立法院第10屆第7會期交通委員會第11次全體委員會議紀錄
時 間 中華民國112年5月22日(星期一)9時1分至12時35分
地 點 本院紅樓201會議室
主 席 陳委員雪生
主席:出席委員已足法定人數,現在開會。
進行報告事項。
報 告 事 項
宣讀上次會議議事錄
立法院第10屆第7會期交通委員會第10次全體委員會議議事錄
時 間:中華民國112年5月15日(星期一)上午9時5分至11時48分
地 點:本院紅樓201會議室
出席委員:蔡培慧 李昆澤 洪孟楷 陳歐珀 陳椒華 趙正宇 魯明哲 何欣純 陳素月 林俊憲 許智傑 劉櫂豪 陳雪生 傅崐萁
委員出席14人
列席委員:王美惠 孔文吉 廖國棟Sufin.Siluko 游毓蘭 鄭正鈐 李德維 王鴻薇 高金素梅 羅明才 吳欣盈
委員列席10人
請假委員:邱顯智
委員請假1人
列席官員: |
交通部 |
政務次長 |
陳彥伯 |
|
航政司 |
副司長 |
韓振華 |
|
路政司 |
副司長 |
蔡書彬 |
|
會計處 |
處長 |
張信一 |
|
交通事業管理小組 |
執行秘書 |
沈慧虹 |
|
公路總局 |
局長 |
陳文瑞 |
|
臺灣鐵路管理局 |
局長 |
杜 微 |
|
鐵道局 |
局長 |
伍勝園 |
|
民用航空局 |
副局長 |
方志文 |
|
觀光局 |
副局長 |
周廷彰 |
|
航港局 |
副局長 |
劉志鴻 |
|
臺灣港務股份有限公司 |
董事長 |
李賢義 |
|
中華航空公司 |
董事長 |
謝世謙 |
|
桃園國際機場股份有限公司 |
總經理 |
范孝倫 |
|
台灣高速鐵路股份有限公司 |
總經理 |
鄭光遠 |
|
行政院主計總處公務預算處 |
專門委員 |
黃小娟 |
主 席:許召集委員智傑
專門委員:李健行
主任秘書:金允成
紀 錄:簡任秘書 黃淑敏 簡任編審 林桂美 科長 江建逸
專 員 劉芳賢
報 告 事 項
一、宣讀上次會議議事錄
決定:議事錄確定。
二、處理112年度中央政府總預算關於交通部主管預算凍結書面報告案計48案:
(一)交通部函,為112年度中央政府總預算決議,檢送該部決議(一)「業務費」項下「委辦費」預算凍結十分之一書面報告案。
(二)交通部函,為112年度中央政府總預算決議,檢送該部決議(二)「媒體政策及業務宣導經費」預算凍結1,000萬元書面報告案。
(三)交通部函,為112年度中央政府總預算決議,檢送該部決議(三)第1目「交通科技研究發展」預算凍結五分之一書面報告案。
(四)交通部函,為112年度中央政府總預算決議,檢送該部決議(四)第2目「一般行政」預算凍結十分之一書面報告案。
(五)交通部函,為112年度中央政府總預算決議,檢送該部決議(六)第4目第1節「路政管理」預算凍結500萬元書面報告案。
(六)交通部函,為112年度中央政府總預算決議,檢送該部決議(七)第4目第2節「汽車燃料使用費經徵管理」預算凍結十分之一書面報告案。
(七)交通部函,為112年度中央政府總預算決議,檢送該部決議(八)第5目「道路交通安全」預算凍結十分之一書面報告案。
(八)交通部函,為112年度中央政府總預算決議,檢送該部決議(九)第6目「航政港政業務管理及執行」預算凍結500萬元書面報告案。
(九)交通部函,為112年度中央政府總預算決議,檢送該部決議(十)第7目第1節「臺灣鐵路管理局」預算凍結十分之一書面報告案。
(十)交通部函,為112年度中央政府總預算決議,檢送該部決議(十一)第7目第2節「國際機場園區股份有限公司」預算凍結十分之一書面報告案。
(十一)交通部函,為112年度中央政府總預算決議,檢送該部決議(十二)第8目第1節項下「國道公路建設管理基金」預算凍結50萬元書面報告案。
(十二)交通部函,為112年度中央政府總預算決議,檢送該部決議(十三)第10目「偏遠地區交通建設」預算凍結500萬元書面報告案。
(十三)交通部函,為112年度中央政府總預算決議,檢送該部決議(六十四)第2目項下「郵政發展及管理」預算凍結十分之一書面報告案。
(十四)交通部函,為112年度中央政府總預算決議,檢送該部決議(六十六)第4目第1節「路政管理」預算凍結6,700萬元書面報告案。
(十五)交通部函,為112年度中央政府總預算決議,檢送該部決議(六十八)第4目第1節項下「智慧運輸系統發展建設計畫」預算凍結100萬元書面報告案。
(十六)交通部函,為112年度中央政府總預算決議,檢送該部決議(六十九)第5目「道路交通安全」預算凍結五分之一書面報告案。
(十七)交通部函,為112年度中央政府總預算決議,檢送該部決議(七十)第6目項下之「資訊服務費」預算凍結50萬元書面報告案。
(十八)交通部函,為112年度中央政府總預算決議,檢送民用航空局決議(一)第1目「一般行政」預算凍結十分之一書面報告案。
(十九)交通部函,為112年度中央政府總預算決議,檢送民用航空局決議(二)第2目「空運管理業務」預算凍結十分之一書面報告案。
(二十)交通部函,為112年度中央政府總預算決議,檢送民用航空局決議(三十一)第2目「空運管理業務」預算凍結十分之一書面報告案。
(二十一)交通部函,為112年度中央政府總預算決議,檢送中央氣象局決議(一)第1目項下「委辦費」預算凍結十分之一書面報告案。
(二十二)交通部函,為112年度中央政府總預算決議,檢送中央氣象局決議(二)第1目「氣象科技研究發展」預算凍結二十分之一書面報告案。
(二十三)交通部函,為112年度中央政府總預算決議,檢送中央氣象局決議(三)第2目「一般行政」預算凍結二十分之三書面報告案。
(二十四)交通部函,為112年度中央政府總預算決議,檢送中央氣象局決議(四)第3目「氣象測報」預算凍結十分之一書面報告案。
(二十五)交通部函,為112年度中央政府總預算決議,檢送中央氣象局決議(十一)第1目第1節「氣象科技研究」預算凍結100萬元書面報告案。
(二十六)交通部函,為112年度中央政府總預算決議,檢送中央氣象局決議(十二)第1目第1節項下「氣象科技研究」預算凍結100萬元書面報告案。
(二十七)交通部函,為112年度中央政府總預算決議,檢送中央氣象局決議(十三)「氣象資訊之智慧應用計畫」之「資訊服務費」預算凍結80萬元書面報告案。
(二十八)交通部函,為112年度中央政府總預算決議,檢送中央氣象局決議(十四)第1目第4節「地震測報」預算凍結200萬元書面報告案。
(二十九)交通部函,為112年度中央政府總預算決議,檢送觀光局決議(一)第1目「一般行政」預算凍結十分之一書面報告案。
(三十)交通部函,為112年度中央政府總預算決議,檢送觀光局決議(二)第2目「觀光業務」預算凍結十分之一書面報告案。
(三十一)交通部函,為112年度中央政府總預算決議,檢送觀光局決議(三)第3目「國家風景區開發與管理」預算凍結十分之一書面報告案。
(三十二)交通部函,為112年度中央政府總預算決議,檢送觀光局決議(四)第4目第1節「交通作業基金」預算凍結十分之一書面報告案。
(三十三)交通部函,為112年度中央政府總預算決議,檢送運輸研究所決議(一)「派員出國計畫」預算凍結二分之一書面報告案。
(三十四)交通部函,為112年度中央政府總預算決議,檢送運輸研究所決議(二)「委辦費」預算凍結十分之一書面報告案。
(三十五)交通部函,為112年度中央政府總預算決議,檢送運輸研究所決議(三)第1目「運輸科技應用研究業務」預算凍結十分之一書面報告案。
(三十六)交通部函,為112年度中央政府總預算決議,檢送運輸研究所決議(四)第2目「一般行政」預算凍結二十分之三書面報告案。
(三十七)交通部函,為112年度中央政府總預算決議,檢送運輸研究所決議(五)第3目「運輸研究業務」預算凍結十分之一書面報告案。
(三十八)交通部函,為112年度中央政府總預算決議,檢送運輸研究所決議(六)第4目第1節「營建工程」預算凍結200萬元書面報告案。
(三十九)交通部函,為112年度中央政府總預算決議,檢送運輸研究所決議(十二)第3目「運輸研究業務」預算凍結100萬元書面報告案。
(四十)交通部函,為112年度中央政府總預算決議,檢送公路總局決議(二)第2目「公路及監理業務管理」預算凍結十分之一書面報告案。
(四十一)交通部函,為112年度中央政府總預算決議,檢送公路總局決議(三)第3目「公路建設及改善計畫」預算凍結十分之一書面報告案。
(四十二)交通部函,為112年度中央政府總預算決議,檢送公路總局決議(四)第4目「一般建築及設備」預算凍結十分之一書面報告案。
(四十三)交通部函,為112年度中央政府總預算決議,檢送公路總局決議(二十九)第2目項下「資訊服務費」預算凍結150萬元書面報告案。
(四十四)交通部函,為112年度中央政府總預算決議,檢送公路總局決議(三十)第3目「公路建設及改善計畫」預算凍結1,500萬元書面報告案。
(四十五)交通部函,為112年度中央政府總預算決議,檢送鐵道局決議(一)第1目「一般行政」預算凍結十分之一書面報告案。
(四十六)交通部函,為112年度中央政府總預算決議,檢送鐵道局決議(二)第2目「鐵道業務」預算凍結十分之一書面報告案。
(四十七)交通部函,為112年度中央政府總預算決議,檢送鐵道局決議(三)第3目「國家鐵道建設與管理」預算凍結十分之一書面報告案。
(四十八)交通部函,為112年度中央政府總預算決議,檢送鐵道局決議(四)第4目「鐵公路重要交通工程」預算凍結十分之一書面報告案。
決定:第(一)案至第(四十八)案,均予以備查,提報院會。
邀請交通部就「疫後國際航線規劃及全台整體觀光行銷規劃及願景」進行專題報告,並備質詢。
討 論 事 項
審查112年度中央政府總預算關於交通部主管預算凍結書面報告案計3案:
一、交通部函,為112年度中央政府總預算決議,檢送該部決議(五)第3目「航政業務規劃及督導」預算凍結十分之一書面報告案。
二、交通部函,為112年度中央政府總預算決議,檢送該部決議(六十五)第4目「路政業務規劃及督導」預算凍結2,000萬元書面報告案。
三、交通部函,為112年度中央政府總預算決議,檢送公路總局決議(一)第1目「一般行政」預算凍結十分之一書面報告案。
(本次會議專題報告與討論事項合併詢答,由交通部政務次長陳彥伯及航政司副司長韓振華報告後,計有委員洪孟楷、陳椒華、陳歐珀、李昆澤、趙正宇、蔡培慧、何欣純、陳素月、林俊憲、許智傑、劉櫂豪、魯明哲、王鴻薇及吳欣盈等14人提出質詢,均經交通部政務次長陳彥伯及相關人員分別予以答復。)
決定:
一、報告、說明及詢答完畢。
二、委員張其祿及傅崐萁所提書面質詢,均列入紀錄並刊登公報。
三、委員於質詢中要求提供相關書面資料或未及答復部分,請交通部儘速以書面答復。
決議:討論事項第一案至第三案,均同意動支,提報院會。
通過臨時提案1項:
一、近日台南一起休旅車左轉未禮讓行人,導致3歲女童過斑馬線時被撞身亡之事件,讓「台灣是行人地獄」的話題再度沸騰。近日亦有民眾發起「行人安全大富翁,全台行人罹難路口串聯」之快閃活動,並高喊:「終結行人地獄、還路於民」,用以喚起國人及政府單位對行人安全之重視。對此,交通部日前已發函22縣市,要求推動「行人專用時相」與「行人早開時相」,確保行人通過路口時的安全,各地方政府也陸續響應。
有鑑於國外研究顯示,行人早開時相可降低13%之人車衝突,然我國現無實施「行人專用時相」或「行人早開時相」對行人安全提升之相關數據,為確保行人之安全,及確實追蹤「行人專用時相」或「行人早開時相」之實施成效,爰請交通部盤點將執行「行人專用時相」與「行人早開時相」之幹道路口,並針對「行人專用時相」及「行人早開時相」之實施對行人安全提升之相關數據進行調查,於3個月內向立法院交通委員會提出書面報告。
提案人:陳椒華 陳歐珀 洪孟楷 李昆澤 許智傑
散會
主席:繼續進行今日議程。
邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢。
討 論 事 項
一、審查委員賴品妤等36人擬具「資通安全管理法部分條文修正草案」案。
二、繼續審查委員陳以信等16人擬具「資通安全管理法第二條條文修正草案」案。
三、審查台灣民眾黨黨團擬具「資通安全管理法第三條及第七條條文修正草案」案。
四、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文修正草案」案。
主席:本日進行「電子發票整合服務平台登入系統出現資安缺失,如何就全國政府部門各系統進行資安系統盤點及改善」專題報告,以及資通安全管理法審查。現在進行提案說明。
請提案人邱委員臣遠進行提案說明。
邱委員臣遠:近來臺灣發生多起重大個資外洩事件,嚴重影響國家社會及民眾安全,使得個資與資安成為社會重視的問題,而資通安全管理法是攸關我國資通安全的根本大法。這部法令雖然在107年6月公布施行,但是因為數位發展部在111年8月才成立,依據行政院去年8月24日公告本法有兩個主管機關,部分條文移由數位發展部主管,另外的條文仍由行政院主管,會不會造成雙頭馬車是我們擔心的問題。同時,對照近期發生多起政府內部個資外洩事件,至今沒有辦法釐清原因,顯示這部法律還有很大的檢討及改進空間,很可惜今天並沒有行政院版草案,讓今天的審查美中不足,也凸顯數發部至今的相關定位還有需要討論的空間,但是還是非常感謝交通委員會陳雪生召委將相關草案排入審查的議程。
本黨團認為要完善個資的保護,需要提升本法對於落實資通安全的要求,資通安全應同時包含資訊技術(Information Technology;IT)以及操作技術(Operational Technology;OT)兩個部分,然而現有法規的相關規範僅偏重IT部分,缺乏對於操作技術(OT)的詳細規範,在實際上的運用面臨許多困難。因此,本黨團這一次提出的修法草案主要是參考新加坡網路安全法2018年版本,以及經濟部標檢局CNS-66243國家標準的相關標準,針對操作技術(OT)的風險部分有相關比較詳細的規範,並增加有關資通安全風險評估標準的詳細規範。
另外也參考歐盟一般資料保護規則(GDPR)的規範,作為納入的重點,針對資料傳輸以及資料管理者義務進行相關的規範。本黨團認為資通安全管理法應該要與時俱進,數發部應該加速相關的法規及政策的推動,才能保障人民的權益,並且接軌國際,以提升臺灣競爭力,敬請大家支持,謝謝。
主席:請數位部唐部長報告。
唐部長鳳:主席、各位委員、各位媒體朋友,大家好!我先就貴委員會提出來的「財政部財資中心電子發票整合服務平台」登入系統出現資安缺失部分進行報告,然後再針對委員們提案修正資安法的書面報告進行簡要的口頭報告。
有關最近媒體報導「財資中心電子發票整合服務平台」有一些帳號使用相同預設密碼一案,這個案子是民間的白帽駭客守望相助主動發現之後,透過我聯絡台灣電腦網路危機處理暨協調中心(TWCERT/CC),接下來TWCERT/CC立刻轉知本部資安署處理。資安署立即聯繫財資中心確認及應處,並要求財資中心進行資安通報,我們後來也收到資安通報,也督促相關的改善措施,比方說預設密碼應該要隨機產生,不應該使用相同密碼,如果還有人使用相同密碼應該要強制更改,以及要從單一的因子認證變成雙因子認證等等。財資中心分別於5月11日及5月16日完成了剛剛講到的這些變更,資安署也立刻進行抽測,目前看起來財資是有完成這樣子的修改。但是這只是一個例子,我們希望所有的部會、縣市政府機關都應該要盤點,以避免同樣類型的事件。今天(5月22日)剛好是行政院國家資通安全會報,我們也有安排財資中心報告這個事件的應處及作法,以精進資安防護作為。我們接下來也會在各機關的資安稽核裡面把密碼合宜性納入稽核項目,以避免類似的情事發生,這是這部分的報告。
接下來也很感謝委員剛剛對於提案的說明,資安法修法是我們當然應該做的事情,尤其是剛剛提到主管機關的調適,整部法的主管機關應該是由數位部以及資安署負責,只有在涉及特定的關鍵基礎設施等等,需要行政院聯繫協調的部分,那一部分再請行政院來進行,這個是沒有問題的。剛剛也提到地方政府的部分,因為現在在法遵事項裡面,我們目前的稽核並沒有稽核到地方政府裡面,這個牽涉到地方政府與中央之間的權責關係,這部分我們也正在徵詢地方政府的意見來進行調適。
事實上,雖然我們的版本還沒有送到行政院,但是現在各個地方政府以及相關的部會也正在討論我們之前擬具的一些事項,關於特定非公務機關要增設資安長,應置資安專責人員等等。因為這次的修法範圍比較大,可能來不及在這個會期送到行政院,然後再交立法院審查,所以我們現在會跑一個完整的期程,包含預告60天等等,希望能夠在今年結束前有一個院版,希望有回答到剛剛大家的垂詢,謝謝。
主席:請問各位委員,對上次會議議事錄有無意見?(無)無意見,議事錄確定。
請提案人林委員楚茵進行提案說明。
林委員楚茵:謝謝主席,本席將就資通安全管理辦法第十一條修正案進行提案說明。我們都知道資訊安全越來越重要,我們的政府部門每個月平均受到5到8萬件外來攻擊,去年8月美國前議長裴洛西來臺的時候更是多達10萬件,超過平日單日被攻擊的23倍之多,所以公務機關被駭客攻擊的資訊安全抵擋能力確實非常重要,必須具有扎實的防禦能力才能阻擋來自四面八方的無形攻擊。資安法第十一條規定公務機關應設置資安長,由機關首長指派副首長或是適任人員兼任,推動及監督機關內資通安全相關事務,這是法條規定,但是卻沒有明文要求資安長的專業能力,我認為這是人事上一個非常嚴重的漏洞,資安長是公務機關資安部門的最高決策首長,我國政府部門現任的資安長幾乎都是指派副首長擔任,政府部門的副首長一定具備該部門的專業知識,但是未必受過資安相關訓練或課程,又要負責資訊安全這種來自四面八方的駭客或是日新月異的科技攻擊,遇到重大資安事件等緊急狀況要處理的時候,一定都要請示最高首長。在這樣的狀況下,本席認為必須在明文規定上面把資安長的條件做更制度化的劃分,本席建議我們可以借鏡歐盟資安長的認證制度,要求資安長必須具備資安的核心知識才能妥善規劃並落實資安政策。數發部已經有完整的人才培育課程,也會定期公布資安專業認證單位,如果法規上路,有了配套,我認為我國在資安的部分可以更近於完備,以上是本席的報告,也希望能夠獲得在場委員以及主席的認可,謝謝。
主席:請財政部財資中心張主任報告。
張主任文熙:主席、各位委員先進,大家好。今天貴委員會安排相關部會就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全國政府部門各系統進行資安系統盤點及改善」進行專題報告,以下謹就涉本部電子發票整合服務平台(下稱平台)登入系統弱點改善措施說明如下,敬請指教。
壹、背景說明
平台主要提供營利事業針對所開立之電子發票存證及查詢服務,以供帳務及營業稅申報參用。
112(本)年5月10日接獲民眾於台灣電腦網路危機處理暨協調中心(TWCERT)反映平台配賦之預設密碼為弱密碼,且未強制變更即可登入,存有資安疑慮。
貳、改善措施
一、平台帳號註冊情況
目前平台計有396,163家營利事業註冊,其中使用工商憑證註冊者320,731家,可能受影響者為以帳號密碼註冊者計66,452家(排除已歇業註銷),截至本年5月19日尚未變更密碼計47,423家。
二、處理方式
(一)營利事業預設登入密碼隨機產生
於本年(以下同)5月11日起,調整營利事業新申請登入平台帳號之預設密碼為12位英文數字亂數密碼。
(二)強制營利事業變更預設登入密碼
1.於5月12日以電子郵件通知使用預設密碼之營利事業變更密碼。
2.於5月13日起,針對使用平台配發預設密碼之營利事業,於登入平台後強制立即變更密碼。
3.於5月16日起,須輸入第二因子始得變更預設密碼,以直接阻擋使用舊有預設密碼登入。
(三)顯示上次登入紀錄並以電子郵件通知
於5月17日起,營利事業登入後,於操作頁面顯示上次登入時間,並於5月18日起,提供營利事業可選擇以電子郵件通知登入情形,以供營利事業瞭解帳號登入情況。
參、後續精進作為
營利事業每90日需選擇變更或保留原登入密碼、提供營業人調閱查調紀錄,後續新申請者以加密附件發送強預設密碼。
肆、結語
自民眾發現營利事業使用預設密碼登入平台之資安風險後,本部財政資訊中心即啟動緊急應變措施,修補系統弱點;目前無個人資料外洩情事,亦無接獲營利事業反映資料洩漏情事,惟將持續關注並即時處置回應。
以上說明,敬請各位委員惠予指教,謝謝!
主席:現在進行詢答,先宣告以下事項:詢答時間出席委員5加1分鐘,列席委員3加1分鐘;委員發言登記10時30分截止;各委員如果有提案請在10時前提出,以便議事人員彙整。暫定10時30分休息10分鐘,中午原則上不休息。
請陳委員椒華發言。
陳委員椒華:(9時18分)部長好。我剛剛看你的報告非常簡單,結論就是數發部請財政部加強督導。請問在電子發票平台資安漏洞這個部分,你們查核的時候有發現這個問題嗎?
主席:請數位部唐部長說明。
唐部長鳳:委員好。謝謝委員讓我有機會說明。我剛剛的報告有說請財資中心在今天的資安長會議裡面把這個當作類似一個教案讓大家知道,我們之後也會把它納入我們的稽核項目裡面。
陳委員椒華:就是以後才要稽核,目前數發部或行政院之前的資通會報沒有針對財政部負責的這個業務稽核是不是?
唐部長鳳:我們之前的稽核項目裡面比較沒有特別去看密碼。其實它有密碼管理等等的制度,但是像這個是特定的樣態,就是所有人的預設密碼在某些條件下是相同的,這個沒有納進去。
陳委員椒華:目前看起來就是沒有稽核嘛!
唐部長鳳:有稽核,但是以前不是這個態樣。
陳委員椒華:就是沒有稽核到這個樣態。請問數發部可以預見還沒有稽核到的到底還有多少樣態嗎?
唐部長鳳:當然就是以密碼來講……
陳委員椒華:是出事了才知道嗎?
唐部長鳳:以密碼來講,其實今年跟明年我們就是全面推行所謂的零信任,就是不要再只用密碼認證,所以所有單純用密碼的單因素樣態應該都可以對治。
陳委員椒華:我們接續發生這麼多資安漏洞,像電子發票平台,還有公務機關2016年到現在8起重大個資外洩,還有1,789間上市櫃公司超過7%都有用預設密碼,所以至少有130家上市櫃公司受到影響,國營事業還有監督法人也都出現同樣的問題。數發部身為統籌機關,現在看起來好像是被動在解決資安問題而已,部長怎麼負責任交代說除了今天這種樣態之外,還有哪些樣態,不只是財政部,還有其他部會的資安稽核還沒有找出該稽核而沒有稽核的項目?
唐部長鳳:謝謝委員,這是很好的問題。我想我們的工作不是只是事後的應變跟處置,我們也要在事前建立一些共通的元件,有點像防火建材的認證,並且透過巡檢的方式預先知道哪些元件……
陳委員椒華:那本席問你,我們最近發現現在很多醫院都用中國華大基因的機台,有很多國人做健康檢查的檢體或是檢驗的檢體,你們要怎麼防堵才不會讓這些基因庫的資料都流到中國去,要怎麼防堵外洩?目前主管機關跟數發部要怎麼主動做好防堵作業?
唐部長鳳:謝謝委員的詢問。當然在我們公務機關關鍵基礎設施裡面,危害產品不管硬體、軟體還是服務,原則上是禁止使用,如果沒有特別的替代品,而且可以確保它是在不聯網的情況下操作的話,可以經過資安長簽核使用,所以您提到的……
陳委員椒華:我是針對這個案子,部長你要回答我,中國華大基因現在有非常多機台在各個醫院,甚至研究單位、公家單位都有,關於怎麼去查緝,你可以給本席一個書面報告嗎?
唐部長鳳:我們當然會去了解,因為這是由衛福部本身盤點,我們會在技術上給予支援,舉例來說,剛剛講……
陳委員椒華:我們不要等很多人的基因資料都被人家拿走了才改善,而且現在在修再生醫療法,其實未來的基因檢測資料甚至跟移植、做細胞治療都有相關性,請數發部重視這個問題,好不好?
唐部長鳳:當然,謝謝委員提醒。
陳委員椒華:再來我們知道資安就是國安,我們也希望不要變成一個口號。有一位網友在誠品書店買了「阿共打來怎麼辦」一書,沒想到隨後阿共就真的打電話來了!該名網友表示他自稱是誠品回訪的詐騙電話,甚至頻頻強調中國武統是必然等統戰言論。數發部產業署16日早上有會同資安院、資策會跟內政部警政署組成一個行政調查小組,前往誠品進行實地行政訪查。部長,這個個案涉及後段的認知作戰問題、個資的外洩途徑及相關情形,數發部釐清了嗎?
唐部長鳳:謝謝委員讓我們有機會說明。我們現在就是按照重大矚目程序,3天之內調查,10天之內報告,14天之內做出處分,這個處分也會對外公開。至於你提到行政調查的部分,我們是不是請產業署的同仁簡單說明?
主席:請數位部產業署林副署長說明。
林副署長俊秀:跟委員報告,我們會遵照剛剛部長講的,按照重大矚目案件的程序,10天內會出報告,14天內行政院會開會說明。
陳委員椒華:有這樣的認知作戰,包括這樣的電話。我們知道刑事警察局公布2022年高風險賣場的排名,依序是博客來網路書店、旋轉拍賣、蝦皮、誠品及廸卡儂等,對於疑似個資外洩的電商,刑事局有會同數發部進行資安訪談,提供相關的資源。到今天為止,數發部有接到刑事局函送嗎?到底有幾家綜合性的電商?又做了幾家行政訪查?裁罰是不是還是掛零?有裁罰嗎?
唐部長鳳:本人請產業署代為說明。
林副署長俊秀:目前沒有。
陳委員椒華:部長,我們現在都只是停留在行政查察,然後也不罰,像旋轉拍賣、蝦皮在刑事局一直是榜上有名,顯見改善了還是有很大的資安漏洞,請問到底這要如何處理呢?
唐部長鳳:因為新版的個資法修法,大院已經三讀通過,所以之後我們不會只是查察,之後若沒有改善才裁罰;事實上如果我們確定是它所洩漏的就會先罰,然後再進行改善的要求。
陳委員椒華:好。剛剛第一個問題忘了請財政部回答,請你回答一下目前財政部稽核的情況,到底為什麼會有這樣的漏洞?共稽核了幾次?為什麼都沒有發現?
主席:請財政部財資中心張主任說明。
張主任文熙:報告委員,我們分成定期稽核跟專案稽核,平常本來的稽核是每半年就會有一次定期稽核,但是密碼的部分,平常我們都會要求使用者變更它的密碼,但是並沒有稽核它是不是真的有變更。另外,這個範圍主要是發生在營利事業單位中,沒有使用工商憑證的使用單位,其實實際上有80%的營利事業者是使用工商憑證,當時為了鼓勵大家使用電子發票,對於不願意申請工商憑證者,我們會請他到國稅局去開立帳號、密碼,是這部分的業者才會發生設立帳號密碼的問題,以上說明。
陳委員椒華:主任,這個樣態其實已經滿嚴重的,財政部針對這些還有沒有稽核到的樣態,是不是可以趕快密集的進行查察?
張主任文熙:報告委員,目前我們已經有全面清查,針對常用弱密碼的樣態,我們也會進行檢核,也會強制他們進行變更。
陳委員椒華:部長,再請問一下,先前質詢次長的時候,他曾回答說,如果有個資外洩的問題,第一時間通報數位部督導的財團法人網路資訊中心(TWNIC),是這樣嗎?目前個資的督導,第一時間是要去通知這個財團法人、單位嗎?
唐部長鳳:這個是電腦網路危機處理暨協調中心(TWCERT/CC),這支計畫目前確實是在TWNIC底下,我們正在規劃,看看是不是明年整併到資安院裡面。
陳委員椒華:我之前好像有質詢過部長,部長的回答是資安院,那現在是改由這二個財團法人來做嗎?
唐部長鳳:不是!不是!您剛剛提到的是發生的時候來釐清它是不是,但一旦釐清是,要去行政調查就是資安院了。
陳委員椒華:他們現在收到多少件的通報?
唐部長鳳:TWCERT/CC收到的通報不一定都跟個資有關,我們現在實際上收到的重大矚目案件大概有十幾件。
陳委員椒華:就是個資的部分有十幾件,執行的部分是由誰來執行?
唐部長鳳:就是由主管機關,因為目前還沒有獨立的個資會,當然委員知道新的個資法裡面已經提到會有獨立的個資會,但是在還沒有的情況下,像之前微風案實體的部分就是經濟部來負責;格上案的部分就是交通部;無店面零售就是我們產業署。
陳委員椒華:部長,數發部成立後有很多業務是由資安署負責,資安署就是原來的行政院資安會報,對不對?
唐部長鳳:對,它是幫忙公部門跟關鍵基礎設施。
陳委員椒華:可是資安外洩問題這麼嚴重,而且各個部會資安洩漏的樣態非常多,你有把握、你有信心能夠做得好嗎?現在本席真的也對你沒信心。
唐部長鳳:我想事後的應處當然必須要持續做,但是最重要的是事前的巡檢,就像剛剛講到的,如果之前巡檢的時候就發現……
陳委員椒華:但樣態沒有被發現的話,你要如何巡檢?現在的問題是搞不好資通署還有數發部都搞不清楚這些樣態是什麼,都是各部發生問題才跟你們求救,而且你們也還沒有稽核完全啊!
唐部長鳳:我想數位部成立之後,跟之前最大的不同,就是我們從今年開始有主動巡檢,我們稱其為韌性巡檢,特別是在技術上,就這些共同元件去巡檢,而不是像之前比較大規模的稽核,比較是包含管理員……
陳委員椒華:部長,你們從掛牌到現在幾個月了?
唐部長鳳:8月到現在已經超過半年了。
陳委員椒華:希望不只是數發部,還有個各中央主管機關,還有他們轄下的各目的事業主管機關,都能夠把所有資安稽核的樣態都找出來,可以嗎?
唐部長鳳:當然……
陳委員椒華:你有信心多久可以做出來?
唐部長鳳:我們這個巡檢……
陳委員椒華:就是找出該稽核的樣態,需要多少時間?
唐部長鳳:這個韌性巡檢到今年年底會統括出最基本的樣態,然後在明年會大規模執行。
陳委員椒華:要到年底嗎?還要那麼久嗎?3個月可以嗎?
唐部長鳳:我想我們的韌性巡檢有自己要走的節奏,但是我們現在正在集結一個樣態。
陳委員椒華:我現在講的是樣態,不是要你完成全部的巡檢。請提供樣態,好嗎?
唐部長鳳:我們三個月內給委員一個書面報告,就是從現在算起三個月蒐集到的樣態,但不包含全部就是,就是到年底前要稽核的部分。
陳委員椒華:數發部也可以去要求各個目的事業主管機關,將他們自己該做的、沒有查出來的樣態找出來。
唐部長鳳:有,我們今天在資安長會議也會這樣要求。謝謝。
陳委員椒華:好,謝謝。
主席:請林委員俊憲發言。
林委員俊憲:(9時31分)部長好。誠品疑似個資外洩這個事情,現在看起來這是怎麼外洩的?
主席:請數位部唐部長說明。
唐部長鳳:委員好。目前正在調查中,大概有幾個可能性,一個是它本身的網站,另外一個是它的物流、它後面的金流或其他的地方。
林委員俊憲:15日發生到現在已經一個禮拜,你還不知道是因為什麼原因發生的?
唐部長鳳:我們做出裁處才會對外說明。
林委員俊憲:已經一個禮拜了,我在此提醒你,你當部長還不知道?到底哪個比較有可能性,你也沒把握?
唐部長鳳:我們做出裁處的時候會對外說明。
林委員俊憲:好。
再來,過去發生這種詐騙,幾乎都是為了騙錢,我第一次看到這種,這個是認知詐騙,算不算?不是要騙他的錢,而是打電話跟他說,武統是必然的,然後講一些意識型態的話,所以現在看起來,好像又有新的模式了,以前我們都認為所謂詐騙、取得個資主要都是為了錢;以前需要查證的假訊息都是文字、影像,現在、這次則是新的模式,用打電話、散播電話耳語的方式,而且它是一種認知上的宣傳、擾亂、詐騙等等。部長剛剛有提到,現在所謂的資安問題或是我們常講的個資外洩,其實很多發生在政府單位,包括健保署、華航,剛剛有提到iRent,所以其實民間也有,像微風百貨、YouBike、統聯等等,部長說有預先處理、有主動巡檢,是不是?
唐部長鳳:是,那個是特別對有全國個資的機關,今年開始我們會去主動巡檢。
林委員俊憲:那是針對公部門?
唐部長鳳:是。
林委員俊憲:但完全沒有針對民間的企業。就你們專業上的評估,對於一些高風險的企業單位,當它達到一定的規模,比如說它的客戶或是它的會員人數達到一定程度,基本上我認為數發部應該也要把他們納入主動巡檢的對象。
唐部長鳳:這是我們產業署在辦理,所以事實上是有的,之前刑事局告訴我們產業署屬於特別高風險的,即使還沒有發生事件,產業署也會輔導他們導入像隱碼技術等技術。
林委員俊憲:你現在輔導了誰?
唐部長鳳:本人請產業署代為說明。
林委員俊憲:你們主動輔導了哪一家民間企業?
唐部長鳳:大的電商。
主席:請數位部產業署林副署長說明。
林副署長俊秀:我們最近有紅隊演練,包括博客來、創業家兄弟,另外我們每年……
林委員俊憲:對民間企業的部分開始了沒?
林副署長俊秀:關於民間企業,我們每年會有40家次,協助他們去做資安的健檢。
唐部長鳳:紅隊先試著去攻擊。
林副署長俊秀:紅隊就是試著去攻擊的。
唐部長鳳:亦即在有人攻擊之前,我們先找人去攻擊。
林委員俊憲:對,所以現在你所謂的主動巡檢,也要把民間企業納入。
唐部長鳳:產業署這邊也有同樣……
林副署長俊秀:有,我們每年至少會巡檢40家。
林委員俊憲:什麼樣的對象,你們會主動去篩檢,是不是這樣子?
林副署長俊秀:當然是比較高風險的、有個資外洩的優先。
唐部長鳳:可能是個資比較多或之前被通報比較多的。
林委員俊憲:關於誠品書店這件,數位部就可以主動介入,因為它是網路平臺。
唐部長鳳:無店面。
林委員俊憲:其他的像iRent,主管單位是公總,如果照法律規定,應該是交通部的事情,但是交通部哪有能力去處理資安的問題。
唐部長鳳:我們資安院可以協助,這沒有問題。
林委員俊憲:對,它只能找數位部。我覺得數位部現在應該反過來,你們必須要主動出擊,現在政府單位有主動巡檢,民間單位也要主動開始進行。當時數位部成立時社會各界寄予很大的期望,但數位部成立以後,民怨卻更強烈、詐騙更嚴重,這樣看起來數位部的成立讓大家失望,你們並沒有達到當時所設想的功能性目標,這一點請部長應該要加強一下。
唐部長鳳:是。
林委員俊憲:那我再請教唐部長,我以前有要求NCC要主動抽測手機的資安問題。
唐部長鳳:對,特別是比較具有危害可能性的產品。
林委員俊憲:NCC本來沒有抽測,我特別要求他們要抽測,後來NCC果然抽測了15款手機,現在NCC把這個業務切割給數位部,然後這項業務就停了,你們什麼時候會公布?
唐部長鳳:是,NCC把這項業務切割給我們韌性司,我請韌性司跟您報告。
主席:請數位部韌性司鄭司長說明。
鄭司長明宗:報告委員,我們並沒有停止這項業務,這項業務會持續在我們數位部進行。剛剛委員說去年15家中的10家……
林委員俊憲:那你們公布了嗎?
鄭司長明宗:我們即將要公布結果,因為我們要輔導業者做好修補。
林委員俊憲:你不要在那邊胡說八道。以前NCC都是什麼時候公布?
鄭司長明宗:差不多也是這個時間。
林委員俊憲:他們都是1月、5月公布啦!你們數位部從8月成立到現在沒有做任何公布。
鄭司長明宗:因為剛好業務交接關係,請給我們一點時間。
林委員俊憲:你們根本沒有做啊!
鄭司長明宗:已經做好了,我們即將公布。
唐部長鳳:我們有做,現在正在彙整要公布的報告。
林委員俊憲:你們從8月到現在已經成立多久了?我一直注意這個問題,從NCC開始做這件事情,它所抽測的都是一些大廠牌,包括三星、OPPO、Google、Apple等,結果發現Android系統幾乎都要複測才會通過,表示抽測是有效的。它第一次都不會通過,要經過第二次以上複測才會通過,這就表示這樣的抽測是有必要的,而且有效,因為它改善了,複測才通過。Apple大概第一次就會通過,可能因為它是iOS系統。數位部應該把這個工作納入你的職掌範圍,你看你們自己的官網有寫啊!
唐部長鳳:有,如同剛才司長所說的,我們現在是所謂回溯性揭露,待他們修好了,我們就公布,因為如果還沒有修好就公布的話會有安全上的顧慮。
林委員俊憲:以前NCC大概是每年1月會公布一次,然後年中再公布一次,但是數位部從8月到現在根本沒有做任何資訊的揭露,你說你們有做,誰知道?
唐部長鳳:我們會儘快盤點之後加以揭露。
林委員俊憲:部長,你在官網上還清楚載明:是項業務,於本部成立後由本部接替NCC持續推動,你們自己把NCC的職務切割。
唐部長鳳:沒錯,這是我們的工作。
林委員俊憲:既然是你們的工作,就要做給我們看,但是現在看不到,你現在一直說你有做,誰知道是真的還是假的?縱使有做但沒有公布……
唐部長鳳:我們接下來公布時也會專程讓委員知道。
林委員俊憲:目的不是要讓我知道,我們主要是希望這些手機廠商真的要去注意資安的問題,也就是政府有在管這件事情。過去基本上很多Android系統都需要經過複測才會通過,所以表示這樣的抽測是有必要的。我希望數位部成立後,跟NCC推動業務交接,重要工作不能中斷。
唐部長鳳:同意。
林委員俊憲:剛剛司長答復說,搞不好是工作交接的時候造成原本應該要公布的時間沒有公布,我希望這點應該要儘速改善,好不好?
唐部長鳳:好的。
林委員俊憲:好,謝謝部長。
主席:請陳委員素月發言。
陳委員素月:(9時40分)部長早安。日前發生電子發票系統出現資安問題,這件事件的發生就本席所瞭解的,是5月9日白帽駭客用財政部電子發票平臺發給公司的帳號及密碼,測試許多公司的帳號,結果都顯示登入成功。據我所了解,他馬上在第一時間跟部長反映?
主席:請數位部唐部長說明。
唐部長鳳:委員好。是的。
陳委員素月:部長要求他先跟台灣電腦網路危機處理暨協調中心通報。
唐部長鳳:這就跟之前iRent事件一樣,因為這是標準程序。
陳委員素月:既然當時部長已經收到通知,為什麼不能由你馬上轉給TWCERT/CC嗎?
唐部長鳳:我要求先跟TWCERT/CC聯絡,是因為之後如果要跟財政部聯絡時,必須要跟通報人進行確認等,我如果一直在中間中轉的話,我另外還有別的事情要做。
陳委員素月:我覺得很多民眾不一定知道這個程序,是不是會因為這樣的一個程序又延誤了重要的關鍵時間?
唐部長鳳:在這個個案上應該沒有這個問題。
陳委員素月:從這個事件我們也看出這真的是一個很大的漏洞,事實上這樣的漏洞是可以預先去防止的,我覺得這樣的作業程序也顯示財政部沒有資安的意識,怎麼可以在這些公司申請時都給予同一組密碼?雖然有要求他們之後再自行變更密碼,可是我覺得一開始就不應該給同一組密碼。在經過熱心的白帽駭客反映之後,雖然有修正、修改,可是我覺得這樣的一個事件也凸顯出我們政府部門對資安的防禦,不管是意識也好或能力也好,都有待加強。
唐部長鳳:完全同意。
陳委員素月:在此想請教部長,畢竟白帽駭客是很熱心的民間網路高手,那數發部自己有沒有這樣的人力,可以主動來做網路巡視的工作?因為如果完全要仰賴民間熱心的人士來跟我們提供訊息,我覺得這樣可能太弱了。
唐部長鳳:有,也有一些這樣的民間高手加入資安院,所以資安院在掛牌之後,我們就把這個韌性的巡檢當作新的業務積極辦理,這點我們絕對會做。
陳委員素月:所以未來我們會主動來做網路巡邏?
唐部長鳳:對。這是一個,另外一個是剛才財政部提到,其實工商憑證登入是沒有問題的,只是當初因為方便的關係,有些沒有工商憑證就使用密碼,但其實從我們的角度來看,有一些共通的方式,比方說透過個人的手機、TWID、自然人憑證或行動自然人憑證有各種各樣的方式,其實申報綜所稅也都有用過,所以像這些以後應該就是一個標準的程序,不要再只是依賴密碼。
陳委員素月:我覺得資安的問題衍生出詐騙案件,這樣的案例實在是不勝枚舉。截至目前為止,臺灣也發生很多重大的資安事件,包括之前2,300萬筆的戶籍資料外洩,還有iRent租車平臺,以及電子發票平臺,還有民眾向誠品書店購書就接到中共那邊打電話來等個資外洩的事件,這些都讓我們覺得整個臺灣資安的部分確實暴露在一個很大的危機之下,我們也希望數位部不能只是頭痛醫頭,腳痛醫腳,應該要有更大的能力去防止。
另外我想請教關於資安的問題,防毒軟體也是其中一道防火門,最近我有接到民眾反映有關趨勢科技防毒軟體,因為他們在中國大陸有設立研究中心,所以他們對這個防毒軟體也有很大的資安疑慮,他也跟我反映,在幾年前他們也疑似把客戶的資料,亦即使用者瀏覽器的資料回傳到中國的伺服器,所以被美國的蘋果下架。有這樣的事情嗎?
唐部長鳳:我們是不是請資安署跟委員說明?
陳委員素月:好。
主席:請數位部資安署林副署長說明。
林副署長春吟:跟委員說明,有關一些產品,不只是防毒軟體,目前我們除了限制大陸廠牌之外,其他的我們都會進一步關注。委員有提到卡巴斯基,還有一個是趨勢科技,像趨勢科技之前曾經因為採購的議題,美國政府有一些新聞出來,不過目前趨勢科技還在美國國防採購清單上,美國國防部還是會跟它採購,那一次的事件他們調查起來,比較像是內部一個人員的議題。相關的一些concern,因為這些軟體我們都持續在關注,如果有比較高的風險情資出來,我們就會進一步處理,目前應該還在可控的範圍裡。
陳委員素月:好,就防毒軟體的部分,數發部會不會給公務部門一些建議,像安全或者是禁止使用的廠牌?
唐部長鳳:我想我們除了透過共同供應契約等等方式,把我們覺得OK的品牌推薦給各個相關機關之外,我們也會持續防堵危害產品進入公部門,這兩個部分,我們都會做。
陳委員素月:我想這個部分很重要,我們也希望數發部可能要多用一些心力,謝謝。
唐部長鳳:謝謝委員提醒。
主席:請蔡委員培慧發言。
蔡委員培慧:(9時47分)部長你好。在具體質詢之前,我注意到韌性建設司要去關注,提供資通安全者防護之推動及管理,請告訴我一個具體的進展,或者是具體做的項目。
主席:請數位部唐部長說明。
唐部長鳳:委員好。我想這是我們所有司署一起聯防,不是只有韌性司,而且委員提到了財政部,因為它屬於公部門,主要是資安署。
蔡委員培慧:不是財政部,這是我從你們的網頁找到的,數位發展部韌性建設司的職能……
唐部長鳳:應該是通傳網路……
蔡委員培慧:通訊傳播關鍵基礎設施提供者之資通安全防護推動及管理。
唐部長鳳:是,像電信相關的業者。
蔡委員培慧:這個都沒有問題,我只要知道具體的進展、具體的內容、具體的設施。
唐部長鳳:有關做了什麼,是不是請韌性司跟委員說明?
主席:請數位部韌性司鄭司長說明。
鄭司長明宗:通訊傳播網路是資安管理法裡面八大關鍵基礎設施的其中之一,我們按照法遵,每年事前維護計畫的審查、事中如果發生事件的通報、事後或者平常資訊情資的分享都按照資通安全管理法,由數位部韌性司負責通訊傳播的相關管理業務。
蔡委員培慧:好,你剛剛講的就如同我在網路上看的,我要的是具體,為什麼呢?因為我有特別注意到數發部資安署要協力民間企業資安升級,它牽涉到的就是你們做了哪些事。我舉兩個例子來講,比如我們要來協助民間企業升級,大家想到的可能是臉書、Meta,可是我想問你,我們每天在搭計程車,有很多的計程車業者包括55688或各式各樣的,其實那裡頭有非常多資安,你住在那裡、去哪裡,或者是有沒有中途到哪裡等等,諸如此類,這些東西也有很多個資,怎麼來協助他們?我想要知道的是這些答案。
唐部長鳳:不過因為計程車業可能不是通信、電信事業……
蔡委員培慧:不是,我說的……
唐部長鳳:所以這就是回到我們產業署的工作。
蔡委員培慧:好,都可以啦!不管你們內部是怎麼分工,告訴我你們怎麼來協助這些民間企業資安升級,這是你的工作啊!告訴我們怎麼做啊!
唐部長鳳:好,我們大概分兩個部分,待會再請產業署跟您比較詳細的講,一個是我們自己會去做驗證跟測試,好比提到零信任,怎麼樣透過更安全的方法來登錄、來簽章等等,我們資安院跟其他機構有這樣的驗測報告之後,我們就會分享給民間的朋友,告訴他們下次要做人別驗證、要做什麼的時候,這邊就有一些比較安全的元件可以使用,我們也會輔導他來使用。
蔡委員培慧:好,你們有做了驗證,可是上次就犯了一個錯誤,我知道這個部分你們改正了,這些統一發票的平台,在打入統編之後會有預設密碼,很多企業沒有把預設密碼改掉,所以就有很多的會員資料都受到影響,甚至於連上市上櫃公司也受影響。這些基本上是有錯,而且太慢反應,你瞭解我意思嗎?
唐部長鳳:是,是民間通報,我們才來改正。
蔡委員培慧:為什麼我要把協助民間企業升級跟情資安的漏洞這兩件事情連在一起講?我要提醒部長的是,這件事情絕對不能夠緩不濟急,等發生的時候再來搶救就太慢了!我相信整個數位部大概都是全臺灣最了解資安、最了解整個通訊軟體科技進展的部門,也知道在進展的同時要如何防患,你們是我們臺灣的大腦,你應該把這些東西做好,所以我要知道具體的作為。
我來談最後一個問題,因為時間的關係,我希望你多講一點,現在匿名群組的詐騙橫行,我說的不是臉書、計程車業者這種幾百萬的資料,我說的是個別的群組,我相信在座的每一個人都有一些小群組,比如剛好你住在大安區,就有一些這裡的生活瑣事,而我住在南投或者是竹山就有。你知道嗎?我們就可以看到像這樣的群組,比如怎麼樣來讓你有股利、怎麼樣的利潤,這樣子一看,我相信大多數的人都會覺得這是詐騙消息,可是現在更可怕的是什麼?同樣這個訊息的下一則是告訴你,現在柴米油鹽醬醋茶都變貴了,我可以讓你買到便宜的,麻煩你加入LINE群組,坦白講,這就是詐騙,可是有的人會認為不是,因為有時候我們講團購,大概的訊息內容也是這樣。這樣就要回來數位部,假設我是一個團購的業者,假設我是好了,我在這個群組發訊息,可能我也只有在這個群組發而已,可是只要是資安這種攻擊性的,它一定是全面發的,所以你們應該查得到啊!而這個匿名群組不只是攔截電話而已,在這些LINE或者是訊息,同一個IP不斷的傳遞訊息,這不就是凸顯如果它不是一個官方的商業帳號,很可能是個人帳號,那麼它就是詐騙的一個介面。怎麼辦?如何防患?
唐部長鳳:是,這個其實跟之前詐騙或者是垃圾郵件等等的形狀是很像的,我們會跟譬如之前的郵件平台,現在是委員提到的LINE等等,它偵測到異常活動時,也會同步通報來聯防,這就是剛才提到包含TWCERT/CC或者是資安院在接到所謂威脅情資的時候,要第一時間讓大家知道。另外我想守望相助也非常重要,在LINE上面只要看到比較像是詐騙或資安攻擊的訊息,可以長按,然後按檢舉,這樣第一時間它就會出現在LINE跟其他人分享的情資裡面,所以我想這兩個是需要協防的,越多人收到詐騙郵件,有協防,我們就越快知道……
蔡委員培慧:好,我瞭解。越多人協防、越多人回應,你們就越快知道?
唐部長鳳:是。
蔡委員培慧:可是有多少人不知道?我已經講第三次了,拜託你們的T大使趕快來教這些阿公阿嬤好了,告訴他們要長按、檢舉,這些壞人就會被抓走。拜託你們要來教他們啦!否則我講實在話,當時我們在防疫的時候,各式各樣的宣導就持續在宣導,大家才知道我們該怎麼樣來做,戴口罩或者是勤洗手等等,很多事可以來做。所以我要說的事情是,我們的數位絕對不是只是在天上,我們要防範這些詐騙,必須要走到基層跟每一個人講。
唐部長鳳:謝謝。委員上次質詢之後,我們就回去盤點,在雲市集相關的預算裡面,我們會調撥相當程度的預算來做委員所說的這些事情,所以再給我們一點時間,我們會盤點出具體的作法,也會如委員上次要求,請產業署派專人來跟委員報告,謝謝。
蔡委員培慧:謝謝。
主席:請李委員昆澤發言。
李委員昆澤:(9時54分)會叫我李昆澤的都是我當年工廠的同事,這是很親切的叫法。唐部長好,這是本會期數位部第五次到交通委員會備詢,其實不只是我,其他交通委員會的成員對數位部的質詢大部分也都集中在資安、個資、防詐等相關議題上,因為資安是大家都很關切的議題,如果資料外洩就會形成詐騙的重要破口。
5(本)月有白帽駭客通報關於電子發票整合服務平台出現了相關的問題,剛才其他委員也質詢過。財政部給所有的公司同一組預設密碼,部分企業並沒有去更改這組密碼,所以只用統編和政府所提供的預設密碼就可以瀏覽公司的資料,其中包括國營事業、130家上市櫃公司、中華郵政、臺鐵以及中科院等行政法人。針對這個部分我要先請教財政部張主任,針對缺乏資安系統以及資安意識的狀況,財政部要怎麼處理?
主席:請財政部財資中心張主任說明。
張主任文熙:跟委員報告,一開始是因為……
李委員昆澤:你們都沒有察覺嗎?
張主任文熙:因為公司有兩種狀況,80%的公司是使用工商憑證,他們就沒有預設密碼的問題;20%的……
李委員昆澤:立法院的電腦系統雖有給預設密碼,但一登入就要更改這組密碼,而且還要定期強制再次更改密碼,財政部對此完全沒有資安意識。現在的做法首先是以12個數字亂碼作為預設密碼,其次要在登入的時候強制更改密碼,另外就是平時也要更改密碼。
張主任文熙:針對上述問題,我們現在都已經修改了,只是12年前在設計的時候,預期營利事業登入時會自行修改密碼……
李委員昆澤:12年!12年是實施國教的時間,怎麼還教不會?
張主任文熙:所以我們立刻改善。
李委員昆澤:12年前你們設計,經過12年,到今年5月才有白帽駭客通報有這樣的狀況,整個資安系統和資安意識怎麼會欠缺到這樣的狀況?
另外,針對民眾的部分,今年5月誠品網路書店也有民眾在買書以後,接到自稱是書局的回訪電話,強調統戰的相關言論,這是民眾個人資料的外洩,也是這家公司欠缺對相關資料的保護。當然,數位部、資安院及警方有去實地調查,預計5月26日會提出相關的報告對不對?
主席:請數位部唐部長說明。
唐部長鳳:委員好。對,我們這次主要除了釐清到底是在哪個點發生個人資料外洩之外,更重要的是必須在找到根本原因之後輔導他們去改善。好比說,如果是下游出現資料外洩,不論是物流還是金流,我們都要導入所謂的「隱碼技術」,讓下游根本不需收到如此detail,包含聯絡電話等等的資料。
李委員昆澤:我要提醒部長和主任,你們今天不是球評,也不是來說這個球打得怎麼樣,你們都是主管機關。
唐部長鳳:當然,我們要負責。
李委員昆澤:你們對於公務部門和非公務部門的資安系統和資安意識都必須負起督促的重要責任。現在公私部門遭遇到的資安問題層出不窮,我們可以看到近年來數位部自己提供的資料,中央和地方政府的資安事件在2020年有677件,2021年有733件,2022年則暴增到806件。資安業者Check Point發布了最新的研究報告,指出全球每週平均遭受攻擊的次數,我們臺灣是亞太地區的1.8倍,更是全球的2.6倍,請問數位部有沒有什麼因應的措施?部長要跟社會大眾講,數位部成立後由唐鳳當部長,接下來公私部門遭受資安攻擊的件數會下降,還是不會下降但會和緩地上升,不會出現暴增的情形?請讓民眾知道未來的趨勢。
唐部長鳳:好的,我們知道過去兩年,亦即2021年和2022年,甚至包含去年8月Pelosi議長訪臺時的事件,境外對我們的攻擊力道確實是大幅地上升了,在境外攻擊那麼嚴重的情況下,機關勇於通報資安事件絕對是件好事,我們也鼓勵大家通報,不會鼓勵大家不通報。
李委員昆澤:對。
唐部長鳳:我們主要是看通報後,我們多快能找到根本的原因,以及之後不會發生事情。
李委員昆澤:通報是重要的,這也和交通方面不論是飛安還是鐵道安全的自願報告系統具有同樣的重要性。
唐部長鳳:沒錯。
李委員昆澤:通報的次數增加得愈來愈多,除了自願通報之外,也代表有很多資安攻擊,我們本來就是全球遭受資安攻擊的重心。
唐部長鳳:對,這就表示我們察覺的能力提升了。數位部成立之後有個最大的差別,就是我們會主動在事前去巡檢,不要等別人來攻擊和通報,我們要先發現有哪些漏洞可能會發生。對於白帽駭客守望相助型的通報案例,我覺得非常好,有一些白帽駭客願意加入資安院從事巡檢的工作。
李委員昆澤:針對財政部的電子發票整合服務平台,平時應該也有做稽核對不對?
唐部長鳳:是,我們平時當然有按這個方法稽核。
李委員昆澤:你們有發現這個問題嗎?
唐部長鳳:我們在之前的稽核中並沒發現每一個使用者預設的密碼有一些沒有變更的問題。
李委員昆澤:那就表示你們不夠積極,數位部成立後,財政部面對這麼重大的個資防護缺口,你們在稽核的時候卻沒有查到,請問你們是在稽核什麼?請教張主任,你們到底有沒有稽核?
張主任文熙:報告委員,有稽核。這個系統是沒有個資的,因為它是存證發票,營利事業會開立發票,需要……
李委員昆澤:這樣不算個資嗎?
張主任文熙:個人的……
李委員昆澤:開立發票的相關資料能讓外人一覽無遺……
張主任文熙:它沒有個人的……
李委員昆澤:這個不算重要的資料嗎?
張主任文熙:它是重要的資料,但是沒有……
李委員昆澤:當然它是公司的資料,而不是個人的資料。
張主任文熙:這裡有分兩部分,一部分是公開展示的資料……
李委員昆澤:數位部有沒有定期稽核?
唐部長鳳:有的,今年新的情況不但納入了稽核的樣態,也會主動巡查單一密碼的登入狀況。
李委員昆澤:好,你們有稽核到財政部出現這樣的狀況嗎?
唐部長鳳:今年相關的韌性巡檢還沒有開始,也還沒有稽核到財政部,只是民間的朋友基於守望相助就主動通報了。
李委員昆澤:你們現在察覺後有沒有要求財政部更改這些系統?
唐部長鳳:當然,而且我們也請財政部做成教案之類的案例,在今天的資安長會議上跟大家分享。
李委員昆澤:相較於公部門,非公務部門其實也有相當多的問題,資通安全管理法的規範範圍其實就是公務機關加上特定的非公務機關,例如關鍵基礎設施的提供者、公營事業及政府捐助的財團法人等,但我們對非公務機關目前的規劃方式其實也是滿擔憂的,因為目前好像只能透過中央目的事業主管機關就其主管產業的資安提出相關的指引,例如衛福部針對醫療院所訂定的資安防護參考指引,或金管會對金融領域訂定資安內部控制及指引等相關規範,至於其他的則非常欠缺,對此請部長說明一下。
唐部長鳳:因為資安的要求比較高,除了您剛剛關心的個資洩漏之外,還包含了服務不能中斷等。對於您剛才提到醫療院所或金融領域,除了個資當然要守住之外……
李委員昆澤:所以對非公務機關目前沒有統一的資安規範嘛!
唐部長鳳:我們有統一的資安規範,包含服務不能中斷等等,這些是由中央目的事業主管機關指定哪些比較屬於關鍵基礎設施這種具有重要性的,就需要受這麼高的規範,其他的是受個資法的規範。
李委員昆澤:我知道,現在當然是由目的主管機關針對個別產業訂定相關資安指引規範。我現在講的是對整體非公務部門有沒有做一個統一的資安規範?
唐部長鳳:資安署所訂定的規範是最基本的,不管在上面再加多少防護參考指引,資安署所訂定的指引是無論如何都必須遵守的,那是法遵的一部分。
李委員昆澤:部長,我們現在要落實資安法的子法,對於非公務機關的資安意識要強化;另外對於非公務機關的相關資安法令規範要逐步落實,最後讓你簡單說明一下。
唐部長鳳:是,謝謝委員提醒。我們現在進行資通安全管理法修法討論時,確實如同委員所說,包含地方政府或其他事業主管機關,要透過怎麼樣的盤點並且培植他們的意識,甚至要不要到地方政府稽核等等,我們都有陸續討論,希望能夠儘快收斂到一個共識,在今年年底前整理出院版。
李委員昆澤:部長,我們現在討論到公務部門跟非公務部門遭受的資安攻擊,當然自願通報是一個非常重要、顯現問題的關鍵,不過重點還是在於我們對於這些通報的處理程序跟結果、效率如何。
唐部長鳳:沒錯,這個才是最重要的。
李委員昆澤:以及日後會發生這樣的狀況與否,這些都是數位部要加強督促的。
唐部長鳳:完全同意,謝謝委員提醒。
主席:謝謝李昆澤委員。昆澤委員跟我從25年以前國民大會代表同事到現在,他的幼年非常困苦,說真的,個人也很努力,在此特別說明一下,我們是好朋友,雖然黨派不同。剛才他所提數發部的事情,我想隨著資安事件不斷增加,數發部成立以後責任更形重大,您跟NCC之間不能再互推皮球,您是主管機關,好不好?不管直線的指揮系統及橫向的聯繫,你都要負起責任。部長,你們單位的危機感應該要逐漸上升,這一點要拜託大家,好不好?尤其總統對你非常信賴,你又是國內非常火紅的專家,加油,好不好?
請邱委員顯智發言。
邱委員顯智:(10時8分)主任好。我看到財政部今天的報告,針對電子發票整合服務平台登入系統出現資安缺失,我先請教缺失在哪裡?
主席:請財政部財資中心張主任說明。
張主任文熙:委員好。預設弱密碼的設定,同時使用者並沒有按時修改密碼。
邱委員顯智:這是什麼意思?
張主任文熙:第一個、我們過去在機制設計上的缺失,沒有想到與時俱進……
邱委員顯智:不是啦!這個報告總共才3頁,字體還這麼大,完全看不出來你到底懂不懂這個缺失是什麼,其實是民眾來向我們辦公室陳情之後,我們告訴財政部……
張主任文熙:是,謝謝。
邱委員顯智:他怎麼說的?一句話就講完了,就是你發送給大家的密碼都是一樣的。
張主任文熙:是。
邱委員顯智:發送給唐部長、發送給主任、發送給我、發送給召委的每一組密碼都是一樣的,你的問題在這裡,所以我就可以拿著這個密碼登入系統內所有人的帳戶,一個人可以看1萬家,問題在這裡,主任,這樣對嗎?
張主任文熙:是,但是我們原來並沒有告訴別人密碼是這樣的狀況,另外……
邱委員顯智:不是嘛!主任,現在問題是不應該把所有人的密碼都設一樣的,讓他們可以去登入別人的。
張主任文熙:了解,我們已經做……
邱委員顯智:我現在的問題是你的報告裡面完全沒有提到,第一個、要解決的就是缺失嘛!交委會排這個題目的目的就是釐清這個缺失是什麼,但是你們連缺失都寫不清楚。我想請教……
張主任文熙:我們在處理方式這邊有說明……
邱委員顯智:第1頁的背景說明你說預設密碼為弱密碼,且未強制變更即可登入,有指出我剛剛講的那個問題,即你發送給人家的密碼都是一樣的嗎?沒有耶!第二個、問題在哪裡就應該解決問題,你的報告裡面寥寥3頁,字體還這麼大,完全沒有指出3個問題,第一個、資安檢核體制到底出什麼問題,為什麼會造成這樣的危機?像剛剛李昆澤委員也有講,立法院的系統不會有這個問題,其他機關不會有這個問題,你的系統為什麼會出現這個問題?你要回答的是這個問題。第二個、當這個體制出了問題,民眾跟委員辦公室陳情,我們把它轉給財政部之後,為什麼你可以從5月11日一直處理到5月16日才有所謂的第二因子?為什麼花了將近一週才完整?這是你要在報告裡面解釋的。第三個、其實我們最重視的是未來資安的檢核體制、危機應變體制要怎麼改進,從這裡也完全看不出來。我想請教部長,你是不是認為財政部的資安稽核機制出了問題?
主席:請數位部唐部長說明。
唐部長鳳:我想這個可能要由資安署做細部回答,不過我先講一下,任何不是使用工商憑證這一類強的登入系統都可能出現類似的狀況,所以我們今年的一個重點就是全面體檢、巡檢,確保像這樣子的弱因子能夠用第二個甚至第三個強的因子,透過所謂的零信任,這樣即使出現剛剛講的弱密碼沒有更改的情況,它也會被第二或第三道門擋住。
邱委員顯智:好,那我想請教,部長這樣講,主任,這個平台的資安稽核流程是什麼?要經過哪些人去稽核?
張主任文熙:我們有內部的稽核委員跟外部的稽核成員,我們自己另外還有一個資安科成立稽核小組,做定期的稽核跟這次的專案稽核。我們在報告裡面寫發送統一密碼其實就是預設密碼,我們在文字上寫得不好,再請委員見諒。
邱委員顯智:主任,你有一些稽核人員,要經過一些人稽核,那為什麼沒有發現這個漏洞?
張主任文熙:報告委員,密碼的部分在使用者這一端,通常在程式方面,過去沒有……
邱委員顯智:不是啦!現在就是發放給每一位都是一樣的,這很明顯是一個漏洞,其他機關可能也不會出現這個問題,你要說明為什麼出現這個漏洞啊!否則未來是不是也會一而再,再而三發生呢?
張主任文熙:報告委員,這個漏洞是原來在機制設計上的缺失,我們修改之後有全面清查所有系統,目前其他系統沒有類似的狀況。當時發票的部分,因為不是一般人使用的,而且是營利事業為了申報營業稅才會使用,並不是經常性使用,大部分的機關都是兩個月才會去看一次,所以他們對變更密碼有很多意見。時間會修改得比較長是因為他們兩個月才看一次,剛好這個事件發生的時間是在營業稅申報的期間,很多業者都有反映這個部分可以暫緩……
邱委員顯智:所以你現在就是有信心告訴大家說這個錯誤已經修正了嗎?還是要……
張主任文熙:目前這個系統的部分我們已經修改完畢……
邱委員顯智:因為從你的報告是完全看不出來的。第二個問題非常簡單,5月10日發生,你5月11日做了什麼?就是把新登入的預設密碼增強,對不對?
張主任文熙:是。
邱委員顯智:你在5月11日做了這個,5月12日的時候以電子郵件通知使用預設密碼之營利事業變更密碼,到5月13日時你才要求登入後強制變更密碼,對不對?但是這個過程處理到現在,本來的密碼都沒有變,如果我要再去登入別人的,直到5月13日還是可以。我們也是因為民眾來跟我們反映,他的密碼還是可以登入別人的,我們才又告訴財政部,部長瞭解我的意思嗎?
唐部長鳳:瞭解,因為整個過程我也有參與。
邱委員顯智:是啊!你可以看到它到5月16日的流程,我要講的是到5月16日的時候才做出要求,我們已經跟你講了,你才說要輸入第二因子始得變更預設密碼,才把這個擋住,讓這些都拿到一樣密碼的人不會去登入別人的。主任,這個處理過程到底有沒有問題?為什麼一個事情可以處理到一週,在5月16日才把這個漏洞堵住?
張主任文熙:報告委員,剛才也有說明最主要的原因,因為剛好是13日、14日、15日,而15日是營業稅申報的最後一天,營利事業申報的部分有很多不是自己處理,都是委託記帳士、代理人申報,他們覺得這個變更對作業上的影響太大……
邱委員顯智:主任,這個理由我覺得大家很難接受,已經發生這個漏洞了,5月16日所做的事情應該是5月11日就要做的。部長……
張主任文熙:我們有同步通知這些業者,請他們儘量配合,因為系統比較舊,我們也需要……
邱委員顯智:不是,這是危機的因應,都已經發生問題了,還要人家一而再,再而三來反映,你才知道別人的密碼在登入期間還可以登入,這非常離譜耶!部長,是不是財政部的危機應變機制出了問題?為什麼沒辦法一步到位?
唐部長鳳:是,TWCERT/CC第一時間就在財政部的邀請之下實際跟我通報,讓那位朋友跟財政部直接聯繫,所以那位朋友跟他身邊的白帽駭客從頭到尾大概都知道財政部準備怎樣修改,只是因為營業稅申報的關係,所以延後上版,這確實在溝通上有可以講得更清楚的地方。
邱委員顯智:是啊!部長,我覺得這是牛步化的程度,因為你也知道這樣的資安外洩或其他狀況,時間是非常寶貴的。這個事情應該要澈底檢討,至少在這份報告裡面完全看不出來,側重點應該是未來到底要如何改善。
我最後的訴求是請財政部會同數位部資安署,於一個月內就本事件重新提出一份調查、處理跟檢討報告,發生這樣的事情,報告才3頁,這完全沒辦法接受。報告裡面應該包含我剛剛提到的,這個缺失為什麼沒有在資安稽核過程中被發現?為什麼不會被發現?你說你有稽核,但是為什麼都不會被發現?第二個是發現之後,假設下次有這樣的狀況,你的緊急應變處理過程是什麼?不可能跟這次一樣,又搞到一個禮拜之後才把漏洞補起來。第三個是未來如何強化資安檢核跟緊急事件應變機制?最後一點應該是數位部的責任,他山之石,可以攻錯,這個事件的檢討及改善項目如何推展到其他的公務機關,避免其他公務機關有類似的狀況?
唐部長鳳:是,這也是為什麼我們今天請財政部在全國資安長會議中把這個案子作為教案分享。委員提出在一個月之內,由我們兩個單位一起做這樣的書面報告應該沒問題。
邱委員顯智:謝謝部長。再來是關於蝦皮,蝦皮有兩件事情請教部長,一個是蝦皮名列112年第一季高風險賣場第一名,刑事局接到781個案件,什麼時候要依照個資法對蝦皮開罰?
唐部長鳳:請產業署跟您說明。
主席:請數位部產業署林副署長說明。
林副署長俊秀:跟委員報告,5月8日有進行行政檢查,我們給……
邱委員顯智:5月8日?
林副署長俊秀:是,我們請蝦皮補充六大項,包括安控執行紀錄、稽核軌跡、查核紀錄、資料庫結構等等,有六大項。我們也有請刑事警察局跟165一起稽核,並限期請它補這些資料。我們……
邱委員顯智:你什麼時候要做決定?這不可能是永遠都調查不完、永遠都沒辦法結案的案件,對不對?已經這麼久的一段時間了。
林副署長俊秀:是,我們在這個月底前會做決定。
邱委員顯智:這個月底前會做決定?
林副署長俊秀:是。
邱委員顯智:好。第二個,經民連揭露蝦皮的服務條款,部長看它的服務條款,其中說不保證、您個人應該承擔全部相關風險等等,把所有的資安風險都推給消費者。其實在零售業等網路交易定型化契約應記載及不得記載事項第13點有系統安全的規定,提到「企業經營者應確保其與消費者交易之電腦系統具有符合一般可合理期待之安全性。」請問部長,蝦皮的規定全部都推給消費者,難道沒有違反零售業等網路交易定型化契約應記載及不得記載事項的相關規定嗎?
唐部長鳳:您指的是「您承認在法律容許的最大限度內,……」這一段,是不是跟……
邱委員顯智:沒錯,就是右邊這邊。
唐部長鳳:跟消保相關的認定,這個產業署也有處理,請產業署向您說明。
邱委員顯智:它說您個人應承擔全部的相關風險,等於是它完全不用負責零售業等網路交易定型化契約應記載及不得記載事項裡面,「電腦系統具有符合一般可合理期待之安全性」的規定。
林副署長俊秀:跟委員報告,我們有發文請蝦皮說明,蝦皮的說明回來之後,我們正在找相關的個資保護專家來review它的說明是否合理。
邱委員顯智:我一直聽到的是你讓它說明、陳述意見,這當然是行政程序法的規定,但到最後你總得做一個決定,對不對?因為你是權責機關嘛!我自己看這個東西是一目即知,當然程序上沒問題、陳述意見沒問題,但你是一個權責機關,你應該是全臺灣對這個領域最專業的一個機關,如果你沒辦法做決定,也沒有其他機關可以做決定了,這是公權力行使的問題。
唐部長鳳:這是我們的責任,當然沒有問題。
邱委員顯智:是啊!這是部長、署長及數位部同仁責無旁貸的責任。針對這部分,請數位部在二週內就蝦皮違反個資法以及我剛剛提到的定型化契約處理情形提出一份書面報告給本委員會。
唐部長鳳:應該沒有問題。
邱委員顯智:好,謝謝部長、謝謝主席。
主席:請何委員欣純發言。
何委員欣純:(10時23分)部長,我剛剛聽了一個早上,每次發生資安事件之後,我們在調查期間能不能把資安漏洞及時補起來?我剛剛聽到財政部電子發票整合服務平台的這件事情,我們慢了一個禮拜才解決這個資安漏洞,原因之一是怕影響營業稅的報稅,但我們的緊急應變也可以延長報稅的時間啊!第一要件是什麼?應該要把資安漏洞補起來,部長你同不同意?
主席:請數位部唐部長說明。
唐部長鳳:委員好。當然同意,所以他們第一時間有通知所有受到影響的人。
何委員欣純:只有通知啊!問題是資安系統上的漏洞沒有補起來。
唐部長鳳:對,當然應該要強制變更。
何委員欣純:我要問部長全國矚目的誠品事件,誠品連續2年名列警方的高風險賣場,今天很多委員都有提到,提到之後大家都在問,目前誠品的事情調查得如何?
唐部長鳳:對,我們現在是採同樣的作法,就是10天會寫報告,14天會做出處分,而且會讓大家知道是怎麼樣的處分。
何委員欣純:除了時間點之外,我們目前在調查期間,系統上的資安漏洞解決了嗎?問題還存在嗎?
唐部長鳳:這個是否請副署長跟您說明?
主席:請數位部產業署林副署長說明。
林副署長俊秀:我們上次到現場行政調查時有請偵九隊協助,偵九隊有要求一些Log的資料,誠品正在提供給偵九隊做進一步的分析。
何委員欣純:所以現在正在提供資料……
林副署長俊秀:我要去確認一下……
何委員欣純:意思是說在調查跟提供資料的這段時間,所謂的資安漏洞還是沒有解決?
唐部長鳳:這是兩件事,我們是個資的主管機關,但是因為誠品也有報案,所以刑事局那邊即時的聯防,包含跨國的偵查等等,是兩線在進行。
何委員欣純:所以部長我請問你的專業啊!因為我們一般人不懂啊!我們現在只關心從一般人的角度來看,我現在去誠品買書,在這個平臺或是系統上,有關資訊的安全與個資的安全有沒有受到保障?
唐部長鳳:謝謝委員給我們機會說明,我想任何人去剛剛您簡報提到民眾所通報的高風險賣場,都可能有一定程度的風險,這就是為什麼刑事局說它們是高風險賣場。我們現在主要的工作是確保我們找到原因之後根本解決這些事情。
何委員欣純:部長,我當然知道要找到根本原因、要解決事情,我現在就是在問你,現在調查的時間拖了這麼久,在這段期間,我所關心的是,如果我現在再去誠品買書,那我會不會也受到個資外洩、資訊安全、個資安全的影響?我現在要請你回答Yes or No,我們關心的是這個。在這段調查期間,所謂資安系統的漏洞到底有沒有被補足、被解決?有沒有暫停使用或怎麼樣?現在再去買書,會不會受到影響?就如同剛剛你回答的,為什麼那麼多人在關心蝦皮購物,還有很多電商平臺?因為每天有那麼多國人上網去買賣東西。問題是從數發部成立的到現在,我們所關心的是到底能為我們國人的資安把關到什麼程度?現在去蝦皮購物、去誠品買書,我的個資會不會外洩?
林副署長俊秀:跟委員報告,根據誠品的說明,它已經找了國內數一數二的資安公司來進行檢測,包括中華資安跟奧義智慧。
何委員欣純:那目前檢測的結果如何?
林副署長俊秀:目前他們的系統沒有問題。
何委員欣純:所以他們自己請了專業、一流的資安公司來檢測是沒有問題的,既然他們系統沒有問題,那為什麼還會發生問題……
林副署長俊秀:跟委員報告,資安還有很多的是供應鏈管理的問題,現正清查中。
唐部長鳳:就是它的物流或是金流相關的合作夥伴。
何委員欣純:請問現在你所調查的部分,你們調查了什麼東西?你要求誠品提供什麼東西?
林副署長俊秀:我們請誠品提供很多Log的資料,包括權限的管理、還有供應商管理的相關資料。
何委員欣純:到現在已經第8天,經過一個禮拜多的時間,你們應該有掌握到一定的事證,證明它到底有沒有資安的問題。到底有沒有?
林副署長俊秀:目前資料還在彙整當中。
何委員欣純:好,你說還在彙整當中,你也說誠品自己聘請所謂專業的資訊公司來查並沒有問題,但最後問題還是發生了,所以他們自己調查的算不算數我不知道。面對他們自己請專業的資訊公司來查驗系統說沒有問題,不知道數發部怎麼看?又部長對這件事的態度為何?
唐部長鳳:是,我們為什麼會要求他們提出整個供應鏈相關的紀錄檔(Log)?因為誠品自己請來的資安公司,它所查核的範圍不一定有及於全部的過程,包含後面的貨運或者是物流、金流等這些部分,所以我們現在所彙整的資訊,就是去看後面這些環節是不是有可能出差錯,以及誠品有沒有可能導入所謂的隱碼技術,確保其後面其實根本不需要接到客戶的手機,手機號碼也應該要能夠執行這些工作。
何委員欣純:所以這可能就是你報告裡面的重點。
唐部長鳳:是的。
何委員欣純:好,你說誠品這件事情是屬於重大資安事件,那你是如何界定的?是因為媒體爆料了,還是他們召開記者會了,所以你就把它界定為重大資安事件?那一般國人發生的一些事情,包括我剛才講的誠品、蝦皮,這些早就是所謂的高風險詐騙賣場,2023年就有委員開過記者會了,但都要等到個資外洩案件發生之後才開始調查,而且是屬於重大的資安事件才會去查嗎?
唐部長鳳:不是,我們大概都會去查,像剛才產業署所講的,包含我們找民間做紅隊測試等,都是照著委員前幾張簡報,刑事局列為高風險賣場的排序來進行工作,所以這部分我們並沒有輕忽。這一次是……
何委員欣純:你依照排序來查是怎麼查?你剛剛說按照刑事警察局所謂高風險賣場的排序來查,那你們查的內容是什麼?查的方式又是什麼?
唐部長鳳:對,好比客戶的手機號碼等等洩漏的話,我們會試著去溯源,甚至我們也會請紅隊模擬駭客攻擊一樣,試著在剛剛整個全部過程裡面找到破口等。這一件個案是因為誠品本身有報案,已經列為刑事調查的程度,所以當然媒體就會報導,但是其實這些高風險賣場我們平常都有在輔導,也有在巡查。
何委員欣純:那稽查的頻率有多少?
唐部長鳳:這個是不是請產業署說明?剛剛聽到是40家次。
林副署長俊秀:我們每年會做電商的健檢,40家次,由2個紅隊演練。
何委員欣純:每年多少時間內的頻率是40家次?
林副署長俊秀:從去年8月27日成立之後,我們就做電商……
何委員欣純:到現在為止嗎?
林副署長俊秀:對,今年還會有40家。
何委員欣純:好,今年還會有40家次。我認為要更頻繁,因為你看從110年到111年,這幾家一直都在民眾通報的高風險賣場裡面,那表示第一個,在上面交易的民眾使用率高。第二個,我相信這幾家掌握國人的個資量也最高。第三個,他們在報警、報案方面,是警方列管的高風險賣場。所以這個部分數發部應該要更積極提高稽查的頻率跟次數還有家次。我為什麼這麼講?因為我剛剛說一般人關心的是上網去買東西、訂東西,留下的個資到底會不會外洩?關鍵就在大家對政府要有信心,而可以幫他們把關的單位就是數發部。
唐部長鳳:我完全同意,而且剛三讀通過的個資法在這一點會有很大的幫助,因為之前如果是限期改善等,那個過程是沒有辦法裁罰的,而之前最多也只罰到20萬而已,所以從電商的角度來看,當然最主要的是商譽受損,但是罰金就有點不成比例。三讀通過新版本的個資法最高是罰200萬元,應該可以促使更多電商適當的投資,以解決根本原因的問題。
何委員欣純:我剛剛還有一個問題,你沒回答到,就是你如何界定重大的資安事件?因為我看到面對重大的資安事件,你們的速度就加快一點,之前在質詢你的時候,很多的行政調查是很慢的。
唐部長鳳:那是個資事件,我們資安通報是政府裡面自己的,重大矚目的個資事件這個在1.5綱領裡面……
何委員欣純:那你怎麼界定重大矚目的個資外洩事件?媒體爆料或有人開記者會,或是委員……
唐部長鳳:包含委員們或是媒體等,或者它影響的範圍非常大等,就是一次影響非常多人。
何委員欣純:我是建議啦,你要分級分類,而且要把效率、魄力、能力跟專業拿出來,這樣我們國人才會信任政府,也才會相信我們成立數發部是有用的。不然的話,很多國人到現在為止都還沒有感受到。政府對於詐騙、個資外洩的因應對策,或是資安系統的建置,這些都還沒讓民眾感受到。
唐部長鳳:對,這兩年境外攻擊力道大幅竄升,今年可能又會更多,我們相應的聯防以及根本原因的查處力道也必須等比例的上升。
何委員欣純:要加強、加強、再加強。你們除了稽查、行政調查慢,法案的推動也慢啊!最後再提醒你們,你剛剛講個資法已經修法通過,個資法修法通過才多久的時間?行政院的版本送到我們立法院三讀通過才75天,數發部成立到現在已經268天,我們卻還沒看到行政院版的資通法!
唐部長鳳:其實我們有一個版本正在跟地方政府協商,因為涉及地方政府與中央權限的問題,我們希望能儘快協商出一個共識。
何委員欣純:協商還要多久?
唐部長鳳:我們當然希望年底前……
何委員欣純:預計時程是多久?
唐部長鳳:我們希望年底前能提出院版,如果協商順利的話也許可以加速。
何委員欣純:我希望你們可以儘速於下會期提出,並在年底前三讀通過,不要告訴我年底前才能提出版本!
唐部長鳳:我們就請資安署的同仁……
何委員欣純:要加快速度,好不好?
唐部長鳳:是,儘量加速!
何委員欣純:個資法才花了75天就三讀通過!
唐部長鳳:理解。
何委員欣純:好不好?效率、能力、專業要讓人民有感,大家才會信任政府,才會相信成立數發部是有用的。
唐部長鳳:謝謝委員提醒。
何委員欣純:謝謝。
唐部長鳳:謝謝委員。
主席:現在處理臨時提案。請議事人員宣讀。
1、
查財政部電子發票整合服務平台於112年5月中旬,被白帽駭客揭露,發給營業申請人同一預設密碼,存在資安漏洞,致使廠商營業秘密資料,有外洩之虞。
雖財政部於13日要求全面更換密碼、加強密碼強度,初步解決電子發票整合服務平台漏洞。惟該系統承包商仍有承作多項公私部門資訊系統,恐類似漏洞仍存在於其他政府資訊系統而未發現。為增進我國政府資訊安全考量故,茲爰請數位發展部:
(一)盤點該廠商所承攬之其他政府資訊系統,是否亦有類似漏洞,並於一個月內完成清點改善、提出報告。
(二)盤點政府各部門現有各類向民眾公開、提供民眾登入使用之「網路便民服務系統」登入驗證方式之安全性,並提出改善規劃,兩個月內提出初步盤點結果與改善規劃報告。
提案人:李昆澤 何欣純 許智傑 鍾佳濱
主席:請問各位委員及行政部門有無意見?若無意見就照案通過。
進行第2案。
2、
查財政部電子發票整合服務平台於今年5月中旬,被白帽駭客揭露,發給營業申請人同一預設密碼,存在資安漏洞,致使廠商營業秘密資料,有外洩之虞。
雖財政部於13日要求全面更換密碼、加強密碼強度,初步解決電子發票整合服務平台漏洞。惟該系統承包商仍有承作多項公私部門資訊系統,恐類似漏洞仍存在於其他政府資訊系統而未發現。
查自然人憑證、工商憑證之安全性、驗證強度皆遠較帳號密碼登錄驗證為高,為增進我國政府資訊安全考量故,茲爰請財政部,檢視部轄現有向民眾開放、提供民眾登入使用之網路資訊系統驗證方式安全性,並研議以安全性較高、驗證強度較強之自然人憑證、工商憑證作為登錄驗證機制或其他方式提升安全性,於兩個月內提出檢討報告。
提案人:李昆澤 何欣純 許智傑 鍾佳濱
主席:請問各位委員及行政部門有無意見?
請財政部財資中心張主任。
張主任文熙:第2行建議增加三個字,即「發給營業申請人」改為「發給營業人帳號申請人」,因為這是針對人……
主席:發給營業人,「申請」不要了?
張主任文熙:不是,增加三個字,改為「營業人帳號」。
主席:「發給營業人帳號」,增加三個字?
張主任文熙:對。
主席:各位委員有無意見?若無意見第2案通過。
請許委員智傑發言。
許委員智傑:(10時38分)部長好。針對剛才何欣純委員所提到的問題,其實我們都有共同的期盼,數位部成立後,如何在個資、國安、詐騙等事情上讓民眾有感?我們也一直在關注。駭客總是無所不入、無孔不入,到底該怎麼樣讓人民有感?我們其實非常著急!
剛剛欣純也有問到誠品的事,就誠品個資外洩事件來說,一般行政程序是三天之內要有行政調查,十天之內要提出調查報告。以三天內有行政調查來說,這點有照程序做,但後來聽說要有調查報告後又臨時取消,為什麼?調查報告十天內可以出來嗎?
主席:請數位部唐部長說明。
唐部長鳳:委員好。我請產業署來向委員說明。
主席:請數位部產業署林副署長說明。
林副署長俊秀:可以。
唐部長鳳:我們沒有取消。
許委員智傑:本來聽說三天後要說明調查報告內容,但後來並沒有說明。
唐部長鳳:我們本來就是在作成處分時按處分來說明。
許委員智傑:所以是跟調查報告一起報告?
林副署長俊秀:行政院召開會議檢討之後,再看行政院……
許委員智傑:所以十天之內提出調查報告沒問題?
林副署長俊秀:會出來,但是還要等行政院開完會後再由行政院決定。
許委員智傑:還要等,所以不一定?
唐部長鳳:由於涉及打詐機制,要請羅秉成政委召集處分會議,並於會議中作成決議,之後我們會就該決議來向大家報告。
許委員智傑:所以十天內提出的但書是要等會議結束才能發布?
唐部長鳳:因為調查報告要先在行政院討論,十四天作成處分。
許委員智傑:希望能如期,畢竟大家都很關心這件事。另外,5月17日YouBike系統受到攻擊,這件事部長知道吧?
唐部長鳳:當然。
許委員智傑:這真的很難防範,雖然我們一直在防範,但案子卻好像越來越多,部長認為這該怎麼處理?
唐部長鳳:我們現在正在推零信任或隱碼技術,希望在源頭一開始就不要把民眾的電話等個資散布到下游廠商。以前沒有這些技術,所以要廠商送貨的話,就不得不給收貨人的電話資訊。
許委員智傑:現在這些民間廠商都有零信任與隱碼技術來處理嗎?
唐部長鳳:對,包含我們也透過雲市集或資安院做身分認證等相關驗測,這個我們會很積極推動。新版個資法通過後已經不是罰20萬而已,最高可以罰相當多,所以相當程度上會有誘因讓民間電商願意投資零信任與隱碼技術。
許委員智傑:前幾天YouBike系統被攻擊,我的秘書要租借YouBike卻連進都進不去,而且是一、兩個小時都進不去,這對民眾的生活影響就很大了!那麼多人想騎YouBike,結果系統關閉,這看起來是小事,卻影響非常、非常多人!
唐部長鳳:完全同意。
許委員智傑:所以到底該怎麼遏止?剛剛部長提到個資法通過,我們希望之後這類案件發生的比例與次數都可以趕快降低……
唐部長鳳:對,而且要迅速處理!按照個資法規定,其實不只中央主管機關,地方縣市政府也可以主動提出行政調查。這部分我已經責成資安院,如果有地方政府提出的話,資安院會比照中央部會的重大矚目事件給予協助。
許委員智傑:駭客竊取個資的案件以交通、網購最多,既然個資法已經修正通過,那麼數位部可否主動跟比較大宗的交通、網購業者提醒?即使是私人公司也可以提醒。
唐部長鳳:對,當然。
許委員智傑:要化被動為主動!
唐部長鳳:是。
許委員智傑:不能每次都遇到事情才來處理!
唐部長鳳:無店面零售這部分由我們主管,我們絕對會很主動處理,包括剛剛提到的後端演練等等在內。至於委員提醒的交通這部分,我們也會跟交通部聯防。
許委員智傑:希望這部分能儘速處理。駭客入侵最多的是網購與交通,這是個資部分,對國家來說的話就是國安!其實在無人機這部分之前也發生過,特別是跟國家有關的,任何來自大陸、來自中國的晶片都可能有危險!去年國慶煙火時表演的無人機,很多零件都來自中國大陸,幸好我們及時處理。今年我們鳳山的儲能設施不做了,並要求經濟部要審核得更嚴格,這是設置的一點考量。另一個考量在於,據說、聽說當中有很多中國的設備與零組件,請問部長知不知道?
唐部長鳳:就分級管理而言,如果其本身不具核心計算或通訊功能,只是旁邊的螺絲釘或零組件等等的話,當然還是會當作可能有危害來處理,所以可能透過零信任網路……
許委員智傑:螺絲釘當然比較小,但晶片或是……
唐部長鳳:如果是核心元件可能就真的要導入零信任的方式以確保不會於沒有人在旁邊的情況下自己去連網……
許委員智傑:這也算關鍵基礎設施,萬一被駭的話,它可以一下子就把你弄斷電,這樣就不能用電了!
唐部長鳳:如果是關鍵基礎設施,當然就是屬於資安署的權責範圍,我們也會請資安署來督促。
許委員智傑:我舉的這些例子,不管是個資的、交通類、網購類,不管是國安的無人機、儲能設備等等,這些都有可能被中國入侵。本席覺得數位部很辛苦,但是要化被動為主動,對於這些比較重要的領域,變成我們要主動去提醒私人公司,主動去提醒國家相關的單位,這個部分真的很重要,我們很擔心被中國入侵,什麼東西都不能用了,或者是危害到我們國家安全,那更嚴重!
唐部長鳳:對。
許委員智傑:所以本席希望第一個,儘速讓人民看到數位部的效率,讓人民有感受;第二個,對於國家安全的防範也能夠更謹慎,這兩個部分希望數位部可以化被動為主動,簡單的概念是這樣,能夠變成主動出擊去防範我們的國家安全及個人個資的安全,這部分數位部是不是要有一個整體的思考?將來可以讓我們知道,數位部到底是怎麼在處理這樣的事情,我們才能夠防範。人民在抗議、反映的時候,我們才能夠跟他說數位部將來的方向是如何防範,也讓人民有知的權利,也確實能夠防範,這樣好不好?
唐部長鳳:沒有問題,我們會加強這方面的論述,我想全民數位韌性、全民的資安意識是數位部以及資安院掛牌以來最重要的事情,我們會持續往這個方向,確保民眾瞭解到零信任,所謂永不信任、持續驗證,落實到生活上以及委員提到的產業、政府上是怎麼做。
許委員智傑:OK,可不可以請數位部寫一個簡單的報告?
唐部長鳳:簡單的說帖。
許委員智傑:就是針對這樣的事情要怎麼去防範,這個完整的報告也可以讓所有委員會的所有委員知道,將來要跟民眾講解或者是要注意的事項的時候,他們也比較能夠注意。
唐部長鳳:沒問題,給我們兩個月的時間,我們儘量詳細來盤整。
許委員智傑:好,兩個月內給我報告,謝謝。
唐部長鳳:好,謝謝。
主席:請游委員毓蘭發言。基於人道,游委員發言完畢休息10分鐘。
游委員毓蘭:(10時47分)部長好。今天有很多委員都在問關於14日誠品爆出有疑似個資外洩事件,民眾購買書籍後接到疑似回訪的詐騙電話,第2天你們立刻就對誠品進行實地的行政檢查,10天內會作成調查報告,2週內就會做行政處分。部長,上個星期本席有詢問數發部包括誠品等民間單位資安以及個資外洩的問題,我收到的資料提及,這個案子因為是重大矚目事件,所以才會依打詐行動綱領1.5版的強化監督流程規定辦理。本席再去看了一下,這個重大矚目案件的說法,在去年的打詐1.0版就已經出現了。
主席:請數位部唐部長說明。
唐部長鳳:對,右邊這三個都是重大矚目案件。
游委員毓蘭:都是嘛,各自的目的事業主管機關也都有裁罰了。我們看到數發部這一次對誠品這個案子立刻去做行政調查等等,但是誠品過去一直都有類似的案件,你們不做,因為它是涉及統戰言論呢?還是不知道?
唐部長鳳:跟這個關係不大,委員右邊這幾個雖然是其他部會作為目的事業主管機關,但是我們的資安院也好,或是TWCERT/CC也好,也都有在第一時間協助,這個並沒有任何差別。
游委員毓蘭:所以不會因為它是涉及統戰、「阿共仔」所以才動起來?現在都會動吧?
唐部長鳳:唯一的差別就是無店面零售業我們是主管機關,所以是我們帶隊,其他的可能是交通部或者是經濟部帶隊。
游委員毓蘭:談到主管機關,本席就有一些問題,如果這樣的話,刑事局從去年6月開始就依個資法陸續函送了104家業者,光是蝦皮就有74件,蝦皮今年3月也蟬聯五週網路風險賣場的第一名,所以刑事局也呼籲,數發部是不是應該進行裁罰?數發部既然是電商、零售平臺的主管機關,請問刑事局去年移送的業者,數發部行政調查了幾家?結果是什麼?又裁罰了幾家業者?只有裁罰什麼?
唐部長鳳:這是舊版個資法的結果,新版的個資法剛三讀通過,一定是調查屬實就會裁罰,然後是限期改善,不改善罰更重,以前的我們依法……
游委員毓蘭:在新版個資法通過之前,依法不能罰?
唐部長鳳:以前依法,它只要有改善,我們就不能罰。
游委員毓蘭:他們都有改善?
唐部長鳳:對。
游委員毓蘭:為什麼會被移送,蝦皮就有74件?
唐部長鳳:而且縱使罰,那個金額是比較少的,所以我想新版個資法修法確實是有必要。我們現在在做的事情剛才產業署也有講,就是確保在新版個資法底下,我們快速的調查出一個根本原因就罰,罰了之後,它如果不改善再罰更多。
游委員毓蘭:所以有這個新版的法,我們的資安以及個資保護就有希望了,對不對?
唐部長鳳:就電商來講,它就比較會有誘因來投資到這些改善措施上。
游委員毓蘭:部長,我們現在裁罰的好像只有非公務機關,可是公務機關洩密的問題也很嚴重,我們看到去年底內政部有2,300萬人的戶政個資外洩,今年3月還有華航的個資外洩事件。當時戶政資料外洩,內政部否認資料是從戶政司洩漏,數發部也說相關的資料都妥善保存於內網之中,真正的調查報告也只有5頁。請問部長,內政部個資外洩事件的調查結果是什麼?資料到底是怎麼外流出去?如果都很好的話,為什麼我們現在看到在美國的法院裡面就在處理這個案子?
唐部長鳳:這個跟剛剛委員提到誠品的案件有一個類似的結構,請讓我有一點時間講一下,可能內政部看到的洩漏出來的格式,包含裡面有些欄位是內政部系統裡所沒有的,所以它認為不是它自己的系統洩漏出去。我們經過政府服務網等等的調查,也包含檢調的調查,確實應該不是從內政部的系統直接洩漏,但是也不排除有可能是有其他單位接取了內政部的資料,然後它加工等等之後,是在那個地方洩漏,而不是內政部。
游委員毓蘭:因為時間的關係,本席還是要誠懇的建議,因為數發部已經成立268天,我們不是只針對非公務機關,對於公務機關要如何究責?如何要求每一個人要做好個資的保護?我覺得這是非常重要的,所以本席要請數發部在一個月內,針對105年到今年4月底之前,公務機關所發生的事件提出報告。公務機關我希望是包括部會,因為不久前還發生健保資料外洩等等,以及類似國營事業歷次發生的資安事件,這部分請提供給本席,包括事件調查、處理及改善的報告,可不可以做得到?
唐部長鳳:我想只要有資安通報的,資安署這邊都有掌握,所以我們以這個作為範圍,我想資安署可以整理出報告給您。
游委員毓蘭:一個月內可以給我嗎?
唐部長鳳:兩個月,資安署說可能要兩個月。
游委員毓蘭:好,就兩個月,謝謝。
唐部長鳳:謝謝。
主席:謝謝游毓蘭委員。休息10分鐘。
休息(10時54分)
繼續開會(11時10分)
主席:現在繼續開會。
請鍾委員佳濱發言。
鍾委員佳濱:(11時10分)主席、在場的委員先進、列席的政府機關首長官員、在場的工作夥伴、媒體記者女士先生。部長好、主任好。我認為便民服務驗證安全要提升,而且政府簡訊要提供信賴機制。今天大家在問,財政部電子發票平臺有登入的漏洞,時序上大概5月9日白帽駭客示警,接下來台灣電腦網路危機處理暨協調中心就把這個漏洞告知財政部,財政部又回答說已告知並要求使用者更改密碼,然後財政部強制使用密碼登入的營利事業變更密碼。是不是這樣?就部長所知沒有錯嘛?
主席:請數位部唐部長說明。
唐部長鳳:委員好。沒錯。
鍾委員佳濱:張主任,是不是這樣子?
主席:請財政部財資中心張主任說明。
張主任文熙:是。
鍾委員佳濱:剛好、很巧,5月11日那天我也問了一個問題,部長還記得嗎?那時候我跟你請教,我覺得目前網路上的安全大概類似我們去旅館一樣,有個實體的鑰匙、有個對號的鑰匙,現在實體證件編號大量外洩,造成民眾社會性的編號、對號鎖的號碼外流,所以我要求要趕快去檢證各種登入的驗證機制,在政府服務上要換鎖,避免個資流失,部長還記得嗎?
唐部長鳳:有,就是鑰匙遺失的話,應該要換鎖。
鍾委員佳濱:或者對號鎖的號碼被別人知道了怎麼辦,是不是這樣?
唐部長鳳:是,要換鎖,當然掉在地上撿起來就好,這是委員上次教我的。
鍾委員佳濱:是,你還記得。所以現在我們來看看財政部怎麼換鎖,在示警前,你們的帳號跟用戶的統一編號一樣,承包商的預設密碼就是固定8位通用密碼,且密碼變更時,他沒有強制一定要換,主任,是不是這樣子?
張主任文熙:是。
鍾委員佳濱:示警之後,你們現在帳號怎麼弄?你們現在預設密碼改成12位英數字隨機密碼,並且首次登入強制要求輸入第二因子來變更密碼。請問財政部,這個漏洞存在多久了?
張主任文熙:報告委員,從這個系統100年開始上線、啟用……
鍾委員佳濱:所以從開始啟用一直到現在,這是承包商的問題嘛?這樣的設計是承包商問題嘛?它就是那樣設計啊!部長,你覺得這個承包商是不是太沒有資安意識了?
唐部長鳳:在當時不管工商憑證或者後來的自然人憑證,從委員的簡報畫面上可以看到,其實它並不是沒有更強的登入方式,只是它並沒有強制用這個方法。
鍾委員佳濱:強調一下,可能很多在場人員不瞭解工商憑證,工商憑證就是類似自然人憑證,它不是一個對號鎖的號碼,而是一個你手中的房卡,掉了需要撿起來。所以我們看一下,那時候我問過,要求財政部換鑰匙的兩個問題,如果仍然是帳號式密碼的對號鎖,仍然可能被暴力破解,對不對?所以要怎麼樣來加強?可以用認證強度比較強的工商憑證。部長,如果這樣,你會不會覺得應該把工商憑證這種實體的方式拿進來?
唐部長鳳:確實是,對於小規模的營業人,他可能沒有工商憑證的,至少也應該要用類似像TWID,就是用它個人申請的SIM卡來認證。
鍾委員佳濱:很好!張主任,聽到沒有,專家在這裡。
張主任文熙:是。
鍾委員佳濱:有聽到嘛!電子發票系統最早是由X通公司在2006年建置完成的,你說過後來有多次改版,但是你剛剛講從它一開始使用之後,就是它的設計問題,一開始就是它的設計造成問題,不是後面改版的承商把它改了嘛?
張主任文熙:報告委員,其實一開始是先使用工商憑證設計,後來是因為使用人次太低,就有聽到有人要求要增加方便的方式,所以才會……
鍾委員佳濱:瞭解,所以本來是有設計用工商憑證的,只是後來為了方便大家使用,把它的便利度提高了,但是安全度就下降了。
部長,另外一個問題,數發部自己不用gov的短網址,你們現在有一個東西,你們的MyData平臺要做問卷調查,這個是用gov的短網址嗎?
唐部長鳳:這個我們已經有請承辦單位要改善……
鍾委員佳濱:它叫做什麼?是簡報上的這個公司,對不對?
唐部長鳳:對。
鍾委員佳濱:它可以用短網址嗎?
唐部長鳳:應該這樣講,我們目前gov.tw結尾的只能去縮我們政府的網址,但是其實在數位部裡面有另外一個機制,可以給外面像google表單等等一個編號是我們數位部的網址,所以還是可以用短網址。
鍾委員佳濱:它還是可以用?
唐部長鳳:對,只是它可能不知道這件事。
鍾委員佳濱:它不知道,那數發部要告訴全部的政府機關,因為民眾,像我只會認gov.tw,是不是這樣?
唐部長鳳:對,這非常好。
鍾委員佳濱:如果看到不是gov.tw結尾的,我就覺得這個有問題。所以現在就是啦!沒有用gov短網址的政府訊息怎麼信任?
唐部長鳳:我們之後會有一個共用的發簡訊的號碼,你也可以認那個發簡訊的號碼。
鍾委員佳濱:所以你要跟大家強力的宣告一下,所有政府部門及政府的外包廠商,如果你現在不是使用政府的網站服務的話,你不能使用gov短網址,要用你們的服務嘛?
唐部長鳳:對。
鍾委員佳濱:那就會出現gov短網址,這樣民眾才會知道這是政府的嘛!
唐部長鳳:對,我們的縮網址叫s.moda.gov.tw,它還是會以gov.tw結尾。
鍾委員佳濱:好,這個要告訴所有的政府部門跟政府的承包商。
最後,我的訴求是,第一個、請財政部檢討你們所有網路的便民服務系統之驗證方式安全性,譬如說過去的工商憑證可能比較安全,你們要思考,並於二個月提出檢討報告,可以嗎?
張主任文熙:可以。
鍾委員佳濱:其次,像這樣的承商所承攬的其他系統有沒有類似的漏洞?請數發部針對出問題的承商,一個月內來清點改善並提出報告,可以嗎?
唐部長鳳:是。
鍾委員佳濱:請數發部就目前政府各部門各種網路便民的驗證方式,幫他們盤一下、看一下,並提供一些建議,二個月內提出盤點報告,讓我們知道哪些部會始終不聽你們的勸,可以嗎?
唐部長鳳:這些我們都可以來做,我們把簡報上的第二點、第三點併成一個,然後二個月內提出報告。
鍾委員佳濱:二個月可以。最後如同你講的,政府部門有非政府網站服務的問卷調查等等,有沒有辦法套用gov.tw的情形,你已經有提出解方了,對不對?請把這個解方、這個信賴方案提供給民眾來辨識,好嗎?我不是在做宣傳。
唐部長鳳:好,這個我們也會併同之後我們共用簡訊的平臺一起來宣導。
鍾委員佳濱:我們不只是信賴唐鳳,也信賴政府,也信賴臺灣,謝謝。
唐部長鳳:謝謝。
主席:你的信賴方案就是好好做事情的意思嘛!
請江委員啟臣發言。
江委員啟臣:(11時17分)部長好。請問數發部是不是打詐國家隊之一?
主席:請數位部唐部長說明。
唐部長鳳:委員好。當然,我們是兩個部分的協辦單位。
江委員啟臣:是兩個部分協辦單位嘛!最近也通過一筆13億的經費說要來打詐。
唐部長鳳:這個應該不是編在我們部裡。
江委員啟臣:我知道,但是整個行政院有這樣子對外宣示。
唐部長鳳:理解。
江委員啟臣:沒錯吧?我覺得現在詐騙橫行,當被盜、被詐、被騙的時候,大部分人都只能自力救濟、自求多福,我自己本身也是受害者,在場搞不好也有其他的受害者。我的圖像也被盜用,我幾乎每個禮拜都會收到朋友寄來給我確認說:委員,這是你嗎?你又有其他帳號嗎?然後通常都被拿去徵婚、交友什麼的。昨天我老婆受不了了,他收到一個朋友寄給他的,這很誇張,這位盜用我圖像的,他盜用就算了,上面還寫「喪偶」。所以部長,我今天會來,是因為我實在是受不了了,真的受不了!不只我被盜用,其實有太多其他的,尤其這些名人或是名嘴,很多!像白嘉莉、氣象主播、理財名人、夏韻芬、謝金河,包括名嘴陳鳳馨也開過記者會,還有吳淡如、黃西田、陳文茜、沈春華,包括性學博士許藍方,他們公司也打電話到我的服務處,說希望我們出來開記者會來遏止這些事情,因為他被拿去交友、徵婚,有的沒有的,現在還賣東西,尤其是比如理財詐騙這些……
唐部長鳳:什麼存股投資……
江委員啟臣:對,所以部長都知道,要怎麼處理?你總不能老是叫我們每天都一直在澄清,我已經把這個檢舉到臉書,還有Instagram無數次,真的!
唐部長鳳:我想不管事後的檢舉應處再快,仍然會造成像委員這樣的麻煩,所以一定要……
江委員啟臣:所以怎麼辦?
唐部長鳳:特別是投資詐騙這種,應該是事前防範,除非有金管會的認證,不然根本不應該讓他登這種廣告。
江委員啟臣:所以這要怎麼做?
唐部長鳳:這個就是金管會已經有法案了。
江委員啟臣:所以是金管會的責任?
唐部長鳳:是,它是課以平臺責任,如果……
江委員啟臣:是金管會的責任,所以你們有告訴金管會怎麼做,現在是金管會的問題?
唐部長鳳:對,他刊登這個廣告如果沒有事前審查的話,平臺要負連帶責任。
江委員啟臣:你們轄下有資安署,資安署轄下有國家資安研究院,所以你們研究出來是誰的責任,現在造成這些問題是因為那些部會沒有負責任,是這樣嗎?
唐部長鳳:不是,而是我們這邊研究出……
江委員啟臣:難道是我的責任嗎?
唐部長鳳:我們這邊研究出來,在每個關卡應該要換成怎麼樣,就像防火建築材料一樣,不是事後才來救火。
江委員啟臣:他們有沒有換?
唐部長鳳:有,大概都有導入。
江委員啟臣:可是還是這樣。
唐部長鳳:像您剛剛提到的臉書,現在就有一個快速檢舉、快速下架的通道,但是我們研究出一個機制,也許之後透過像剛剛提到的工商憑證、金融憑證等等,就可以認證誰才能登投資廣告。
江委員啟臣:這些就是你們現在的四大面向,識詐、堵詐、阻詐、懲詐,這是你們那13億要花的錢嘛!而且還做了KPI,你們每一年要宣導觸及3,000萬人次,防詐簡訊1億4,000萬則,攔阻率提高5%,堵詐是每年攔阻詐騙簡訊3,000萬則,人頭門號停話5,000門,開發數位防詐工具兩種。阻詐則是每一年本國銀行百分之百等等,最後都是說提高5%。我們花13億,你們的KPI卻只要提高5%就可以了,攔阻率提高5%就好了。部長,你剛剛講的這些事情,第一個、都要花我們的錢,第二個、你們的KPI設的滿低的,而且沒有沒辦法全面防堵詐騙,才5%而已!我的意思是我也不期待你們能夠防堵被盜用,我幾乎放棄了。可是我今天就是要告訴你氾濫的程度、災難的程度,我還沒有講我的Telegram,我的Telegram在今年、去年被盜用,好多人可能也因為我被盜用而受害,都寄訊息給他們,還跟他們好像AI chatting,你知道嗎?他們都以為是我,後來發覺不是,結果我報案了,警政單位也沒辦法處理,之後是因為我自己有朋友在這方面的技術很厲害,把我的帳號重新救回來,我進去把它delete、關掉,才結束這場浩劫。但是政府做了什麼事?nothing、什麼都沒做!這是我的Telegram自救成功的案例,我就想政府在幹嘛?13億幹嘛?連一個最基本的Telegram被盜用了,你們都沒有辦法告訴大家要怎麼處理,而且就我所知,太多人的Telegram同時都被盜用,不是只有我的,太多了!我不曉得部長頻頻點頭的意思是什麼,可是我必須講,我對數發部以及整個政府的打詐國家隊目前為止的表現非常不滿意,而且還要花大錢。召委,這件事情交通委員會要好好追、好好監督。我看部長答不出話來。
唐部長鳳:我可以說話了嗎?因為您一直沒有到句號。
從去年我就完全不使用Telegram,雖然我因為有兩階段驗證,所以沒有被盜帳號,但是當俄羅斯入侵烏克蘭的時候,我們就理解到,就像委員所說的,它變成好像AI的戰場一樣。因為那個軟體既不在境內,也沒有落地在境內,所以我們對它的控制力確實很有限。
江委員啟臣:但是有不少的政府官員使用Telegram,再來就不用談民間了。可是你講到一個重點,政府知道了,為什麼沒有普遍地告訴人民這件事情?是誰的責任?
唐部長鳳:我們一向都是推薦用有落地的,至少在這邊有分公司的通訊軟體。
江委員啟臣:我覺得這是非常卸責的說法,政府必須積極地告訴大家,這是你們的責任,不然成立數發部幹嘛?拜託部長!
唐部長鳳:如果委員指的是一個使用指引的話……
江委員啟臣:你們起碼預防或者事發了以後,你們知道原因就應該廣泛地告訴民眾……
唐部長鳳:這是很好的。
江委員啟臣:還有使用者要怎麼防範,這是最基本的。
唐部長鳳:這個是全民意識的部分,不管是指引,還是全民意識,我們都會請我們的資安院來加強辦理。
江委員啟臣:部長,請你們拿出積極作為。
唐部長鳳:謝謝委員。
主席:部長加油!
唐部長鳳:是,謝謝。
主席:部長加油!你把他的問題解決一下,江委員長得也太帥了,都沒有人要拿我跟洪申翰去詐騙。洪申翰委員不要生氣。
洪委員申翰:要對你生氣的事還很多,不差這一條。
主席:請洪委員申翰發言。
洪委員申翰:(11時26分)最近發生非常多起重大資安事件,我就不多說了,不只是上個禮拜,甚至電子發票的問題從民間的駭客發現以後,也一段時間了,包括上週又發生YouBike系統有2.1萬筆會員資料外洩的事情。這些事情都會讓大家很懷疑,我們到底是不是真的有落實所謂資安就是國安這樣的原則?根據資通安全管理法第五條,寫得很清楚,主管機關需要對公務機關資通安全維護計畫實施情形進行稽核,還有資通安全發展的方案,所以我找了資安署做的公務機關資安稽核概況報告來看。我在報告裡面看到,資安署對於財政部的稽核有107年跟109年兩次,107年資安署在8到9月的稽核過程,有針對現在財政部財政資訊中心,也就是這次電子發票服務整合平臺出包的這個中心進行技術檢核跟實地稽核;109年則是針對財政部的文書檔案管理系統,並不是針對全機關。
電子發票整合服務平臺從民國96年就上線,所以107年當時針對財政部資訊中心稽核,這個平臺其實已經上線,並不是稽核後才上線。我們從報導也看得出來,這應該是長達7年以上的問題,也就是107年稽核的時候就存在。但從當初的稽核概況報告看不到對個別機關的稽核結果,看到的是共同發現的待改進事項,所以107年你們就針對資訊中心稽核過,但5年後的現在發現這個錯誤,看起來有兩種可能:第一種可能是當時稽核的時候,問題沒有被偵測出來的;第二種可能是當時稽核有偵測出來,但機關沒有改善。部長,狀況是第一種,還是第二種?
主席:請數位部唐部長說明。
唐部長鳳:委員好。以我所知,比較可能是第一種,當時技術面的結合有看到有密碼管理的policy,也有要求使用者初次登錄改密碼等等,但是並沒有實地看到兩個使用者給的密碼相同。
洪委員申翰:為什麼稽核的時候沒有偵測出來?是稽核方法還存在漏洞跟缺失,還是稽核的設計太高估了行政部門的資安能力?
唐部長鳳:這就是為什麼我們今年特別在技術面把它放大,做一個叫韌性巡檢,就是希望能夠事先找出這些共通元件上常見的共通樣態問題。
洪委員申翰:可是這次的巡檢還是靠民間的駭客巡檢,不是行政部門自己巡檢!
唐部長鳳:有一些民間駭客加入資安院,即將發布巡檢。
洪委員申翰:但是這次的發現不是在政府的計畫裡面。
唐部長鳳:我同意。
洪委員申翰:我現在的問題是,為什麼你們稽核的作法看起來還沒有辦法阻止問題發生?也就是稽核的項目跟範圍是不是必須擴大?
唐部長鳳:所以這一次我們有把這個樣態特別加到未來稽核的項目裡。
洪委員申翰:這部分可不可以在兩週內給我們一個報告?針對這次的事件,我們在稽核的範圍跟擴大強度上要做出什麼調整?我們不希望我們再去檢查之後發現結果還是一樣,沒有發現問題,兩週內可以給我報告嗎?
唐部長鳳:已經改好了,所以兩週內應該可以。
洪委員申翰:我接下來想繼續問財政部另外一個問題,其實電子發票整合服務平臺不只這一次發生狀況,民眾在消費的時候,掃完財政部的手機條碼、完成發票歸戶以後,其實這些電子發票就會存在財政部的系統裡面,請問財政部,這些發票跟消費紀錄會保存多久?
主席:請財政部財資中心張主任說明。
張主任文熙:目前法規定消費紀錄是7年。
洪委員申翰:保存7年是不是?所以它會一直留著,包括保存紀錄、電子發票的號碼、交易明細、交易金額、店家統編,但問題來了,一般民眾要上系統查的時候,只能查到自己近半年的資料,但這個資料會保存在你們系統裡7年是不是?
張主任文熙:就是法規查證的時間,但是……
洪委員申翰:但是我的理解是會永久保存的,7年以前的資料還是會持續保持,現在沒有任何一個機制會把過去存在這個系統裡面的資料給刪除掉,是不是這樣?我們現在是不是連7年前的資料都保存著?
張主任文熙:主要是一開始96年使用的那時候,沒有消費者的電子發票,詳細的時間可能是100年以後才有所謂的……
洪委員申翰:所以我現在問你,到底這些消費紀錄跟發票資料,包括交易金額、店家統編等所有的交易資訊都會被保存在財政部的系統裡面,請問會保存多久?
張主任文熙:就是7年以上。
洪委員申翰:以上是到什麼程度?什麼叫7年以上?
張主任文熙:因為之前……
洪委員申翰:就我理解是永久,因為你們沒有刪除的機制。
張主任文熙:是。
洪委員申翰:其實就是永久嘛!我有一個問題,為什麼民眾只能查自己近半年的資料,可是行政機關卻會永久保存?
張主任文熙:主要是兌領獎的關係。
洪委員申翰:兌什麼?
張主任文熙:兌領獎,就是……
洪委員申翰:兌領獎的關係?都領完了,為什麼還要保存這麼久?為什麼要永久保存?
張主任文熙:因為領獎有……
洪委員申翰:十年前我的消費如果中獎了,我現在還能再領獎嗎?
張主任文熙:因為領獎有三個月的期限,所以我們剛才有講……
洪委員申翰:照理來說應該只要保存三個月、頂多一倍變成半年,為什麼保存期限是永久?所以十年前的消費如果中獎了,我今天還可以領獎的意思嗎?
張主任文熙:不行,這個我們會來做檢討。
洪委員申翰:那你為什麼要永久保存?
張主任文熙:這個我們會再做檢討。
洪委員申翰:所以今天如果有正當的理由,有法規的授權,你要保留多久,這可以討論,但現在看起來你講不出理由來啊!連民眾都只能查到自己近半年的資料,但我們卻永久保存,甚至現在財政部的資安是這麼不受信任的狀況之下,為什麼不設一個明確的期限,到底正當的理由是什麼,我們就保存多久,時間到就該刪除,這是在資安的概念裡面應該有的事情。
張主任文熙:是,這部分我們會再檢討,之前主要有……
洪委員申翰:兌領獎只有三個月。
張主任文熙:兌領獎是我們這邊……
洪委員申翰:你拿兌領獎來講,那我們只該保存三個月。
張主任文熙:因為還有稅務的問題……
洪委員申翰:所以到底有什麼正當的理由,你們拿出來講OK,可是不應該永久保存這些資料啊!
張主任文熙:我回去整理後再跟委員報告。
洪委員申翰:所以我想問財政部,可不可以在兩個月內研議出正當的理由跟正當的期限是什麼,期限一到就應該刪除這些民眾在電子發票整合服務平臺上面的電子足跡,兩個月可以嗎?
張主任文熙:是,我們依照委員指示辦理。
洪委員申翰:兩個月提出相關的機制跟報告,好不好?謝謝。
主席:請李委員貴敏發言。
李委員貴敏:(11時34分)部長好。請教三個問題,第一個問題,剛才江委員講到他的名字被冒用,而我的情形是我的個資外洩,我要請教部長關於資安的部分還有怎麼樣確保民眾的安全,數發部會給相關部會一些指導嗎?
主席:請數位部唐部長說明。
唐部長鳳:委員好。就公務機關跟關鍵基礎設施。
李委員貴敏:對,很好。按照個資法第五條規定,不管是公務機關也好,或者是非公務機關也好,它在蒐集個資的時候不得逾越特定目的之必要範圍,對不對?
唐部長鳳:對。
李委員貴敏:那你有沒有告訴各個行政機關或者是相關的行政法人?就是不必要蒐集的資料就不要蒐集。
唐部長鳳:有。
李委員貴敏:尤其是銀行業者,常常要求民眾個資,其實現在不只是銀行業者,包括非公務機關,即行政法人,其實只要有民眾的身分證字號就好了,但它現在不是如此而已,不僅要民眾的電話、戶籍地址等一缸子資料,看起來他們的目的其實真的並不是為了做原本那件事情所必要的,它就是假借了一個名義跟民眾要所有的資料,譬如銀錢業者把KYC(Know your customer)當成一個幌子,說它必須要更瞭解民眾,不管是行政機關也好或者是這些機關轄下所管的這些非公務機關也好,數發部會不會去告知他們如果是不需要的資料,沒事不要跟民眾索取?
唐部長鳳:對,委員講的非常好,而且第五條規定「不得逾越特定目的之必要範圍」,其中的「不得逾越」隨著技術的進步,像隱碼技術的出現,其實送貨之類的根本不需要收貨人的電話號碼。
李委員貴敏:是啊!
唐部長鳳:所以理論上隨著技術的進步,需要蒐集的資料範圍應該要越來越小,而非越來越多。
李委員貴敏:對。
唐部長鳳:我們產業署當然有跟電商夥伴分享這個概念,在新的個資法三讀通過之後,因為有比較高額的罰金,我覺得大家會比較有誘因來減少蒐集個資,即所謂個資蒐集最小化。
李委員貴敏:好,這要特別拜託了。
唐部長鳳:是。
李委員貴敏:另外一個是個資法第八條的規定,其中包括應明確告知當事人蒐集之目的等等,實際上面來講,現在行政機關、行政法人或者是非公務機關有在做嗎?
唐部長鳳:有啊!我們很多要蒐集個資的網站底下會有個資法告知事項。
李委員貴敏:對,可是一旦拒絕的時候,你知道後果是什麼嗎?以銀行為例,後果就是銀行沒辦法幫民眾開戶。
唐部長鳳:就等於沒有辦法做生意。
李委員貴敏:對,可是民眾需要戶頭啊!這是強迫性的,這個已經跟法條的規定不相吻合了,請問部長可不可以針對這個部分真正落實個資的保護,尤其是牽涉到財務的資料,後果其實是更嚴重的,好不好?
唐部長鳳:是。
李委員貴敏:我們的資料都外洩了,那一般民眾的資料我相信也是有雷同的情形。
第二個問題要請教部長,現在我們一般打完電話的時候,會有推播的簡訊出來,譬如我在電話裡提到特定的商家,譬如說新光三越,這只是舉例,商家的相關資訊就會全部跳出來,所以簡單來講,以部長您對數位的專業,現在我們在講電話的時候它是不是可以直接聽到,因為它是用民眾的語音去辨識,辨識完之後它就能直接知道民眾對這個商家有興趣,跟這個商家相關的東西就全部都出來了,現在的情況是這樣,請問部長知道嗎?
唐部長鳳:委員提到的是內容層,就是民眾的手機如果中了一些木馬程式什麼的,也許會有竊聽的狀態,但是更常見的是行為層,就是民眾打電話給哪隻電話或者是去瀏覽什麼網站,在那個網站上面有所謂的追蹤器,民眾在那個網頁甚至是關鍵字停留多久,那個追蹤器就會知道民眾對這個東西有興趣……
李委員貴敏:因為部長對這個很熟悉,現在有很多app裡有這個東西,你是不是也應該讓民眾知道?民眾如果不知道的話,他們一點進去之後,民眾所有的個資,可能還不僅僅是個資,還包括民眾的喜好等等全部都外洩了,請問部長這個可以做嗎?
唐部長鳳:可以,我想這個包含在我們所推動的全民資安意識裡,像資訊月等等,我們可以來宣導怎麼樣是比較可以保護自己的使用方式。
李委員貴敏:好,讓民眾知道有一些app事實上是有問題的,這問題你也應該讓民眾知道。
第三個問題很簡單,就是您剛剛提到的冒名詐騙,在這樣的情況之下,你有提到將來廣告要透過有工商登記的……
唐部長鳳:就是投資廣告。
李委員貴敏:對,就是有那一些東西之後,它才可以去做,到目前為止,不管是Meta也好,還是Google也好,他們有接受您這樣的建議嗎?
唐部長鳳:金管會提出這個概念,以我所知兩大平臺是不反對的。
李委員貴敏:那什麼時候可以開始呢?
唐部長鳳:它當然需要一些技術的配套,所以三讀通過之後,很希望在……
李委員貴敏:所以在修法之前它不配合?
唐部長鳳:他們配合的就是委員上次提到的已知名人的投資詐騙,快速通報之後它快速下架,這個絕大部分都有解決掉。
李委員貴敏:剛才江委員也提到,因為個資的部分其實不是只有我的個資被洩漏出去,賴清德也好,江啟臣也好,跟我一樣,我們的個資其實都外洩出去。但剛剛江委員比較慘一點,就是冒名詐騙的部分也有他,因為他夠帥,問題是如果按照我上次講的,他的資料應該立即下架才對啊?
唐部長鳳:對,如果他是廣告型態的現在應該都有立即下架,不過他剛剛提到的那個樣態比較特別,因為看起來像是一個個人帳號,倒不是廣告。
李委員貴敏:好,謝謝。
唐部長鳳:謝謝。
主席:請王委員鴻薇發言。
王委員鴻薇:(11時40分)部長好,剛才有講,現在打詐1.5要追加預算13億,我想請問一下,數發部分配到多少錢?
主席:請數位部唐部長說明。
唐部長鳳:應該沒有編到本部的。
王委員鴻薇:所以13億裡面數發部完全沒有分配到,一毛錢都沒有嗎?
唐部長鳳:以我們現有的業務預算來執行。
王委員鴻薇:OK。另外請教一下,最近我們還是會討論很多民間公司個資外洩的問題,這兩天可能討論比較多的是誠品。我們都知道之前發生的,比如iRent個資外洩的人數大概40萬、微風大概90萬,華航我們一直沒有找到數字,華航你們確定個資外洩的數量是多少?
唐部長鳳:可能被影響到的,我的記憶中應該是上百到上千人。
王委員鴻薇:因為我們掌握的是名人的部分起碼有60人,包含林志玲、張忠謀,所以有上千人?好。請問一下誠品呢?你們目前知道的外洩多少人?
唐部長鳳:目前還在調查中,不過委員剛剛講的每一件都是重大矚目案件,我們資安院以及TWCERT/CC也都有協助,包含應處跟行政調查。
王委員鴻薇:我知道,之前我在質疑的是你們所謂的行政勘查,包不包含去實地調查?誠品的部分你們有派員實地調查,好像微風的部分也有。
唐部長鳳:那幾個都有,只是是不同主管機關帶隊。
王委員鴻薇:沒有,我講的是數發部。
唐部長鳳:我理解,但是因為我們是綜合性電商,就是無店面零售的主管機關,所以誠品線上的部分就是我們帶隊,您剛剛提到的,無論交通部或經濟部,雖然是他們帶隊,但是我們的資安院或資策會或TWCERT/CC都會聯防。
王委員鴻薇:所以按照你們現在關於個資外洩的SOP,就是主管機關或數發部確實有到現場實地勘查?
唐部長鳳:主管機關去勘查的時候,因為個資法有授權主管機關可以帶資訊人員,這個資訊人員就會從我們資安院裡面出。
王委員鴻薇:我覺得個資外洩當然是非常嚴重的,但是我也想請問,誠品應該是13號有報案,你們10天後會提出報告。目前我們看到的大概是一個人,照理說,比如其他單位如果有個資外洩,恐怕它的人數事實上會滿顯著的。我想請問一下,假使誠品這個案子並不是個資外洩,而是屬於打書,因為經過這樣一個事件之後,那一本書登上了誠品的排行榜,如果它是屬於是打書的行為,或者並不是真正的個資外洩,你們有沒有懲處或處理的辦法?
唐部長鳳:我想誠品本身已經報案了,這是一回事,剛剛委員所提到的,如果我們釐清責任,它完全不是在誠品或其下游的任何供應鏈的話,我們絕對也會在我們的報告裡面明確說明,包含裁處報告。
王委員鴻薇:對,我要講的就是,個資外洩當然非常嚴重,我們絕對不允許這些企業有任何隱匿的行為,包含公家機關或者非公務機關都不能隱匿,而且應該要配合調查。但是我們也必須說,這些個資外洩事實上也確實會對企業形象和大家對他的信任打上非常非常大的問號。
唐部長鳳:對商譽有影響。
王委員鴻薇:對,所以我也擔心,比如我們在司法及法制委員會就在詢問有關於假恐嚇案件、假炸彈的問題,像這種個資外洩其實也不排除有這種通報之後,其實不是的情況。所以我希望相關的個資外洩一定要處理,而且企業一定要配合調查,但如果它並不是屬於真正的個資外洩,而是基於一些其他動機或原因的話,我認為也要做處理,可不可以?
唐部長鳳:當然。
王委員鴻薇:你們在報告上要寫得非常清楚,而且以後要有這樣的防範機制。
唐部長鳳:像剛剛也有很多委員詢及,就是說這個是跟所謂的統戰有關,雖然統戰這兩個字好像不是這個意思,但沒關係,就是是不是跟統戰有關,這個跟我們的SOP毫無關連,我們就是按照重大矚目去查。
王委員鴻薇:對,沒有錯。我認為統戰要處理,統戰也是國安、個資外洩也是國安,也可以把這兩個加起來,但是也有一種可能,我直接說,就是有特殊原因,比如基於政治的理由,對不對?除了個資之外,其實基於政治理由或商業上的理由,比如我今天要打一個產品、要打書,而做了這樣的過程,但我們卻要花了這麼大的行政成本。所以我覺得第一個,真相一定要告知社會大眾;第二個,不容有任何其他的動機,不管政治上、國安上或是商業上的動機,動輒浪費我們個資外洩的成本。
唐部長鳳:我完全理解委員的意思。
王委員鴻薇:你可以同意吧?
唐部長鳳:再次重申,我們重大矚目案件處理程序並不會因為委員所提到政治或其他原因,而有任何改變。
王委員鴻薇:你同意我這樣的說法嗎?因為大家,尤其基層為了查詐騙也好、個資外洩也好,已經人仰馬翻,是不是?
唐部長鳳:是,我想我跟數位部及兩署的同仁絕對都是恪守行政中立,我知道委員擔心的。
王委員鴻薇:好,謝謝。
唐部長鳳:謝謝。
主席:請劉委員櫂豪發言。
劉委員櫂豪:(11時47分)部長好。今天大家都非常重視資通安全,現在有兩個部門,第一個是針對政府各機關的資安稽核及相關作業,由數發部資通安全署主導;民間的資安行政檢查就是由國家資通安全研究院主導。
主席:請數位部唐部長說明。
唐部長鳳:委員好。是,如果是電商的話,還有我們的產業署。
劉委員櫂豪:現在資安署112年度的預算總共編列八億九千多萬,扣除相關行政費用,主要有兩大計畫在執行,第一個是數位國家資通安全聯防暨國家資安防護前導計畫,還有整體政府資通安全防禦技術暨系統韌性強化計畫。這兩個計畫當然就是在推動整體政府的資安防護,也包括教育等等,但是你們有沒有這樣業務要建立一個機制,稽核其他機關到底安全防護做得好不好?比如今天我們在討論財政部電子發票系統有一個這麼大、那麼簡單的漏洞,而且這個漏洞應該存在好幾年那麼久了,如果你們有一個稽核系統,當然就可以防範未然,就可以看到這樣的現象。但我看到你們在整體的稽核檢查業務編列1,908萬元,你們在稽核業務的推動有沒有什麼推動計畫跟期程?
唐部長鳳:這個我們請資安署詳細說明,我們今年的一個特色是除了本來就有在做的資安輔導團跟稽核之外,特別就像剛剛講到比較弱的登入元件去安排韌性巡檢,這個是不是請資安署跟您報告?
劉委員櫂豪:部長,我現在的意思是說你們有個稽核,但是政府機關非常多啊,你們如何去落實這項稽核?所謂落實是指稽核完之後如果他們確實有這樣的漏洞就應該去改進,或者是在行政上彼此如何去協調,你們怎麼去落實這件事情?
唐部長鳳:它是一層一層的,就是每個機關去稽核它的下屬機關。這個部分我請資安署快速的向委員說明。
主席:請數位部資安署林副署長說明。
林副署長春吟:跟委員報告,我們每年都會做資安稽核,原則上就是每年會排定一些受稽核機關,在稽核以後,對於一些稽核發現會進系統去管考他們有沒有去做改善,今(112)年的稽核計畫已經有放在我們資安署的網站上。
劉委員櫂豪:你們稽核的對象只有中央機關,還是包括地方機關都算在內?
林副署長春吟:因為就目前法的授權……
劉委員櫂豪:機關是非常多耶!
林副署長春吟:因為目前法的授權,剛才我們部長也有提到就是一層稽一層,所以我們主要是稽行政院所屬,今年我們會協調去探詢地方政府對於讓我們透由稽核去幫他們檢視他們在資安上有沒有一些盲點的意願,目前也有縣市政府同意,所以今年我們會嘗試去做,之後我們也希望這個可以在法規上有比較明確的授權,這樣以後執行會比較……
唐部長鳳:目前是自願啦,地方政府自願受稽核。
劉委員櫂豪:部長,我們今天在討論個資外洩的相關問題,常常我們在網路上或一些情況下會填寫很多表,現在時代這麼進步,有沒有什麼可以不用填那麼多個資的方法?有沒有?如果在源頭上就不要填寫那麼多的個資,坦白講就比較沒有外洩的問題啊!
唐部長鳳:確實,理想的情況是當你要開戶或是怎麼樣而有需要個資的時候,不是你自己重新再填,而是你授權掌有這些個資、幫你儲存的單位用安全的方法介接過去。
劉委員櫂豪:對,數發部有沒有要做這件事?
唐部長鳳:有,有的!
劉委員櫂豪:有關個資外洩這件事情,特別是從網路發達以來,我們在這一、二十年來也填了無以數計的資料,買個東西也填資料、上網也填資料、去政府機關辦事也填資料,我們填了非常非常多的資料!
唐部長鳳:我們有一個MyData(個人化自主資料運用平臺)就是在做這件事情,不管是辦一些相關的證明,甚至是俗稱的良民證等等,就不一定要臨櫃來辦理,都是用一種比較安全的方式、個資有保障的方式來減少重複填表。
劉委員櫂豪:部長,數位部算是新成立的部門,如果可以解決這件事情,就會讓民眾感受到成立這個部門是有積極貢獻的。
唐部長鳳:完全同意。
劉委員櫂豪:我們現在討論的,真的是因為我們填了太多太多個資,所以我們有層出不窮的個資外洩事件,而且是防不勝防。
唐部長鳳:是,需要源頭解決啦!
劉委員櫂豪:對,我們從源頭解決就可以減少個資外洩的機會。謝謝。
唐部長鳳:完全同意,謝謝。
主席:請魯委員明哲發言。
魯委員明哲:(11時53分)部長,其實相關問題我們也談過滿多次了,我記得上次向你質詢時曾經特別談到,其實數位部在成立的時候民眾是有很多的期待,當然可能有些期待是幻想吧!過去我們發覺很多不管是詐騙或其他相關的問題,以檢警調現有的能力及結構來說,反正不是早到就是晚到,要不就是去看的時候還沒發生事情,要不就是發生了事情之後才去,然後於事無補,該做的破壞也破壞了。所以我們真的有點期待在數位部成立之後,因為資訊上的強度,至少能先期偵查到,這是很多人的期待。
部長,我們看到從去年年底到今年年初發生了很多事件,包括企業個資外洩的相關資安問題,你那時候有接受專訪,2月23日到現在整整三個月了,我幫你整理了一下,大概可以說是資安三支箭,這是我整理的,當時你說要補足通報的機制,對不對?因為過去只通報主管機關跟國發會,未來數位部應該會展現不一樣的一個力道,是嗎?
主席:請數位部唐部長說明。
唐部長鳳:委員好。是的,這個有。
魯委員明哲:第二個是企業本身及政府本身要強化資安,包括資安健檢跟零信任機制,包括你要成立紅隊進行攻擊行為,也就是自己先試用一下。
唐部長鳳:是。
魯委員明哲:我剛剛聽到一個訊息感到很開心,就是你們準備進入地方政府去做資安健檢,請問剛剛上台來說明的是哪一位?
唐部長鳳:資安署林副署長。
魯委員明哲:請問對於中央政府的部分,你們的紅隊攻擊已經攻完了嗎?
唐部長鳳:中央政府一向都有,紅隊一直都在。
魯委員明哲:財政部的健檢如何?
唐部長鳳:我請資安署林副署長向委員簡單說明。
魯委員明哲:財政部的健檢報告如何?你們的紅隊攻擊及零信任機制,所謂零信任機制就是每一次登入的時候都不要相信它,你們弄了半天,你說要弄到地方政府,我們還期待你來協助大型企業,以免市民受害,可是我不知道耶,你們在機關繞過一圈了,如果在財政部也繞過一圈了,那你給他打了甲等嗎?PASS了嗎?過關了嗎?
唐部長鳳:其實以現在的狀態來說,就像之前您這邊提到的零信任和T-Road什麼的,我想各部會都已經有建立這套系統,問題是別的比較不安全的系統是不是停止使用或廢棄使用,這個才是最重要的。
魯委員明哲:好,我不知道你們的資安健檢到底怎麼樣算通過、怎麼樣算不通過,但就在你覺得中央已經繞一圈準備進入地方政府的時候,其實我也不要只是光講財政部,各部會存在的危險因子看起來並沒有減少多少!你希望能夠墊高攻擊的成本,可是我們看到這次財政部電子發票服務平臺所產生的資安危機,就出現在沒有很高深的學問,所謂沒有很高深的學問就是企業統編加上財政部的預設密碼,因為很多企業沒有改密碼,大家就繼續這樣去用,不過我想這個也不能怪你,因為在成立數位部之前早就是這樣去弄了,可是你現在弄完這些部分,你的資安三支箭,至少是數位部做政策的制定,資安署去做政策的執行,再加一個資安院來做技術的支援,鐵三角也弄好了,三支箭也射出去了,結果三個月之後,我的天啊,最基本的、你剛剛講的這三件事,我也不是說這個事情要你一個人做,包括財政部自己也要努力嘛,到底為什麼犯了這樣一個我覺得是很低層次的錯誤,我覺得不應該!部長,你要不要給他們建議?不光是財政部啦,像這樣的事情,你覺得多久的時間可以去面對與改善?請你說明一下。
唐部長鳳:是,謝謝委員讓我有機會說明。有關財政部的這個案子,就像剛剛所講的,它並不是沒有強的登入方法、工商憑證、自然人憑證等等,但是為了方便,就運用比較弱的方式,雖然外洩的不是個資而是企業的資訊,但那當然也是不應該的事情,所以我們今天在全國資安長的會議上特別請財政部把這個當作教案,讓大家知道要怎麼樣去盤點。我想我們接下來會特別注重的,不管是在資安的巡檢或是在稽核上面,不要只是覺得有強的認證就好了,還要特別去問是不是有些地方的小徑、小道竟然還存在,這些其實常常就是有破口的地方。
魯委員明哲:好,部長,我還是要拜託你啦,我聽說你們要進入地方去做資安健檢,但我覺得中央應該藉這個機會好好去巡檢一下,好好的輔導一下,像財政部真的讓人感到非常非常的擔心,因為你們下面管理了非常多的單位,這不光是一個資料而已,有些買賣東西的資料還會被拿來騙我們,還有金管會也有很多的問題,我們真的希望透過這個來去加強一下。
部長,對於這五年來詐騙案的財損及被害人數,刑事局有初步的統計,當然我認為還有滿大的黑數,從2018年到2022年已經有統計的財損是20億、將近21億,我在想我們能夠做什麼呢?有些東西真的很難去啟動,有些東西只是被動要讓各個機關、各個機構自己要自立自強的去努力,可是有些看得到的,像警政署刑事局雖然是在第一線,但坦白講他們都是補破網啦,發生事情了補破網,去累積一些數據,我就覺得這個東西可能要快點處理,近世紀,從最右邊的111年到112年,就是現在剛過的第一季,所有發生的詐騙案件,就像是你要到某個場域,警察告訴你要小心,因為那邊都沒有路燈,如果去那裡可能會發生一些問題,這叫做治安的死角,現在這種詐騙的死角、詐騙的場域,事實上已經統計出來了。當然有很多我們沒有辦法統計到,但是警政系統,甚至我們被騙的人民用他的財損、血汗錢累積出來的數據,我覺得你們要更快速、更嚴厲的面對這樣的問題去要求他們。
你看近四季每一季統計出來的前五名,但我又發覺真的很棒,每一季都上榜,可是第一名、第二名也無所謂,反正蝦皮購物、旋轉拍賣也不怕。我對他們沒有敵意,可是他們的場域,他們的場域如果他們自己沒有能力處理,我又覺得在這樣的市場上面你完全不管,任由這樣的詐騙因子在這裡上架,你一直不作為,你季季上榜,我覺得這個部分是不是要有一點作法,好不好?
唐部長鳳:完全同意,而且之前本來的個資法規定,他只要一直有改善我們就一直不能裁罰,這個問題已經解決了,新版的個資法規定,只要確定是他們的問題,我們就先裁罰再要求改善,不改善再罰更多,這個沒有問題。
魯委員明哲:我覺得現在要趕快進行、趕快處理,大家把這個事情談清楚,至少讓我們所有的國民要進去這些場域,不是一進去就是治安的死角,對不對?詐騙的那種死角。我覺得這個部分,我們看得到的,我們多盡一些責任,好不好?麻煩你。謝謝。
唐部長鳳:當然。謝謝委員。
主席:請鄭天財Sra Kacaw委員發言。
鄭天財Sra Kacaw委員:(12時1分)主席、各位委員,部長好。數位發展部在111年8月27日成立,數位發展部組織法則在111年1月19日公布施行,如果從立法院三讀通過起算,那就是1月19日之前。我特別講這個日期是要延續我上次的質詢,也就代表著我們原住民族部落、原住民家庭相關的上網率或是怎樣去促進我們的數位基礎建設,已經停擺了1年多,停擺了1年。從NCC的時代,本席也常常質詢,我也在交通委員會擔任過委員,都有相當的進度,雖然不是令人很滿意,但是這段時間我一直認為是一個停擺的階段。
數位發展部,當然你們有很遠大的方向,但是對於原住民族而言,我們最需要的就是最基礎、最基礎的這部分,也就是普及服務。我們都沒有辦法做到數位基礎建設的往前邁進,原住民家戶上網率較全體家戶落差24.38%,如何去加速推動普及服務,這對我們來說非常非常的重要。現在手機非常普遍,對不對?但是在偏鄉地區,在原鄉部落,我們在數位相關的運用,或是學生、學童電腦的使用卻受到非常非常大的影響,因為普及服務往前邁進的速度非常非常的慢,尤其我剛才特別提及,從數位發展部要成立,NCC把這個業務移給你們的時候就開始停擺,至今1年多的時間。在這樣的情況之下,本席在3月8日也質詢過,質詢之後到現在……
主席:請數位部唐部長說明。
唐部長鳳:委員好。有,普及服務我們一直都有在處理,倒沒有停擺的問題。
鄭天財Sra Kacaw委員:不是,到目前,3月8日我質詢到現在,連一個字都沒有回復我到底是怎麼樣,所以這個部分要請部長,當然其他的都很重要,但是原鄉地區的普及服務非常非常的重要。第一個,跟孩子、學童的就學也有關係,對不對?不能一直讓我們的教育處於落差,原住民族跟全國的教育落差仍然很高就跟此事有關係嘛,有電腦跟沒有電腦、電腦能不能夠上網有關係吧!
唐部長鳳:是。
鄭天財Sra Kacaw委員:然後跟安全也有關係,之前蘇前院長不是有一個叫做什麼,開放那個……
唐部長鳳:山林。
鄭天財Sra Kacaw委員:開放山林,對不對?開放山林的安全,你在整個道路上發生事情的時候……
唐部長鳳:至少可以報平安。
鄭天財Sra Kacaw委員:對,不是報平安,發生事情了,要緊急……
唐部長鳳:要定位。
鄭天財Sra Kacaw委員:緊急救援都沒有辦法,所以這個部分怎樣能夠兼顧。其他的都很重要,但是也必須要去兼顧普及服務,這部分還是要特別請數位發展部,因為你們人都換了,所以現在他們也在摸索,可能也不知道要怎麼去做,我不知道你們有沒有……
唐部長鳳:沒有換,同一位。
鄭天財Sra Kacaw委員:他是NCC過來的嗎?
主席:請數位部韌性司鄭司長說明。
鄭司長明宗:報告委員,我們這個業務真的是無縫接軌,但是如果委員感覺有落差,我們趕快來補上去,我想這個業務並沒有……
唐部長鳳:對,我們最近才有一個「連結山海」的發表會,包含偏遠地區的人口涵蓋率已高達95%以上,這些資料我們都會儘快提供給委員。
鄭天財Sra Kacaw委員:上次3月時我質詢的紀錄,請你拿來看一看,真的不是無縫接軌,因為光你們的公文,我要索取資料,數位發展部說是NCC的業務,我行文給NCC,NCC說是你們數位發展部的業務,就曾經發生過這樣的事情,所以我才會說到底NCC的人有沒有到你們那邊服務?還是過去他可能不是……請問你是哪一位?給我介紹一下。
鄭司長明宗:報告委員,我也從NCC過來,我從NCC基礎資通安全處過來。
鄭天財Sra Kacaw委員:對啊,可能你不是做這個業務的。
鄭司長明宗:當時是沒有主管,但是我們很快就接過來……
鄭天財Sra Kacaw委員:對嘛,沒有主管這個業務還是會有落差,因為我是30年老公務員,不同的部門有不同的業務,所以我只能期勉,為了我們原鄉地區的上網率,我只能拜託,好不好?
鄭司長明宗:委員,原鄉的涵蓋率,全部所有三、四百個原鄉,確實我們要跟NCC再協調,因為我只有87個偏鄉,我們再跟NCC協調……
唐部長鳳:就我們業管的範圍並沒有停擺,有在做,是不是請韌性司儘快給委員一個報告。
鄭天財Sra Kacaw委員:請針對原住民家庭部落上網率的辦理情形提供資料,這部分什麼時候可以提供?
唐部長鳳:以我們手上有的,就像我剛剛講我們最近才辦了一個發表會,所以我們按照委員所要的格式整理,一個月之內一定可以提供。
鄭天財Sra Kacaw委員:光從剛才的答詢,我就打很大的問號,我就非常的擔心,為什麼呢?你剛剛說還要跟NCC協調……
唐部長鳳:就是要對一下兩邊的格式。
鄭天財Sra Kacaw委員:你看還在權責不明的情況之下,所以這個部分,到底我要去找NCC還是找你們,對不對?上次3月質詢的時候,我有把跟你們往來的公文,甚至會議紀錄都呈現出來了,回去再看一下,好不好?
唐部長鳳:我們跟NCC是有很密切的來……
鄭天財Sra Kacaw委員:不是很密切,我們現在就搞不清楚到底我們要請誰來做。
唐部長鳳:舉例來說,像之前相關的行動寬頻的調查,雖然是由我們這邊調查,但是我們也有公開調查的資料,然後NCC的平台還是看得到,所以我想委員找我們是沒有問題的,那我們會來確保這中間的串接。
鄭天財Sra Kacaw委員:好,我明確地問,提高原住民家庭部落的上網率,這件事誰來做?
唐部長鳳:我們一個月之內就我們這邊的整理出來……
鄭天財Sra Kacaw委員:不是,誰來做?不是,誰來執行?
唐部長鳳:並且就NCC做的部分,我們也會一併做一份報告給委員。
鄭天財Sra Kacaw委員:不是、不是。
主席:鄭委員說誰做啦?
鄭天財Sra Kacaw委員:我說誰來執行,誰來執行提高原住民家庭、部落的上網率?
唐部長鳳:我們會來執行這件事情,只是委員要的那個統計方式,NCC一套、我們一套,我們怎麼對接嘛。
鄭天財Sra Kacaw委員:我還沒有要統計,統計要花時間我知道,調查要花時間我知道,我說這個是誰的業務?提高原住民家庭、部落的上網率這個業務誰來負責?
唐部長鳳:我想提高全國的不管偏鄉,還是不是偏鄉,任何地方的上網率,以普及服務來講,都是韌性司的業務,沒有問題。
鄭天財Sra Kacaw委員:好,謝謝!
唐部長鳳:好,謝謝!
主席:部長,鄭天財委員3月8日的質詢,你們趕快回復他吧!
唐部長鳳:沒問題!我們請韌性司長……
主席:不要委員質詢完了以後,無聲無息就沒事了,好不好?這拜託了!
唐部長鳳:是,謝謝委員。
主席:另外,他提到權責的問題,你們就負起責任來吧!不要再扯NCC、中華電信,扯了一大堆,你們是業務主管機關好不好?很負責任的態度回答鄭委員,好不好?謝謝!
唐部長鳳:是,我們當單一窗口沒問題,謝謝委員。
主席:請邱委員臣遠發言。(不在場)邱委員不在場。
請高委員嘉瑜發言。
高委員嘉瑜:(12時11分)本席要請教唐鳳部長,最近財政部的電子發票整合平臺發現竟然歷時13年都沒有更換密碼,所有公司都用同一組預設的密碼,就被一位所謂白帽駭客踢爆說有130家以上上市公司的名單都在裡面,其中也包含會員資料、有發票往來的廠商、交易明細與發票金額等等,這些問題請問數發部之前知道嗎?
主席:請數位部唐部長說明。
唐部長鳳:是我那位白帽駭客朋友告訴我才知道。
高委員嘉瑜:對,所以我的問題就是,像政府現在有很多類似這種資安問題的事情,數發部有沒有在做這樣子的一個稽核?去查核哪邊有問題,怎麼幫大家去找出問題來?還是現在對於資安的部分,各部會還是自行其政啊?數發部對這件事情到底是不是需要介入去協助瞭解狀況?你們有沒有再去做這樣子的一個瞭解呢?
唐部長鳳:有的,我們今年所謂的韌性巡檢,由全國各職司的這些機關純粹就技術面去找到共通元件的問題,也有一些民間的白帽駭客朋友,為了要做這件事情加入我們資安院。
高委員嘉瑜:我要瞭解的地方是,數發部是從今年開始,現在正在做,請問一下,現在公部門有這麼多龐大的資料庫,在各個地方都有可能會發生像這樣的問題,所以資安院完全是不知不覺、完全是後知後覺,還要別人幫忙去盤點、去找出問題,這樣子的一個公務機關,第一個,數發部如何協助他們,多久之內可以把這些問題全部找出來?保證以後不會有問題。
唐部長鳳:對,我想這一次已經做了一個教案,我們透過今年的巡檢累積出類似的這種態樣,年底前會有一個共通態樣的通報。
高委員嘉瑜:所以年底前數發部會針對公務機關全面對資安做稽核,找出問題、發現問題、解決問題,然後今年年底之後就不會再有類似的問題發生,是這樣嗎?
唐部長鳳:就是以我們所偵測到的這些共通元件,以及共通的問題態樣,我們會優先針對這些來解決。
高委員嘉瑜:不是只是這些問題,而是你到底多久之內可以把現在公務機關所面臨資安外洩的風險,先把自己做好,不要一直讓別人來發現我們的問題,這樣大家就會把問題丟給數發部說,數發部到底在幹什麼?如果你們今年沒有辦法做好,你們要多久可以做好?
唐部長鳳:不過委員剛剛提到的就是守望相助,民間所謂See something,say something.這個是……
高委員嘉瑜:不是守望相助,資料已經被外洩了還在守望相助,現在的問題是,有多少資料被外洩也是一個問題哦!數發部對於這件事情,今天報告的內容也是請財政部、請相關的單位來報告,做案情的分析,但是完全沒有做後續的處理,包括這些廠商、上櫃公司他們想要知道,我到底資料有沒有被外洩?我有沒有被其他人登入?這個登入紀錄在哪裡?這些公司到現在不得而知耶!因為依照我們的個資法,如果我個資外洩了,這些公司、這些主管機關應該要通知個資被外洩的人員等等,這個是依照資安法的規定,也必須要通報。現在財政部的電子發票平臺很明顯已經是外洩的狀況之下,有多少人的個資已經外洩了?多少個資外洩的事情完成不知道,數發部可以協助他們建置一個登入紀錄的查詢功能跟e-mail的登入通知,讓這些被盜用的公司、機密外洩的公司知道嗎?
唐部長鳳:這個本來他們就有做資安通報,我們也有做必要的輔導,不過……
高委員嘉瑜:因為現在是沒有登入紀錄的查詢,就是我們有資料庫知道某家公司的電子發票系統有哪些人登入,但是我作為商家的、公司的,我想要知道哪些人登入我的帳號,我沒辦法查詢。
唐部長鳳:有,資安署也有請財政部再加上這個功能,如果上次不是你登入,他是從哪裡登入的等等,IP位址都有。
高委員嘉瑜:對,那是後來,過去的這些紀錄有沒有辦法協助這些公司去瞭解它的資料可能已經被外洩了,協助他們知道。
唐部長鳳:主動通知的部分,我們進一步跟財政部來處理。
高委員嘉瑜:好不好?這個部分需要有一個登入紀錄的查詢功能,讓公司知道他們的資料已經被外洩了。剛剛講如果連我們公務機關自己都做不好,怎麼去稽查啊?過去3年民間個資外洩的,我們所查到的只有32件,難道只有32件嗎?絕對遠遠不只。所以你們現在第一個,自己都自身難保了;第二個,如何去做民間的稽查,數發部如何來協助?
唐部長鳳:不過委員剛剛提到的這個表格,我們上次備詢的時候委員有show出來過,當時我是說個資法三讀通過之後,右邊就不會變成只罰鍰3件,而是至少會跟左邊一樣處罰32件;接下來是,只要我們發現這個事實確實是有個資外洩,就先裁罰再要求改善,對於這些相關的電商來講……
高委員嘉瑜:現在是說源頭,我們不希望有個資外洩,不管你是裁罰或是什麼,這些都是新聞揭露以後我們才知道的,而且只有32件這才是問題,絕對遠遠不只32件,而是32萬件都不只。在這樣子的情況之下,我們現在就問數發部,你們是主管機關,如何去協助民間單位在資安、個資的部分去做好相關的稽核,你們有沒有定期稽查的人力?由數發部來協助各主管機關,定期針對各單位去做抽查等等,去瞭解他們資安外洩的風險和問題,而不是等到外洩之後再來開罰等等,這些都為時已晚了。
唐部長鳳:這個我完全同意啊!我剛才沒有講完,就是透過我們已知的這幾件案子,在行政調查的時候不是只知道發生什麼事情,而是知道它的根本原因。
高委員嘉瑜:所以現在的問題是怎麼做?
唐部長鳳:知道根本原因之後,就可以像換防火建材一樣,去導入隱碼技術……
高委員嘉瑜:對,現在事先對民間單位的資安做行政檢查這件事情,我們想問數發部如何來做?
唐部長鳳:剛才產業署已經有說,我們今年是40家次演練,也包含對裡面大家比較矚目的去做紅隊演練,就是實際請民間資安公司去進行攻擊,就像剛才白帽駭客一樣,搶先在黑帽駭客之前……
高委員嘉瑜:40家次是要演練到何時?現在民間公司、企業擁有這麼多個資的狀況,你們只針對40家演練,這個真的是不夠。
唐部長鳳:當然是就高風險的公司來進行,我們整理出這個態樣之後,也會請所有相關的電商,說你只要導入這些新的元件,就比較不會有下游不管是貨運或者金流的部分進一步洩漏個資的情況,這個就是從源頭來解決嘛!
高委員嘉瑜:說實話啦!資安該做的是這些商家本身就應該要做,不是你們在教他們怎麼做,你們循循善誘說他們應該做好什麼什麼,他們有資安外洩就應該要有相關的賠償,甚至這個賠償包括相關的懲處,都應該讓他們感覺到現在不做好可能公司以後會破產等等……
唐部長鳳:這個罰金提高有幫助啊!
高委員嘉瑜:但是目前的罰鍰真的對他們是不痛不癢啦!你處罰了3件也才罰多少錢而已,對於這些資安外洩所造成民眾後續的損失……
唐部長鳳:那是舊的個資法,新的個資法罰責已經提高了。
高委員嘉瑜:但是我們還沒有看到重罰的狀況啊!目前沒有啦?我的意思是,不僅我們自身目前沒有做好,對於民間的要求顯然也不夠,所以就這個部分,我們覺得數發部是難辭其咎,應該要負起責任。部長剛剛說,你們今年年底會針對所有公務機關的部分,先做好相關的共通元件或態樣去做適用,但是這樣子夠嗎?因為現在發生問題之後,數發部都要去承擔,尤其是蝦皮啦!蝦皮就像剛剛所講的,我們也質詢過很多次了,就是很明顯個資外洩的一個賣場,這個個資外洩的風險也被評比為最高,幾乎所有在蝦皮購物過的人都有立刻接到詐騙簡訊的經驗,所以我們要求數發部針對蝦皮要有相關的因應,結果現在是怎麼?蝦皮自己發一個免責聲明,說民眾自己要承擔資安的風險耶!叫民眾自己承擔喔。然後我們問數發部,你們有沒有去瞭解蝦皮個資外洩的狀況?到目前為止,你們說會請他們限期改善,沒有任何開罰的處分。大家質疑到目前為止,104家業者在網路上爆發資安外洩的狀況,但是只有3家被裁罰,尤其是電商洩漏個資完全沒有被裁罰。在這樣的狀況下,未來數發部到底要如何處理蝦皮?
唐部長鳳:不過依新版個資法,只要確定是他們的問題就會裁罰,之後委員應該會看到相當不同的狀況。
免責聲明內22.3的條款提到「您承認在法律容許的最大限度內」,這幾個字的適法性如何,剛剛產業署有說兩個禮拜之內會做出……
高委員嘉瑜:蝦皮現在還叫使用者做實名認證,要提供身分證及銀行帳戶等個人資料;這是最新的,5月3日要求民眾提供。
唐部長鳳:這個是防洗錢的部分吧!
高委員嘉瑜:這樣的賣場你敢提供你的身分證、銀行帳戶等個資給它進行實名認證嗎?
唐部長鳳:第三方支付因為涉及防制洗錢跟打擊資恐,這個是本來就需要做的。
高委員嘉瑜:對,問題是他們會把我們的個資外洩,沒有做好資安。現在到底是誰要負責任?是我提供給它,所以我自己要做好資安風險管理嗎?他們把責任都推給民眾,民眾自己要承擔,同時又要求提供身分證跟銀行帳戶。
唐部長鳳:這個是賣家,它如果要賣家提供的話,無形之中也是讓詐騙型態的賣家比較不會出現。
高委員嘉瑜:不管是賣家或是買家,其實在這個過程中都有個資外洩的風險跟疑慮。數發部針對蝦皮的問題到目前為止都沒有裁罰、沒有任何處理,讓大家覺得很……
唐部長鳳:我們兩個星期之內會給委員跟社會交代。
高委員嘉瑜:好。大家認為蝦皮其實是首當其衝,但是到目前都沒有任何處理,這是一個很大問題,數發部要負起責任。
唐部長鳳:我理解委員的意思。謝謝。
高委員嘉瑜:謝謝。
主席:請王委員婉諭發言。
王委員婉諭:(12時22分)部長好。今天要跟您請教數位平臺使用的亂象以及我們如何治理。首先跟部長報告一下,我們看到性私密影像外流或是犯罪的情況其實非常多,而且非常頻繁,這也是為什麼我們通過性私密影像相關司法聯防的規定。但是臉書上仍然有很多以「霸社」為統稱的私密社團,這些社團裡面時常涉及外流性私密影像以及網路霸凌等言語,而且這些社團的成員加起來接近10萬名,其實規模很大。過去鏡週刊也曾經報導,霸社有陸續流出數百名女子的私密照片以及影片,讓很多社團成員下載或轉載。在這樣的情況下,我們也陸續接到一些陳情,發現現在散布性私密影像的方式,是讓社團成員把這些違法的性私密影像放在一個加密的雲端硬碟,然後再透過發文的方式公布網址和密碼,吸引霸社的社團成員瀏覽,受害者更是成為霸社社團集體羞辱的對象;又或是透過這樣的方式在LINE的群組張貼連結,吸引大量網友為了看更多性影像而加入社團,而且可能有獲取不法利益。在這樣的情況下,我們過去修法通過的司法聯防到底能不能防範?就我們的了解是沒有辦法的。
目前臉書的檢舉機制只能直接處理張貼色情影像、性影像,但是像剛才提到的,秀一個短網址或是用加密的雲端,張貼網址並號召他人進入社團之後提供密碼,讓他能夠看,像這樣子的文章卻沒有辦法下架。我們想請教數發部,你們是不是會有更積極的作為,或是放任這樣的情況持續存在?
主席:請數位部唐部長說明。
唐部長鳳:委員好。如果有涉及刑事犯罪的話,我們本來就有DNS RPZ的方式,在調查局或刑事局的要求下,我們可以針對網域進行處理,包含停止解析等等,這個是我們本來就可以做的事情。至於委員剛才講的這種比較像是臉書回應的機制,這個在iWIN的聯防之下,應該可以透過好比是社團裡面有人主動檢舉等等方式處理。
王委員婉諭:目前不論是iWIN或是臉書,其實都沒有辦法處理間接的、加密的情況。很清楚的是,當我們積極處理直接張貼色情影像或性私密影像的同時,變相張貼的現象似乎越演越烈,我們也認為不應該在出現更多受害人或是更多事件之後才來看這一塊。我們希望數發部能夠積極有效地要求相關的平臺業者處理。我們看到目前有通過性私密影像下架的法源依據,所以可以主張移除侵害結果,可是實際上到底能夠做哪些部分,目前是看不到的。剛才提到如何跟業者善盡溝通的職責,或是數位平台如何善盡社會義務,希望能夠把這樣的影片下架,但是我們都看不到政府部門介入、協助或是更積極的處理。
唐部長鳳:委員所提到的,包括網路業者主動處理,特別是保存相關的資料,這樣一旦有人檢舉就能夠完整調查到跡證,我覺得這些都是很正確的方向,我們也會跟刑事局、調查局等等一起聯防。
王委員婉諭:現在即便經過檢舉,還是沒有辦法下架這樣的文章,很可能讓這樣的文章或是連結很快速的轉傳到其他機制、平臺上,所以我們認為數位平臺應該善盡社會義務、責任,提供使用者更完善的檢舉機制。剛才提到比如說臉書或是幾個平臺,現在並沒有辦法涵蓋這樣的檢舉機制,它是不被接受的,他們接受的檢舉是直接張貼影像的部分,如果是貼加密的雲端網址是不接受檢舉的。
我們希望平臺業者應該要能夠提供更完善的檢舉機制,取下這些有問題的內容,包括實際上已經知道的,透過短網址散布違法性私密影像的部分,應該加強他們檢舉機制的不足。第一個部分,我們認為政府也應該跟業者商討,如何讓他們願意調整檢舉機制,因為剛才提到不論是我們直接跟臉書討論或是透過iWIN,目前平臺業者其實並沒有接受應該調整檢舉機制的要求,所以我認為政府有這個角色,應該跟業者溝通。第二個部分,我們也希望政府能夠思考,如何鼓勵這些平臺業者管理濫用服務的社團以及使用者,避免社群平臺遭到濫用,變成犯罪的溫床。這兩個方向現在都還看不到政府機關有任何政策、手法、溝通機制處理,未來會怎麼調整?
唐部長鳳:iWIN是現有的機制,如同委員所說的,iWIN目前的強制力……
王委員婉諭:非常不足。
唐部長鳳:針對是不是能夠及於臉書內部社團的管理規則,特別是對於縮網址或境外網址的處理方式,它確實比較不足。我們瞭解大家對這件事情非常關心,剛好產業署在媒體共榮議價的討論裡面,有跟Meta(臉書)跟Google,就媒體還有新聞的相關方面持續接洽,所以這部分我們就責成產業署在後面的對話階段,進一步把委員提出的這些事情當作重要的事項。
王委員婉諭:不只是我們提出來的,這是我們想得到的可能的幾個方向,我覺得數發部應該要更積極的思考,如何避免這樣的樣態或是性私密影像流傳,積極防範和處理才是正解。我剛才提到面對平臺的亂象,希望你們能夠積極溝通,但是能不能有具體的時間?像是一個月內告訴我們未來會怎麼協助,而不是放任加密雲端的影像持續透過連結、發文或帳號的方式提供,讓大家可能看得到或是接收得到性私密影像。
唐部長鳳:這個涉及我們這邊的訊息防護以及NCC那邊的傳播監理,這兩個部分一定要聯防才能夠做出有意義的改變。委員可能給我們兩個月左右的……
王委員婉諭:其實聽到聯防,大家就會很害怕,到底是在數發部,還是在NCC?又會發生類似的問題。
唐部長鳳:其實很容易區分,傳播監理是對於不特定人的傳播,那個是NCC;像委員提到這種比較點對點、單點的訊息防護,這個是在我們。
王委員婉諭:好,我們希望能夠在兩個月內,部長如果說兩個月,我覺得可以接受,請在兩個月內告訴我們,針對這樣的平臺亂象持續發生的情況,你們未來會有如何改善的措施,也希望你們能夠善盡跟業者溝通的角色,盡可能讓業者也了解問題的嚴重性,這樣才有可能一起防制。
唐部長鳳:感謝委員提醒。
王委員婉諭:謝謝。
主席:請林委員楚茵發言。(不在場)林委員不在場。
請張委員其祿發言。
張委員其祿:(12時29分)部長好。今天我們本來也有邀您到我們教文委員會,當然我們知道您在這邊是主委員會。我在教文委員會當召委,我們今天排專報的主題是數位平臺跟新聞媒體之間議價這件事。
主席:請數位部唐部長說明。
唐部長鳳:委員好。就是剛剛講的共榮。
張委員其祿:對,這是非常重要的。我為什麼還是要藉最後這樣的一點機會跟部長直接說明?因為這件事是整體的,新聞媒體界非常重視,而且現在數位平臺,像Google、Meta都超大的。
坦白講,我們的新聞媒體要跟他們議價、分潤其實超級困難的,這若沒有政府有效的主張或是法制的建立,我坦白講,靠新聞業自己是完全做不到的,更何況很多新聞業說自己要做數位轉型,那也是在開玩笑嘛!,我們舉個例子,蘋果轉型之後根本沒有人要訂閱它,它們就玩不下去了,所以其實因為今天時間有限,我只能說一個我們教文委員會這邊的結論,說實話也已經有很多執政黨的委員自己都提出相關版本,包括另外一位召委范雲委員,我們都有共同的決議,希望數發部在3個月之內回復,雖然現在好像還是把主責機關講得不清不楚,但沒有關係,因為我覺得這也很難避免,數發部、文化部及NCC,甚至還有公交會,針對現在這幾個模式,要不就是市場議價、基金,不然就是著作鄰接權循歐盟的模式,再不然就是直接課稅,這也是下一個重手,政府要能提出一個版本,說白一點就是院能不能提出一個比較終極一點的版本?不然你回去調一下教文委員會的資料,今天好多委員都覺得政府在踢皮球,有說等於沒說,而且你們的研究調查都已經做了很多,是不是在3個月之內提交教文委員會,我們已經做了決議,我們建議最好能有政府版本,而且看有沒有辦法融合出一個臺灣模式,我們不一定都要學澳洲、歐盟,不要只有一個alternative,融合成臺灣比較需要的界接,是不是能這樣?因為大家真的期待太深了,這次我們辦了專報,大家覺得意見都提了,只有誰沒有意見?只有行政院沒有意見,這不對嘛!部長,我在那邊開完會,我最後還特別過來這裡請部長表示支持。
唐部長鳳:對於委員的期許,我們絕對支持新聞有價,至於您剛才提到那三、四種解決方案,雖然每個都有相應的部會,但是每一個方案數位部都跑不掉,所以沒有問題,我們一定會在行政院的協調之下,包含接下來新一輪的對話中,我們會儘量開始收斂。
張委員其祿:對,所以我感謝部長,說實話如果政府沒有出手,我們本身是很難跟這些大的媒體做議價,我想很多委員也提到最近很多詐騙等等,直白講,Meta可能根本就不理你們啊!他們覺得這沒有什麼關係,為什麼要下架那些詐騙的東西,我覺得政府要有作為,雖然我們也知道這次會談中Google還比較善意一點,給了3億元,可是剛才也有委員說這3億元到底是一個支持還是侮辱?給我們國家3億元,想要打發一下是不是?
唐部長鳳:不過我們的立場一直都是他們提出這個跟我們要不要有一個法律,這是脫鉤的。
張委員其祿:對,沒有錯。所以拜託部長,您真的是在所有部會中最權威、最專業的,怎麼樣做好媒體議價平臺,這真的是國人的期待,雖然這個會期快結束了,可是我覺得不是完全沒機會,如果8月真的有提出院的版本,說不定我們最後一個會期還是有機會讓這個走向正途,因為這是媒體還有大家都在關切的,這個就拜託了!請部長支持我們教文委員會已經做的決議,請你們配合。
唐部長鳳:謝謝委員,這我們責無旁貸。
主席:下一位是陳委員雪生發言。(不發言)陳委員不發言。
接下來登記發言的劉委員世芳及廖委員國棟均不在場。
登記質詢的委員均已發言完畢,作以下決定:一、報告說明及詢答完畢。二、委員趙正宇、洪孟楷、陳歐珀、吳欣盈、張其祿、傅崐萁、林楚茵所提書面質詢列入紀錄並刊登公報。三、委員於質詢中要求提供相關書面資料或未及答復部分,請數位部及財政部儘速以書面答復。
委員洪孟楷書面質詢:
案由:本院洪委員孟楷,藉本院第10屆第7會期交通委員會第11次會議,向數位發展部所提「『電子發票整合服務平台』登入系統出現資安缺失,如何就全國政府部門各系統進行資安系統盤點及改善」專題專案,提出書面質詢。
說明:
一、就數發部專題報告第1頁所提及,關於財政資訊中心電子發票整合服務平台因使用相同預設密碼,以致有資料外洩疑慮一案,乃案發迄至112年5月10日台灣電腦網路危機處理暨協調中心(TWCERT/CC)轉知資通安全署方所知悉,俟後資通安全署方進行對財政部財政資訊中心之聯繫確認及應處。請釋疑,該外洩事件是否屬人員作業缺失,以及有否懲處?資通安全署聯繫應處要求事項完整內容為何?該要求應處之規範所載於何項法令,以及該法令最新受檢討修正之時間點及內容為何?又資通安全署對於各中央政府機關辦理類同事項之應處演練,最新成效為何?以及未來應處作業之行政熟稔如何提升?
二、我國推動國家資通安全政策的上位法規,就是107年制定的「資通安全管理法」,不僅至今並未看到數位發展部經盤點後提報行政院的修正草案,再即便經過了戶政個資外洩、教育個資外洩等等多起近期公部門的缺失,數發部自成立後就是沒研修;是以請釋疑,何以如此?又豈非屬於行政消極怠惰?
三、此外,政府為了推動電子交易普及運用,確保電子交易安全,促進電子化政府及電子商務發展,曾制定「電子簽章法」專法,然迄今法規業務雖已經移撥給數位產業署,但該專法亦仍未受研議修正所討論,任憑該專法自90年頒布至今23年仍隻字未修,備受各界關注究竟該部專法還要不要留?要留的話應該要怎麼修?還請不要冰起來擱著,而毫無作為。
四、再者,「第三方支付服務業防制洗錢及打擊資恐辦法」之行政辦法,日前雖受數位發展部修正。但是,修正內容卻僅配合機關移撥改變主管機關規範而已,而像是第三方支付服務業應每二年採取適當作為以辨識、評估及瞭解其洗錢及資恐風險,並依規定辦理「備置並更新風險評估報告」等,卻沒有修改?是以請數位發展部釋,是如何推估資安風險的變化,週期頻率乃每二年才有更新?以及是否規劃就該作業時限再行研議確認?
委員陳歐珀書面質詢:
1.有鑑於公路工程追撞事故多,建請交通部與金管會共同研議「TMA緩撞工程車輛保險機制」,協助廠商避免非預期風險,降低備標成本、促進標案發包效率。
隨輔助駕駛系統逐漸成為許多新車標準配備,相關車輛行駛高速公路追撞TMA緩撞工程車的事故層出不窮,根據媒體報導自111年1月─7月已有63起施工車在國道上被追撞案例;自112年1─3月底也已累計29件。據本席瞭解,高速公路局、公路總局發包的工程契約中,許多皆訂有工程戒護車需裝載「TMA緩撞設施」之要求。然而本席接獲民眾反映,近年來因TMA緩撞車事故頻繁、TMA緩撞設施維修/重置費用高達百萬,全國又僅有約80輛左右,不符保險大數法則,因此頻遭國內保險公司拒保車體險;建請交通部與金管會共同研議,由公股行庫設立TMA緩撞工程車輛保險機制。
2.交通部自2019年起辦理機車駕訓補助計畫,請問2019-2022年間,每年申請機車駕訓補助的次數、核發機車駕照數及比例各為多少?交通部政務次長陳彥伯對外宣稱未來機車將採實際路考,請問試辦機車路考的條件,以及期程規畫為何?
3.面對公路汽車客運路線陸續停駛、減班及業者無力經營且有民行需求之路線,主管機關如何達成交通安全及運輸需求之均衡?
4.遊覽車客運業評鑑設定「運輸安全」為重要核心,其有關「運輸安全」部分的評鑑作業主要依據是什麼?IS039001迄今推動於國道客運、市區客運之落實情形如何?
5.為鼓勵使用中微型電動二輪車提早掛牌,其掛牌納管執行情形為何?
6.行政院2030年客運全面電動化政策,電動大客車推動計劃補助審查標準如何及執行情形如何?
7.為加強對載運危險物品車輛管理作為,載運危險物品車輛裝設GPS法制化作業執行情形如何?
委員吳欣盈書面質詢:
委員張其祿書面質詢:
委員傅崐萁書面質詢:
委員林楚茵書面質詢:
依據數位發展部資通安全署之統計,我國政府機關每個月會受到5萬至8萬次的外部攻擊,而公務機關所保存者多屬機敏資料,是駭客攻擊之首要目標,故公務機關須具備扎實之防禦能力,始能阻檔來自各處資安攻擊。
按現行資通安全管理法第11條之規定,公務機關應置資通安全長,由機關首長指派副首長或適當人員兼任,負責機關內資安相關事務。
惟該法規未明定資安長應具備之能力,而我國政府部門現任資安長幾乎都是指派副首長擔任,政府部門副首長雖具備該部門專業知識,卻未必受過資安相關課程或訓練,結果竟須負責核定資通安全維護計畫、重大資安事件的緊急應變等重責大任,是人事上相當的嚴重資安漏洞。
以最近財政部財政資訊中心資安事件為例,財政部置三位次長(兩政務、一常務),並擇一作為資訊安全長。放諸三位次長經歷,以財政部專業度來看絕對足夠,但卻不見資通安全相關能力,是否也因為這樣子的狀況,而導致財資中心發生這樣的疏漏?本席存保留態度。
爰此,本席才會提案「資通安全管理法第十一條條文修正草案」,要求明定各機關之資安長經歷。而本次會議數位發展部書面報告並未針對本席所提之版本給予明確想法,僅告知現階段仍資安法修法仍在研議中。
綜前所述,請數位發展部提交行政院資安法修法進度報告,並明確提出各項期程規劃(例如送至立法院審查),以利國會監督。
委員陳雪生書面質詢:
108年電信管理法修法通過時有一項頻率使用費的附帶決議(決議文字:主管機關對頻率使用費之收費基準,應依據營運狀況、普及成效、總釋出頻寬及技術、市場與服務成熟程度等因素訂定,並逐年就上述因素檢討調整頻率使用費收費基準。)
一、頻率使用費業務已從NCC轉到數位部,數發部應一併遵守電信管理法,108年電信管理法通過後應每年檢討頻率使用費收費基準。
二、數發部規劃5G專網頻率使用費費率下調,應遵循立法院的附帶決議檢討調降4G、5G的頻率使用費收費基準,以符合所有使用頻率的使用者的費用趨向一致,才顯公平合理。
主席:本日會議審查資通安全管理法部分條文修正草案各條文,因行政院版本將送本院審議,所以均保留在委員會,待行政院版本付委再一併審查。
現在作以下決議:討論事項第一案至第四案,另擇期繼續審查。
現在休息,星期三上午九時繼續開會,謝謝。
休息(12時35分)