禁用中國製資安產品 科學園區廠商的伺服器、網路攝影機也在規範範疇

2019年04月19日 19:16 風傳媒
行政院發言人Kolas Yotaka表示,《各機關對危害國家資通安全產品限制使用原則》只適用於政府各機關,不會約束民間消費行為與民間私人企業採購行為。(資料照,顏麟宇攝)

行政院發言人Kolas Yotaka表示,《各機關對危害國家資通安全產品限制使用原則》只適用於政府各機關,不會約束民間消費行為與民間私人企業採購行為。(資料照,顏麟宇攝)

行政院昨(18)日正式公布《各機關對危害國家資通安全產品限制使用原則》,儘管行政院發言人Kolas Yotaka強調,這項使用原則只適用於政府各機關,不會約束民間消費行為與民間私人企業採購行為,但由於該原則適用對象包括金融、電信、醫療、科學園區等八大關鍵基礎設施,Kolas Yotaka表示,未來3個月,八大關鍵基礎設施之目的事業主管機關,將會與受監理之民間企業,就伺服器、網路攝影機等資通產品之採購進行溝通,換言之,未來中國製資通產品的限制,可能將涵蓋台積電、聯發科等科學園區廠商。

Kolas表示,《各機關對危害國家資通安全產品限制使用原則》係行政院依據《資通安全管理法》所訂定之採購原則,行政院長蘇貞昌也在18日傍晚正式簽署這項原則,並且以電子公文方式發函給各機關。儘管這項原則係處理政府機關之資通產品採購,原本不需要對外發布,但為了避免各界不必要誤會,行政院為慎重起見,仍召開記者會對外說明。

Kolas表示,「這項原則只適用於政府各機關,不是約束民間消費行為與民間私人企業採購行為」,之所以要訂定這項採購原則,主要係因去年底總統府國安會分別在12月14日與12月26日,就資通產品採購召開二次專案會議,國安會方面希望行政院可以依據《資通安全管理法》訂定一個管理機制,該法第五條也清楚提到,主管機關應規劃國家資通安全政策與資通安全發展方案。

Kolas表示,政府對於中國製資通設備之進口限制,過去幾年一直有這樣的標準與函釋,但從未法制化,在《資通安全管理法》立法後,行政院資安處開始草擬採購原則,原本預計在一月底與三月底完成處理原則之制定,但討論過程認為相關原則之訂定應該更周延,因此一直到昨天才完成採購原則的公告程序。

資通安全危害來源不特別指涉中國

Kolas表示,上述原則在行政院內部討論過程,在名稱原本係以「陸製」資通安全產品,但討論過程發現,類似產品未必只來自中國,資通安全危害來源恐怕還有其他國家,「限制單一國家,只會掛一漏萬」,因此最後決定,不對特定國家進行指涉。

根據昨天公告的使用原則,該原則適用對象,包括中央政府機關、地方政府、公立學校、公營事業、行政法人、八大關鍵基礎設施、政府捐助財產法人(例如工研院、資策會)。其中,八大關鍵基礎設施包括水資源、能源、通訊傳播、交通、金融、高科技園區、緊急醫療等設施。

不過,由於八大關鍵基礎設施,包括公民營銀行、公民營電信公司、民間捐助醫療財團法人等,同時還包括科學園區,上述採購原則,對於民營企業雖然沒有罰則也無強制力,但Kolas表示,該原則上路後,八大關鍵基礎設施之目的事業主管機關,包括金管會、NCC(通傳會)與科技部、經濟部、衛福部,必須與監理之民間企業「溝通」資通安全產品之採購原則。

採購原則溯及既往 政府機關應於3個月內列冊管理

Kolas強調,這項採購原則在法律上,具有「溯及既往」之效力,因此,這項新規定上路後,政府機關應該在3個月內,針對先前已採購之資通安全產品,盤點採購廠商清單,並且列冊管理。

至於資通產品範圍,包括伺服主機、網路攝影機、遙測定點設備、無人機、雲端服務、電信業核心骨幹網路、電腦軟體、防毒軟體、機關委外開發之軟體系統、委外通訊設備顧問、委外企業開發資訊系統,都被視為資通安全產品。Kolas強調,上述產品之採購必須符合處理原則,最大精神就是不能危害國家安全。

Kolas表示,這項原則只是一份處理原則,從現在開始,才會要求各機關現在已經使用的商品進行盤點,盤點出有無來自「危險地區」,三個月內會把大家有疑慮商品彙整到中央,再由中央彙整出一份清單,行政院公告清單後,相關單位必須遵守名稱,這項清單將採正面表列,包括禁止採購之品牌,同時具備溯及既往效力。

儘管行政院方面強調,這項採購原則不具備罰則,Kolas強調,未來採購清單之公布,可能會採取處理原則,但也不排除形成具法律約束力之「辦法」。

具資安疑慮產品 處理原則為隔離與汰換

對於目前已經採購之具資安疑慮之產品,Kolas表示,對於伺服器、雲端設備等產品,未來政府將有二項處理原則,就是隔離與汰換。

在隔離規定方面,未來相關機構3個月內盤點清單後,具資安疑慮之伺服器與雲端設備,將「不得與公務網路介接」,且「不得處理與儲存機關公務資訊」,汰換方面,如果已經到可以汰換年限,相關機構應立刻銷毀,重新採購沒有資安疑慮商品。

對於科學園區被列入八大關鍵基礎設施,是否將影響園區內廠商之採購權益?Kolas表示,科技部與經濟部未來將透過科學園區管理局,與廠商建立合作適用機制,八大關鍵基礎設施之目的事業主管機關,未來將利用政府計畫或用各式各樣協約,對參與計畫廠商之資安設備採購進行約束。不過,這是否代表竹科廠商未來將不得使用中製網路監視設施?Kolas回答,「這要園區管理局跟廠商共同討論。」

至於地方政府部分,中央未來如何約束藍營執政縣市?Kolas表示,儘管這項採購原則對地方政府而言,是「處理原則」,但行政院多次向地方政府強調「政府一體」精神,考量中央與地方電子公文每日大量往返,《資通安全管理法》第三條針對公務機關定義,也包括中央與地方機關,因此該辦法公布後,「會有一定法律效力!」

加入Line好友
關鍵字: 資安 竹科 Kolas Yotaka

【我要發風】

風傳媒歡迎各界分享發聲,來稿請寄至 opinion@stormmediagroup.com,並請附上姓名、聯絡方式、自我簡介,謝謝!

我想再看到這個主題