關不得使用中國品牌的產品,剛剛……
江委員啟臣:中國品牌的產品,所以我剛剛唸的那些都是中國品牌喔?
闕次長河鳴:對,所以我們的清單是實際上是比美國跟日本更嚴格的。
江委員啟臣:為什麼還有這麼多機關使用?去年的5月份,還有2,596個中央部會使用了一萬多個產品。
闕次長河鳴:現在這個清單已經降到6,496個。
江委員啟臣:那還是有啊!
闕次長河鳴:對,就是……
江委員啟臣:你不是全面禁止嗎?
闕次長河鳴:逐步地汰換,然後這些設備不能連網,它如果要繼續使用,必須要有2位它的資安長跟機關上級……
江委員啟臣:如果它的產品透過它的子公司,它另外成立子公司,掛其它公司的品牌呢?
闕次長河鳴:這個部分在這一次處理法規修正的時候有考慮到這樣的情境。
江委員啟臣:我覺得我們講歸講,但你到底要落實到什麼程度?為什麼8月軍演的時候會出現包括便利商店、車站這些等等被駭侵,對不對?這些就是在資安上面你們當初所宣示的,跟後來所做的落實程度,還有如果連政府機關自己都沒有辦法落實,你要如何要求民間單位,對不對?主席,不好意思,我再1分鐘。這個是在所謂資安產品的部分,另外一個很重要的,我不曉得你們有沒有考慮到光纖的這一部分?臺海底下光纖電纜有多少條?
闕次長河鳴:跟委員報告,我的瞭解應該是有二十幾條到三十幾條左右。
江委員啟臣:二十幾條到三十幾條?
闕次長河鳴:對。
江委員啟臣:這二十幾條、三十幾條,你如何避免被破壞?我們有沒有辦法?萬一發生戰事或者萬一發生衝突的時候,比如這一次8月軍演的時候,就有很多人擔心,包括華爾街日報他們都寫到,如果這個電纜被破壞的話,那是災難耶!你如何防範?
闕次長河鳴:其實在上個月國土辦跟數位部韌性司曾經辦過海纜登陸站的演練,目前……
江委員啟臣:演練的結果怎麼樣?
闕次長河鳴:演練的結果是,我們去模擬這些關鍵基礎設施如果受到侵犯的時候會怎麼應對。
江委員啟臣:最壞的狀況是怎麼樣?
闕次長河鳴:最壞的狀況就是,比如整個登陸站被炸毀,或者是……
江委員啟臣:對,電纜全部斷掉,那時候怎麼辦?
闕次長河鳴:現在我們有擬一個前瞻計畫在處理這個問題,就是……
江委員啟臣:有辦法避免嗎?
闕次長河鳴:如果是固定一個飛彈,它要打你的登陸站,這一個處理的方法,就變成我們現在要把海纜登陸站做分散化,加強它的韌性,不要讓它在一擊之內所有的海纜全部一起毀掉,所以這包含當有不同海纜的時候,它的登陸站應該要分散。第二個就是……
江委員啟臣:你講分散,問題是我們現在做到了嗎?
闕次長河鳴:我們現在有一支前瞻計畫正在處理這個問題。
江委員啟臣:你要多久能夠做到所謂分散這樣子的作用?
闕次長河鳴:根據通過的預算,在未來2年會開始針對幾個重要的節點,我們開始做這件事情。
江委員啟臣:2年?
闕次長河鳴:對,因為前瞻是……
江委員啟臣:可是國安局長跟你講,有可能明年就要打了,陳明通講的,他說最快2023年。
闕次長河鳴:對,所以我們……
江委員啟臣:所以很多人擔心,連國際媒體都認為,其實要攻擊臺灣,除了封鎖之外,很簡單,另外就是通訊斷掉;通訊斷掉除了海底電纜,還有一個東西很重要就是衛星。我看到你們有編列5.5億元,對不對?要去做低軌道衛星這一塊嘛!
闕次長河鳴:對,就是衛星和海纜這2支計畫,是我們在加強韌性的主要作為。
江委員啟臣:低軌道衛星像Space X,就是Starlink,馬斯克現在提供給烏克蘭的。如果臺海發生問題的時候,馬斯克他在中國大陸有生意,他前一陣子還講出讓我們不能接受的話,萬一這樣的情況發生的時候,Space X會提供給我們嗎?
闕次長河鳴:我們在700個衛星接收站並沒有單一的只會使用Space X,我們要加強韌性的話,就要分散風險,所以包含所有的低軌道和中軌道能夠有的選項,我們都會去……
江委員啟臣:萬一臺海發生戰事,我們的網路斷掉了,那我們有低軌道衛星或者中軌道衛星,或者其它的可以取代嗎?
闕次長河鳴:對,我們在這5.5億元裡面就是要處理這個部分。
江委員啟臣:這個多久可以處理?
闕次長河鳴:這一樣,預算的期程都是2年。
江委員啟臣:也是2年?2年內就可以達到,避免萬一有事情發生的時候,我們對外通訊斷掉……
闕次長河鳴:2年內,對外的通訊,因為衛星的頻寬畢竟是有限,當然現在有新的技術可以提升衛星通訊的頻寬,但是在緊急的時候、海纜斷掉的時候,或者是國內重要的光纖節點受損的時候,它會提供一個備援的網路。
江委員啟臣:所以我們的狀況會比烏克蘭好?我是指我們的因應能力會比烏克蘭好?
闕次長河鳴:至少我們現在已經開始準備,而且已經開始處理這個問題。
江委員啟臣:因為對外通訊是在整個事情發生當中非常重要的,我們希望既然錢都編了,那就好好做好這些相關的因應,好不好?
闕次長河鳴:好,謝謝!
江委員啟臣:謝謝!
主席:在這邊我要再補充江委員剛才提的,包括黃世杰委員或者陳歐珀委員都提到,就是剛剛講2018年行政院訂定各機關對危害國家資通安全產品限制使用原則,原則的第三條就很明確地規定,你要提出、公布廠商的清單。現在聽起來,你們這幾年來都完全停擺,都沒有公布,你們要正面表列啊!剛才我聽到次長回答限制中國產品,但是依照你們的條文,要公布廠商的清單,讓大家都能有遵守的規範。你們既然說數發部剛成立,這部分是不是要加油一下?
闕次長河鳴:好,我們會把……
主席:你們應該公布清單正面表列,要參考剛才江委員所講美國的案例,是美國嗎?
江委員啟臣:照他們講的,所有made in China的產品都不能進來。
主席:對。
闕次長河鳴:我們是限制中國品牌,不是made in China都不能用。
主席:但是不管怎麼樣,你們要公布清單,不能一語帶過。剛才也提到如果是子公司生產的呢?所以這部分你們還是要公布,好不好?你們要依法行政,這個已經跟你講,你們自己定了一個原則都不遵守。
闕次長河鳴:我們會把這個問題帶回國家資通安全會報。
主席:好,謝謝。
請劉委員世芳發言。
劉委員世芳:(11時36分)副局長今天早上有回應中國剛剛結束第二十次全國代表大會的問題,包括中央政治局委員的名單,最後有個總結,你提到「中程」這兩個字。你可不可以再多做一下描述,你提到中程的意思,是不是指以習近平主席為首,鞏固領導中心處理中國內部,包括清零、維穩或是經濟發展的取向?你可不可以再多用1分鐘的時間解釋一下?
主席:請國安局陳副局長說明。
陳副局長進廣:委員好。剛剛在相關的質詢裡面有提到,這一次的委員名單已經打破過去歷屆我們分析七上八下還有晉用時的經歷這個原則,它主要是根據之前所提的,所謂能上能下這個原則,主要是根據政治判斷跟過去他的一些忠誠表現作為人事拔擢的參考。尤其從常委會的名單來看,過去一般判斷汪洋、胡春華或李克強等一系列團派的人員,基本上都已經離開常委的名單。
劉委員世芳:都變成習派,對不對?
陳副局長進廣:對,在大家的預測上比較出人意料的包括蔡奇、李希或是李強,這些過去都是習近平在上海、浙江、福建的舊部所組成的核心領導團隊,所以我們判斷第一個,在整個人事上已經不再強調過去所謂的派系平衡或是集體領導,而是以習核心為主導,是貫徹他整個施政意志的領導團隊。我針對委員的質詢做這樣的回答。
劉委員世芳:我要再接著詢問中國軍委,當然主席是習近平,他的兩個副主席一個是張又俠,一個是何衛東,並有4位軍委的委員……
陳副局長進廣:軍委的委員包括苗華、李尚福……
劉委員世芳:劉振立、張升民。
陳副局長進廣:是。
劉委員世芳:沒關係,我們先鎖定張又俠,他是福建人,另外一位中央軍委副主席是何衛東,他原來是東部戰區司令,兩位副主席跟中國的南方特別有關係。依您的判斷,兩位副主席當然除了忠誠之外,像張又俠本身跟習近平也是長久以來的同事,也是上司、下屬的關係。他們對於中國南方,包括引發臺灣的若干戰事等等是否會有關係?您可不可以再闡述一下?
陳副局長進廣:過去大家分析中共建軍備戰裡面最主要的問題,第一個,他沒有參戰的經驗;第二個,專業性不足。
劉委員世芳:兩位都沒有參戰的經驗。
陳副局長進廣:事實上,何衛東過去有參與懲越戰爭相關的經驗。
劉委員世芳:那是小型戰事。
陳副局長進廣:這裡面包括徐起零也有這樣的經驗。從委員的名單來看,他的歷練跟東部戰區也跟南部戰區有關,比如說,像剛剛委員提到的苗華,過去他有在福建跟習近平共事的背景。
劉委員世芳:好像沒有人打過越戰,對不對?
陳副局長進廣:對,苗華這部分沒有,尤其他主要是政工體系的成員,但是張又俠也是我們要注意的,為什麼他72歲還留任?這一次的整個人事布局有一個特點,就是航太體系的人員,包括馬興瑞、袁家軍等等,這一系列的人都具有航天的背景。張又俠在這部分的背景,過去……
劉委員世芳:比較欠缺一點。
陳副局長進廣:對,他過去參與裝備相關的部分。副主席的部分如果單純由政工主導,也跟過去不太一樣,所以會讓張又俠留任。
劉委員世芳:好,我們保持密切的關注。
陳副局長進廣:是。
劉委員世芳:我要問一下另外一個國家就是美國,我現在po出一個時間表,我們自己看了都覺得不清楚。前兩天回應的John Kirby是白宮國家安全會議的戰略溝通協調官,還有海軍作戰部長吉爾迪上將(Michael Gilday),還有大家比較耳熟能詳的布林肯國務卿,當然還有中情局局長伯恩斯,還有印太司令部司令戴維森,他們提到中共武力犯臺的時間,其實看得出來有點混亂,Kirby講到沒有任何衝突的理由,當然他的意思是沒有犯臺時間表,再來就是吉爾迪上將提到的2022年或2023年。布林肯更奇怪了,第一個是10月19日的時候ABC訪問他,他說北京幾年前下了決定,希望加快統一。大概是統一臺灣,不可能是統一北韓。10月17日在史丹佛大學的時候,他又提到北京要在更快的時間內實現統一。我想他的意思不是重新統一,就是統一。伯恩斯說到2027年。一般而言,在國際間,我們會認為美國的情報蒐集工作算相當札實,我不敢說正確,因為情報就是情報,跟真正發生事情或是其他的空間等有關。
我想請教一下副局長,您在國安局待的時間相當長,我在上面描述的幾個時間,從2022年開始到2027年,甚至有人講到2030年這樣的時間,您的看法怎麼樣?
陳副局長進廣:基本上分三個類型闡述,第一個,在布林肯的說明裡面,他同時帶到二十大的相關報告及人事的變局,我們可以看到未來中共對內會更加壓迫,對外會更加激進,所以他必須提醒周邊國家,尤其印太國家共同面對更加激進、更加脅迫的威脅。我覺得這部分美國是在整體的呼籲,同時相關的海軍司令、印太相關的官員也會做相關的提醒,最主要是提醒周邊國家要面對中共更加激進跟脅迫的作為。
第二個……
劉委員世芳:您提到變局,其實大家比較擔心的應該是人的變局,因為所謂的戰略、戰術或戰備等等,大家大概都會比較清楚,但是我要提醒的是,中共武力犯臺時間的訊息一直在滲透臺灣的社會,這個對國家安全一定會有影響,所以我認為在適當的時間,國安局、國安單位、府院或國防部要出來說明一下詳細的狀況,否則很多人都會用捕風捉影的方式,對執政黨或是我們國家的總統講出任何不能夠接受的話。畢竟我們有民主有法制,也是開放跟多元的國家,但是也不能開放、多元到所有的議題從今天開始到未來的30年,每天都有中國要侵臺的說法,這太可怕,而且太亂來,所以我把這樣子的建議先告訴你,你再繼續補充。
陳副局長進廣:尤其中共這一次將反臺獨列入黨章還有二十大的報告,無非是要在臺灣未來面對投資跟深化整個經濟發展上創造不確定性,同時藉此製造臺灣內部的分化,強調統一的正當性,所以在提升全民防衛的認知上,我們對這部分要有所警覺。非常同意面對中共的這些認知作戰,我們要適時揭露背後的意圖,強化我們全民防衛的決心。
劉委員世芳:像總統也提到韌性臺灣,對於這種反分化或是反滲透的部分,也請國安局能夠時時來提供,好嗎?
陳副局長進廣:是,感謝委員。
主席:請洪委員孟楷發言。
洪委員孟楷:(11時45分)首先請教國安局陳副局長,兩年多前,大家都印象很深刻,在總統就職前夕突然有一個駭客門事件,傳出駭客入侵電郵,造成人心惶惶,而且把派系鬥爭寫得鉅細靡遺。本席注意到今年上半年度北檢低調說已經簽結、查無此事,但是媒體問刑事局,刑事局卻說還在辦理當中,所以刑事局跟北檢口徑不一致。可是國人更想關心的是,以國安局這樣的高度,這件事情到底現在有沒有結果?
主席:請國安局陳副局長說明。
陳副局長進廣:事實上,因為本局是一個情報單位,針對實際上的調查,尤其進入偵查程序的部分,本局沒有辦法參與。
洪委員孟楷:其實什麼事情都可以講到國安,總統府被駭客入侵是那麼嚴重的一件事情,媒體還寫得鉅細靡遺,而且我們用兩年的時間來驗證,發現跟裡面寫的幾乎都一樣,包括要中天關台就關台,要派系鬥爭就派系鬥爭,誰上誰下好像都寫得清清楚楚。回過頭來,今天我們討論的是資訊安全相關業務對我國的危害。不用再打pass了,是怕副局長不知道嗎?
陳副局長進廣:事實上,本局是一個情報機關,我們在整個資安……
洪委員孟楷:我只想要確認這件事情有沒有嚴重的國安危機?
陳副局長進廣:所有有關與駭客入侵的相關……
洪委員孟楷:都是嘛?這件事情到底是駭客入侵還是有人洩密?
陳副局長進廣:有關偵查的部分……
洪委員孟楷:你們不用瞭解嗎?如果是駭客入侵,你們國安局有駭客入侵的應對方式,有人洩密也有有人洩密的應對方式。如果內鬼還在總統身邊,那還得了?這不算國安嗎?
陳副局長進廣:這部分是偵查的程序。
洪委員孟楷:北檢說已經偵查結束了,刑事警察局現在還有沒有在辦?還是已經偵查結束了,就船過水無痕,以為人民是健忘的,兩年半過去就再見了?你講偵查程序,請教有哪一個人可以回答,現在偵查程序到哪裡?抱歉,我沒有本來沒有點警政署副署長,但是副局長這樣子推,我只能請你再確認。刑事警察局現在還有在辦嗎?大家都不知道!以為時間過去,大家就忘了、沒有人在意。駭客入侵、總統有內鬼,結果大家都不關心。
主席:請內政部警政署陳副署長說明。
陳副署長永利:這個案子當時有調查相關的網路資安設備,沒有被駭入侵的跡象。
洪委員孟楷:現在這個案子如何?
陳副署長永利:沒有入侵的跡象,後來經查網路流傳是透過一封email傳播,調查發現這個IP是在境外。
洪委員孟楷:所以有人可能就跳網。不一定是駭客,一般比較懂電腦的人就有可能用跳網讓你追查不到IP,對不對?
陳副署長永利:對。
洪委員孟楷:再回來,本來我今天準備要問局長,抱歉,因為局長沒來,所以我只能請副局長回答。兩年半過去了,裡面牽涉的人士有人升官、高升,講得鉅細靡遺,中天就這樣被關台了、處理了,結果國安局沒有把這件事情當成是一個專案來辦理,反而覺得船過水無痕就沒事了。你剛剛說這個是偵查的問題,刑事局、北檢都偵查結束了,所以這件事情就這樣,是嗎?而且剛剛講這還不是駭客。現在我們討論的是禁止採買大陸品牌的東西,你們現在連自己人都管不住了,結果還要管大陸的品牌。
陳副局長進廣:各機關的資安與人員查核,事實上由各機關進行,而我們本身會參與資安會報的資安稽核工作。
洪委員孟楷:副局長,我不為難你,我只想要提醒你,這絕對是一個國安危機。如果任何人在總統府裡面做這樣的事情,講實在話,我覺得他這樣是出賣主子,會出賣總統、把會議紀錄公開,他就有可能被吸收,任何的狀況都可能發生。
接著請教數位發展部次長,報告提到各機關對危害國家資通安全產品限制使用原則修正草案,雖然還沒有公告實施,但是瞭解使用草案的行政命令,有想要把原本的公務機關,擴大到委外合作廠商使用的軟硬體與服務都應該受到規範,是不是?
主席:請數位部闕次長說明。
闕次長河鳴:對,就是……
洪委員孟楷:委外廠商?
闕次長河鳴:不是所有的委外廠商……
洪委員孟楷:不然剛剛江委員提到,你們也沒有正面表列,所以什麼樣的委外廠商會受你們規範不能用大陸品牌?先確認是不能夠大陸品牌的產品,還是不能用大陸製品?
闕次長河鳴:大陸品牌。
洪委員孟楷:可是之前、今年8月因為軍演,而後針對各地方的公共租賃場所,行政院有開會決議禁止使用大陸製品。
闕次長河鳴:品牌,行政院……
洪委員孟楷:所以made in China沒有問題?
闕次長河鳴:對,因為後面是有法規上的考量。
洪委員孟楷:made in China沒有問題,但是不能用大陸品牌?如果它掛的是別的品牌,可是產品made in China,我們不用管?
闕次長河鳴:不是不用管,就是說如果……
洪委員孟楷:那你要怎麼管?你不要那麼害怕,我沒有挖洞給你跳。made in China到底行不行?
闕次長河鳴:我舉例來講……
洪委員孟楷:我們用的iPhone手機都是made in China,在座可能很多人都拿iPhone,所以iPhone可以用,因為它是美國品牌?
闕次長河鳴:行政機關不能說特定的品牌都不能用,但是基本上……
洪委員孟楷:不,之前我們說要正面表列,美國其實也有正面表列,就禁止使用華為。如果行政機關沒有正面表列,就變成任何的大陸品牌都不能用。此外,現在是不是還要再擴大到公共場合的廣告牆租賃業者,因為之前有被駭客入侵?
闕次長河鳴:如果是能夠對不特定人進行廣宣的場域,是會被管控的,會被列為相關的……
洪委員孟楷:被管控的法源依據是什麼?例如便利商店有螢幕,現在光是某品牌便利商店全臺灣就有1萬家,全臺灣四大品牌便利商店加起來兩萬多家,兩萬多家就代表有兩萬多個電子螢幕,你們能夠要求便利商店都不能用大陸品牌的法源依據是什麼?
闕次長河鳴:我們沒有要處理便利商店的部分。
洪委員孟楷:它不是公共場合嗎?
主席:請資安署回答,好不好?
洪委員孟楷:拜託一下,好不好?8月行政院開會的結論是什麼?那時候是說公共場合禁用大陸製品,我看新聞報導寫的是禁用大陸製品,我還嚇一跳,想說連made in China都不能。你剛剛講是不能用大陸品牌,所以我現在問法源依據是什麼?你們管公共場合、發包、租賃業者的資通,LED螢幕算不算資通器材?
主席:請數位部資安署謝署長說明。
謝署長翠娟:第一個是大陸品牌。
洪委員孟楷:這沒有問題。
謝署長翠娟:第二個是所有政府機關不能用大陸品牌的產品。再來進一步的是,因為上次軍演事件,在租賃公共服務、公務機關場域的產品,我們希望第一、不要使用大陸品牌,如果已經買了……
洪委員孟楷:希望、善意勸導?
謝署長翠娟:不,如果已經買了,應該不能夠連線。避免被遠端連線,像上次的情況被貼了一些不應該出現的訊息,因為那會不當傳播訊息,所以不能連線。可是它怎麼更新呢?改用離線的方式更新,就是經過控管的使用。
洪委員孟楷:我沒有聽懂你講的話,你還是沒有回答我。例如租賃公共場合,譬如臺鐵、捷運站,原本已經有的大陸品牌,我們的法源依據是什麼?要求它下架換新的?還是勸導拜託它,請它喝咖啡?
闕次長河鳴:我們處理的方式就跟處理公務機關裡的大陸品牌一樣,就是先斷網……
洪委員孟楷:不是啦!我說的是法源依據,行政機關不用依照法源嗎?
闕次長河鳴:法源依據就是……
洪委員孟楷:現在法源依據好像不明確嘛!回答不出來?
闕次長河鳴:各機關對危害國家資通產品限制的使用原則,這個就是……
洪委員孟楷:那個是各機關,我現在講的是民間,你說租賃……
闕次長河鳴:我們沒有講民間,我們講的場域都是政府機關租賃出去,沒有包含委員講的……
洪委員孟楷:對不起!剛剛答復的那位女士是哪一位?
闕次長河鳴:是資安署署長。
洪委員孟楷:署長,你代表行政院,行政院在8月時才召集各機關開會,表示不要再有軍演的事情發生,所以要求各機關處理,那法源依據呢?沒有!再來,所謂公共場域,那便利商店不算,對不對?
謝署長翠娟:我們分層次說明。剛剛講到第二個層次是政府機關的場域租賃給民間,如果使用的設備是大陸品牌,我們希望他是有控制的使用,然後接下來新的應該是不能再買了。
洪委員孟楷:對啊!那你的法源依據呢?還是一樣嘛!第一,現在使用的大陸品牌沒有問題,還是讓他繼續使用,但可能已經有漏洞的,就繼續讓它漏;第二,新買的,譬如年限到了要買新的,你怎麼強制廠商要更換?廠商如果覺得自己並不是公務機關,商品可以繼續使用,他就繼續使用10年、20年,而不汰舊換新,怎麼辦?第三,我們明人講明話,LED沒有連線的部分,真的有可能被駭客入侵嗎?駭客入侵通常的管道是什麼?不是後面的網路系統嗎?LED是最終端的展示品,display嘛!結果我們現在不是管後面終端部分,而是管人家面板,然後認為面板有危害,這樣不是讓所有民間業者都跳腳嗎?
闕次長河鳴:現在出現的問題,就是那個面板後面有控制器,控制器有上網,所以根據刑事局紀錄,他是從網路進去更改面板的。
洪委員孟楷:次長,我很實在的講,那你就斷網,就阻斷連線,所以你現在……
闕次長河鳴:我們現在就是這樣做。
洪委員孟楷:好啦!拉回來主題,第一,沒有法源依據;第二,行政部門8月開的這個會,講實在話,就是柔性勸導,並沒有任何強制力;第三,如果再一次面臨這樣的狀況,看起來是一樣,就是只能坐以待斃。謝謝,我的質詢結束。
主席:謝謝洪孟楷委員,我想法源依據很重要,但現在數位部答不出來,我覺得這個問題很重要,到底你們斷網的法源依據是什麼?不能是善意的勸導,就像剛剛講的,用「希望」兩字,我覺得很奇怪,怎能希望業者怎樣怎樣,這部分你們要儘快研議相關規範。
闕次長河鳴:我們的法源依據就是108年的這個……
主席:那是原則嘛,那個原則我剛才已經提過了,規範還是不周延、不嚴謹……
闕次長河鳴:對!所以現在正在修訂中。
主席:針對相關廠商,你們也沒有正面表列,這部分你們也不願意表列啊!這部分還是希望你們要訂定規範,不要再講那些有的沒的。
接下來登記發言的邱委員臣遠、張委員育美、鄭委員正鈐、廖委員婉汝、何委員欣純、何委員志偉及謝委員衣鳯均不在場。
請劉委員建國發言。
劉委員建國:(11時59分)接續剛才的議題,唐鳳部長上任的第一則公文,應該就是要修訂各機關對危害國家資通安全產品限制使用原則。這裡很清楚是「產品」,你的原則名稱就是「產品」,沒有錯嘛,全名叫這樣,不是品牌喔!第一則就是部長的公文,那麼應該有一個預計完成修正的時間,請問是什麼時候?
主席:請數位部資安署謝署長說明。
謝署長翠娟:報告委員,我們已經公告完成,現正簽院中,簽院完成後,我們就會頒布,謝謝。
劉委員建國:什麼時候?你講一個時間,大約什麼時候?
謝署長翠娟:一個月內。
劉委員建國:現在算起一個月內,是不是?
謝署長翠娟:是。
劉委員建國:其實針對這個2019年,也就是108年公布的原則,你們好像在去年就曾大規模要求公部門進行一次汰換的動作,對不對?包含國小學校都要,是不是?
主席:請數位部闕次長說明。
闕次長河鳴:每年都要汰換。
劉委員建國:所以是盤點每年都要汰換?
闕次長河鳴:對!各機關有的半年就作一次盤點。
劉委員建國:你覺得這樣力道夠嗎?
闕次長河鳴:跟委員報告,就我之前在學校的經驗,我們的確是把所有聯想電腦斷網,如果要留下來做特定使用情境,都必須寫報告簽資安長同意。
劉委員建國:我用另一個角度詢問你,你覺得這樣做的力道夠還是不夠?因為你來自學校,應該很清楚,對不對?
闕次長河鳴:我覺得斷網的力道其實是很夠的,因為現在大部分的資通訊產品,只要斷網,會受到駭侵的機率就大幅降低。
劉委員建國:所以你們要求各機關配合數位部的這個原則處理,以及相關政策的要求,有沒有編列相關預算?你要求人家斷網是一回事,汰換又是另外一回事,是另外一種手段,你們要求人家汰換,有沒有相關預算支撐?還是沒有預算支撐,叫人家換,就一定要換?
闕次長河鳴:相關的預算,應該是各單位自行逐年汰換,所以他們會訂一個幾年的緩衝期;一般處理原則,就是這個資通訊產品到了年限,如果是陸牌的,大部分都會被強制汰換,或者是提前汰換。
劉委員建國:我現在問的應該就是所謂的提前汰換,而不是使用年限到了才汰換,那個就沒有問題,所以我的題目很清楚,如果是我們要人家強制汰換的情況下,你們有相關預算的支撐嗎?還是就誠如你所講的,各部會自己去處理?如果各部會沒有預算,你又要強制,怎麼辦?
闕次長河鳴:所以沒有規定要強制,只是如果要繼續使用,必須有完善的規劃。
劉委員建國:那就回到我這個問題的本質上,現在你們要修這個原則,既然叫做強制汰換,那有沒有針對這一塊處理?沒有!如果這個原則沒有要修這個部分,那如何要求人家強制汰換?
闕次長河鳴:我們並沒有要求人家要強制汰換。
劉委員建國:剛才你有講啊!
闕次長河鳴:我說的是他必須……
劉委員建國:一個是使用年限到了汰換,對不對?
闕次長河鳴:對!
劉委員建國:一個是我們要求他要強制汰換……
闕次長河鳴:我們沒有要求他強制汰換,我們只要求他要強制斷網。
劉委員建國:照你這麼講,強制斷網是一回事,對不對?那到底要不要汰換,就各單位自己去判定,到時候就像裴洛西議長來臺時一樣,反正中國的這些相關製品他要秀給你看,表示這邊可以怎樣,那邊可以怎樣,而我們也沒有任何方式可以防範,都要等到事發之後才知道要怎麼處理,是嗎?
闕次長河鳴:跟委員報告,以這個……
劉委員建國:如果站在一個新的部會立場講這樣的話,我會覺得很無力感。
闕次長河鳴:就是以強制斷網這件事來說,針對前面……
劉委員建國:所以我才建議次長跟署長,有時候一個新的部會要有新氣象,這些事情基本上如果必須要有斷然手段處理,那就應該要有相關預算編列的支撐。我是替你們講話,如果你還聽不懂,我也沒有辦法。我就不跟你講了,你們就繼續這樣下去吧!
我真的再三提醒,這個事情會層出不窮,到時候數位部會疲於奔命。
接著我要請教國防部。去年同樣在這個地方,我有特別跟國防部副部長做了相關質詢,不曉得你們記得起來嗎?
主席:請國防部通次室廖處長說明。
廖處長述煌:有。
劉委員建國:就是我們有阿兵哥經常在營區裡面用抖音在傳營區裡面一些精彩的生活,他當時對我的答復就是部長對這個事情有說如果再發生這種狀況,處分會非常非常非常的重,這是副部長跟我講的,而且他還說一定會再做檢討,我們不曉得你們檢討的結果是怎麼樣,因為委員會也沒有收到任何檢討的報告,或許是因為我沒有要求也不一定。
廖處長述煌:關於這個部分,我們回去以後有修了獎懲的規定,已經有加重處分。
劉委員建國:怎麼加重處分?
廖處長述煌:例如說把以前處申誡的部分加重到記過或是記大過以上的處分,就是看他使用的行為跟使用的場域來加重。
劉委員建國:你看,這個是發生在10月19日,是這個月的事情,對不對?
廖處長述煌:對。
劉委員建國:沒有錯嘛!如果有加重處分、內部有檢討管理疏失的話,怎麼會一而再、再而三的發生?我在5月11日才提醒你們,應該也不是只有我提醒,可是你們在10月又再度發生這種事情。
廖處長述煌:其實我們都有利用我們的通報去宣導,還有我們的莒光日也都有配合在宣導,對這個部分有加強查察,對於官兵這種個人的行為,我們會再加以……
劉委員建國:處長,我覺得這種狀況並不能只認為是個人行為,在整個營區裡面這種事情層出不窮的情況之下,我覺得跟管理單位也有一定程度的因果關係存在。今天如果是傳到臉書或其他地方,我覺得這是另外一個要討論的面向,可是現在是一直持續的在用抖音,這基本上就是連敵我意識統統都沒有了!如果今天這些阿兵哥都沒有敵我意識,你跟我說他們的直屬上級長官有敵我意識,我也不太相信。
廖處長述煌:我們會加大力度來做這方面的查察。
劉委員建國:你要怎麼加大力度?
廖處長述煌:譬如說,我們會用科技的方式來加強查察,還有我們對各級查察的頻次、時間還有範圍都會再加以檢討並改善。
劉委員建國:你們能不能把你們如何應變、檢討的相關報告送給委員會參考?在這個禮拜內送來好不好?
廖處長述煌:是。
劉委員建國:可以吧?
廖處長述煌:可以。
劉委員建國:真的不要再讓這種事情發生了,因為我覺得這樣很漏氣,臺灣的國軍到目前為止竟然完全沒有敵我意識,那就代表一些相關的長官其實也都一樣,我個人的感覺就是這樣,我會覺得很洩氣。麻煩你們在一個禮拜內提出相關的報告,好不好?
廖處長述煌:好。
主席:謝謝劉建國委員。對於劉委員要求提供的報告,我想不僅要提供給他,也要提供給我們委員會,處長,請在一個禮拜內提供。
我們的會議繼續進行至所有登記發言的委員詢答結束為止。
請李委員貴敏發言。(不在場)李委員不在場。
請江委員永昌發言。
江委員永昌:(12時8分)闕次長,現在資通安全管理法當中管制的就是公務機關還有特定的非公務機關,在特定的非公務機關裡面,就把政府捐助的財團法人、公營事業還有關鍵基礎設施提供者納進去了。關鍵基礎設施提供者必須是那八大類,我這樣講你應該明白,然後是經中央目的事業主管機關指定跟行政院核定,那當然它就變成有義務,它主要有三個義務,第一個就是它要提出資安的計畫,然後要接受稽核,如果有資安事件發生就要通報,在違反這三個義務的時候,它有沒有罰責?就是要處以罰鍰。那我就要問你,假設它有提出資安計畫,可是卻違反了,被你在稽核的時候發現,或是它在資安事件的通報上沒有通報得很完整或是怎麼樣,像這些都有處罰的規定,可是你如何禁止它使用我們所限制的危害資通安全之產品?你如何限制它採購、限制它使用,到底是規定在哪裡?你懂我的意思嗎?你說要報計畫,那我就報計畫,我就說有用中國製或限制廠商的產品或其他限制產品,我有報啊!而且我是因為有必要,我沒有其他的替代方案,那你要怎麼處罰?
主席:請數位部闕次長說明。
闕次長河鳴:是不是要請資安署說明?
江委員永昌:次長不能回答嗎?
闕次長河鳴:第一,我們任何的查核當然會有對應的行政處分,但是不會第一次就去罰它,會先讓它去改善,這是第一個,就是在行政程序上所有查核所對應的是先內審再外審,然後如果有重大情節而沒有辦法改善,才會有罰責的產生。第二,如果這個危害資通安全的產品就像剛剛講的是一些中國的品牌,因為可能會有這種問題,所以在修法上要注意這一點。在行政機關裡面的財產一定會有財產清單,在財產清單裡面會有廠牌、型號,所以從這裡面就可以很清楚地知道在這些財產和物品裡面有哪一些是中國品牌,如果有使用到中國品牌的產品,就必須做列管,也就是該產品如果有網路功能,它的網路功能就必須被隔離,比如說有一台儀器所搭載的電腦是中國品牌,這樣那一台電腦就不能上網,不能跟其他資通安全產品的網路相連,它只能夠被限定使用一部分的功能,就是對這個東西要列管。針對新的部分,在這個原則頒布以後,基本上在採購上面就不會同意它去做這樣的事情,除非它能夠證明它有必要性,或在它的所在地是沒有選擇的,才會同意它採購中國品牌的資訊、通訊產品。
江委員永昌:你還是沒有理解我問你的問題,它沒有報資安計畫,它不接受稽核,它對資安事件的通報有問題,你都可以去處罰,但是問題來了,你剛剛講的有關資通安全產品限制使用原則,你自己去看這個原則,就是中央跟地方機關、公立學校、公營事業跟行政法人要有資通的安全防護,在這裡面並沒有寫到提供關鍵基礎設施的民間企業,都沒有提到這個,那你靠的是什麼?你靠的是「資通安全責任等級分級辦法」中的附表,對於這些關鍵基礎設施的提供者,你是用附表去連接到你對公務機關限制使用的那個原則,你藉此來限制它使用,可是這個位階有夠低。我要問你的並不是它亂報資安計畫,你對它所做的處罰,我要問的是,你說它亂報,可是你的處罰並不涉及它使用你限制的廠商所生產的產品,你懂我的意思嗎?它可能會造成整個資安、國安的大問題,那個處罰到底在哪裡?那不是針對它所提計畫札不札實或說明清不清楚、完不完整的處罰,這個要切割開。它造成國安問題、造成資安問題,你沒有法律位階的規定可以處罰,你只靠一個附表去連接到限制使用,這個限制使用是權利或義務還是什麼?2019年行政院就有講這些關鍵基礎設施者所使用的產品,我們公務部門對他們有督導跟要求,我舉例來講,假如有金控、電信公司用了危害國家資通安全的產品,那金管會可以要求限期汰除嗎?要用哪一條規定?並沒有法律位階的規定喔!到底要用哪一條?這個事情很重要,你有聽懂本席所講的問題嗎?你可以回答,也可以請資安署回答。
闕次長河鳴:我請資安署向委員說明。
主席:請數位部資安署謝署長說明。
謝署長翠娟:非常謝謝委員提這個問題,其實我們也很關注,所以我們怎麼做呢?第一個,它必須要盤點他所有的設備,他必須要報請主管機關同意,也就是說,它不一定要汰換,因為這是銀行、是民間機關,但是它必須要有相對的控制措施還有相對的管理原則,而且它要報主管機關同意。我們怎麼發現它是不是虛報呢?我們會去稽核,所以我們的稽核項目就有一個是中國廠牌設備的清查跟汰換,我們會去看它是不是真的有這個項目、是不是真的有報主管機關同意、是不是有相對的控制措施,不同領域有不同狀況,比如說某個產品非得用它不可,那它就相對就要有SOC、弱掃、防毒及24小時監控。
江委員永昌:我想你也是沒有分清楚,我跟你講,我就說它的計畫報不完整、報不詳實,你可以對它處罰,它使用了限制使用的產品跟廠商的時候,另外一個處罰要有公權力的法律位階效力,就是要去補那塊,我跟你講,像美國政府要去除中國製的元素,當然我不是針對什麼,它對於非僅限於公務部門的情況,也是透過美國總統2020年簽署的安全可信通訊網路法,去做有關於禁止使用不管是聯邦經費去採購的或是禁止名單上的法人去建置美國國內的關鍵電信設施,或者對這樣的電信業者在拆除或更換的時候,還會有對企業的基礎設施補償機制,它是有立法的,所以我希望你去分清楚這一塊。你們的管制其實是對公務機關的管制,理解本席的意思?法律對它做使用限制的部分還是要加強手段,這是我要提出的第一個部分。
第二個部分,我剛剛講的是關鍵基礎設施提供者,對於應該要限制會影響資通安全,甚至到國家安全等級的廠商跟產品,一直講說要把這個清單公開,什麼時候要公開?我就直接講因為時間有限,一個是強制,對於這些基礎關鍵設施提供者,我強制你就是不可以;另外一個就是其實企業這麼多,中小企業也有很多資訊,都應該要保護,它願意自願地配合政府,可是它哪有自己的工作技術人員?政府如果能夠列出清單的話,它就可以自願來遵守,它可以知道哪些它就不要去用,到時候你如果用相關的手段說用了這些會對臺灣有危害、要處罰,至少它可以是自願的。現在很多國家都是強制跟自願並行,基礎設施提供者要嚴加管控,另外對於一般企業,你願意成為自願者,甚至可以找第三方公證,公證完了之後,民眾也會有意願、動力依市場的趨勢去買這樣的品牌,它不會採用現在所限制的廠商、限制的產品,也會建立它的企業形象,也對國家的整體有幫忙,你們有沒有這樣子在考慮,有沒有這樣在思維?回答我一下。
闕次長河鳴:跟委員報告,的確在第三條裡面,我們會核定生產、研發、製造、提供產品的清單,但是這個清單在這個法規裡面只要求主管機關要定期檢視廠商清單,也必須滾動式調整,為什麼要做滾動式調整?其實就是針對常常在發生的貼牌事件,因為法條裡面並沒有公布的義務,所以我們今天所有的回答就不會正面回答出要不要公布清單,因為我沒有公布的義務,公布的話會有其他的效應,就是一旦公布完整的清單,第2天它就馬上貼牌,此時在行政程序上,因為公布清單就是正面表列,反而會製造更多的困難。其實這個東西我們討論非常久,也在考慮有沒有適當的程序或適當的方式可以來做這件事情,委員的考慮我們瞭解,對於公務機關一體適用的原則,如果能夠對民間開放、可以增加全民的韌性,這樣的思維我們是贊成的,可是如何在達成這樣的思維又讓原來對公務機關的控管能夠達成一個平衡,不要因為我公布了這個清單導致後續管制上的困難,其實我們內部跟資安署跟行政院……
江委員永昌:我要打斷你的話,你真的誤會了,第一個你要去看國外現在怎麼做,我剛剛講一是強制、二是自願,現在這樣的行政指引其實是黑暗一片,連我們政府自己都不知道我可以有效地公布到哪,你可以隨時滾動式地羅列限制的廠商跟產品,民眾當然知道你沒有辦法全部羅列完,但是至少你已公布的,我是採自願,這可沒有處罰喔!我講的是另外一個,不是關鍵基礎設施提供者,是一般的中小企業跟其他企業,沒有在你的強制名冊當中,我是自願者,我願意配合、我希望臺灣安全嘛!不然你的指引是一片空洞啊!大家當然知道永遠規範不完,但是不是用要處罰它的方式,你也沒有要立法處罰它,但是它會帶動一個正面效應,我不用、你不用、他不用、大家都不用,那請問你,它是自願的,在品牌、在市場的評價上、在國人的信心上得到肯定,你公布說至少這些不要用,儘量去找尋、儘量去研究出所有應該要限制的,這是正面在走啊!其他國家也都這樣在跑啊!你還在猶豫、考慮,因為你越晚做,就像剛剛你們在回答其他委員的,關鍵基礎設施提供者,你還要等它汰除耶!在這段期間當中,所有的資安被破壞,以及沒在強制名單當中的其他企業願意來配合的,也沒有給它一個方向,這種鼓勵性質的也沒有給它一個方向,你這就是破洞、就是漏網,你永遠補不滿,時間是不等待人的,請回答。
闕次長河鳴:跟委員報告,比如政府的標案或是政府的場域,像工業局或是現在在數位部產業署的智慧城市的案子,我們就會要求它做場域的資安驗證,或者是跟政府相關出現的app,我們在標案或者是計畫補助上就會強制它必須通過資安驗證,也就是說我們的司委會……
江委員永昌:那就公部門採購嘛!
闕次長河鳴:對,我們司委會是……
江委員永昌:這個我同意,我希望再補有關民間企業願意配合的那塊。
闕次長河鳴:比如說民間企業,其實很多銀行的app或者是大家常用的很多app,其實它可能都有受到公部門的補助,我們要講的是,事實上廠商可以主動……
江委員永昌:我又要打斷你的話,真不好意思,因為已經用了延長的時間在回答。公部門的或者用公部門經費去補助的、受補助的關鍵基礎設施提供者,這些一定要在強制的手段當中,德國、美國現在都這樣在走。我現在是在講另外一塊也要補起來,就是不在強制裡面的,廣泛的其他企業願意自願來提供的,它不可能自己去研究它用了哪些會害到國家資通安全的限制性廠商跟產品,它不可能自己去研究啊!但是你有至少給它一些方向的時候,它可以看到這個清單,它自己就不要去用,第三方給它認證或者它可以建立品牌形象時,國人更有信心嘛!那個部分就不是處罰嘛!
闕次長河鳴:在數位部裡面的電信技術中心,針對物聯網的資通安全認證有一支計畫在政府已經運作了一陣子,這個認證跟美國的UAL認證是結合的,也就是說如果廠商要證明它的產品是安全的,它其實可以主動去拿這些資安標章,我們覺得民間企業要去使用資通安全產品的時候,應該要有一套民間的標章或是標準去認定,使用者或是民間企業可以由這些標章去確認它使用的是不是安全的,而不是由政府給它一個負面表列說哪一些是不安全的,因為你給它一個負面表列,每個月可能就有幾千種通訊產品會出現,那這個表列是永遠做不完的,而應該是去正面表列哪一些是安全的,政府會想辦法建立一套機制,讓這些產品可以主動受到驗證,包含資通訊產品的硬體、軟體及app,我覺得這才是比較正面的解決方式。
江委員永昌:你這樣不就政府自己打到自己?其實清單一定存在,但如果你拿不出來,我就不知道你要如何要求關鍵基礎設施的提供者要避開哪些品項,我就不知道囉!如果你拿不出清單、我是用自願者的角度來看,你說清單很困難,那你如何應付關鍵基礎設施者的強制限制不能使用清單裡的品項?這不是自我矛盾嗎?
闕次長河鳴:這二個並沒有矛盾,因為政府內部的清單是滾動式的,如果每個禮拜都在滾動,其實公布的時候會有困難。因為每年做的資安查核是固定的,政府的財產管控也有制度,所以從採購這邊正本清源,就不會有新的資安產品進來,我這邊的管控只是針對既有的,我們希望在財產報廢的時候就銷毀。
主席:江委員,這部分請他用書面答復你,好不好?
江委員永昌:你這樣會打臉到行政院過去曾經發言過的……
主席:用書面答復比較詳細。
江委員永昌:強度強的清單跟品項其實可以公布。
主席:到底有沒有矛盾?我聽起來也有矛盾。江委員,所以這部分就以書面答復,OK?
江委員永昌:可以。
主席:請邱委員志偉發言。
邱委員志偉:(12時26分)今天出席單位大概是國家安全最機敏的相關單位,所以應該也有最高的資安標準,我想請教今天列席的國安局、國防部、法務部調查局及內政部警政署,對於數發部現在公告的第三、第四、第五點修正草案,各單位的意見和看法為何?全力配合並全力執行?先請教國安局。
主席:請國安局陳副局長說明。
陳副局長進廣:跟委員報告,本局跟數位發展部已經建立資安聯防機制跟預警情資提供,有關資安風險的部分,我們都會立即以通報單的方式提供給數位發展部,我們採最嚴的標準。
邱委員志偉:所以要修正的第三、第四、第五點都沒問題?
陳副局長進廣:是。
邱委員志偉:國防部呢?
主席:請國防部通次室廖次長說明。
廖次長述煌:國防部對修正部分也沒問題,全力配合執行。
邱委員志偉:也沒有特別意見,所以完全認同這三點修正內容。請問調查局呢?
主席:請法務部調查局資安處余處長說明。
余處長尚賢:跟委員報告,調查局基本上也沒什麼意見,因為我們是執行單位,我們全力配合。
邱委員志偉:警政署呢?
主席:請內政部警政署陳副署長說明。
陳副署長永利:報告委員,警政署也一樣全力配合執行。
邱委員志偉:全國最機敏的相關單位、對資安要求最嚴格的相關單位都沒問題。
請問數發部闕次長,什麼時候可以公告實施?
主席:請數位部闕次長說明。
闕次長河鳴:剛剛署長有回復現在已經送院,應該一個月內可以公告。
邱委員志偉:你說資通安全署的謝署長?
闕次長河鳴:對。
邱委員志偉:一個月之內可以公告,就今年底公告之後立即實施?
闕次長河鳴:應該是公告之後立即實施。
邱委員志偉:當然要立即實施,大家都沒意見。8月份裴洛西訪臺之後出現的那些狀況還會不會再出現?有沒有可能再發生?
闕次長河鳴:跟委員報告,交通規則頒布以後並不能防止所有人不違反交通規則,所以我們會把……
邱委員志偉:當然是,但這不是一般的交通規則,這對資安、國家安全是很大的影響,這不是一般的闖紅燈或超速的問題,這對國家安全有急迫性的威脅跟危機,你不能用交通規則相提並論。為什麼你要修這個法?就是亡羊補牢,把資安破口補起來,當然要立即實施,而且強度要更強,就為了避免類似情況再出現,結果你說沒把握?
闕次長河鳴:我們同意委員的看法。
邱委員志偉:如果第三、第四、第五點都修正並公告實施之後,這種情況還會不會再發生?
闕次長河鳴:公告實施以後,針對臺鐵的這類看板就有作業要點可以處理。
邱委員志偉:所以防不勝防就對了?你沒辦法完全禁止或完全杜絕,它還是有可能會出現?
闕次長河鳴:根據我們的作業要點所公告的範疇是公務機關跟它所屬的場域。
邱委員志偉:我希望這種狀況不能再出現任何一次,當然你要用最嚴格的標準來避免類似情況再發生,如果第三、第四、第五點都已經修訂,你還不能掛保證類似情況不會再發生,就代表你們做得還不夠、補得不夠足,還是有漏洞、還是有缺口。
闕次長河鳴:我們就現有的狀況盤點,已經把可以補的漏洞都補上了。
邱委員志偉:可以補的漏洞都補上了,為什麼你不能保證呢?
闕次長河鳴:我沒辦法保證每個國民都遵守法律。
邱委員志偉:這是公務機關耶!這不是國民,是國家的公務人員,採購相關的資安產品一定要符合公告的修正草案內容,他們不是一般老百姓。
闕次長河鳴:跟委員報告,這有二個層次。第一個層次,我在法規上可以杜絕使用有資安疑慮的產品,可是我不能保證所有不在負面表列裡的產品完全沒有資安的疑慮。
邱委員志偉:我跟你講的是所有的公務機關,我不是說一般的民間公司。
闕次長河鳴:舉例來講,比如像……
邱委員志偉:因為公務機關的影響力、擴散性、普及度或滲透率最高,對不對?因為公務機關有它的公信力、有政府相關的職權,跟一般的民間企業是不同的要求標準。
闕次長河鳴:我瞭解委員的問題。
邱委員志偉:我問的是所有的國家公務機關,如果你說亡羊補牢、破洞也補起來了,是否不會再發生8月份的這種狀況?
闕次長河鳴:舉例來講,比如臺大的網站被攻陷,但它不是關鍵基礎設施,所以管轄的力道跟其他關鍵基礎設施的力道是不一樣的。就算是在公務機關或公營企業裡面,它的管轄力道會因為是不是關鍵基礎設施或關鍵基礎設施相關的軟體而不一樣,所以不同系統的管轄力度不一樣。但就算管轄力度做到完整,任何的資訊系統都有可能被駭侵,就算是課本上的可靠度也只能保證到99.9999%,所以要我們去承諾0.0001%是不可能的。
邱委員志偉:不可能做到完美,但你們應該用最強的、最嚴格的標準來自我要求,因為你是主管機關,整合各部會相關的意見之後,你當然要確實管控修正後能否達成設定目標,讓8月份的類似狀況不再出現,你要有這個把握、這個信心啊!
闕次長河鳴:我們相信委員很清楚,任何法律修正後能不能杜絕所有的犯罪……
邱委員志偉:這是執行面的問題,你要去要求啊!法制面當然也要補強。
闕次長河鳴:我們在法制面……
邱委員志偉:有法制面也要有要求,依法行政、依法來執行。
闕次長河鳴:我們一定會依法行政,我們只能要求各公務機關必須遵守規範。
邱委員志偉:有沒有相關罰則?
闕次長河鳴:罰則在條文裡都有,如果沒有通過原來的資安查核標準也會有罰則。
邱委員志偉:我還有很多問題,但我要尊重會議秩序,時間到了,其他部分我會改書面。
主席:所有登記發言委員均已發言完畢,詢答結束。委員質詢時要求提供相關資料或以書面答復者,請相關機關儘速送交個別委員及本會。
委員周春米、林思銘、鄭運鵬及邱臣遠所提書面質詢,列入紀錄,刊登公報,並請相關機關以書面答復。
委員周春米書面質詢:
案由:本院周委員春米,鑒於數位發展部之成立,其重要任務之一即為保障我國之資安,免受境外敵對勢力之攻擊,社會各界亦關注數位發展部維護資安之具體措施,爰本席特提出質詢。
說明:
一、近年資安事件頻傳,其中以美國國會議長裴洛西訪臺時,知名便利商店系統以及臺鐵皆遭到攻擊,最受各界矚目,更可見中國之資安攻擊不分公私部門無孔不入。
二、數位發展部之成立,肩負資安之重任,各界亦關注相關資安維護計畫。數位發展部成立第一年,立法院與各界亦關注相關關鍵績效指標(KPI)之制定。
三、綜上,敬請數位發展部於一個月內書面報告予本席。
委員林思銘書面質詢:
一、2019年時蘋果公司指出,趨勢科技公司有將蘋果用戶所有資料回傳到大陸研發中心,兩三個月後,蘋果公司將趨勢科技公司的APP從Apple store中移除,經趨勢科技公司解釋,確有回傳用戶的資料一事,但並非回傳到大陸,而是傳到美國Amazon Web Service。
但重點是,趨勢科技公司為何要存取用戶手機內的所有資料?這部分是趨勢科技尚未解釋清楚的部分。
據悉,趨勢科技公司是調查局長期合作對象,因此本席想請問調查局資安處處長,行政院在2021年年初通令全國各公務機關,要在2021年底完換機關所使用的中國資通訊產品,關於資通安全維護的委外公司的持股,是否有限制不得有陸資?
那趨勢科技公司有沒有陸資?調查局有無了解這部分?
根據趨勢科技公司發的聲明最下方所列之內容,其表示該公司無中資成分,並於2015年起即中止中國業務,也不受中國政府監管,但經調查,趨勢科技公司仍在中國南京設有南京研發中心,且根據經濟日報2021年3月4日的新聞,趨勢科技公司台灣區總經理,同時也身兼香港區總經理,若如趨勢科技公司所言已無中資成分,也已於2015年中止中國業務,那為何台灣區總經理又可身兼香港區總經理?調查局要不要針對這部分去調查?
本席認為既然是要負責我國政府重要部門資安部分,我國政府在選擇合作的企業對象上應該要再更加謹慎。
針對本席第二個「趨勢科技公司是否含有陸資」,及第三個「客服中心赴陸投資個資外洩疑慮」的兩個問題,請相關單位查明清楚後以書面報告送交委員會。
二、據調查,光是在今年(2022)上半年,針對政府機關就有11萬筆的「入侵攻擊類型」資安攻擊,在去年更有達33萬筆同類型攻擊,且其中有33%是攻擊行政機關,22%是攻擊外交國防機關。
針對我國資安問題,行政院資安會報自90迄今,已陸續推動6個階段,新成立的數位發展部也針對資安部分設有數安署,因此本席想請問數位發展部政務次長、資安署署長,數位發展部目前研議什麼樣改善我國資安漏洞,並加強防護措施,以避免相同的案件再度發生?
此外,有關美國的網際網路安全技術廠商全球諾頓(Norton LifeLock),第一張圖是在台灣諾頓網站(繁體字)上的內容,在台灣的部分是顯示「台灣」;但接下來這張是將網站轉成簡體字,有發現有什麼不同嗎?台灣變成中國台灣了,這完全是對我國國際地位的矮化,本席想就這樣的問題,請問數位發展部,要如何處理?
委員鄭運鵬書面質詢:
今天議程是「面對歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業並採取因應對策」進行專題報告。
今年8月初,美國眾議院議長裴洛西訪台期間,出現超商、台鐵、公務機關電子廣告看板遭駭,出現謾罵裴洛西的簡體字,經調查都是使用中國製軟體所致。又日前國安局長陳明通出訪泰國的行蹤,在社群網路上被洩露,可能也與泰國海關大量使用中國華為設備有關。由於,中華人民共和國在其「國家情報法」及「網絡安全法」,可要求中國企提供用戶敏感個資,或協助執行情報工作,儼然對全世界形成嚴重資安威脅。
由於,在電子化設備中網路駭客的技術日新月異,美國在川普政府時期就開始發展「乾淨網路」。今年1月美國白宮發布新網路安全策略,美國政府機構將使用「零信任」架構,包括透過多因子身分驗證整合機構身分鑑別系統、加密網路流量並將內部網路視為不受信任之網路及加強應用程式安全性以保護資料並防範網路釣魚攻擊。
而台灣行動更早,行政院於2019年7月即召開「危害資通安全產品廠商清單審查小組會議」,研擬「各機關對危害國家資通安全產品限制使用原則」;另於2020年函請各公務機關,於2021年底前汰換所使用或採購之中國製之資通訊產品(含硬體、軟體及服務),同時要求新採購案全面要求禁用。
立法院於2021年12月制定數位發展部組織法,並設立資通安全署,將資通安全提升到國家安全層級,並統籌協調政府資通安全業務,將資通安全責任等級的A級機關,導入零信任網路架構,並促進國內廠商發展零信任網路資安產業鏈。
將來,數位發展部資通安全署規劃投入經費,希望朝野立委能夠支持數位發展部及資通安全署的112年度預算,讓相關的人力及經費能夠投入資通安全的防護。
一、美國國家安全戰略Vs中共二十大
根據美國拜登總統最新發布國家安全戰略,主要有四個重點:一、美國正式宣示全面對抗中國;二、延續並鞏固民主和盟友的國際秩序;三、科技戰是中美競爭對抗的核心領域;四、一中政策下台灣問題國際化的政策方向。一方面將中國列為敵人,另一方面提出要重建「強大中產階級製造大國」的挑戰,因此「晶片與科技法」正是在這樣的戰略下提出。
Q1-1:請問國安會秘書長,在美中霸權爭奪戰的架構下,我們選擇與美國綁在一起,本來應該是要趁此機會提升我們的國防實力,但是現在看起來美國比較希望我們扮演烏克蘭的角色,負責幫美國消耗拖垮中國的軍事力量,請問顧秘書長如何避免台灣成為第二個烏克蘭?根據國家安全會議的評估,我們有沒有避戰的腹案?和平避戰是我們的優先選項?還是必然一戰?
Q1-2:中共20大昨天剛剛閉幕,習近平順利連任,而昨天「反對台獨」也列入他們的黨綱,並重申「不放棄武力犯台,堅持一個兩制」,這些主張我們民眾黨堅決反對!而外界也傳言說他能夠連任的條件就是答應要「在任內解決台灣問題」,請問國安會有沒有掌握這樣的訊息?
Q1-3:上週四(20日)國安局陳局長針對美國國務卿布林肯(Antony Blinken)評估中國可能提前統一台灣的時間表,他在答詢時表示不排除提前到2023或2022的可能,並且說中方可能在2023年「以戰逼談」,相關單位已做好因應措施。請問國安會秘書長同不同意陳局長的說法?
Q1-4:請問國安會,如果面對中共以戰逼談,我們會不會被逼上談判桌?
Q1-5:針對蔡總統國慶演說:「願意尋求雙方可接受的維持台海和平穩定的方法」,請問有沒有重新建立兩岸溝通管道?還是會正式上談判桌?政府具體要如何尋求兩岸和平穩定的共識?
面對中美霸權爭奪戰,以及中共武力返台,台灣應避免落入台美同盟困境,更應維持經濟與國防戰略自主,請政府要儘快做好相關因應評估作業,務必要做到充分備戰以避戰,謀求兩岸和平穩定的最大戰略方針。
二、針對歐美限制採購大陸資通訊產品,我國如何應處?
針對歐美各國陸續頒佈禁止使用或限制採購大陸資通訊及科技產品,也禁止台積電等第三國企業,不得以美製設備為中國客戶服務。雖然我國企業獲得一年豁免權,但是美國已經計畫萬一台海發生戰爭,美國將不惜摧毀台積電,並且撤走台積電工程師。
Q2-1:請問國安會有沒有掌握美國意圖撤走的工程師名單?這些人有多少?國安局有沒有評估美國會怎麼撤?政府會同意美國撤走這些工程師嗎?
Q2-2:政府是否同意美國必要時要摧毀台灣護國神山台積電的計畫?政府不會會協助美國順利將台積電7奈米以下高階晶片轉移到美國廠生產?
Q2-3:在歐美禁止採購大陸資通訊產品的氛圍下,台灣除了公部門已經禁止採購,何時會禁止民間販售陸製手機?何時會全面禁止使用陸製資通訊產品?
Q2-4:美國已經開始撤離在陸工作的美國工程師及幹部,台灣會不會跟進?我們核准到大陸投資的晶圓等科技廠,有沒有撤廠的問題?
Q2-5:請問數位部,現在美國禁令的擴大,已經影響到我國企業,根據數位部的評估美國晶片與高科技禁令,將會對我國銷陸出口額造成多少損失?
面對美國提出貿易戰史上最強晶片與高科技禁令,我國基於國防安全戰略考量,也應該儘快提出相對具有戰略高度的決策,讓廠商有明確的應變依據,兼顧國防與經貿自主。
主席:本次會議到此結束,現在散會,謝謝大家。
散會(12時34分)