轉知行政院發布「危害國家資安產品限制原則」,將不僅限於中國商品

(中央社)行政院19日發布「各機關對危害國家資通安全產品限制使用原則」,要求各機關除因業務需求且無其他替代方案外,不得採購及使用危害國家資通安全的廠商產品;經各相關機關盤點後,最快3個月後以正面表列方式公布清單。

對於原則的內容沒有涵蓋中國字眼,行政院發言人Kolas Yotaka(谷辣斯.尤達卡)解釋,在討論過程中發現,有疑慮的商品未必只來自中國,還有其他國家,因此在原則中未特定指涉某一個國家;不過,來自中國的產品是在約束範圍內。

政院官員表示,華為、中興通訊、聯想電腦、海康威視等中國品牌,未來不排除納入禁止使用清單中。

資通安全即國安,經過數月研議討論,行政院長蘇貞昌18日核定「各機關對危害國家資通安全產品限制使用原則」,政院隨即發文中央各部會與各地方政府,使用原則「已經生效」。Kolas也召開記者會對外說明。

根據處理原則,各機關盤點後若發現有資安疑慮的產品:

  1. 應指定特定區域及特定人員使用。
  2. 不得與公務網路環境介接。
  3. 不得處理或儲存機關公務資訊。
  4. 測試或檢驗結果應產出報告。
  5. 購置理由消失,或使用年限屆滿應立即銷毀。

不過,Kolas說,這項處理原則不適用「個人消費」與「民間採購」,僅針對中央政府機關(行政院與所屬各部會)、地方政府、公營事業及行政法人、公立學校,以及關鍵基礎設施提供者和政府捐助的財團法人(例如工研院、資策會)。

其中,關鍵基礎設施包含8大類。Kolas表示,關鍵基礎設施提供者與政府捐助的財團法人,將由目的事業主管機關(例如金管會、NCC與科技部、經濟部、衛福部等)進行督導與要求。

「各機關對危害國家資通安全產品限制使用原則」的母法來自於2018年6月6日公布的《資通安全管理法》。行政院國土安全辦公室於2018年7月30日依《資通安全管理法》第3條第7款公告,「國家關鍵基礎設施」領域分8大類:能源、水資源、通訊傳播、交通、金融、緊急救援與醫院、政府機關、科學園區與工業區(記者會中提到的是高科技園區)。​​

此外,對資通產品的定義,Kolas表示,包括伺服主機、網路攝影機、無人機、雲端服務、電信業的核心骨幹網絡設備、電腦軟體、防毒軟體、機關委外開發的系統、委外通訊顧問,或是委外請企業規劃、開發系統等。

她說,「各機關對危害國家資通安全產品限制使用原則」適用機關在採購上述資通產品時,均必須符合處理原則;希望地方政府,不分藍綠,共同遵守這項原則,因為政府是一體的,重要資訊會在中央與地方政府流通,中央與地方政府共同維護國安。

Kolas強調,這項處理原則核定後,各機關要針對現在使用或所採購的產品進行盤點,找出是否有來自危險地區的商品,3個月內,把有疑慮的品牌與商品提給中央,再由中央彙整清單。

行政院完成彙整後,估計最快3個月後可公布,屆時會用正面表列方式列出有疑慮的品牌與產品。同時,行政院可能採用具有法律效力的形式,以約束相關機關構,避免採購有資安疑慮的產品。

Kolas也進一步解釋,之所以要訂定這項採購原則,主要是因去年底總統府國安會分別在12月14日與12月26日,就資通產品採購召開二次專案會議,國安會方面希望行政院可以依據《資通安全管理法》訂定一個管理機制。原本是預計1月和3月底完成處理原則之制定,但討論過程認為應該更周延,因此一直到18日才完成採購原則的公告程序。

最後,Kolas強調,這項原則只是一份「處理原則」,不過未來行政院公告清單後,相關單位必須遵守名稱,而清單將採「正面表列」,包括禁止採購之品牌,同時具備「溯及既往」效力。行政院指出,這項採購原則不具備罰則,是內部的處理原則。但未來採購清單之公布,可能會採取處理原則,但也不排除形成具法律約束力之「辦法」。

今年1月14日工研院開第一槍後,經濟部所屬另一研發法人資策會15日也宣布禁止華為裝置連網,而國家實驗研究院也聲明,將阻絕中國品牌設備使用內部網路,包含手機和筆電,都不能連接內網。

而行政院資通安全處處長簡宏偉1月22日接受《日經亞洲評論》專訪也指出,台灣雖從2013年起就禁止行動通訊業者和政府部門採購華為和中興通訊的設備,不過,這是台灣當局首次編制黑名單,針對更廣泛中國科技公司提出安全風險警告。除了華為以外,中興通訊、監控設備大廠海康威視數字技術公司和大華技術公司都可能名列首波黑名單,中國個人電腦大廠聯想集團也在考慮列入名單中。政府部門和官股企業將禁止使用這些公司的設備和產品。

新聞來源: