時 間 中華民國112年3月8日(星期三)9時至12時4分
地 點 本院紅樓201會議室
主 席 許委員智傑
主席:出席委員已足法定人數,現在開會。
進行報告事項。
報 告 事 項
宣讀上次會議議事錄。
立法院第10屆第7會期交通委員會第1次全體委員會議議事錄
時 間:中華民國112年2月23日(星期四)上午9時3分至9時38分
地 點:本院紅樓201會議室
出席委員:邱顯智 陳椒華 何欣純 陳雪生 陳歐珀 陳素月 洪孟楷 傅崐萁 許智傑 魯明哲 李昆澤 林俊憲 劉櫂豪 趙正宇
委員出席14人
主 席:邱委員顯智
專門委員:李健行
主任秘書:金允成
紀 錄:簡任秘書 黃淑敏
簡任編審 林桂美
科 長 江建逸
報 告 事 項
一、本院第10屆第7會期各委員會召集委員選舉時間及地點表,業經本院第10屆第7會期第1次會議決定照案通過在案。
二、宣讀本會期本會召集委員選舉人名冊。
選 舉 事 項
選舉本院第10屆第7會期本會召集委員。
推請何委員欣純擔任發票員兼監票員、魯委員明哲擔任唱票員兼計票員。
選舉結果
出席投票委員 14人
發出票數 14票
開出票數 14票
有效票數 14票
各委員得票數如下:
陳雪生委員 5票
許智傑委員 4票
何欣純委員 4票
邱顯智委員 1票
主席宣告:何欣純委員禮讓許智傑委員;陳雪生委員、許智傑委員當選為立法院第10屆第7會期交通委員會召集委員。
散會
主席:請問各位,對上次會議議事錄有沒有意見?沒有意見,上次會議議事錄確定。
繼續報告。
邀請數位發展部部長唐鳳列席報告業務概況,並備質詢。
主席:請數位部唐部長報告。
唐部長鳳:主席、各位委員,大家好,剛剛有跟召委討論一下,這次簡報是應委員們的要求,字比較多,所以我就不特別唸了,因為事前都有把內容傳給委員,我就簡單花15分鐘跟大家報告,也祝大家今天婦女節快樂!
就像剛剛大家聽到的,我們所有的司、兩署,還有剛剛設立的資安院,加在一起就是要達成所謂的全民數位韌性,我們非常感謝立法院支持我們成立資安院,產業署就好像馬達的轉子,去接觸各行各業的數位轉型,而資安署就好像馬達的定子,去確定政府和關鍵基礎設施的穩定,資安院則是在這二者之間取中間,確保在數位轉型過程中,公部門和私部門都可以同時達成資訊的安全跟韌性,所以這個相當重要。
當然在數位的世界裡面,其實沒有地理的遠近,只有價值的遠近,所以跟我們價值相近的國家,就是我們策略司常常學習的,以今年我們的三個重點任務來講,關於新聞的共榮、媒體的議價,就是從澳洲首先開始的一種制度;又或者是T-road,就是安全的政府之間的資料交換,就是從愛沙尼亞開始的制度;又或者是我們現在要布國內700個和國外3個衛星接收站,這也是從烏克蘭學習來的怎麼樣去應用,所以策略司就是要介接這些國際策略的能量,然後來提升我們國內的數位轉型。
剛才已經提到了,我們目前的規劃就是即使在臺海發生事件的時候,我們還是要能夠確保最基礎的政府內部通訊、教大家不要慌張的告警訊息,以及讓國內的新聞工作者能夠即時跟國外連線,這些都是我們韌性司的工作;除此之外,提升全國電波人口涵蓋率,以及透過普及等等的方式來確保偏遠地區都能夠接取到網路,也是韌性司的任務;同時,韌性司也負責通傳關鍵的資安的領域,好比非同步衛星即將要在臺灣開始使用了,它的資安要如何確保,這也是大家所關心的議題。
那在資源的分配方面,包含頻譜的分配、先期的整備,以及頻譜的騰讓等等,我們的資源司都在累積這樣的量能,特別是剛剛提到的衛星固定通信用無線電頻率,商用的部分,最快應該是這一季就可以完成審查作業。之後比如5G的專頻、專網等等,資源司也會跟產業署並肩合作來確保這些新興資源的用法,以照顧到所有人。在網際網路方面,好比網域、.tw等等,在國際上也有網路治理的方法,我們參加ICANN、GAC等等,去確保我們的主權利益能夠在網際網路上面伸張。
接下來我們的數政司,一方面當然是在網內打造服務性的智慧政府,比方就跟考試院、公共工程委員會合作,把本來很繁雜的流程,像技士證書的申辦服務流程再造、報稅軟體的再造等等,都是這種服務再造的方式;當然也結合國際的趨勢,確保除了能夠線上申辦這些服務之外,任何人無分其障別等等,都能夠接取到這一些重要的服務;另外在最近跨部門的整合案中,像6000.gov.tw,就是大家領六千塊,數政司也秉持著公共建設的想法,把它打造成除了所有國民都能夠取用之外,之後各級政府可能明年開始也都可以把這個當作一個公共建設來積極的運用;其次數政司也透過像發TLS憑證、HTPS憑證等等方式,去確保在政府跟民間交換的時候數位簽章憑證是加密的、是有效的。雖然我們協助財政部的系統已經開發完成,但是因為距離預算完全通過還有一點時間,所以我們也不斷的在精進網站的無障礙、壓力測試、滲透測試等等強化服務的部分。
就像剛剛提到的,其實不管在立陶宛、烏克蘭等地,都有很多跟我們理念相近而且正在面臨類似威脅的管轄領域,在這種情況下,我們的民主司就積極的協助他們,而他們也很願意在我們提出聯防的概念時,在資安上、在衛星上協助我們,我們也是因為有這些國際友人的襄助,很成功的加入了像W3C、FIDO等等重要的國際組織,也很積極的帶著這樣的聯防概念去參與臺美21世紀倡議等議題。
接下來是處理資料應用以及應用相關治理的多元創新司,除了大家比較熟悉的MyData、Open Data,即個人化資料自主運用以及開放資料之外,現在大家非常關心隱碼技術、隱私強化技術,怎麼樣確保資料的可用性,還是可以做統計等,而不需要看到這些raw data、個人資料,減低個資外洩的風險等,這些都是多元創新司的工作。
最後是產業署,就剛剛的這些研究和開發工作、各行各業的數位轉型以及與私部門分享,而且在這個過程裡面養成跨域及數位人才,當他一踏出社會或甚至還沒有畢業就能投入數位轉型的工作,不管他本來的科系是什麼。同樣地,也會確保產業署跟資安院的合作,促進資安產業與產業資安並肩發展,同時也提升我們資安自主的能量。產業署同時也是電子簽章法的主管機關,像剛剛講到的,國際上的朋友都在用這些電子簽章以確保跨境傳輸的安全等,因此我們也在去年發布函釋,確保美國和歐盟這些電子簽章跟我們之間能夠互相承認、互相應用。而我們也促進跟新聞業者及數位平臺共榮發展,今天據我所知,Google就會提出方案,我們也很希望Meta能夠儘快提出方案。
最後是資安署,相信大家剛剛有聽到,資安院雖然是公私部門都協助,資安署還是去確保政府機關和關鍵基礎設施最核心、最根本的部分,透過發布資安警訊以及發現可疑電子郵件,提供各部門資安諮詢,並協助各行各業之主管機關去看那些行業裡面有哪些真正的關鍵基礎設施,不管是平時或戰時都絕對不能夠受到擾亂、攻擊等。就資安管理法,未來我們也研擬修法,讓各個主管機關能夠適度地擴大我們能夠稽核的地方,一起照顧到這些納管的事項,即使在修法通過之前,我們也透過協助、攻防演練等方式,提升全民的資安意識。就資安職能訓練發展藍圖,在數位部成立之前,政府裡面跟業界的部分未完全對齊,在兩個署以及資安院的協助之下,我們現在就是要使其對齊。接下來我們也會繼續推動在政府裡面,包含地方政府,怎麼樣確保資安專責人員能夠趕快成為專職人員,資安署正在跟考試院討論引進資安專門人員的考科等作法。
最後的結語是全民參與、社會共榮,本部各司、數位轉型的產業發展即產業署方面,以及應變韌性、突發事件的安全上,這是資安署和資安院的部分,這三者讓其重疊的地方愈來愈多,其綜和效果(synergy)愈來愈大,這就是我們的全民數位韌性之願景。以上,謝謝大家。
主席:現在進行詢答,先宣告以下事項:一、詢答時間,出席委員為6分鐘,得延長2分鐘;列席委員為4分鐘,得延長1分鐘。二、委員發言登記於10時30分截止。三、各委員如有提案,請於10時前提出,以便議事人員彙整。四、暫定10時30分休息10分鐘。五、中午原則上不休息。
請登記第一位的洪委員孟楷發言。
洪委員孟楷:(9時14分)部長,數發部成立至今也有半年的時間,昨天有一則新聞,我想對同仁的士氣可能會有影響,不知道你有沒有看到?網路上有人說到現在半年了,數發部做了什麼事情?結果大家狂喊3個字啊!有看到這則新聞嗎?
主席(陳委員歐珀代):請數位部唐部長說明。
唐部長鳳:是雲市集嘛?大概不是這3個字,但就是大家對於雲市集促進像點麵線的點菜系統和中小企業的數位轉型滿有印象。
洪委員孟楷:大家狂喊「點麵線」。花了二百多億公務預算,我們那麼多同仁在這邊聽了你的業務報告、洋洋灑灑,國人對數發部的期待絕對不是只有「點麵線」3個字而已。現在我們又看到您針對防詐騙app要研發,是不是?
唐部長鳳:不是我們自己,就像「快一點」的那個軟體也是國內的資服業者,我們是去媒合。
洪委員孟楷:就是Whoscall……
唐部長鳳:好比美國的經驗,他們有一個TRACED法案。這個app不是裝在大家的手機裡面,而是在電信業者那邊,電信業者看到詐騙電話打過來的時候,手機不用裝任何app就會顯示那應該是詐騙,像這樣的作法。
洪委員孟楷:所以你現在的作法,首先,國內其實也有不錯的廠商,譬如Whoscall這種app,對不對?那你現在是我們自己要主動研發一個機制,跟電信業者做媒合,讓電信業者可以擋下詐騙電話,或者你要跟Whoscall這邊合作、用他們的技術,或是怎麼樣操作?
唐部長鳳:謝謝委員給我機會說明。簡單來講,您剛剛講得非常好,我們研發的是一個機制、流程,不是我們自己去寫Whoscall。好比Whoscall上面有很多人檢舉詐騙電話,但如果沒有裝設Whoscall的人,對方打來的話他還是被騙了。為了照顧到這些可能是長者、弱勢等,他自己沒有辦法下載或者沒有下載的意識,因此我們研發這個機制,裡面就包含像Whoscall的業者跟電信公司要怎麼合作。
洪委員孟楷:在預算上,預計要用多少錢?
唐部長鳳:這個跟預算的關係不大。
洪委員孟楷:為什麼?
唐部長鳳:因為如果……
洪委員孟楷:你要做事啊!電信業者看起來也不會免費幫你安裝,Whoscall有專利,不然下載app也要有付費機制。現在你是要媒合Whoscall跟電信業者,還是你要讓電信業者用Whoscall的軟體,或者是你要怎麼樣讓電信業者有這樣的能力以多加防範詐騙電話?
唐部長鳳:您剛剛講的這三個部分都要做。就像您剛剛說的,Whoscall也好,其他像趨勢科技的防詐達人也好,他們已經有技術,而且有一定的資料。電信業者本來也就有顯示caller ID的機制,現在只是在於這兩者之間怎麼樣接在一起,所以跟預算,特別是本年度預算的關係並不大。
洪委員孟楷:但我們很怕的是,就像之前你說防疫的簡訊實名制,也是說沒有編列相關預算。後來我們查出來,也有補助給相關電信業者。
唐部長鳳:您提的應該是1922簡訊實聯制。
洪委員孟楷:對,實聯制。
唐部長鳳:簡訊實聯制推出的時候,各個電信業者也好,或者所有的使用者也好,並沒有所謂發簡訊費的這件事情,就是說從頭到尾……
洪委員孟楷:羊毛出在羊身上,你用人民納稅錢的公務預算補助電信業者,一樣是付費,只是換另外一種角度付費。過去到現在,民進黨政府最喜歡講的就是:這是免費的。後來我們看到預算書才知道,原來我們那時候編列8億,NCC那邊補助相關五大電信業者……
唐部長鳳:後來下修到3億。
洪委員孟楷:我不是說補助不行,但重點在於你要公平、公開地讓大家知道。
唐部長鳳:是,理解。我真的同意委員的講法。應該這樣講,如果之後……
洪委員孟楷:所以預計會用多少的公務費用?
唐部長鳳:以今年來講,並沒有公務費用是用在這個上面。
洪委員孟楷:那什麼時候會推出這樣的方案?
唐部長鳳:就像我在許智傑委員的節目上說的,如果電信業者自願在今年就推出這樣的合作機制,跟NCC也好,或者是跟Whoscall等公司合作的話,那他們什麼時候推出,這個就是什麼時候推出來。就好像今天Google主動提出跟新聞業者共榮的方案,他們選擇今天推出,那就是今天推出來。
洪委員孟楷:你是不是再給本席一份相關資料,針對你們現在的進度,好不好?
唐部長鳳:沒問題,當然。
洪委員孟楷:再者,我覺得更重要的是,國人擔心的其實不只是接到詐騙電話,現在已經有Whoscall app了,就如同國人說數發部拿出來的是一個點麵線系統,人家說我們也早已有foodpanda或Uber Eats,所以你所做的事情是不是跟民間重複在做?更大的重點在於,政府部門應該要做的是防範源頭,亦即如何管理資安。
唐部長鳳:沒錯。
洪委員孟楷:現在我們又看到,侯友宜市長昨天在臉書發文,表示網路上有人假冒他的名義做不實的產品廣告。金管會主委承諾2個禮拜內邀請數發部共同約見包括Google、臉書,跨部會處理數位投資假廣告,我覺得這一點也是國人深惡痛絕的。請教一下,金管會有沒有跟數發部聯絡?
唐部長鳳:有的,金管會的聯絡窗口就是我們產業署署長。
洪委員孟楷:OK!所以我們預計什麼時候找業者喝咖啡?
唐部長鳳:請產業署署長說明。
洪委員孟楷:麻煩,簡單說明。
主席:請數位部產業署呂署長說明。
呂署長正華:我們和金管會的平臺是由我和金管會的主秘聯絡,對於金管會的新聞有講到3月9日下午會召開,和Meta、Google去做討論。
洪委員孟楷:所以明天下午的會議是邀請他們來喝咖啡,對不對?
呂署長正華:因為會議是他們主辦的,我們有接到開會通知,他對媒體有這樣說明。
洪委員孟楷:我要請教,這件事情到底多久了?我們相信不管是部長或署長,你都有使用社群媒體。
呂署長正華:是。
洪委員孟楷:其實上面這種數位假投資廣告層出不窮,一頁式廣告、詐騙廣告、數位假投資廣告,甚至很多人說被拉進什麼群裡面,我們到底有沒有比較具體務實的作法可以管制源頭?明天下午開會要談什麼?
呂署長正華:跟委員報告,明天金管會的會議我們是收到開會通知,之前因為我們剛好在做媒體共榮的會議,所以去年我們成立之後……
洪委員孟楷:謝謝署長。還是麻煩部長,你到底有沒有具體的作法?
唐部長鳳:其實就像委員剛才講的,有關我們的ABC:Action、Behavior、Content,現在只看內容很難去分辨到底是真的假的,尤其現在生成式AI,可以隨便生成什麼內容,所以通常都是要往前看它的行為以及它的actor,比如我的手機號碼撥給你,這個發話號碼難以假冒,所以我們現在跟Google也好、Meta也好,大概都是在確保它的藍勾勾真的是藍勾勾,我們叫Provenance,在技術上確保其來源的行為者是正確的。
洪委員孟楷:不是,藍勾勾這早就已經行之有年,我們現在重點在於那種一頁式詐騙廣告非常多,請容許本席提醒,像去年東京奧運的時候,很多那種一頁式廣告就是賣奧運相關產品,大家一點上去之後,拿到之後才知道是詐騙,今天開打的世界棒球經典賽,我相信可能有很多人就開始在網路上收到世界棒球經典賽周邊產品的一頁式詐騙廣告,那個要怎麼處理?
唐部長鳳:是,就是在講這個。舉例來說,有些瀏覽器比方Edge或者有些瀏覽器的外掛,像我自己在用Firefox這些外掛,還沒有點進去,光是游標移上去或是即將要點的時候,它就會告訴你這個已經很多人回報是詐騙,所以這個大概是詐騙,就是說你要在點進去的那個網域確認是不是詐騙,而不是在網頁內容。
洪委員孟楷:所以現在是什麼時候會做呢?
唐部長鳳:事實上,像我剛剛講的瀏覽器廠商或是那些外掛,有點像在電話上的Whoscall那種程度都在做了,現在的問題是要怎樣保護那些沒有裝這樣的外掛或app的朋友。
洪委員孟楷:對,現在有多少人沒有裝?一般普羅大眾有多少人沒有裝?比例多少?
唐部長鳳:以Whoscall來講大概700萬人。
洪委員孟楷:對啦!部長,我現在講的是網頁的詐騙有多少人沒有裝?
唐部長鳳:同樣的,就是防詐達人、趨勢科技等等,這些全部加起來。
洪委員孟楷:現在比例多少?
唐部長鳳:我猜可能大概三分之一左右有裝,三分之二左右可能沒有受到完全保護。
洪委員孟楷:所以三分之二是否才是現在最重點的大宗詐騙?
唐部長鳳:也就是剛剛署長所討論的……
洪委員孟楷:是,所以現在國人對於數發部的期待絕對不只是點麵線,也不是只做一些民間已經早就有的app,而是怎麼樣從源頭來做一個根治。
唐部長鳳:我們當然不會自己去開發那些app。
洪委員孟楷:部長、署長,明天下午的開會,我們數發部會提出什麼樣的意見以及要求業者的部分,也請提供給本席,好不好?
唐部長鳳:好。
洪委員孟楷:最後,請問電信技術中心和網路資訊中心也是我們數發部的子公司、子單位?
唐部長鳳:是我們督導的財團法人TWNIC和TTC。
洪委員孟楷:有來嗎?為什麼沒有來呢?我想請教,因為現在大家非常關心無人機相關條例及管理規則,昨天上午民航局也召開一個無人機管理規則的條例修正草案說明會,現場砲火隆隆,其中關於民航局相關業務,還好本席有特別派我的辦公室主任過去,但是重點在於數發部的同仁,即數發部代表就是電信技術中心,他居然語塞沒有辦法回答問題,很多問題都說只能帶回意見給數發部研究,很多人就會問現在到底哪一些無人機機型沒有資安疑慮?數發部是不是應該先做出一些列表?還有,現在資安的檢測最便宜一次要15萬,但簡單、低階的無人機可能一台三、四千就有,我為了要飛三、四千的無人機,卻要去資安中心花15萬來做測試?
唐部長鳳:那是型式驗證,只要有人驗過了,後面同一個型式就不用再驗。
洪委員孟楷:是嗎?
唐部長鳳:是。
洪委員孟楷:如果部長這樣講的話,就跟昨天的代表講的又不一樣,因為昨天的代表在現場並沒有講到這個部分。
唐部長鳳:為什麼是因為……
洪委員孟楷:這就表示連數發部派出來的代表在針對無人機業者的討論會上,都沒有辦法直接明白把業者的疑問說明清楚。
唐部長鳳:我跟委員解釋,因為要型式驗證以及要符合多少責任條件才能起飛,這是民航局決定的,我們這邊負責的是在送驗的時候去確保它在資安上面能夠符合低、中、高哪一個層級的標準,所以如果你去問一個送驗的廠商說怎麼樣的情況才能起飛,他真的只能告訴你只有民航局能決定。
洪委員孟楷:是,部長,因為昨天派出的數發部代表,我不知道昨天是哪位代表去,但確實他在現場好幾次沒有辦法回答,甚至說要帶回來研究,所以我建議如果部長真的要特別瞭解的話,本席來召開下一次的無人機相關會議,我們也來辦個公聽會,請部長一起出席,我們共同來跟所有的業者也好、玩家也好或無人機的使用者也好,好好一次說明清楚,到底現在的問題卡在數發部還是卡在民航局,這樣可以嗎?
唐部長鳳:我們全力配合。
洪委員孟楷:好、OK!謝謝部長。
主席:請陳委員椒華發言。
陳委員椒華:(9時26分)部長好。我們知道從數發部成立之後,到現在為止包括政府單位、民間單位,我們出現非常多個資外洩或是戶政資料外洩的情形,請問數發部要不要負責?
主席:請數位部唐部長說明。
唐部長鳳:委員好。當然政府單位,尤其是大量的個資外洩,這幾乎一定是資安事件,這個當然是我們負責。民間的部分,自從資安院成立之後,資安院也變成不管是應變通報、行政調查等等的負責窗口。
陳委員椒華:要負責的話,如果造成這麼多個資嚴重外洩的問題,依法到底要負什麼責任呢?
唐部長鳳:我先跟委員大致說明,待會有機會的話,再請院長補充。您想先問公務機關嗎?因為您講到公務機關的部分。
陳委員椒華:我的問題是,如果是數發部該負責,我們知道數發部也是去年才成立的,如果做得不好,沒有依法行政,我們今天也希望能夠釐清你們該負什麼責任。如果沒有做好,我希望後續要更努力。這一次的公務機關個資外洩問題,是不是數發部督導不力?
唐部長鳳:謝謝委員給我這個機會說明,因為委員剛剛提到的是戶政資料,我就先以戶政資料來當做例子。因為我們知道我們有兩個責任,一個是對於內政部戶政司的資通系統要確保它的安全,不要被入侵等等,這一次像地址等等這些當然是內政部所蒐集的資料,但不是從內政部這邊洩漏,這個部分我們是有相當的把握,但是另外一部分是說我們應該也有……
陳委員椒華:不是內政部洩漏的?有證據嗎?
唐部長鳳:有,就是我們在GSN(政府服務網)完全沒有……
陳委員椒華:那是怎麼洩漏的?
唐部長鳳:我們目前的理解是它蒐集這些資料之後,它是一個資通責任A級的機關,有相當好的資安防護,我們也建立了T-Road,在A級機關之間安全交換的管道……
陳委員椒華:你簡單回答好嗎?怎麼洩漏的?
唐部長鳳:但是如果不用這個交換的管道,而用比較不安全的管道,比方像光碟片等等不安全的管道,在此之前還是可以這樣子交換,就可能洩漏。
陳委員椒華:所以你是說它透過一些不安全的管道洩漏出去了?
唐部長鳳:這在去年年底……
陳委員椒華:有具體證據嗎?
唐部長鳳:這部分其實調查局已經發布了他們的調查結果,他們就是說……
陳委員椒華:可是依我的搜尋結果,並沒有具體證據顯示到底是怎麼洩漏的!沒關係,我先問一下,等一下你再回答。在數發部成立之前,所有公務機關的資安問題是由行政院國家資通安全會報負責,而數發部成立之後是該幕僚單位,而成立之前的這些人後來到了數發部資通署,是不是這樣?
唐部長鳳:是。
陳委員椒華:請問幕僚單位是要做什麼?簡單回答一下。
唐部長鳳:請資安署長回答。
主席(許委員智傑):請數位部資安署謝署長說明。
謝署長翠娟:報告委員,行政院資通安全會報就是您看到的所有分組,包含資安、聯合防護,所有的分組都會聯合……
陳委員椒華:幕僚單位具體要做什麼?
謝署長翠娟:第一個,我們要訂出討論的議題;第二個,我們要協助行政院做資安稽核。
陳委員椒華:所以稽核執行就是你們負責的,好,謝謝。稽核業務不管在數發部成立之前、之後都是你們負責的,依資通法第十三條規定,內政部應該要把他們的維護計畫或者改善計畫提出來,請問內政部現在已經提出來了嗎?
謝署長翠娟:跟委員報告,他們已經交了,順便報告一下,其實這一次內政部的戶政系統並沒有被駭侵……
陳委員椒華:其他公家機關交了嗎?
謝署長翠娟:也都交了。
陳委員椒華:所有的公家機關都要依資通安全管理法第十三條規定交安全維護計畫,你們每年都有稽核?
謝署長翠娟:我們都要審,針對審完之後的應改進事項,我們都會要求他,然後也會稽核……
陳委員椒華:你們有沒有去稽核?
謝署長翠娟:有,當然要!
陳委員椒華:為什麼會出現內政部這樣子的大量個資外洩?
謝署長翠娟:跟委員報告一下……
陳委員椒華:表示你們之前稽核不力,是不是?
謝署長翠娟:委員,要跟您報告,我們用三個證據證明內政部這次不是被駭侵,第一個是我們在……
陳委員椒華:不管有沒有被駭侵,我的問題是你們到底有沒有稽核?稽核的問題出在哪裡?為什麼還會有大量資料外洩?
唐部長鳳:這個問題我剛剛回答過了,內政部在去年年底就修改了戶政資料的申請辦法,所以以後就只能用安全的方式交換,不能夠再用光碟等等的作法。
陳委員椒華:所謂的改善就是訂了戶政資料管理辦法?
唐部長鳳:修訂了。
陳委員椒華:依照資通法第七條規定,現在的主管機關就是行政院國家資通安全會報,對不對?
唐部長鳳:對。
陳委員椒華:但幕僚是數發部,數發部有沒有依照資通法第七條訂定稽核的辦法?
謝署長翠娟:是,當然,一定要有。
陳委員椒華:已經訂了嘛,之前有沒有訂?
謝署長翠娟:也有。
陳委員椒華:之前有訂,那部長的意思是指之前訂得不完整,所以出現這些漏洞嗎?部長,是不是?
唐部長鳳:應該說2018年的時候,當時資通安全管理的體系並沒有像現在這麼嚴密,那個時候資通安全管理法也正在討論或剛剛上路,這部分確實需要強化。
陳委員椒華:我請問部長,應該要強化這些實施辦法嘛,依照資通法第七條你還要針對特定非公務機關,所以國家資通安全研究院就是非公務機關,對不對?
唐部長鳳:也包含私部門,好比像……
陳委員椒華:也有訂資安稽核的詳細實施辦法嗎?
唐部長鳳:這部分還是先請署長說明。
陳委員椒華:你們針對財團法人跟行政法人也訂了嗎?
謝署長翠娟:我們針對公務機關跟特定非公務機關都訂了,特定非公務機關是指關鍵基礎設施,而且……
陳委員椒華:財團法人也訂了嘛?
謝署長翠娟:就是特定非公務機關。
陳委員椒華:財團法人也是特定非公務機關啊!
唐部長鳳:政府捐助的財團法人。
謝署長翠娟:您是指資安研究院嗎?
陳委員椒華:對呀,行政法人有沒有訂?
謝署長翠娟:它也是必須被稽核的對象。
陳委員椒華:你們有沒有訂這個實施辦法?
謝署長翠娟:我們的實施辦法是一個完整的、對全部的,不會特別針對每一個……
唐部長鳳:會沿用相同的實施辦法。
陳委員椒華:那你說有就好了嘛。
謝署長翠娟:是。
陳委員椒華:保證不會有漏洞嘛,會嗎?
唐部長鳳:像委員剛剛提到這種透過不安全方式交換資料的漏洞,我們現在把它補上了。
陳委員椒華:我的意思是依法你們本來就要負責,不管是數發部成立前後,你們都要針對資安稽核訂定詳細的實施辦法。請問部長,針對剛剛提到的公務機關或者是財團法人,你們應該早就有辦法並希望以後不會出問題,你能保證嗎?
唐部長鳳:是,就像剛剛講到不安全的資料交換部分,用T-Road以及接下來導入的零信任,這部分我們可以保證不會再發生同樣狀況。
陳委員椒華:可以保證嘛!所以公家機關的這些實施辦法、管理稽核辦法都訂了,然後每年都有提出資通安全維護計畫,是不是?
唐部長鳳:對,就是說……
陳委員椒華:所有的公部門都提了嗎?請問所有公部門的下級所屬單位都有提這些計畫嗎?
唐部長鳳:現在的狀況就是這些二級單位去稽核他們的三級單位。
陳委員椒華:他們的所屬都有提了嗎?
唐部長鳳:我們這邊是確保他們有稽核下級單位的能力。
陳委員椒華:所以你們有稽核這一塊嗎?有沒有稽核這一塊?
謝署長翠娟:跟委員報告,其實我們有稽核行政院的二級有沒有認真稽核它的三級跟四級。
陳委員椒華:要稽核這一塊喔!因為很多問題可能會出現在這裡、漏洞在這裡,部長可以承諾嗎?
唐部長鳳:是,而且像委員剛剛特別關心的特定非公務機關等等,目前資安法沒有規定它們一定要設資安長或者是這些相關……
陳委員椒華:我是指要稽核嗎?要它們提維護計畫嗎?
謝署長翠娟:有,我們有。
唐部長鳳:我們絕對會去……
陳委員椒華:你就回答有嘛。數發部的資安長是誰?
唐部長鳳:是我們的闕河鳴次長。
陳委員椒華:再來,你們有稽核、有提維護計畫,請問資通安全研究院未來針對個資部分要怎麼做?
唐部長鳳:請院長說明。
主席:請資安院何院長說明。
何院長全德:跟委員報告,第一個,我們配合目的事業主管機關,如果發生資安事件的話就進行行政調查,還有我們的專業技術人員會出具鑑識報告,分析原因並提出改善建議。
陳委員椒華:請問會訂稽核辦法嗎?
何院長全德:關於稽核辦法剛剛謝署長已經報告……
陳委員椒華:但那個是稽核公家單位或所屬單位,你們未來會針對民間單位訂稽核辦法嗎?
何院長全德:我們會有一個SOP。
陳委員椒華:請部長回答一下,是SOP還是稽核辦法?這不一樣喔!
唐部長鳳:像您剛剛提到的租車公司等等,它現在確實不是資通安全法的納管對象,所以我們現在還不能說這是資安管理法的稽核辦法,但是我們會整理這些對公務機關稽核的SOP然後把它分享出去,不是只給我們而是給所有的,包含交通部、經濟部等這些機關執行。
陳委員椒華:最後關於我剛剛所講的,依照資通法各個公家單位要提的資安維護計畫或是你們的稽核報告可以上網嗎?部長,這些資料可以上網嗎?
謝署長翠娟:報告委員,我們去掉各機關的隱密資訊之後,會將一個統整的發現上網。
唐部長鳳:會有一個綜整的發現。
陳委員椒華:我想大家非常重視資安,也希望後續不要再發生這麼多的資安洩漏問題,所以數發部的責任很大,希望你們後續的稽核情形都可以上網,好嗎?
唐部長鳳:我們會把綜整的部分儘量在沒有營業秘密或者公務秘密的情況下上網,謝謝。
陳委員椒華:好,謝謝,謝謝主席。
主席:關於數位發展部的簡稱,部裡面覺得叫數位部會比較清楚,因為是數位發展,數位自然就會發展,所以叫數位部以後全國人民聽起來會比較直接,我們慢慢可以改口。
請陳委員歐珀發言。
陳委員歐珀:(9時39分)謝謝主席。部長好,過去在蔡總統之前的中央執政都是重北輕南、重西輕東,所以東部跟南部的各項重大建設比較缺少,也影響到東部跟南部民眾的各方面權益,本席來自臺灣的東北部宜蘭,而我們東部有3個委員長期都待在交通委員會,包括傅崐萁委員跟劉櫂豪委員,為什麼我們要待在交通委員會呢?就是因為從過去到現在,我們的交通建設很困難,甚至要一條安全回家的路都沒有。我們發現宜蘭縣遭受許多的不平等,所以蔡總統上任之後推動「前瞻基礎建設計畫」,最主要的目的是要厚植國力,第二個就是要讓城鄉均衡發展。現在數位發展部成立之後,我要提醒部長,在數位發展方面確實存在數位落差的問題,我想請教部長,你認為宜蘭是在臺灣的東部還是北部?
主席:請數位部唐部長說明。
唐部長鳳:委員好。您剛剛自己有說東北部。
陳委員歐珀:東北部喔?我們沒有人稱宜蘭是東北部,你們中央政府有時候把宜蘭劃為北部,有時候劃為東部,你們數位發展部更奇怪,有北、中、南卻沒有東部,把宜蘭劃為北部,這件事情就呈現出對宜蘭跟東部在整個數位發展計畫當中的一個盲點。請教部長,如何強化我國偏遠地區電信網路的韌性?這是第一點。第二點,是否能夠透過非同步軌道衛星強化偏鄉的行動通訊?這二點請部長答復。
唐部長鳳:是,謝謝委員給我這個機會說明。確實這二者是息息相關的,有些深山裡面或者真的很偏鄉的地方,當地居住的人數如果比較少的話,有些電信公司就覺得如果在當地鋪設光纖網路,好像回收的速度比較慢,因為這樣的關係,我們運用前瞻基礎建設以及普及服務基金去促使業者,畢竟寬頻是人權,無論如何一定要確保當地居住朋友的通訊權。但是有時候不是網路線鋪不到而已,當地連電力線都不一定鋪得到,這個時候還需要發電裝置等等。這部分確實非同步衛星是一個很有意思的新的作法,因為在快速移動的情況下,或是在海上,或是在剛剛講到電力比較難以達到的地方,它的耗電量並沒有基地台那麼多,它只需要一個接收器,所以針對這部分,我們第一季就已整合二個商用的非同步衛星的application,亦即它的登記申請,所以應該很快就可以讓大家……
陳委員歐珀:所以部長的意思是說,非同步軌道衛星可以強化偏鄉的行動通訊?
唐部長鳳:是。
陳委員歐珀:這是第一點。部長的報告裡面說已完成外島偏鄉地區七十餘點的重要機站,請問這七十餘點有沒有包括宜蘭,宜蘭有幾點?
唐部長鳳:請韌性司說明。
主席:請數位部韌性司鄭司長說明。
鄭司長明宗:謝謝委員。我補充一下,宜蘭的部分,剛好我們部長剛剛說的前瞻計畫中有5G的偏鄉補助,宜蘭補助了12站,這是5G的部分,我們在大同鄉跟南澳鄉等偏鄉……
陳委員歐珀:沒有,我現在問的是非同步軌道衛星的鏈路有七……
鄭司長明宗:這部分剛剛我們部長有說,因為剛剛開放業務,所以這部分我們會積極地來辦。
陳委員歐珀:所以這七十幾點,目前宜蘭沒有嘛?
鄭司長明宗:我們的規劃一定會有,每一個縣市都……
陳委員歐珀:未來你規劃要設置七百多點嘛!宜蘭有幾個點?
鄭司長明宗:都有,每一個縣市都會有。
唐部長鳳:一定都會有。
陳委員歐珀:會後請把你們的規劃內容給我看一下……
唐部長鳳:好,我們提供書面。
陳委員歐珀:順便也把東部的都給我看一下,因為東部的委員都在這個委員會,我們都很關心東部的建設差西部差太多,這是第一點,我想建設要均衡,數位不能有落差,好不好?
唐部長鳳:絕對。
陳委員歐珀:第二點,這一次全民共享普發現金專案是由財政部國庫署統籌,數位發展部負責系統平台建置的相關事宜,請問一下,六千元的領取管道有哪些?何時發放?
唐部長鳳:是。有關領取的管道,其實我們這套系統之前在幫助教育部或是幫助勞動部的時候都是相同的,就是在網路上面登記你的個人帳號以及領取人的健保卡,這叫登記的領取;或是你比較希望去ATM,譬如現在很多便利商店都設有ATM,從ATM提款這樣也可以;或是如果沒有金融卡的話,那也可以到郵局領取,這三種是最主要的管道。至於這一次,如果已經有在領好比像老農年金等等,我們已經知道你的帳號,那政府就會主動匯款入戶;最後就是在郵局或是ATM都比較缺少的三個偏鄉,只要當地的警政單位配合,我們可以用造冊的方式來發放。所以簡單來講,登記入帳、ATM提領及郵局臨櫃提領這三種是主要的途徑。
陳委員歐珀:對,還有一項就是直接入帳,我看了你們的資料,我要提醒的就是特定偏鄉造冊領取這部分,越是偏鄉越需要去做完善的處理,好不好?
唐部長鳳:是,確實。
陳委員歐珀:這一點我想請部長去瞭解。
唐部長鳳:沒問題。
陳委員歐珀:再來想請問一下,我一直到上個月才知道,行政院已經成立打詐國家隊,很多鄉親都不瞭解,連我都不知道,請問部長知道嗎?
唐部長鳳:那當然,因為像……
陳委員歐珀:什麼時候成立的?
唐部長鳳:打詐國家隊其實是我們產業署還沒有移過來,還在經濟部工業局的時候就有參與,那打詐國家隊的目的就是去確保說,像我們昨天大家在新聞上面有看到來電顯示加886等等這種好像是詐騙的號碼,要在源頭就杜絕……
陳委員歐珀:有成立了嘛,成立多久了?有沒有定期開會?
唐部長鳳:這應該是去年7月羅政委那邊主持的,7月22日。
陳委員歐珀:有定期開會嗎?
唐部長鳳:當然。
陳委員歐珀:請問一下,有沒有規劃要定期發布相關的執行情形?因為大家都沒有這個訊息,我不敢要求像防疫這樣每天開記者會,但至少一個禮拜應該開一次會,因為詐騙的案件太多了,要不斷地提醒,不斷地讓鄉親、讓全國人民瞭解詐騙的樣態有哪些,詐騙的案件有多少件,執行的情形怎麼樣,我建議這部分應該要有一套定期發布執行情形的機制。
唐部長鳳:對,我想因為主持這個會議的法政政委羅政委同時也是行政院發言人,所以行政院這邊開會之後,當然就會適時地對外說明,那您提到對外說明的頻率要比開會頻率更高,這點我們會在會上提出來。
陳委員歐珀:好,我也要建議數位部,產業的網路平台跟遊戲點數的詐騙頻傳,你們應該提出一個因應的措施,好不好?
唐部長鳳:是。我想綜合性電商或遊戲產業,這個我們責無旁貸。
陳委員歐珀:這部分請會後提供給我。
唐部長鳳:可以。
陳委員歐珀:其實網路詐騙的行為太多了,而且網路詐騙你找不到頭,被騙的人匯錢出去以後,大概短時間內就轉了好幾手,你也追不回來,所以網路平台跟遊戲點數的詐騙案件,你們要加強去防範。
唐部長鳳:好,我們會提供書面給委員。
陳委員歐珀:好。最後一點就是資安的問題,現在內政部的戶政、健保署,還有我們自己的華航等很多公司跟單位都有個資頻頻外洩的狀況,人人沒有辦法自保,所以你自己講的要打造網路安全,建立一個安全、安心及安穩的數位環境,這是我們的一個……
唐部長鳳:這是我們的責任。
陳委員歐珀:我希望部長注意這個問題,包括個人資料保護法也應該提出來,對不對?
唐部長鳳:是,當然,我們在國發會的個資辦,現在院長已經對外宣示,說接下來會有獨立的個資會,個資會的整個籌備過程我們都會參與,而且會全力協助。
陳委員歐珀:如果沒有善盡保護個資的責任,相關單位應該要議處,否則任由事故發生,政府沒有積極的防範作為,那臺灣會變成人家講的「詐騙天堂」,這個是國恥,好不好?
唐部長鳳:是,我想委員所提醒的,就是我們這邊對於技術系統守護的責任,以及未來獨立的監督專責機關,我們一定全力配合。
陳委員歐珀:好。我對部長有很深的期待,你在當政務委員的時候,我們都接觸過了,我們期待數位發展部在您領導之下,能夠建立資安的安全,還有資訊相關的設施建設能夠更完善。以上幾點,謝謝。
唐部長鳳:謝謝委員。
主席:請邱委員顯智發言。
邱委員顯智:(9時49分)部長好。部長,現在個資外洩事件頻傳,不管是過去提到的戶政資料外洩,乃至於健保資料、勞保資料到租車的資料等等,個資外洩事件頻傳,剛剛部長也講到現在決定要成立一個個資專責機關。國發會說行政院透過你剛剛提到的個資保護執行聯席會議,要求各部會強化監督效能,包括在事前要強化部會執行的量能跟提升業者個資防護的能力,在事中要精進案件通報跟監督程序,在事後落實執法及強化行政檢查等措施。那我們的問題在於各目的事業主管機關缺乏資安專業能力,以現在看起來,就是事前、事中、事後都缺乏專業預警跟處理個資外洩事件的能力,譬如說,在租車業個資外洩之後,由公路總局來處理,問題是公路總局根本沒有這樣的專業能力嘛!
主席:請數位部唐部長說明。
唐部長鳳:那就是交給資安院了。
邱委員顯智:我現在要問的問題很簡單,就是在這個個資專責機關成立前,請問數位部資安署跟資安會可以扮演什麼樣的角色來改善現況?
唐部長鳳:應該是資安院。
邱委員顯智:對,資安院。
唐部長鳳:如果是公部門或關鍵基礎設施,就是由我們的資安署處理,但是委員剛剛提到的,無論是租車、華航等等,這個就超過資安管理法的範圍,但是還是由資安院處理,所以資安院會協助所有的目的事業主管機關,只要他們需要技術的量能,無論是通報的、應變的、調查的、改善的,就是資安院。
邱委員顯智:就是資安院去協助?
唐部長鳳:是的。
邱委員顯智:包括它的調查,像我剛剛提到的事前、事中、事後都是由資安院去處理嗎?
唐部長鳳:對,就是資安院提供這個量能,但是因為行政調查在個資法裡面只賦予那個目的事業主管機關,所以去的那個人還得是那個機關帶隊,但是後面資安院就會去調技術的人力。
邱委員顯智:提升它的技術能力、去支援它就對了。
唐部長鳳:是的。
邱委員顯智:第二,我想請教部長,國發會說去年8月12日憲法法庭宣示了第13號判決,要求相關機關應於3年內完成個資保護的獨立監督機關,這是大法官的看法。未來我們要成立一個個資專責機關,我要問的就是到底這個專責機關所側重的點是什麼?它側重的點是在監督行政部門如何落實個資的保護,還是它是主責來帶領各部會落實個資保護的機關?部長,你瞭解我的意思嗎?這不一樣,因為從大法官的角度來看,他們認為個資的保護、隱私權是基本的權利,他們要避免公權力深入到個人的基本權利裡面,所以大法官這個憲法法庭宣示第13號判決說要成立個資保護的獨立監督機關。
唐部長鳳:所以才需要獨立性嘛!這是最重要的。
邱委員顯智:就是獨立的監督機關,因為它要監督機關,比如說對於你的健保資料,健保署不可以去做目的外的使用。
唐部長鳳:沒錯。
邱委員顯智:那另外一個側重的點就是它作為一個主責機關,它必須要積極地帶領各部會去落實個資保護,這是兩個不同的面向,一個是防禦的面向,一個是積極的面向,像這樣的個資專責機關未來到底是側重在監督還是側重在主責帶領各部會落實個資保護?
唐部長鳳:關於委員所提監督的部分,因為這是憲判字的要求,所以這是它的根本,絕對就是這樣。
邱委員顯智:對,這是基本的。
唐部長鳳:那您剛剛提到的第二個部分,現在確實某個程度上是數位部跟資安院在協助各個部會去調整它的量能,之後無論是我們的籌備處或人事行政總處覺得這部分的量能應該多給個資會,那我們這邊的人、資源等等就會給個資會;如果覺得應該留在資安院,我們就會留在資安院。
邱委員顯智:部長,這個說法還是有一點籠統,我要比較具體的問,數位部資安署或資安院可以扮演什麼樣的角色?也就是說,在積極面向,第一個部分當然就是你剛剛提的,我也同意,就是基本款應該是做一個防禦的面向,避免公權力介入到個人隱私這個部分。第二個就是現在我們社會所期待的也是一樣,由於個資外洩事件頻傳,所以基本上我們希望它能夠成為一個主責機關,帶領各部會去落實個資保護,因為現在各部會包括公總等其他單位就是沒有這樣的能力,我要具體的問,未來數位部資安署或資安院到底可以扮演什麼樣的角色去改善這樣的現況?
唐部長鳳:好,請委員讓我比較詳細的說明一下。
邱委員顯智:沒問題。
唐部長鳳:您剛剛提到的落實,它有兩個層面,一個就是一開始你在要做這些目的的使用時就根本不要去處理或蒐集個資,從源頭就不要碰到個資,這是一種處理方法……
邱委員顯智:就是儘量不要去蒐集。
唐部長鳳:就是所謂的個資最小化、隱私技術、隱碼技術,這是第一個部分。第二,如果你都蒐集了,那要怎麼樣把它保護好,這是資安的部分,前面的隱私強化、隱碼的部分在本部是由負責資料治理的多元創新司在負責,那在後面系統的保護則是由資安署跟資安院分別對於公務機關、關鍵基礎設施以及所有人來提供這個量能。所以在未來獨立個資會成立之後,這邊當然都會持續提供這方面的服務,但是如果獨立個資會覺得有哪些部分應該是個資會的權責,數位部反而要修組織法來讓給它,那我們也可以來討論。
邱委員顯智:是,假設現在個資已經外洩了,未來是由這個獨立的個資專責機構負責調查這樣的個資外洩事件嗎?
唐部長鳳:對,其實這有點像資安法中督導的概念,其實剛剛資安署長也有講,就是二級機關去稽核三級機關,我們來稽核它有沒有能力稽核,所以未來的獨立個資會是參照日本、韓國等國的制度,這個就是基本款,至於它要不要跳下來自己去稽核,這個是可以討論的。
邱委員顯智:這個應該就是現在最主要的問題,比如說內政部的戶政資料外洩或健保署的健保資料外洩,事實上,戶政機關和健保署沒有能力去調查,所以在每次質詢他們的時候,他們都說這個是由檢調單位調查,開玩笑!檢調單位是調查司法案件,這個行政調查歸行政調查。對於現在發生的狀況,未來在數位部成立這個專責機構之後,它是不是應該要扛起這個責任,由它專責去做調查?
唐部長鳳:這個專責機關應該會隸屬於行政院,不會隸屬於我們。
邱委員顯智:這個專責機關會不會去調查?這一點是最重要的。
唐部長鳳:這個專責機關當然有調查的職責,現在只是說是他們自己一群人去調查還是委託別人去調查。
邱委員顯智:所以這個專責機關有這個職責,這個沒有問題嘛!
唐部長鳳:是。
邱委員顯智:接下來我想請教,其實剛剛部長也有提到,就是針對高齡者辦門號打算要去做一個內建的防詐軟體,行政院長陳建仁、副院長鄭文燦及羅政委都說要數位部研究免付費app甚至是免安裝的方式,也就是說,在辦好電信門號的時候就內建了這樣的防詐軟體,現在正在規劃中。部長,請你說明一下這個規劃方案,到底是要自建還是要跟民間合作?
唐部長鳳:謝謝委員,我想如果是免安裝的話,其實就是安裝在電信業者端,像美國有所謂TRACED Act的作法,就是電信業者自己有互相交流哪個號碼大概就是詐騙號碼等資料庫,在有了這個資料庫之後,新辦了一支手機,不需要裝任何的軟體,有一通詐騙電話打來,就會顯示:Scam Likely,就大概是詐騙,在這個時候你什麼都不用做,就可以直接看到這個訊息。這個機制當然就可以保護所有比較沒有能力自己安裝的數位弱勢族群,對於這個部分,NCC跟我們在規劃的朋友正在跟電信業者洽談,看有沒有可能直接在電信業者那邊安裝,如果這個沒有辦法一步到位的話,才採在手機上安裝app的作法。
邱委員顯智:是,所以目前是傾向跟電信業者合作。
唐部長鳳:這當然是治本的作法。
邱委員顯智:好,我下一個要問的問題就是詐騙簡訊的部分,剛剛談的是打電話,但現在看起來有很多都是透過簡訊的方式,對詐騙簡訊有沒有一個更前置加以過濾的作法?
唐部長鳳:這也是一樣的,如果是用發話號碼來看,這是一個詐騙號碼發的簡訊,這就跟打電話是一樣的,是同一套機制。
邱委員顯智:瞭解,我希望這個要趕快去進行,要趕快規劃一個方案,因為畢竟詐騙事件層出不窮,許多人都受害了,真的是血本無歸。
唐部長鳳:當然,謝謝。
主席:請何委員欣純發言。
何委員欣純:(9時59分)部長,我的標題是國家資安公私聯防,剛剛很多委員還有很多國人也都在關心,就是我們要如何防止詐騙,既然已經成立了這樣的國家隊,有一個最重要的部分,今天大家也問了,好像你的責任很大,為什麼?因為在專業技術方面,大家都期待數位部可以去做像你剛剛講的公私聯防,而且我們要跟NCC合作,還要跟民間的電信公司合作,那要用怎麼樣的聯防機制,怎麼樣有效率的遏止詐騙事件產生,我想今天很多委員都關心。
主席:請數位部唐部長說明。
唐部長鳳:當然。
何委員欣純:所以在技術方面上,你剛剛講到電信業者,我想知道的第一個是說,你跟NCC跟電信業者開會的頻率,再來,開會時候的結果。現在我們要求電信公司來做所謂的系統上的防詐機制,這整個一連串我覺得都應該趕快跟國人說清楚,讓大家了解、明白政府有努力在防止國人被詐騙。因為這件事情在民間、在社會上影響很多人的家庭生活,很多人一生的積蓄有可能因為詐騙集團就失去了,所以這是很重要的一件事。部長,就你所知,你們的打詐國家隊現在跟NCC以及電信公司的合作到底進度如何?
唐部長鳳:如果包含工作層級的會議,我們剛剛提到的是行政院羅政委主導的部分,如果是工作層級會議的話,絕對是超過一個禮拜1次,因為我都會收到速報單。
何委員欣純:都會嘛!對不對?我們希望在有階段性成果的時候,應該要趕快講,因為現在國人對於政府在防詐騙這一件事情上是有疑慮的,而且對於政府防詐騙的能力是沒有信任感的,我覺得數發部既然有這樣的專業技術,甚至要引領及強化國家的資安及人民的個資,這整個防備的能力是你們需要做給國人看的,這是第一點。
去年我們的資安情資有86萬件,有很多跟詐騙一樣的釣魚信防不勝防,這些惡意的程式該如何來防止?如何公私聯防?部長。
唐部長鳳:像釣魚信或是釣魚簡訊,它所依賴的一種漏洞就是如果這個系統只用帳號跟密碼就可以登入的話,你按了釣魚的連結之後,它給你看一個一模一樣的系統,然後你不小心就輸入帳號密碼,結果帳號密碼就不見了。我們現在解決的方法就是所謂零信任的三重驗證,就是同時要驗你的設備、設備上面的指紋或者是你的使用行為,當這三層登入都必須要確保的時候,即使是釣魚信騙到了密碼,其實你就會知道它是詐騙,為什麼?因為像是我的很多帳號根本就沒有密碼,完全就已經是用這種免密碼登入了,就沒有辦法被釣到了。
何委員欣純:部長,你在這裡跟我說明,那請問一下,你們用什麼方式說明給國人、企業及需要的人聽?
唐部長鳳:簡單來講,就是要儘快導入更強的,好比像是FIDO這樣子的身分驗證方式,不要只靠密碼,如果只靠密碼的話,趕快多加一個新的因素,好比像是即時的動態密碼等等,只靠密碼的服務慢慢就要淘汰。
何委員欣純:部長,你說給我聽,我再講一次我剛剛的重點。
唐部長鳳:謝謝。
何委員欣純:你剛剛跟我講的,我們大家都聽到了,這是你覺得應該要加強資安的部分,也教導我們要怎麼加強資安,但是我現在問的問題是,你現在跟我說,數位發展部基於你的責任、基於你的業管,你如何說給我們的民間企業聽、如何說給我們的國人聽,這個「說」很重要,宣導很重要,讓人家聽得進去、聽得懂很重要,還有讓國人跟民間企業能夠依照你剛剛跟我們說明的,可以加裝、可以怎麼來防範,這才是重點。
唐部長鳳:我完全同意。我們本來就有TWCERT/CC的機制,去跟所有主要的上市櫃公司,現在有越來越多的公司有資安長,去跟他們說明,這個本來就有。但您剛剛有提到對全民說明,不是只對公司的資安長,那這部分我們會責成剛掛牌的資安院,儘快提出能夠讓全民一下子就瞭解的作法。
何委員欣純:對啊!因為要讓國人瞭解啊!他才會有防護的能力嘛!起碼他要先懂、先瞭解相關的訊息,接著他才能夠求助,為什麼?其實現在我們一般收到的陳情,大部分都是他被詐騙之後求助無門。
我再談到今年最夯的ChatGPT,它今年暴紅,可是它有風險,為什麼?它可能會教你怎麼寫釣魚信,它也可能會教你怎麼入侵網路,它也可能記住了你的個資,這個東西到底是好幫手,還是新的危機?部長。
唐部長鳳:對,其實在各界的關心之下,OpenAI這個事業也特別講說他才剛更新了ChatGPT模型的API,確保不會有這個情形,除非你打個勾說你就是要用你的個資來訓練它,不然它就不會再有這樣子記住你輸入的個資的狀況,所以這個他們多少在改正。現在的問題只是說這些新的東西出來的時候,有沒有一個驗測單位,就像剛剛說無人機起飛前,也許我們可以去驗說它會不會對周遭造成危險,AI起飛前能不能去驗測,這個確實是非常重要的。
何委員欣純:可是臺灣到目前為止,在你的業管之下,ChatGPT到底有沒有像你講的驗證?這有沒有資安的問題?這個時候你要來告訴國人,因為現在國內也開始在使用暴紅的ChatGPT,雖然你說還在調整階段,他們也有在改進,但你是數發部的部長,你是第一把的專家,你要告訴我們啊!第一個,到底這個風險在哪裡?第二個,我們政府到底有沒有管理?第三個,能不能管?第四個,它未來所造成的問題,出了問題誰來負責?
唐部長鳳:好,我就一一回答,謝謝委員給我機會說明。首先,目前有……
何委員欣純:因為它會牽涉到個人隱私、資安攻擊的問題,也有可能被國外投資詐騙、資安專家設局等等,還有入侵各國網路,甚至是還有很多可能會衍生出來的問題。
唐部長鳳:是,謝謝,我一一說明。簡單來講,ChatGPT或GPT這種技術,就是很會換句話說的搜尋引擎,所以委員提到的這些問題,搜尋引擎也都有,如果你把很多的個人資料提供給一個名不見經傳的搜尋引擎,你也不知道它會拿去做什麼,那個搜尋的字串本身很多也是個資,對不對?所以這件事情上面,我們是管既有的搜尋引擎,但是GPT這樣子的技術有一個好處是說,它占的磁碟空間比較小,你要架搜尋引擎的話,需要很大的機器,但是ChatGPT的這些模型,一台電腦就裝得下,所以現在我們也有在關注,然後也開發相關的驗測技術,就是有沒有可能這整個模型是放到你自己的電腦來跑,你跑的時候根本不經過網路,這樣子的話就完全沒有在中間被攔截或是誤用的問題。
何委員欣純:所以部長,這個部分我想政府也是有責任的,可以提供像你剛剛回答我們的正確訊息,因為你說我們在推動資安零信任,對不對?要教導民眾有知的權利,還有防護的能力。現在還有一個問題是我曾經跟你提過的,我們政府各單位委託民間去取得的個資,現在是沒人管。
唐部長鳳:像您剛剛簡報所提到的iRent,那個是我自己通報的。
何委員欣純:我知道。
唐部長鳳:是國外的白帽駭客來找我,然後我就通報TWCERT/CC。
何委員欣純:是啊!那是因為你有能力,你即時發現……
唐部長鳳:那是因為我知道有這個窗口。
何委員欣純:對啊!
唐部長鳳:但是發現這件事情之後,大家都知道有這個窗口了,所以後來像格上等等,是國內的白帽駭客主動通知TWCERT/CC,所以我覺得之後大家就知道發生這種事情就通報TWCERT。
何委員欣純:好,所以第一個,現在知道怎麼通報。第二個,我建議我們是不是要修法,我現在也要提版本,我們政府各個單位委託民間,不管是委辦計畫也好,或者是研究計畫也好,或者是什麼計畫也好,它都可能取得民眾的個資,我甚至盤點過國科會、經濟部、衛福部,甚至教育部、體育署都有相關所謂的研究計畫、委辦計畫,這些在外面的單位透過這個計畫,也有蒐集國人個資的問題,這個目前是無法可管,所以這個部分我也希望我們一起來合作修法,這些是一定要來管理的,這是第一個。第二個,它要有罰責。第三個,它的整個期程,個資資料庫的管理,還有我們的研究案以及修法配套,我們都一定要來做,好不好?
唐部長鳳:完全同意,謝謝。
何委員欣純:謝謝。
主席:請林委員俊憲發言。
林委員俊憲:(10時9分)部長好。我們延續剛剛幾位立委同仁所關心的個資問題,部長第一次到我們委員會來備詢的時候,我當時就有問你個資的問題,我說到底我們政府對於個資有沒有要訂定一個專責機關,或者是有一個法律,我記得當時部長是跟我說各自大概有相關部門。
主席:請數位部唐部長說明。
唐部長鳳:委員好。憲法法庭已經要求獨立了。
林委員俊憲:就是各個部門會自己去管,但是由你剛剛答詢幾個個資外洩的事件,我們可以發現這個問題最後還是繞回來到數發部這裡,也就是個資跟資安是不能切開的,我看你當時好像是讓大家各自管理個資。
唐部長鳳:小規模的個資不一定是資安事件,10萬筆當然是資安事件。
林委員俊憲:其實不只是iRent的個資外洩,華航也個資外洩,還有民間一家百貨公司也個資外洩,所以基本上我認為個資外洩就是一個資安的問題,是不是應該這樣子?因為很多業務管理的部門,它有責任,可是沒有那個能力去維護,個資外洩該怎麼辦?像公總嘛!你們數發部是有能力,但是你們沒責任,譬如iRent是租車業者,發生客戶資料外洩的狀況,不關數發部的事……
唐部長鳳:是我通報的。
林委員俊憲:我知道,是因為國外駭客發現,他去告訴你,你來協助處理,所以我說最後還是跑回來你這裡嘛!以後是不是只要個資外洩,一樣都丟回來你們這裡處理嗎?
唐部長鳳:先跟委員報告小規模的,就是用記的或者用紙筆抄出去的那種個資外洩,一次兩、三筆的,那也是個資外洩,只是它不經過電腦系統,所以不會是資安事件,但您剛剛提到的都是幾十萬筆、十幾萬筆,那個當然一定經過電腦系統,就會是資安事件了,所以重大的個資外洩一定是資安事件,那部分我們責無旁貸。
林委員俊憲:在數位電子化時代,我們現在關心的,你也知道嘛!基本上所謂個資外洩都是電子……
唐部長鳳:大規模、重大的……
林委員俊憲:大規模電子檔案的個資外洩。
唐部長鳳:是的。
林委員俊憲:那麼就以iRent來看,後來iRent怎麼處理?
唐部長鳳:所以就像剛才……
林委員俊憲:不是你怎麼處理,是公總怎麼處理,公總就給它罰20萬?
唐部長鳳:剛才委員所說的,就是去行政調查,要求它改善,如果不改善就罰20萬,若還不改善就一直罰。
林委員俊憲:對啦!要求和泰汽車交一份資安的維護計畫?
唐部長鳳:對,那個也是……
林委員俊憲:那個資安維護計畫,以後誰去follow?誰再繼續監管它有沒有改善、它的維護計畫到底有沒有用?還是公總嘛!
唐部長鳳:但是公總……
林委員俊憲:公總有能力嗎?公總就沒有能力啊!怎麼辦?
唐部長鳳:它只要有能力打電話給資安院就可以了。
林委員俊憲:最後還是回到你們這裡來啊!
唐部長鳳:是,因為依法,行政檢查權在個資法裡面真的是在各部會,所以就會變成行政調查時是各部會帶頭,再由資安院統籌各種技術的專家來幫它。
林委員俊憲:這樣你們要有一個SOP啊!
唐部長鳳:有。
林委員俊憲:因為現在變成該管業務的單位有責任,但是它沒能力,當發生個資外洩,它事先也沒有能力稽核。我們政府單位有一個數位稽核,對不對?
唐部長鳳:對,當然這是資安署,政府要……
林委員俊憲:那是公家單位有,民間單位根本沒有在做這個事情,或者是它有做或沒做,我們公部門也沒有一個對口,就是業務主管單位也沒有能力去管它有沒有做數位稽核。
唐部長鳳:如果是上市櫃公司,現在按照金管會要求要設置資安長跟專責的人員,所以這部分慢慢有建立。如果不是上市櫃公司,現在就是用各目的事業主管機關來輔導。
林委員俊憲:對啦!但是主管機關根本沒有能力,問題在這個地方,或者是目前的法律對於民間單位要配合我們來辦理這種資安稽核,因為沒有罰則,你看它都沒有做或是做不好,一般都是事情發生再來處理,你說再嚴重也只罰20萬,其實造成的傷害都沒有辦法彌補了,因為事先也沒有罰則,所以我覺得這個部分恐怕要再檢討一下。
唐部長鳳:我其實同意委員的講法。
林委員俊憲:所以個資法到底是要修、要訂定罰則、要嚴厲要求?雖然是民間企業,但是做生意累積很大部分客戶的私密個人資料,那麼它必須要有一定的安全維護。
唐部長鳳:是,跟委員報告,現在的個資法看起來是沒有改善就只罰20萬,確實這個上限很低,但是其實也可以罰它不能夠再蒐集、處理、利用個資,就是等於停業了,現在問題是……
林委員俊憲:地方不會罰到這樣啦!
唐部長鳳:中間要有一個級距。
林委員俊憲:一般不會罰到這樣啦!我們的個資法應該要規定,因為政府單位比較不用擔心,我們都非常警覺這方面的狀況,所以都有一定的數位稽核機制,是否適用於民間機關,目前法令上並沒有很清楚的界定,或者是我們應該抽選指標性的大型企業,再來做一個外部稽核,針對那麼大的一個公司,它的資訊安全到底做得好不好,目前都是自己管理自己,並沒有外部稽核,是不是這樣?
唐部長鳳:剛剛有提到上市櫃公司,現在金管會會輔導他們加入我們TWCERT的會員,這部分的量能是有在建立的。
林委員俊憲:還沒有建立,是不是這樣?
唐部長鳳:沒有……
林委員俊憲:我記得陳建仁院長好像有提到考慮要修法成立一個專責單位,對不對?
唐部長鳳:獨立的個資會。
林委員俊憲:院長是不是有提出這樣的想法?
唐部長鳳:而且這是憲法法庭的要求,所以就是往這個方向來做。
林委員俊憲:所以未來我們對於個資安全的維護會設立專責單位?
唐部長鳳:對,會有一個獨立的個資會。
林委員俊憲:如果有一個專責單位,相關法令也一定是跟著修法。
唐部長鳳:當然個資法一定就是它管。
林委員俊憲:我們希望這個部分加速,好不好?
唐部長鳳:當然!
林委員俊憲:否則三不五時就看到個資外洩的重大事件,好嗎?
唐部長鳳:這個當然,我們全力協助。
林委員俊憲:另外大家也關心到一些所謂的AI,現在AI技術突飛猛進,部長知道哪一張圖是假的嗎?根本看不出來!
唐部長鳳:Stable Diffusion去辦了測試,結果50%的機率,等於大家都看不出來。
林委員俊憲:對,根本看不出來。譬如這張照片,根本沒有這個人,這是AI憑空創造出來的,可是太像了,所以我看現在這個技術實在是突飛猛進。
唐部長鳳:對。
林委員俊憲:我們現在都在討論未來AI的應用充滿著一片光明前景,我看我們臺灣大部分討論都到這裡,但是像歐盟大概是全世界腳步最快的,歐盟已經訂定了相關AI風險的法律,因為歐盟已經注意到如果這些AI用來作為犯罪,恐怕會產生什麼樣的嚴重問題,它最早訂定相關法律,而且最近又要再修了,我看2021年歐盟就通過AI法了。
唐部長鳳:它對於高風險的部分是有一些管制,不過像ChatGTP到底算不算高風險?關於這個部分,他們現在也在非常熱烈的討論。
林委員俊憲:例如現在AI的技術,聽說只要擷取你的聲音,大概二十秒、三十秒,它就可以創造,可以用你的聲音去造假,國外收費只要五塊美元,我只要擷取幾十秒唐部長的聲音,我就可以去造假了。
唐部長鳳:是,我自己有用過。
林委員俊憲:你自己用過,對不對?
唐部長鳳:是。
林委員俊憲:你看!已經這麼便宜了,這可能用在詐騙,甚至也可能影響到政治事件、選舉的介入,都有可能嘛!製作影片、聲音,之前Deepfake已經造成一定的社會關注,所以我想未來類似這樣的一個AI風險管控,我們政府必須要提早面對。
唐部長鳳:有,行政院有專門的小組來做這個。
林委員俊憲:對於相關的法律,目前好像沒有一定的法律可以管嘛?連AI是什麼,剛才你自己也有提到,像ChatGTP算不算是高風險的東西?歐盟的AI法是先定義AI是什麼,現在大家對這個部分還很模糊,我說的是在法律面,歐盟也把AI分級,以它的風險評估去把它分級,我認為臺灣應該要有相關的法令。
唐部長鳳:我完全同意,而且像剛剛的獨立個資會一樣,這跟個資法完全是連動的,所以關於剛剛委員關心的這兩件事情,我們都會全力協助。
林委員俊憲:好,謝謝部長。
唐部長鳳:謝謝委員。
主席:謝謝。稍後李委員昆澤、陳委員雪生、許委員智傑質詢完畢,休息10分鐘。
請李委員昆澤發言。
李委員昆澤:(10時19分)部長你好。整個數位部其實責任非常重大,它有三大工作跟責任,第一,資安的防護;第二,相關協助數位產業的發展;第三,培育相關的數位人才。當然最重要的資安防護工作是社會大眾所期待、注意的一個重要工作議題,資安防護分成兩個項目,第一個項目是相關的電信設施以及資安設備的強化,第二個項目是這一些資安聯防機制的建立跟強化。但是我們來看看對於資安的安全疑慮,根據國家資通安全研究院發布的2022年第4季資通安全技術報告,我們看到各機關通報的資安事件由輕到重可以分成4級,第4級是最嚴重的,目前當然還沒有這樣的狀況,但是第2、3級是增加的趨勢,這是讓我們擔憂的。以資通安全通報事件的類型來看,非法入侵占了54.79%,其中將近三成沒有辦法確認事件的成因,如果不知道事件的成因,就沒有辦法去做相關的處理,而且日後的改善機制也沒有辦法建立,請部長說明一下。
主席:請數位部唐部長說明。
唐部長鳳:委員好。確實如此,因為有通報就表示有發現,像委員剛剛提到的,如果沒有投資到這些,有留紀錄、稽核的話,連發現都發現不了。所以通報稍微增多,有的時候是表示發現的能力增強了,這是第一點。
第二點,無法確認事件成因的一大原因,就像剛剛講到的,它在一開始登入的時候說不定只看帳號、密碼,沒有額外地去要求使用特定的設備或者還要留指紋驗證等等,所以就沒有辦法去找到足跡,留下這個足跡就是所謂的零信任的工作,這是我們現在的重點工作。
李委員昆澤:當然,數發部是希望能推動整個零信任、重複驗證的機制。部長,無法查明原因的事件有三成,會造成政府機關在當下沒有辦法隨機應變,應變的機制是一個問題。第二,針對這種不知成因事件的處理,我們沒有辦法作為改善的借鏡。請部長說明一下。
唐部長鳳:確實完全如委員說的,如果不確定原因的話,唯一的方法就是把服務斷線、不提供服務,但是從全民的角度來看,這個服務沒有辦法使用了,會造成生活上的困擾。所以在有攻擊的情況下,不但能快速恢復、而且知道如何更強,這就是所謂的韌性,這是我們的工作。
李委員昆澤:部長,我們還是要加強問題的釐清及攻防的演練。根據資通安全技術報告,第2級及第3級的安全疑慮是增加的,有這樣的趨勢。我們看到1月份的資通安全網路月報,事前聯防監控所發現的資安威脅情資已經多達4萬7,000件,數發部應該加強協助各機關釐清資安事件的成因,避免無法確認事件成因的情況,我們在軟硬體的障礙必須要處理,請說明一下。
唐部長鳳:我完全同意,資安署及資安院專門有一個韌性的巡檢,就好像巡迴檢查服務,就是對於特別重要的、而且之前好像不太容易確認事件成因的機關,實際上派專家去跟他們的資安人員及資訊人員一起工作,告訴他們如何確認成因。就好像我們產業署是綜合電商的主管機關,也會對發生比較多這種無法確認成因的詐騙事件等等的確認上去做重要指導,所以私部門與公部門都有在做。
李委員昆澤:部長,確認成因是非常重要的。而且我們要求政府機關要加強這種資安的攻防演練,提高各機關的資安意識,目前真的是很欠缺,請說明一下。
唐部長鳳:是,謝謝。確實,我們從有資通安全管理法以來,就一直有做包含社交工程的模擬演練、攻防演練等等,我們現在更進一步到紅隊測試的程度,就是我們事先不會告訴對方要如何演練,但是無論如何用任何方式就造成了漏洞,在被攻擊之前……
李委員昆澤:對,不只是政府機關,我們跟民間企業的合作也要加強這種藍隊及紅隊的培養。
唐部長鳳:對,沒錯。
李委員昆澤:而且要透過這種資訊的交流,進一步養成紫隊,目前的進度及計畫是如何?
唐部長鳳:藍隊也非常地重要,就像委員講的,藍隊不是自己一個人防,而是跟所有的藍隊一起聯防,包含情資的分享等等。所以我們的資安院在設立的時候就有一個藍隊的模擬演練平台,只要進了這個系統,歷史上紅隊真正打進來那個過程就會重播,來考驗你如何反應。
李委員昆澤:部長,你的責任非常重大,除了政府機關資安的防護、聯防之外,民眾個資外洩頻傳的問題也非常讓我們擔憂。我們看到相關的案例,不管是格上租車、微風集團、健保署、iRent、華航等等,這種個資的外洩都會造成民眾很大的權益受損及日後的困擾,外洩的原因當然是沒有依照個資法及其他規範採取基本的安全措施,或者資料系統遭到入侵,甚至是內部人員的不當作為。數位部對於民間企業的個資外洩,有沒有什麼更具體的防範協助呢?
唐部長鳳:就像剛剛有提到的,iRent的通報是國外的白帽、就是對我們比較好的研究員告訴我,然後我再告訴TWCERT/CC,格上也是一樣的狀況。只要有足夠多的藍隊及白帽駭客聯防,可以搶在真正的攻擊者之前發現並通報的話,就比較安全,這是第一點。
第二個部分是實際各個主管機關去進行行政調查的時候,資安院的人會一起去,而且如果它沒有改善的話,就會連續處罰。以前的狀況是主管機關去調查,對方說有改善了,那就簽了有改善,但是現在我們會去要求必須有具體的改善,而且要證明有沒有改善,這會讓這些企業發現真的必須投資到個資的強化。
李委員昆澤:好。部長,我之前也一再提醒你,對於全民普發6,000元現金線上申請的部分,我們擔憂這種詐騙的狀況一再地發生,對民眾的權益衝擊非常大。其實在1月份的時候就已經發生以數發部的名義發送行動電話簡訊、騙取民眾個資的事件,讓民眾以為點進去就可以申請6,000元現金。現在各社群網路也發生以假網址騙取相關資訊的事件,數發部目前也沒有辦法去做更有效的宣導及防範嗎?
唐部長鳳:其實就像之前我回答前面幾位委員所說的,如果只看那個網頁的內容,就像那兩張照片一樣,跟真的網頁是分不出來的,所以不能看那個內容,要看那個網址、地址,只要網址的地址是「gov.tw/」開頭的,才是我們的政府網站,像委員提到之前有在流傳的「.com」之類的,就不是我們政府的網站。「6000.gov.tw」很好記,所有其他的都不是這個網站。
李委員昆澤:你用這樣的講法,一般在座的人也許聽得懂,但是社會大眾對於你這麼複雜的說法是沒有辦法去瞭解的。第一個,你們要跟警政署合作,對這些詐騙的來源必須要做防範,對民眾的宣導也是數位部必須做好的,你不能期待每個民眾都能夠分辨相關的網址哪一個是安全的、哪一個是不安全的。
唐部長鳳:當然,所以我們才需要去跟包含手機的作業系統公司、甚至電信公司合作,確保在那邊就能夠去攔阻,或至少跳出警示。
李委員昆澤:部長,你現在講的,在日後普發現金線上申請、有相關狀況發生的時候,就能得到印證。
唐部長鳳:沒錯。
李委員昆澤:希望你要做好相關的防範措施及作為。
唐部長鳳:我會盡全力,謝謝。
主席:請陳委員雪生發言。
陳委員雪生:(10時29分)部長早。部長,你去過馬祖沒有?
主席:請數位部唐部長說明。
唐部長鳳:委員好。上任之後沒有去過。
陳委員雪生:還沒有。3月25日、26日本席將與交通委員會赴馬祖考察,歡迎部長有機會到馬祖來,好不好?
唐部長鳳:我很願意到馬祖。
陳委員雪生:馬祖風景非常好。最近馬祖很夯、很熱門,有的沒有的都要提到馬祖,你看有關龍蝦走私,中國和澳洲政治的問題,我們當地民進黨縣黨部主委扯到龍蝦又扯到海關、海巡、岸巡這些走私,我不曉得他在幫國民黨講話還是幫民進黨講話,罵來罵去都罵民進黨,因為都是他執政,地方政府有那麼大的權力嗎?又扯到肉,肉又扯到國安的問題,有沒有肉也要扯到當地縣政府。我拿兩條活體豬擺在部隊門口,他不會來買,為什麼呢?因為它的冷凍食品是包出去的,貨船也是包出去的,跟當地政府有什麼關係呢?一扯又要罵了,罵誰?罵國防部嘛!你看昨天邱部長被罵了一整天,我不曉得幫誰講話,我也搞不清楚。最近海纜斷纜,部長知道嗎?
唐部長鳳:當然。
陳委員雪生:我想跟你們有關係。
唐部長鳳:因為緊急協調微波頻譜的部分,包含我們韌性司、資源司都有跟中華電信聯絡。
陳委員雪生:斷纜一扯又扯到老共,說老共蓄意破壞、幹什麼的,我為了這個事情跑了一趟福州的中國移動,我在十幾年以前當縣長的時候,曾經帶中華電信到對面跟他們中國移動去談我們馬祖海纜接到福州的問題,因為金門接廈門接通了,那時候馬英九總統執政,後來因為兩岸政治的問題就沒有了,我們希望第四條海纜從基隆到東引、到莒光、到南竿,我們大概只要花一億多的錢就可以接通。另外又講到微波,他們也希望能夠協助我們,他也告訴我,他們說海纜的事情不是蓄意的,這個問題我不去談了。言歸正傳,現在數位部和NCC分開以後,經費都在你們那邊嗎?
唐部長鳳:補助、獎助的經費。
陳委員雪生:補助、獎助經費都在你們那邊,NCC是負責政策的問題,對不對?
唐部長鳳:日常的監理。
陳委員雪生:我想請問國內的海纜為什麼不是關鍵的基礎設施?國家關鍵基礎設施定義是指公有或私有,實體或是虛擬的資產、生產系統以及網絡,因為人為破壞或自然災害受損,進而影響政府及社會功能運作,造成人民傷亡和財產損失,引起經濟衰退,以及造成環境改變或其他足使國家安全或利益遭受損害之虞者。在這個定義下,臺馬海纜障礙以後,馬祖民眾乾脆直接用老共的電信通訊就好了,為什麼呢?代表民眾寧可選擇可靠的,不會去選擇不可靠的,就是不信賴臺灣的電信,嚴重影響島上居民的民心士氣還有經濟發展,危及馬祖的社會安全,甚至已經是國安的問題。行政院跟離島國民要有交代,為什麼國內的海纜並非關鍵基礎設施?為什麼呢?因為有微波備援,所以不是基礎設施,這個理由何在?如果國際海纜故障,請問是否有其他的國際海纜路徑可以繞道而行?當國際海纜的路徑多到根本不用備援的時候,以是否有備援當作判斷標準是需要檢討的。
唐部長鳳:特別有低軌衛星或者中軌衛星之後,這個當然是可以滾動式檢討。不好意思,您剛剛提到微波,確實微波本來的頻寬並沒有多到真的完全取代海纜頻寬的程度。
陳委員雪生:對。
唐部長鳳:但是我們現在就是要拓寬,這兩天也已經拓寬到打電話、傳圖片……
陳委員雪生:還是不穩定啊!
唐部長鳳:對啊!所以就是要繼續拓寬。
陳委員雪生:還有,微波多數供給政府機關、部隊或是商業銀行的用途,老百姓、業者還是收不到。
唐部長鳳:如果它拓寬到接近、趨近於本來海纜的運量時,當然就可以像本來那樣使用。
陳委員雪生:沒有,我講的意思是,希望把它列為重要的基礎設施,我的意思是這樣。
另外一個是國際海纜的所有權,因為國際海纜是其他國家所有,所以是不是更不容易受到戰事的波及?有沒有統計的數字?到底國際海纜被船隻勾扯破壞的次數多,還是國內海纜被破壞多?我想是不是請你們數位部能夠提出報告?
唐部長鳳:我們當然可以提出書面報告。
陳委員雪生:請提供報告給我們參考一下,好不好?請問部長,海纜斷線以後,我們目前的作為是什麼?
唐部長鳳:就像剛才講的,用微波的擴容去確保,現在大概到本來一半左右的量,在年底可以到接近於本來海纜的量,當然,NCC有儘快協調在4月左右派海纜船去修復。
陳委員雪生:是的,我們現在在幹什麼?我們在搶修,搶修什麼呢?海纜因為沒有備援船,我這次去大陸,他們說上海跟浙江有,他們可以來救援,問題是我們高層又不接受,我們去找國外的,臨海大概有七條船都訂有合約,他們因為契約綁住也沒辦法來,找誰呢?風力發電,但風力發電漫天要價,而且他們的接頭有問題,不可能!所以海纜的部分在在都是問題,我們沒辦法,退而求其次用微波,但軍方也在使用,但我們把軍方一個功率挪過來,他們又叫,因為影響到整個國家安全,這個事件已經牽扯到國安問題,我想行政院應該有指示數位部,部長這邊也有去研究。
唐部長鳳:對,剛才有提到700個非同步衛星,我們已經要求一開始的前幾個衛星接收器,700個衛星點來的時候就要優先從馬祖開始。
陳委員雪生:為了這個事件,我自己個人生病,最近中氣也不足,我特別跑到竹子山去,說真的,我生病微不足道,那天去了多少工人,山頂上霧很大,下雨搶修,而且那個吊掛工作非常危險,在竹子山的懸崖峭壁,我去給他們加油打氣,因為那裡的發射針對我們東引,我們東引那個地方海象不好,沒有吊車,好不容易海象好了吊過去,3月7日微波系統慢慢開通,現在也只是行動電話有時候會通、有時候也不通,但是比以前好多了。所以在上次我跟行政院長報告的時候,我說連小孩子都在那邊哭鬧,他不知道,還想說小孩子怎麼會哭鬧?因為小孩子看網路上的遊戲打不出來,變成阿公阿嬤帶他去中華電信門口排隊,因為那邊功率比較強,老人也在叫,小孩子、嬰兒也在叫,搞得全民皆兵,真的炸鍋了。軍人跟女朋友電話打不通,父母親電話打不通,還有一個搞自殺,你有聽過嗎?
唐部長鳳:現在電話通了。
陳委員雪生:通了沒錯,但人已經走了,去找上帝了。
我認為目前前瞻的作為有幾點,我想提出來共同討論。第一、低軌衛星開發,數位部好像有點困難,是不是?
唐部長鳳:非同步衛星這部分,因為現在是第一季,剛剛好就是在審核這個申請,所以我們會儘快地去調非同步衛星。
陳委員雪生:部長,我想你們是專業的,我們不懂,你儘量幫忙。第二、海纜修復船的建置,因為現在臺灣對澎湖有海纜,對金門有海纜,對馬祖有海纜,這一些海纜不只是作為經濟政治或是其他商業用途、文化教育的用途,還牽涉到國安、軍事用途,這個海纜船有沒有必要建置?
唐部長鳳:這個我們會跟NCC一起來研究。
陳委員雪生:你們在國安高層討論的時候順便加進去,好不好?不然這個救援船真的很麻煩,能不能花個一億多弄個救援船,因為常常會斷纜,好不好?常常斷纜不是只有馬祖發生,金門、澎湖都會有,還有花蓮海域也會有。第三、第四條海纜跟福建的中國移動接軌,您跟國安系統討論看看,好不好?跟廈門、金門的道理一樣,我回來有談,現在馬祖地區跟大陸,我們有備案,這不是我們地方政府的權責,我們雙方都做備案,一旦高層談好了,我們就開始接,好不好?
唐部長鳳:當然如果一直有所謂不小心割斷的情況的話,我們要先把自己的備援做好,這一定是最優先事項。
陳委員雪生:我知道。我是說接這條線,差一億多元嘛!我們有做備案,縣政府不做決定,但是我們方案準備在那裡。
唐部長鳳:理解委員的意思。
陳委員雪生:第四、國內海纜比照國際海纜,核定為關鍵基礎設施,因為一旦核定為關鍵基礎設施才能補助,我們需要補助嘛!部長,這點你能不能回去……
唐部長鳳:不過我也跟委員報告,像委員剛剛提到的,微波讓它更寬、更穩定等等,這個本部其實也有一些像普及服務等的經費,所以這部分不一定要被列成關鍵基礎設施,我們也可以來確保備援的穩定性。
陳委員雪生:好,沒關係,不核定也沒關係,但是錢一定要到位,好不好?你不核定,錢一定要到位,錢比較重要,核不核定都沒關係,但是錢要給我啊!
唐部長鳳:理解委員的意思,我們都是主張寬頻是人權,所以這個情況我們非常關心。
陳委員雪生:我擔心給錢的時候沒有一個依據,部長,我是替你考量,這樣你會有個法源依據。
唐部長鳳:理解委員的意思,我們再提供書面報告給委員。
陳委員雪生:我提醒部長,歡迎25日、26日到馬祖來考察。
唐部長鳳:要看我那天的行程,但是今年我一定會去馬祖。
陳委員雪生:我希望部長把時間先挪出來,好不好?
唐部長鳳:我會跟我的幕僚討論,謝謝委員邀請。
主席(李委員昆澤代):許智傑召委發言完畢之後,休息10分鐘。
請許委員智傑發言。
許委員智傑:(10時42分)部長好,我看今天大家發言的題目,事實上都有一點類似,我們就先澄清一下資安的角度,有公部門及私部門,我們現在要建置的T-Road是針對公部門?
主席:請數位部唐部長發言。
唐部長鳳:委員好。公部門之間的交換。
許委員智傑:公部門只要T-Road建立完成之後,公部門應該就可以百分之百維護我們資安的安全,是不是?
唐部長鳳:建立完成之後,再加上要求它不能夠用T-Road以外的方法交換資料,這樣就安全了。
許委員智傑:這樣就可以百分之百防護?
唐部長鳳:不會再有像這種大規模外洩的狀況。
許委員智傑:不會有大規模,那有小規模嗎?
唐部長鳳:如果有人背了2個號碼抄出去,就像我剛剛講的,但這個就是我們會再加強內控。
許委員智傑:也就是現在其實很多人不清楚,就是到底T-Road的功能可以到什麼程度,現在預計是112年年底開始要全面導入T-Road嗎?
唐部長鳳:就是導入零信任的驗證系統。
許委員智傑:二年內完成建置,所以也就是114年年底應該所有的公部門全部都可以納入T-Road系統,是不是?
唐部長鳳:我們現在要加速到113年,就是明年年底把所有有全國個資的A級機關納入。
許委員智傑:所以希望是113年底就可以全部完成?
唐部長鳳:有全國個資的,但是比方說區公所等等,有小部分個資的,這個我們儘量加速。
許委員智傑:區公所也是公部門……
唐部長鳳:也是公部門。
許委員智傑:那不是就要全部納入T-Road嗎?
唐部長鳳:我們會分階段,先把有全國個資的機關儘快在今年或最晚明年把它納入,接下來跟他們介接的,比如說是縣市政府接到全國個資系統,這個當然要納入,它再去接區公所那一段,在第三個階段納入,但是我們都會加速。
許委員智傑:關於T-Road,如果我的身分證改名字,相對的可能我的健保卡、畢業證書等所有跟公部門有關係的,我要一個、一個去跑。
唐部長鳳:對,現在就可以自動更新。
許委員智傑:T-Road如果建置完成之後,我就只要到戶政機關把名字改了以後,現在所有公部門相關的證件是不是都可以一次改完?
唐部長鳳:現在其實透過我們MyData平台,它也是透過T-Road機制,就可以看到你的個資現在存放在哪些公部門,所以如果需要一份副本,或者要辦開戶等要使用的時候,可以直接抓下來,就會比較方便。
許委員智傑:所以我覺得數位部對T-Road的宣傳很重要,建置完成也很重要,應該讓國人更清楚,也就是我剛剛提到的,只要建置完成之後,我到戶政機關改了名字,因為所有各相關部門全部都已經結合完成,事實上我只要改一個就全改了。
唐部長鳳:對,這個就是愛沙尼亞的X-Raod的願景,就是你只需要輸入一次。
許委員智傑:所以這個其實可以節省很多行政耗費,這是非常重要的一個建設,應該要大力宣傳。
唐部長鳳:是,謝謝。
許委員智傑:所以數位部應該讓全國知道,因為我知道很多在野黨的議員說,你就只會賣吃的東西、點餐,好像數位部功能很小,但是這個如果建置完成之後,其實可以替國家、人民省掉很多很多不必要的行政浪費。
唐部長鳳:是,剛剛幾位在野黨立委也都滿肯定這個部分。
許委員智傑:所以這個部分,我想全國民眾可能還不清楚數位部在幹嘛,這個軟體建設是非常重要的建設,應該要大力的宣傳。
唐部長鳳:是,所以我們對於領6,000元的系統,因為這個就是一個大規模介接的系統,這樣子的大規模公共建設,我們之後會更清楚地讓大家知道這不是一次性的系統,用完就不見了,而是它可以不斷地重複使用。
許委員智傑:所以就是從現在開始,預計113年底可以建置完成?
唐部長鳳:把全國個資的這些機關……
許委員智傑:在114年之後,可能我們只要改一個地方就可以全國同步改,各個公部門機關全部改,其實讓人民知道這個,他會覺得數位部可以做很多事,而且有很好很好的功能。
唐部長鳳:好,謝謝。我們儘量往這個方向來讓大家知道。
許委員智傑:我覺得這個非常重要。
唐部長鳳:謝謝。
許委員智傑:我們再講一下T-Road,因為全國人民可能很多人都不知道T-Road建置完成之後,除了能這麼方便使用之外,到時候所有公部門進到T-Road以後,甚至希望一級、二級、三級機關全部都納入,將來所有資安的安全、個資外洩就可以百分之百除掉,是不是這樣?
唐部長鳳:對,委員剛剛講得非常好,T-Road就有點像一條路一樣,我們去保障這個路的行駛安全。
許委員智傑:只有臺灣人在用而已,沒有其他人用這一條路嘛!
唐部長鳳:對,這是專門在政府裡面服務的一條路。
許委員智傑:其實很多人對公部門的個資、資安有疑慮,只要全部進到T-Road,只要全部建置完成,就沒有資安的疑慮,可以這麼講嗎?
唐部長鳳:而且還有一個就是個資的疑慮也可以減少,因為透過My Data以及未來獨立的個資會的監督機制,大家都可以直接到My Data平台看現在有哪些個資分別存放在哪些政府單位,可以取得副本或有錯誤要更改等等,就可以行使個資的權利。
許委員智傑:所以這一點我覺得,因為大家都在問,到底公部門的資安可以做到什麼程度,事實上這個部分如果讓大家很清楚知道T-Road及它可以做到什麼程度,以後大家就會很清楚明瞭。所以我希望T-Road可以再多加宣傳,當然這是針對所有公部門的資安問題可以一併解決,再來才去談私部門的問題,這樣子的概念是對的嗎?
唐部長鳳:這是正確的,我們大概沒有辦法要求私部門的資料一定要跟我們交換,這是他們的營業自由,但是我們可以透過未來個資專責機關或現在的各目的事業主管機關去要求,一旦蒐集了這麼多個資的話,就有好好看守它的義務,或者乾脆就不要蒐集那麼多個資,而去用隱私強化的隱碼技術,那也是可以的。
許委員智傑:沒關係,現在我先把那個邏輯分清楚。
唐部長鳳:是、是、是。
許委員智傑:那也希望跟全國國民把這個邏輯弄清楚,我粗分公部門跟私部門,公部門的部分,數位部只要建置完成,就可以一併解決,對國人就會有所交代,而且大家可以非常放心。
唐部長鳳:就是T-Road零信任的導入。
許委員智傑:希望這個多宣導,私部門我們下次再聊,謝謝。
唐部長鳳:謝謝委員。
主席:現在休息10分鐘。
休息(10時50分)
繼續開會(11時)
主席(許委員智傑):現在繼續開會。
林楚茵委員、何欣純委員、許智傑委員及李昆澤委員有提一個臨時提案,但因為現在時間已經超過,來不及處理,我簡單先說明一下,就是金管會有統計投資詐騙,有很多大型跨國公司的數位平台,希望數位部可以有角色,到時候看怎麼樣幫忙協助,儘量處理,這個臨時提案就下一次再處理。
現在請魯委員明哲發言。
魯委員明哲:(11時1分)部長,剛剛有委員問過了有關無人機的相關管理規則。
主席:請數位部唐部長說明。
唐部長鳳:魯委員好。對啊!
魯委員明哲:就是要修法,昨日(3月7日)去做了一個說明會,我覺得中間有兩大亮點,第一個,有人說因為魯明哲質詢了無人機,所以我變成IT大臣了是不是?如果很多資安是因為魯明哲的原因,那你待會兒要對我鼓勵一下。
唐部長鳳:當然是肯定委員。
魯委員明哲:第二個,現場不知道在做什麼,你們要修法能不能稍微慎重一點?你們跟民航局跨部會要溝通清楚,甚至在修法詢問、徵詢的過程中早就應該要含有一些民間資訊,不是嗎?昨天是什麼狀況?請問吳副司長有來嗎?你們將很多問題都推給民航局。你知道嗎?我看到這個影片以為是博恩夜夜秀,整個現場的氣氛,政府單位被笑到這樣,這是昨天一個精華的場景。
我覺得你們要修訂相關規則,不管是民航局,尤其這一次大家比較擔心的問題點是有關於數位部,像這種狀況,我覺得你真的派了一個不瞭解、不熟悉,或者無法回答問題的人去,這是我看到的第一個隱憂。第二個隱憂是民間會問什麼問題,對於他們主要的聲音,你們根本沒有準備好,所以我是覺得這滿怪的。部長,我去年在交通組的30分鐘質詢,你也在現場,我問的問題是什麼呢?今天修法的相關規則說和我有關聯,那我就要來釐清一下。對於去年我質詢無人機在國慶日飛的部分,你們經過4個月的調查,最終報告也給我了。我當時所說的是有一家公司用虛偽、造假,不是自製,而是從大陸進口的無人機,卻對公務機關說是自己研發的,這是一個誠信問題,我說的是現有規定可能要向NCC註冊射頻,甚至該向民航局申請,包括進口等相關規定,針對現有法令,他違法違規。另外,採購法明白規定要標政府的標案不能用這樣的產品,但是他用了,經過三個多月調查,證明我沒有說錯,民航局就開了2張罰單,NCC開了1張罰單,違約的部分,包括國慶日那一場,全部都是減價違約。所以我在講的是什麼?我整理一下,我講的是政府現有的無人機專章、政府現有的一些相關規則,有廠商虛偽造假、沒有依法,就這麼簡單!照理說,法規不夠,你再去修一修,把這些自由玩家、個人娛樂,甚至那些灑農藥的全部抓過來,我跟你講,你要做就自己去做,但是我講得非常清楚是現有違法、違規去騙人的廠商。而且今天這個案子事實上目前已經結案了,也確實證明我說得是對的,所以我講的原因就是有人沒遵守現行法規,和現在大家都要去檢查,不管是15萬元、30萬元的檢測費用。
部長,我再問你一下,因為很多人在這個會議中都在提,現在臺灣最大宗的自由玩家,包括我過去也是用DJI大疆無人機,你跟大家說明一下,如果我在臺灣市場專賣店買了一台DJI,假設是Mavic或Inspire,不管哪一個機種,代理商代理進來之後要檢測一次是不是?個人買了之後到底還要不要再花15萬元、30萬元做一次資安檢測?
唐部長鳳:其實這場會議在一開始大家都覺得是一機一測,但事實上是形式驗證,就是同形式只要測一次。
魯委員明哲:好,所以簡單來說,在實務上,我去專賣店買了一台就不用再去測?
唐部長鳳:如果上面已經貼了符合檢測的標籤。
魯委員明哲:OK!我覺得這個部分你們要解釋得非常清楚。另外,我真的要說,我覺得對這種管理,你們要用80/20法則,你們的能力沒有那麼強,至於現有的法律,我上次質詢就是給你現有法律,人家在總統頭上亂飛也沒人管得到、沒人知道,現在要執行現有法律的人力都不足了,又要再立一些法真的會造成干擾,不管是個人娛樂、個人休閒類別,甚至灑農藥的,有些工廠可能是自己製作一台,那完了,搞不好連30萬元都不夠。我建議你們最後在思考的時候把那個80%你不該管的個人休閒娛樂、個人飛手的部分,希望你們不要去干擾別人。你們的重點要放在我去年質詢時提到的這家廠商,人家這2年就賺了幾千萬元,拿了國家的錢、違背了國家的法令,所以我覺得你們要把精神投入在這個部分,好不好?我真的建議你們不要去干擾那80%,首先那會讓他們心裡覺得很煩躁,其次你真的會帶來無謂的干擾,你覺得呢?
唐部長鳳:看委員剛剛播放影片的氣氛表示一機一測的誤會應該已經解開了,才會有這樣的氣氛,因為在TTC聯合檢測掛牌的時候還不是這個氣氛,這先講在前面。第二個我真的很肯定委員的貢獻,因為委員之前在質詢的時候,除了射頻等等之外,委員也垂詢到包含它的系統和軟體是在哪裡製作、有沒有資安疑慮等等,那個部分就是我們聯合檢測實驗室裡面特別重點測的部分。委員剛剛也講了,委員關心的是政府的採購、辦政府的活動等等,這部分要先走,我們也真的先走了。至於其他部分,民航局已經說都有聽到大家的意見,會採分批的、逐步的方式,而且像委員剛剛講到自用、非商業用等等這些不一定要全部都納入。
魯委員明哲:好,你一定要在最後修法的時候考慮進去,不要影響到80%的一般人,我覺得這個非常不好,也不是我的本意。第二,剛剛談到資安的問題,事實上從107年9月份,當時小英總統在開會時,國家資通安全戰略報告1.0,那時就要成立行政院資通安全處,3年之後,在去年升級成立了數位部,這樣陸續的成立有許多的宣示,我們看到你們在組織法中開宗明義的講,行政院為促進全國資通安全的韌性建設,是全國,不管公家或是私人喔!其實我最近跟你們幾位相關人員在討論個資外洩的問題,我發覺答案推敲到最後都跟你們的關係不大,你們就是輔導、建議一下,我覺得當時大家有很多的期待,這種個資全面的外洩,甚至有上千萬筆,若不是內政部?我們比較care到底是誰?到底怎麼外洩出去的?這麼多的問題,我真的覺得未來不要再分這是私人的、這是公家的。為什麼呢?部長,你知道我們政府機構,有多少IT網路、資通安全都是委外?
唐部長鳳:其實我能理解委員的意思,不管是公部門的資安署,或是私部門的資安院,在我們的內部分工中,可能有公、私部門的差別,但是對外當然是我們數位部要負責。
魯委員明哲:我們幾乎各部門全部都委外啦!其實很多你們署裡面的行政還是委託私人公司,私人公司有可能也在幫某個洩漏個資的企業做事,怎麼會沒有關聯?我覺得真的是分不開的。
最後我想說,個資陸續的外流,在數位部成立之後,大概1個月1爆,從疑似內政部的戶政資料外洩,到底是誰?不是內政部,那到底是誰?甚至有些半公家的,像華航,也有私人的。你知道這部分顯示的訊息是什麼嗎?我覺得訊息比我們想像的嚴重多了!因為洩漏的個資只是其中一個,個資可以賣,它才呈現在我們可以看到的管道上,代表現在那個破洞不知道破多大?有些資料他不用賣的,如果要這樣推敲,都沒洩漏嗎?我覺得這個訊息,你們真的要注意,個資可以賣,他才丟到網路上來賣,其他更重要的訊息,他不用賣的,甚至對國家資安影響更嚴重的,這代表這個破洞,如進入無人之境,我希望數位部要用這個點,找出破口到底是誰?你只說不是內政部、你相信不是內政部,可是民眾要知道,那是從哪裡流失的?因為那個破口可能不光是個資而已,這是我給你的建議。
唐部長鳳:我完全同意,就是洩漏、竄改、阻斷,洩漏只是3個中的其中1個,我完全同意委員的見解。
主席:請賴委員士葆發言。
賴委員士葆:(11時13分)部長好,大家都很清楚唐部長是蔡總統一手拉抬,一手栽培的大臣,其實你原來上臺當政委時,外界對你的評價非常高,包括我在內,大家都覺得不錯,可是你當部長以後,你做的一些事情,讓我們覺得怎麼會這樣,唐鳳做的事情,怎麼會這樣子?譬如說,你來一個點線面、「點麵線」與民爭利,我問過你,你跟我解釋很多。
主席:請數位部唐部長說明。
唐部長鳳:沒有爭利。
賴委員士葆:但就是與民爭利啊!你提那個平台幹什麼?我不知道你做這個幹什麼?現在又推出一個Whoscall,這個民間也在做啊!
唐部長鳳:同樣也沒有爭利。
賴委員士葆:民間也都在做嘛!
唐部長鳳:對,我們做媒合嘛!
賴委員士葆:不需要,我不瞭解你為什麼一定去做這些東西?其實重要的是資安,我們的重點在這裡。賴清德現在要變成民進黨的總統候選人,他當行政院長時是民國106年,距離現在將近6年前,請你看好「目標」,也就是我的投影片寫的,網站強制導入http:自動轉址到https,這是賴清德當行政院長時的事。
唐部長鳳:對,這是我擔任政委時的事情。
賴委員士葆:結果到現在,我開了記者會說你們還有幾十萬個政府單位沒有https,沒有加s。
唐部長鳳:不是這樣。
賴委員士葆:你們就說立委的說法實屬誤解,我今天還查了,勞動部沒有導入、公平會沒有導入、營建署沒有導入。
唐部長鳳:都有導入,只是沒有轉址。
賴委員士葆:沒有轉址還是導入?問題是我上網查,還是漏洞啊!所以部長,這些東西我們立委敢出手,一定是有憑有據,你只有說明就公開,這樣不好。
唐部長鳳:因為您說沒有導入,那個是誤解,是有導入但是沒有強制轉址。
賴委員士葆:你要解釋,因為賴清德已經說要強制導入,結果今天查了,還有這3個單位沒有強制導入啊!
唐部長鳳:我可以說明一下嗎?
賴委員士葆:好,請。
唐部長鳳:如果你去搜尋引擎找這幾個單位,點進去一定是導入安全的網址,所以對所有用搜尋引擎找進去的人來講,它就是連到安全的網址,那委員或委員的助理確實技術上很厲害,專門告訴搜尋引擎,我就是要找那些還沒有導入的部分。
賴委員士葆:當然是啊!我是監督的人。
唐部長鳳:但是一般人不會特別去找沒有轉址的網址來按嘛!大部分的人找關鍵字按進去就是安全的。
賴委員士葆:你這樣說,我聽不懂啦!另外,我要提醒一個比較遺憾的東西,你們資安能力很強的人很多,對不對?
唐部長鳳:我們現在資安院掛牌了,當然各路高手……
賴委員士葆:資安的人能力很強,會不會當駭客駭人家啊?
唐部長鳳:您是說攻擊敵方並反擊,那比較像資通電軍,如果是作戰的時候,我們這邊是防守為主。
賴委員士葆:全動法現在要推了,請問你們要做什麼事?針對全動法第十五條,對於不實的消息要調查統計,請問你們開始做了沒有?
唐部長鳳:這段不是我們,這段是NCC,我們沒有傳播監理的權限。
賴委員士葆:好,不是你們。我要講一個實際的感覺,為什麼我原來對你的好感度一直在降低,因為我批評你們的時候,我的臉書就被屏蔽了,我高度質疑你們的人出手,你們高手很多屏蔽我,別的都不會,就來屏蔽我這裡。
唐部長鳳:我們絕對不會。我可以講兩句嗎?
賴委員士葆:好。
唐部長鳳:委員剛才說我加入擔任政委,我加入行政院是2014年,擔任政委的專案顧問,當時是張善政院長及蔡玉玲政委的時候,其實加入行政院團隊,我一生都是無黨無派,恪守行政中立,所以絕對不會介入選舉,或者干擾候選人的專業等,當然委員在網路上看到很多這樣的說法,Facebook哪個專頁被下架,就說「被唐鳳了」等等,但那只是借用了我的名字,跟我沒有關係。
賴委員士葆:你們要出來說明喔!
唐部長鳳:是。
賴委員士葆:我就高度質疑啊!去年我的按讚數都是幾千幾千的,現在少一個零,我都高度質疑是不是你們數發部來弄我啊!因為我每天在批評時政,我做立委該做的事情,就是監督政府,說這個不好、那個不好。咦!奇怪,以前平均五、六千人按讚,現在少一個零耶!看起來好悽慘,怎麼會這樣子?所以我想,這可能跟唐鳳有關係喔!
唐部長鳳:沒有,其實Meta自己有一個講法,Facebook有一個講法是,現在很多年輕人……
賴委員士葆:你有沒有跟Meta談過?
唐部長鳳:如果是短影片的話,他們比較會看,如果都是文字他們比較不看。
賴委員士葆:我的短影片按讚數也是很少,剩3位數而已啊!
唐部長鳳:理解啦!但是跟我們真的沒有關係。
賴委員士葆:以前短影片的瀏覽人次也是幾千。
唐部長鳳:真的跟我們沒有關係。
賴委員士葆:你們跟Meta談過,故意這樣搞。
唐部長鳳:並不是這樣。
賴委員士葆:奇怪喔!不要這樣,要選舉囉!
唐部長鳳:絕對不是。
賴委員士葆:絕對不可以喔!
唐部長鳳:我們當然恪守行政中立,我們所有的司署長,包含資安院院長都是常任文官。
賴委員士葆:為什麼我批評你們的貼文就按讚數特別少?奇怪!你們說不對,但我反擊的時候更少。這個東西的機關藏在倉庫,絕對有詭!你們的人一定出手了,你們的資安人員一定有出手,對不對?
唐部長鳳:沒有,完全沒有這種事。
賴委員士葆:我敢在這裡公開場合講,我一直隱約感覺到,我以前看好的、有好感的那位唐鳳跟現在的不一樣。
唐部長鳳:因為按讚減少就怪到我頭上,這樣嗎?
賴委員士葆:我沒有這樣講!但是顯著少一個零,怎麼差那麼多?或者你跟臉書講好了……
唐部長鳳:我真的沒有傳播監理的權限,不管是網際網路,還是其他的,這個都……
賴委員士葆:我再告訴你一個數字好了,行政院管資安的高層跟以前的FB,即現在的Meta有綠色通道,他一直改變演算法,對在野的政治人物有做很多不利的措施、不利的更改,我告訴你這是fact、這是事實。
唐部長鳳:如果是詐騙違法已經判決確定快速處理的部分,那個是我所知道的綠色通道,至於其他的,您講的綠色如果是黨派的意思,我真的完全一無所悉。
賴委員士葆:你涉世未深!
唐部長鳳:謝謝委員。
主席:跟賴士葆委員報告一下,我的也減少了,那是FB的商業手法,跟數位部應該沒有關係。
請趙委員正宇發言。(不在場)趙委員不在場。
請游委員毓蘭發言。
游委員毓蘭:(11時22分)我的FB按讚數也很少,但抵死不肯下廣告,沒有辦法。部長好,大家都很關心個資外洩的問題,因為這對於打詐是非常重要的關鍵所在。我國現行個人資料保護法由目的事業主管機關對於事業進行行政檢查,採限期改善或罰鍰等處分。我們看到iRent個資外洩是由交通部來查處。
主席:請數位部唐部長說明。
唐部長鳳:委員好。對,綜合電商就是我們產業署負責了。
游委員毓蘭:所以像誠品、蝦皮這種網路平臺的賣場,就是由你們負責?
唐部長鳳:綜合電商是我們。
游委員毓蘭:本席開始有一些問題,因為網路賣場的個資執法在去年8月就從經濟部轉移管轄到貴部了,111年經濟部還有針對誠品、金石堂等五家業者檢查,有兩家要限期改善,三家要限期說明,管轄移轉完了之後,數發部112年要接手這五家,請問有沒有做任何改善?
唐部長鳳:其實是同一組人。
游委員毓蘭:每一家都簡短說明好了。
主席:請數位部產業署呂署長說明。
呂署長正華:我們移撥之後無縫接軌,所以產業署賡續請他們補充說明並改善,所以每一家現在應該都依據法令的規定來要求當中。
游委員毓蘭:所以「當中」是還沒有真正改善嗎?
呂署長正華:因為要讓他們改善,一般行政指導都要有改善期。
游委員毓蘭:譬如金石堂當時是8月底就要提出資安改善,交了沒?
呂署長正華:改善完之後,他們就會提報告給我們,我們會找專家來幫我們看改善進度。
游委員毓蘭:所以都有按期報告?
呂署長正華:是。
游委員毓蘭:因為本席向貴部索資的時候,你們說加入國發會聯繫機制,目的事業主管機關進行行政檢查時會提供資安專業協助,但是連3月2日行政院院會都說得很明白,數發部和經濟部、交通部是一樣的,你們是要檢查別人的。
唐部長鳳:這裡講的就是剛剛產業署署長講的綜合電商。
游委員毓蘭:所以不只是協助,也不是長官?
唐部長鳳:對。
游委員毓蘭:因為我聽到很多部會來跟我說,現在多一個公公、婆婆在這邊,也就是還要去跟你們報告,應該不是這樣吧?
唐部長鳳:就是要即時通報我們,重大的情況24小時之內要通報我們。
游委員毓蘭:請數發部以後不要只是管發展,不管監理,你們不只是當教練,而是馬達,不該都是從旁協助、退居二線,你們就是我們打詐國家隊的球員,對不對?
唐部長鳳:當然。
游委員毓蘭:我剛剛講3月2日行政院院會有提到,這些事業在3到5月會進行檢查,但詐騙犯罪是沒有假期的,111年民眾通報高風險賣場洩漏個資件數高達7,959件、將近8,000件。如果我們負責行政檢查的各部會都要等到3到5月,也就從這個月才開始檢查,民眾一整年都已經不知道被騙了多少,來得及嗎?
唐部長鳳:不過我們綜合電商的部分並沒有等這個會議的決議,而是從成立開始就接續進行,像警政署現在跟產業署有一個每週平臺,他們會告訴產業署現在最高風險的是哪些,我們就會主動積極去檢查。
游委員毓蘭:我很希望你們這種檢舉的窗口一定要非常暢通,尤其跟檢警之間互動聯繫的窗口。
唐部長鳳:因為我們如果在上游解決了,下游就可以節省警力。
游委員毓蘭:當然!這個就是本席昨天總質詢的時候特別提出來的原因,這個是非常重要的,所以請部長務必要請你們所屬的資安署等都要做到這一點。不過本席要講個笑話,請問部長,你知道要有多少個政務委員才可以設置一個個資保護專責機關?
唐部長鳳:可能需要立法院委員通過組織法。
游委員毓蘭:我講政務委員。正確的答案是至少五位,第一位當然就是你,因為你在109年7月擔任政委的時候說要立法,而且那時候你非常精確的說法是,下個會期會送到立法院來審查。
唐部長鳳:當時的國發會主委,也是政委,是這樣講的。
游委員毓蘭:對,但是已經跳票了。郭耀煌前政委在規劃數發部的時候跟本席說過要有資料治理署。
唐部長鳳:有,今天有來,資料治理就是我們的多元創新司。
游委員毓蘭:當時沒有多元宇宙科,所以後來感覺也跳票了。
唐部長鳳:沒有跳票。
游委員毓蘭:今年2月9日行政院院會會後的記者會,前發言人陳宗彥下臺之前表示,院長有指示羅秉成政委、龔明鑫政委跟吳政忠政委等三位政委,要朝著三級獨立機關的方向辦理。
唐部長鳳:沒有三級這個講法,就是二級或非相當二級獨立機關,總之就是獨立機關。
游委員毓蘭:這個時間應該要往前拉到107年7月,因為國發會在當時是為了配合歐盟的GDPR(General Data Protection Regulation),當時就要規劃了,所以我們已經延後了很多。本席還是要請部長,我們解決問題要從問題的源頭抓起,因為我真的希望我們是資安大國,而不是個資外洩大國,現在變成全世界的笑柄,這樣不好,好不好?
唐部長鳳:知道委員的意思,謝謝委員。
主席:請邱委員臣遠發言。
邱委員臣遠:(11時29分)部長,午安。我先就教一個問題,針對政府機關跟產業界遭受到網路攻擊,請問數位部目前掌握的情況大概是如何?通報的件數分別有幾件?
主席:請數位部唐部長說明。
唐部長鳳:委員好。剛剛您的簡報有顯示出來。
邱委員臣遠:他們播太快了,先問你。
唐部長鳳:我想要跟委員說的是,不管是10萬件還是多少,都是有察覺才通報。
邱委員臣遠:所以黑數更多?
唐部長鳳:就像剛才幾位委員講的,如果是洩漏的比較容易察覺;如果他有竄改能力或有阻斷能力,這個叫做先進的持續威脅,不一定會察覺。
邱委員臣遠:數位部成立之後,國人有非常大的期待,資安即國安也是蔡政府的重點口號,但是臺灣不管是淪為詐騙之島,或是個資外洩頻繁,包括虎航、微風及華航等企業的個資遭駭,甚至我本人都接到媒體電話確認我個人資訊外洩的情形,包括我戶籍內成員及小朋友的名字,其實都已經在外面被散播揭露,這已經是一個非常嚴肅和嚴重的問題,但數位部看起來目前還沒有具體發揮相關功能,讓國人安心。剛剛這個問題,我提供你幾個參考數據,第一,根據以色列軟體技術公司Check Point的調查,去年臺灣各組織平均每週遭受到3,118次的攻擊,年增率10%,其中受攻擊最多的產業依序是金融銀行業4,664次、製造業3,705次、政府及軍事機構2,884次。我們知道今年適逢總統大選,對岸的多元作戰、認知作戰、資訊戰其實都會非常密集的攻擊,目前臺灣網路攻擊事件增加,數位部有沒有掌握相關關鍵因素?有沒有擬定相關應變措施及反制計畫?
唐部長鳳:我先大概說明,接下來再請資安署補充。我們現在碰到的最大威脅,如同委員剛才講的,這種大規模的攻擊,不管是個資外洩,或是大規模的阻斷式攻擊等等,後面並不是一個、二個有興趣的人,就是所謂的Hobby Hacker,而可能是國家或政權的力量,在這樣的情況下,我們就是致力在把以前容易攻擊、難以防守的這些比較弱的環節,翻轉變成容易防守、難以攻擊的環節,譬如透過T-Road、透過零信任三重驗證機制,確保就算攻擊其中一個環節,也不能一次攻破三個環節,這樣我們就可以留下他的足跡,並且即時予以回應。
邱委員臣遠:除了技術上的防護跟相關軟體業者的協調之外,有沒有具體建議國人在面對這方面的攻擊或這方面的個資外洩問題時,應該要如何自我保護?就是在建立數位公民意識上,你們有沒有什麼政策宣導或實際的政策推動?
唐部長鳳:我們現在有一些最基本的作法,舉例來說,像剛剛講到帳號密碼是最容易被釣魚就外洩掉的,所以如果你現在用的只有密碼,而沒有其他的認證方式,我們會推薦你改用免密碼或是……
邱委員臣遠:就是有認證的,增加它的加密機制。
唐部長鳳:密碼再加上一個動態密碼,或是其他方法,這叫做多因素認證,這個多因素認證就是現階段最重要的。
邱委員臣遠:其實這個Check Point調查還有提到,全球攻擊次數增長可歸咎於更小型、更敏捷的駭客跟勒索軟體的團體,他們利用居家辦公環境中採用的協作工具發動攻擊,這代表這種攻擊方式會更加密集、更加頻繁,而且會更加常態,因此數位部身為我國網路資安主管機關,應該要隨時掌握相關動態,並跨部會協調,包含建立相關數位公民意識,另外在技術上的防護跟相關反制作業,也都應該要有更積極作為,是不是?
唐部長鳳:當然,其實像雲市集之前還講到要照顧到最微小的事業,這個也是在導入資安意識,因為能夠通過雲市集上來的這些技術服務,其資訊業者至少都有基本的防護,像源碼檢測、掃描等等,而且它的資料也不會變成好像是壟斷在它們內部,而沒有辦法讓那個人自己來控制或下載等等,達到這些最基本的資安和個資要求,才能夠上雲市集,我們也才會媒合出去給中小企業。
邱委員臣遠:另外,針對個資外洩衍生出相關詐騙案猖獗的狀況,國人對數位部其實有非常大的期待,我知道部長前幾天接受專訪時提到,受到包括行政院院長陳建仁、副院長鄭文燦及政務委員羅秉成的要求,數位部即將推出免付費、不用特別安裝的方式,讓用戶在辦理電信門號方案後,手機就直接內建防詐app,幫助用戶過濾詐騙跟騷擾電話。請教部長,這個防詐騙內建app方案,現在推行的進度如何?能不能趕在今年上路?
唐部長鳳:謝謝委員給我機會說明。這個app不一定是裝在使用者的手機上,所謂免安裝的意思是它是安裝在電信業者那邊,像美國因為通過了TRACED法案,所以電信業者在今年6月全部都要做一個STIR/SHAKEN,類似詐騙資料庫,你可以把它想成類似Whoscall那樣,但那要由電信業者自己來維護,所以使用者剛辦的門號手機完全不用安裝任東西,只要詐騙號碼打過來,你看到了……
邱委員臣遠:那已經在使用的門號呢?如果不是新的呢?
唐部長鳳:同樣的,已經在使用的門號,只要更新到最新的iOS或Android……
邱委員臣遠:四大電信業者都會來推動?
唐部長鳳:國內目前還沒有美國這樣的法律。
邱委員臣遠:那這些企業願意配合嗎?相關法制的盤點和推動進度如何?
唐部長鳳:我們會協調。因為電信業者的日常監理權責還是在NCC,所以我們會跟NCC溝通,讓他們知道我們希望看到什麼,那麼NCC就會跟這些業者進行討論。
邱委員臣遠:在保護個人資料安全及建立相關數位公民意識的原則上,這部分的推動,希望你們可以更積極,化被動為主動,跟NCC及相關部會一起來推動,尤其業者的社會溝通必須做好,相關法制的盤點也需要跟立法院這邊進一步溝通,不要只跟執政黨的委員溝通。
最後我想做一個小結,就是最近有一份民間企業聯合刑事局公布的報告顯示,電話號碼外洩率以馬來西亞73%最為嚴峻,其次就是臺灣的65%,這是一個非常嚴重的問題,並且推估有1,040萬名國人手機號碼遭到外洩,這也代表1,040萬支外洩的電話號碼都有接到詐騙電話的風險,所以我認為這個政策的推動非常有必要,但相關法制的完善性、社會的溝通及個資的保護,在個人數位公民意識這個原則下,應該儘快推動,我們希望部長加速推動手機防詐騙內建app的研發,讓科技能夠務實的幫助國人遏止詐騙、對抗詐騙,保護國人的財產。這部分如果你們有任何相關進度,麻煩先提供一份書面報告給本席辦公室,希望可以在下週三之前,好不好?
唐部長鳳:我們這邊會提供,而且我們也會跟NCC聯絡。
邱委員臣遠:好,謝謝。
主席:請賴委員惠員發言。(不在場)賴委員不在場。
請鄭天財Sra Kacaw委員發言。
鄭天財Sra Kacaw委員:(11時37分)部長好!有關原住民家庭跟全體家庭家戶上網率的落差,比較早期的資料數據是24.38%,經過幾年之後,當然數字會變動,但變動的還是有限,比較遺憾的是,本席在112(今)年2月16日向數位發展部請求提供原住民家庭與全體家庭,以及原住民族地區跟非原住民族地區家戶固網上網率,數位部在接到我的公文之後,移給國家通訊傳播委員會,表示這是國家通訊傳播委員會的業務,請他們提供。國家通訊傳播委員會NCC根據你們的公文回復你們,表示這個業務已經移給數位部,國家通訊傳播委員會的公文寫得很詳細,說明這個業務根據國家通訊傳播委員會111年3月17日的一個會談紀錄,除了我剛剛講的之外,已經把相關的這些業務還有其他業務也都一起移給數位發展部,簡報是去年3月17日NCC的會議紀錄,裡面都有提到說移給你們了,尤其第四點也都有提到,所以從公文的往返可以印證這一段時間從數位部組織法通過到現在的停擺,原住民相關的這些地區或是家戶上網的部分真的是停擺,我真的認為是停擺,因為資料到底是由誰來職掌,兩個部會竟然無法釐清。
主席:請數位部唐部長說明。
唐部長鳳:我說明一下,我們現在對於偏鄉的普及服務或是數位機會調查分別是韌性司跟數政司的工作,確實在目前調查的問項裡,沒有委員剛剛提到specific的問項,但是那個問項能不能加到我們之後的調查,應該是可以加進去的,好比之前委員有問過,像i-Tribe、iTawan等等需要跟原民會及所有相關部會整合,所以我們願意之後來做這樣子的調查,但是它並不在我們既有的調查範圍裡。
鄭天財Sra Kacaw委員:請教一下部長,這些要做的工作,調查是一回事,要提高原住民家庭或是原住民族部落的上網率,這是普及服務,請問是你們的業務嗎?
唐部長鳳:普及服務當然是我們的業務,去確保大家都可以存取這些必要的電信服務,現在的狀況是,普及服務除了本來的家固網、光纖之外,還可以有更多切合當地民眾需要的服務,比方非同步衛星等等,這個部分我們正在自我檢討,我們會儘快在今年把這個檢討完成,至於委員剛剛提到很多原住民族地區的實際需要,我們也會納入一併討論。
鄭天財Sra Kacaw委員:請數位部不要因為業務的移撥而影響到本來落差已經很大的地區造成停擺,最主要是這個部分,相關需要調查的你們再好好的去處理。另外,在數位部成立之後,我也在這邊質詢過,我昨天提到蔡總統說要保障上萬新的工作機會,政府要負擔保障原住民就業之責,數位部有很多的員額,我是老公務員,原民會要爭取員額不容易啊!你一下子增加這麼多員額,恭喜你們,但是我上次有提過,希望你們能夠落實蔡總統原住民族的政策,能夠增加原住民到數位部工作的機會,這個你們有答復了,第一個,各類職缺均歡迎原住民參加甄選,這是當然的,但是有很多機關,尤其是國營事業如台電,他們會把一些公告的名額加上註記,比如10個裡面有2位會優先錄取原住民,你們當然歡迎沒有錯,但是你如果註記原住民優先,原住民就會去嘗試,因為有機會,要請人事處處長特別處理這個部分,因為我是老公務員,我以前也是這樣做。
第二個是相關員額的分發,謝謝你開了1個名額,但是1個太少了,請加油!第三個是原住民行政特考的部分,這不是要等原民會辦理,這不是原民會的業務,是人事行政總處,你們也可以主動提供、告訴人事行政總處需要1個或是2個名額,這部分要請你們來協助,我特別舉這個案例,僑務委員會也有提,僑務委員會跟原住民無關嘛!但是它還是有在原民特考列了這個名額,外交部也有,所以數位部也需要,何況原住民的數位落差更大,好不好?
唐部長鳳:我回應一下委員,因為我們跟其他部會有一個比較不同的地方,我們並沒有像地區監理處這樣的單位,我們比較沒有地方的單位,大概以中央的為主。
鄭天財Sra Kacaw委員:在臺北一樣可以啊!僑務委員會也是一樣在臺北,外交部也是。
唐部長鳳:因為在中央,我希望我們的業務不是只有原住民族的朋友來工作,而是他的工作也要跟原住民族,比如語言的平等有關係,我們會希望是這種更積極的安排,我們的人事處跟人事行政總處一直有在進行這方面的討論,我們之後再書面回復委員。
鄭天財Sra Kacaw委員:部長,你只有一種方式,有心要進用的話,就不要把所有的缺額全部給高普考,一樣是考試院辦的高普考,人事處習慣把這些員額都給高普考來分發,你們也給一樣是考試院辦的原住民行政特考進用,好不好?
唐部長鳳:我們希望可以找到對應的工作內容,謝謝。
鄭天財Sra Kacaw委員:好,謝謝。
主席:接下來登記發言的謝委員衣鳯及曾委員銘宗均不在場。
請賴委員香伶發言。
賴委員香伶:(11時47分)部長好。你知道什麼叫「象卡來」嗎?「象卡來」是台語還是國語?
主席:請數位部唐部長說明。
唐部長鳳:就是Whoscall。
賴委員香伶:你把它翻成英文。
唐部長鳳:是,誰打來。
賴委員香伶:你昨天有回應這是詐騙電話或是一些不明的電話打來之後,透過一個遮障式的app來做處理,請教我們自己有沒有開發如「象卡來」的國家隊app?
唐部長鳳:剛剛有好幾個委員質詢到,這個app不一定是裝在手機上,我們也可以跟NCC聯絡協助裝在電信業者那邊,這樣就不用特別裝app。
賴委員香伶:所以你未來有考慮跟電信業者像遠傳、中華電信等合作,可以這樣子操作嗎?這是不是你的政策方向?你想要這樣推動?
唐部長鳳:因為電信業的監理是NCC的權限,我們的政策方向是充分跟NCC溝通我們這邊的需求。
賴委員香伶:但如果NCC不理你的話,你就沒轍了,所以你還是要逼NCC,你可以逼它嗎?
唐部長鳳:它是獨立機關,我們會全力跟它合作。
賴委員香伶:你說你是掌管資安外洩或是各種個資的最高指導官。
唐部長鳳:確實如同委員講的,在上游能夠解決的話,下游大家就能節省很多力氣。
賴委員香伶:我在這裡建議唐部長直接建請NCC,把你這個方案或方法列入到它管轄電信業者的溝通協調事項裡,因為您這樣講,看起來這是一招可以防止不明電話一個很好又便宜的工具,因為我看到你的「象卡來」,我自己手機今天就裝了,結果它好像是要付費,幾天之內免費而幾天內是60元,年費大概是600元,既然你已經宣傳了,「象卡來」這家公司有可能給臺灣比較優惠的費用嗎?
唐部長鳳:首先,我是拿它舉例,不是專門幫它宣傳,我在節目上也有提到趨勢科技、防詐達人等等,這是第一個;第二個,如果它是安裝在電信業者那邊的話,其實跟手機上app的關係就不大了。
賴委員香伶:就是手機資費去做協調嗎?
唐部長鳳:就是手機就會有這個功能。
賴委員香伶:數位部新成立,要解決的問題很多,國人對你們最大的期待就是在所謂個資外洩或資安防護的部分是不是數位部重要的主責業務?
唐部長鳳:資安防護當然是,大規模的個資外洩大概都跟資通系統有關,除了個資之外,資安也會同時啟動。
賴委員香伶:資安韌性這部分,我看你的PPT第21頁有三大方向,所以有關關鍵基礎建設的治理作為,是不是比較在你剛剛講的大型防護規劃裡面?
唐部長鳳:就是在我們國家社會運作非常重要的那八個領域。
賴委員香伶:就是公共領域的部分。
第二個是有關資通安全發展方案裡面,有導入公務機關要有零信任網路身分鑑別機制,這個已經在做了嗎?
唐部長鳳:沒錯,現在數位部的一部二署一院都有導入這樣子的機制。
賴委員香伶:好,請教數位部自己本身在資安管理的責任分級裡面算哪一級?是A plus嗎?
唐部長鳳:數位部本身當然A。
賴委員香伶:數位部是A?我看你們要A plus,絕對不能有任何出錯。
唐部長鳳:資安院也是A,只有產業署好像是C,因為沒有全國個資。
賴委員香伶:下一個問題,我們如果要針對資安的管理法或者責任分級來處理A、B、C等級的一些應辦事項,這個法裡面寫得滿清楚,就是A級機關在兩年內要取得CNS 27001或ISO 27001等級的管理標準,所以現在普查起來是不是所有的A級單位都已經達到這個認證標準?
唐部長鳳:當然是,但是我知道委員接下來要問的下一題。
賴委員香伶:你說我要問什麼?
唐部長鳳:就是如果A級單位交換他的個資到資安分級比較低的單位……
賴委員香伶:C級或者B級。
唐部長鳳:C級或甚至更低,這時候這樣子的個資就沒有那麼高程度的防護。
賴委員香伶:那未來我們要怎麼樣防護?因為像以前我的機關就業服務處有上百萬勞工求職的個資,勞動局是B級機關的話,其實嚴格講,資安人員的專業度C級是要最高的,結果它只是一個三級的附屬單位。在資安規格裡面,你有沒有可能考慮在公務機關分級標準的性質或者評選裡面做調整?這是一個很實務的問題。
唐部長鳳:謝謝委員給我機會說明。當時會分成A、B、C級,其中有一個想法就是向上集中,也就是說,如果C級機關要自建系統,不如去讓他的督導B級或A級機關幫他建,他用這個系統就好了,因為系統與系統之間,A級機關之間,其實是有安全的T-road這個通道介接,這樣就比較不會出問題。
賴委員香伶:所以上級集中管理才是比較好的。
唐部長鳳:對。
賴委員香伶:不是讓下級機關一天到晚編預算、一天到晚委外做資訊維護,然後完全沒有辦法防護到資安水平,我的看法是這樣。
唐部長鳳:同意。
賴委員香伶:既然你們是督導單位,不管中央政府或地方政府,如果是B、C級的資安人員或資安防護的作法,可不可能朝剛剛講的向上集中管理、向上的通道之間形成比較高的防護?是這個意思嘛?
唐部長鳳:對,我想資安法通過以來一直都是這樣子。
賴委員香伶:好,我們回歸到現在辦理資安滲透測試這部分,前幾天好像部長在節目上有談到滲透測試,細節內容我當然沒有很瞭解,但是過去我們的機關也常常要進行滲透防護的演練,現在有紅隊跟藍隊,你是不是有提到一個「紫隊」的概念?
唐部長鳳:對,紫隊就是紅隊跟藍隊充分合作,紅隊的攻擊方式,藍隊也有掌握,而藍隊能夠用攻擊者的思路來想事情。
賴委員香伶:那這樣紫隊的角色是什麼?
唐部長鳳:紫隊在講的就是紅藍結合的這件事。
賴委員香伶:所以它如果說要有一個data去核實,現在是不是並沒有紫隊的概念?
唐部長鳳:有這樣子的一個訓練平臺,像資安院就有研發讓藍隊進入模擬紅隊正在打進來的那個場合的訓練平臺,類似我們的術科考試,我自己也有上機考。
賴委員香伶:現在我們的政府部門,以A單位的你們為例,你們自己每年會做弱點掃描滲透測試,那會以coach的角色。做紅、藍之外,剛剛講的那套演練、校練嗎?
唐部長鳳:我們自己的資安專責人員,包含資安院的人員,都有經過這個術科,包含我自己在內。
賴委員香伶:術科是指?
唐部長鳳:就是實際進入這個系統,模擬紅隊正在打進來,然後我們要及時反應,我有去考試考了30分鐘。
賴委員香伶:以這些考試人才的專業度來講,他們已經可以做一部分預防未來個資被攻擊或者外洩問題的防護到什麼樣的標準?
唐部長鳳:會希望我們的藍隊瞭解到紅隊進攻的想法……
賴委員香伶:瞭解思維是什麼。
唐部長鳳:以及他可以及時去聯繫、應變通報藍隊要進入一個聯防的狀態,這是兩個目的。
賴委員香伶:現在法制規範上好像並沒有要走紫隊的要求,所以這個標準辦法的訂定是你們數位部的職掌嗎?
唐部長鳳:我們一直有一個想法,我們也不斷地跟考試院討論,資安不只是資訊人員裡面的一些工作內容……
賴委員香伶:是資安人員的考科?
唐部長鳳:而是資安變成自己的類科,這個類科裡面就會納入像這樣子的術科考試,但是還是由考試院來做,不是我們幫考試院考,而是我們設計怎麼考。
賴委員香伶:早上我有質詢考試院劉秘書長還有人事總處的副人事長,他們也提到你們已經提出這個需求,我希望他一個月內提出紫隊的資安人員到底是哪一些專業證類的專長,其職類、分析的職掌跟薪給都要一併考慮,否則我認為這麼專業的人士可能都到民間去,也未必要來政府部門。
既然部長是我們首屆,也是首任的數位部部長,責任重大,能夠將剛剛講到的新作法導入公部門。因為公部門最大的問題就是沒有預算科目給它,它就辦不了事,沒有辦法做超越現在法制上給它的。如果這部分實驗性那麼強,而且你們幾位都考過這個術科,怎麼樣再訓練一批現在政府部門裡面的資安人員,即使他們沒有到那個水平,但他要有……
唐部長鳳:就是現有的資訊人員變成藍隊,再變成有紫隊的能力。
賴委員香伶:是,一定要這樣,不然我覺得很可惜,以前我們在地方政府最缺的就是資訊人員,請你們多給他們鼓勵。
唐部長鳳:是,謝謝委員。
主席:請鄭委員正鈐發言。(不在場)鄭委員不在場。
請張委員其祿發言。
張委員其祿:(11時57分)部長好,今天很多委員關切的還是資安的問題,不過坦白說,今天我們談的問題可能比較大哉問。
數發部成立之後,大家都覺得資安全部都應該是數發部負責,把數發部當成一個監理機關在看,可是這好像也不是原來數發部的角色目標,因為數發部還是比較功能性的,甚至更應該是國家數位產業政策的執行部會,如果說是監理,其實也沒辦法到,所以之前您剛就任的時候一直說你們扮演的比較是教練的角色,coach的角色。
主席:請數發部唐部長說明。
唐部長鳳:對啊!
張委員其祿:所以應該這樣講,我們現在看個資外洩,當然這問題也嚴重,基本上之前行政院有會議說防止非公務機關個資外洩的部分,但是另外一方面,我們自己的公務機關又很多,我懂你的意思,就是你們是在教每個部會怎麼把資安搞好、弄好,可是現在這個帳還是算在你們身上,因為大家真的對你們的期待太高了,我只能這樣講。
現在部長你們也對一些重大個資外洩的事件出手,納入聯繫機制,可是光做這些事情,看起來好像也還是沒有辦法做到太多,甚至講白一點,大家會把帳都算在你們身上,你現在怎麼看這件事?因為有那麼多政府部會,他自己能不能有效做到資安、能不能不外洩,不管是實聯制的問題、之前健保署主秘的問題,甚至用戶政資料去詐騙的問題等,這有辦法嗎?正本清源還是監理機制應該要趕快出來才行吧?
唐部長鳳:謝謝委員給我機會說明。確實我剛剛有提到,我2014年底做為專案顧問加入行政院的團隊,當時關於資安專責的行政法人搭配資安法,以及關於獨立的個資機關,那個時候已經是快10年前了,大家就理解到這個是必須採行的方向,後來當然因為歐盟GDPR的推行,變成國發會一面談GDPR,一面成立個資辦公室。不過委員剛剛也已經講了,公部門資安部分的系統安全,我們資安署責無旁貸。至於個資外洩的部分,不管是不是資安系統造成的,未來會是這個獨立的各自專責機關……
張委員其祿:現在這個獨立機關在進程上,剛剛部長也講,國發會自己……
因為現在各國公務或非公務機關大概都要受監理,所以目前我們到底在這個進程上如何?你知道現在這很複雜,甚至連國人搞不好都不清楚,因為一方面個資保護法主管是國發會,但是他們又沒有有效的能力,我直白說。
唐部長鳳:我們聯防嘛。
張委員其祿:所以現在這個獨立機關,你覺得現在的監理機制是這樣?
唐部長鳳:就是獨立的機關,它以後會是個資法的主管機關,個資法目前本來就包含公務跟非公務機關,所以委員剛剛的問題就是這個新的獨立機關會不會這兩個部分都過去,以我目前對國發會個資辦的理解是會的。
張委員其祿:所以就跟世界各國的概念是一致的?
唐部長鳳:是同步的。
張委員其祿:好,那就是把公務跟非公務都擺進去。
坦白說,確實現在產生的問題就是好像公務部門漏洞感覺比私部門還多,私人部門還滿緊張的,有些銀行他們要是真的犯了錯,那不得了,所以他們其實更緊張,我覺得反而現在公部門在這一塊還滿欠缺的。這樣子到底這個監理機制,這個獨立機關、委員會怎麼樣更快速的出來?我覺得這要很快,不然現在國人會把帳都算在部長你們這邊。
唐部長鳳:理解委員的意思,我們當然是全力協助,當然是這樣。
張委員其祿:最後還要問個比較細節性的小問題,現在我們整個環境數位產業環境變遷得很快,你看現在冒出ChatGPT,大家趨之若鶩,每個人都上去問問題,現在的問題是數發部怎麼因應這些更快速的東西?因為之前有多元宇宙科,現在這些新東西出來,你們怎麼做?給部長一個機會談。
唐部長鳳:謝謝委員。確實,我們的產業署是電子簽章法的主管機關,以前的電子簽章都是機構簽憑證等傳統作法,但是現在,像委員提到NFT,就很像是有一個全球性的公證人,你用自己的電子簽章,它就幫你做公證,等於跳過本來機構公證的角色,但是電子簽章法有沒有意義?還是有意義,所以電子簽章怎麼去跟Web 3結合,這個就是委員這邊講的多元宇宙科跟產業署要齊心協力做的事情。
張委員其祿:最後我問一個問題,因為現在新的東西一直不斷出現,比如像這種AI的機器人,在你們自己內部,比如這些科或者數發部裡面,現在這類的人才夠不夠?來不來得及真的及時瞭解這些?
唐部長鳳:就我自己來講,因為我之前在蘋果6年都是一起參與開發Siri,所以大型語言模型或者一些NLPAI技術等等,我多少懂一點。
張委員其祿:你的話我相信,但是因為同仁都是公務員,他來得及跟上嗎?
唐部長鳳:我想重點還是讓公務員有第一手的正面使用經驗,只要累積這樣的經驗,他就比較知道這些新興概念怎麼用在好的部分,這樣子委員剛剛提到怎麼提醒大家不好的部分、要怎麼樣對應才做得到。
張委員其祿:反正人力還有這些know how的部分,你們自己要加強在職訓練。謝謝。
唐部長鳳:謝謝委員。
主席:接下來登記發言的莊委員競程、邱委員志偉、林委員楚茵及廖委員國棟均不在場。
登記質詢委員均已發言完畢,作以下決定:一、報告及詢答完畢。二、委員趙正宇、傅崐萁、劉櫂豪、陳素月、吳欣盈、林楚茵及劉建國所提書面質詢列入紀錄並刊登公報。三、委員於質詢中要求提供相關書面資料或未及答復部分,請數位發展部儘速以書面答復。
委員趙正宇書面質詢:
1.新聞媒體的多元環境有助於民眾知的權利,是民主社會運作的重要環節,然目前國際數位平台業者的分潤以及演算法皆不透明,恐對台灣媒體造成衝擊,特此向數發部提出質詢:
一、針對數位平台與媒體間之分潤機制,本席曾在質詢提出應盡速研擬議價法案。日前數發部已進行四場會議,邀請google、meta兩大數位平台與廣電、平面媒體對話,數發部作為議價法案主管機關,應該加速彙整雙方共識,建立分潤機制,提出相關草案,期能健全媒體產業並提供民眾良好媒體環境。
二、跨國數位平台使用台灣媒體內容時,也會收集資料進行演算法,再推薦更多內容給使用者,無形中也對台灣媒體造成衝擊。這些平台的推播標準與國內新聞媒體不同,平台在負面、八卦新聞及假新聞的傳播更快,完全沒有守門功能。數發部應針對相關情形研擬應對措施,避免對於台灣媒體產業及閱聽民眾造成不良影響。
2.二月底爆發共享汽車品牌iRent有40筆消費者個資遭到外洩,除了消費者的姓名、電話,甚至連身分證、住家地址、駕照照片通通外洩。事實上,這已經是兩個月內的第四起個資外洩事件。包括健保署、華航以及格上租車都發生相關個資外洩問題。特此向數發部提出質詢。
一、針對政府部門,我國日前才剛成立資安院,要求全國各資相關的公務機關,必須導入零信任和政府資料傳輸平台制度,強化守門機制。不過政府資安問題有時不僅是外部駭客侵入,也會出現監守自盜的情形,數發部應研擬防堵方式。
二、針對民間企業,政府已開始進行電商資安輔導措施,並建立資安聯防情資與通報機制平台,同時近期也鼓勵電商物流業者引入「隱碼技術」,期能降低個資外流情形。不過我國中小企業資安意識普遍不足,數位部仍應多加推廣,同時針對業者的重大缺失也應該開罰,輔導與裁罰並行,方能杜絕個資外洩。
委員傅崐萁書面質詢:
一、禁抖音!綠色恐怖降臨?
美國於兩週內19個州政府宣布公部門進用抖音
2022/12/05數發部宣布公部門禁用抖音
數位部官員表示,抖音或TikTok(國際版)是危害國家資通安全產品,已經限制公部門資通設備及所屬場域使用。也就是說,公部門配有的手機、平板及電腦,都不能下載使用抖音或TikTok。
2022/12/12政院所屬部會禁用抖音並協調四大院比照
行政院秘書長李孟諺12日於立法院內政委員會備詢時表示,將與其他四大院協調,盼能比照行政院的作法辦理;行政院發言人羅秉成表示,公務員若違反,將依相關規定懲處。同日數發部於推出台灣雲市集服務,由部長唐鳳教大家如何點麵線!遭批,點麵線有外送平台,不用勞駕數位部!
2022/12/13民進黨檢討敗選原因,抖音遭點名
民進黨九合一敗選檢討小組13日舉行第二次檢討會議。今天由檢討小組召集人鄭文燦邀集策略的主要操盤手或是核心幹部進行深度座談,與會人士提到,社群戰部分也有很多討論,因為現在包括抖音等大量內容被轉傳到line群組等,這是認知作戰,假消息來不及消毒,未來黨應該規劃認知作戰專題來深入研究。
2022/12/14民進黨立委建議研發台版抖音!唐鳳:同意
立法院14日舉行聯席會議,立委莊瑞雄關心抖音的議題,並指出政府不應該一味禁抖音,而是要研發本土軟體社群,做替代使用。對此,唐鳳表示很同意要有替代軟體的想法,數位部也一向都是這樣想法。
2022/12/20唐鳳表示:是否立法禁抖音,需要有共識
數位發展部長唐鳳20日表示,公部門已明確禁止使用抖音軟體,至於民間是否立法禁用抖音,必須先取得社會共識,將在26日資安會報討論。
抖音台灣註冊用戶已突破416萬,根據直播主高鈞鈞以自身經驗分析,她經營國際版的TIK TOK,其實是無法談論時事、政治,她只能放吃東西、跳舞等影片。
1.民進黨施政不利導致敗選!請問與抖音何關?部長認同抖音是民進黨敗選因素嗎?
2.美國公部門禁抖音台灣公部門也禁,請問真的是國安因素還是美方壓力?YT、IG、FB就沒有資安問題?目前公部門全面禁用抖音,民間是否禁用?
3.有委員建議研發台版抖音,建議部長除了台版抖音、官方Foodpanda、Uber Eats(台灣雲市集)外,順便研發台版YouTube、Instagram、Facebook!用戶預估可達817萬以上!
二、個資頻繁外洩!數發部有何對策?
