禁用中國製資安產品　科學園區廠商的伺服器、網路攝影機也在規範範疇

行政院昨（18）日正式公布《各機關對危害國家資通安全產品限制使用原則》，儘管行政院發言人Kolas Yotaka強調，這項使用原則只適用於政府各機關，不會約束民間消費行為與民間私人企業採購行為，但由於該原則適用對象包括金融、電信、醫療、科學園區等八大關鍵基礎設施，Kolas Yotaka表示，未來3個月，八大關鍵基礎設施之目的事業主管機關，將會與受監理之民間企業，就伺服器、網路攝影機等資通產品之採購進行溝通，換言之，未來中國製資通產品的限制，可能將涵蓋台積電、聯發科等科學園區廠商。

Kolas表示，《各機關對危害國家資通安全產品限制使用原則》係行政院依據《資通安全管理法》所訂定之採購原則，行政院長蘇貞昌也在18日傍晚正式簽署這項原則，並且以電子公文方式發函給各機關。儘管這項原則係處理政府機關之資通產品採購，原本不需要對外發布，但為了避免各界不必要誤會，行政院為慎重起見，仍召開記者會對外說明。

Kolas表示，「這項原則只適用於政府各機關，不是約束民間消費行為與民間私人企業採購行為」，之所以要訂定這項採購原則，主要係因去年底總統府國安會分別在12月14日與12月26日，就資通產品採購召開二次專案會議，國安會方面希望行政院可以依據《資通安全管理法》訂定一個管理機制，該法第五條也清楚提到，主管機關應規劃國家資通安全政策與資通安全發展方案。

Kolas表示，政府對於中國製資通設備之進口限制，過去幾年一直有這樣的標準與函釋，但從未法制化，在《資通安全管理法》立法後，行政院資安處開始草擬採購原則，原本預計在一月底與三月底完成處理原則之制定，但討論過程認為相關原則之訂定應該更周延，因此一直到昨天才完成採購原則的公告程序。

資通安全危害來源不特別指涉中國

Kolas表示，上述原則在行政院內部討論過程，在名稱原本係以「陸製」資通安全產品，但討論過程發現，類似產品未必只來自中國，資通安全危害來源恐怕還有其他國家，「限制單一國家，只會掛一漏萬」，因此最後決定，不對特定國家進行指涉。

根據昨天公告的使用原則，該原則適用對象，包括中央政府機關、地方政府、公立學校、公營事業、行政法人、八大關鍵基礎設施、政府捐助財產法人（例如工研院、資策會）。其中，八大關鍵基礎設施包括水資源、能源、通訊傳播、交通、金融、高科技園區、緊急醫療等設施。

不過，由於八大關鍵基礎設施，包括公民營銀行、公民營電信公司、民間捐助醫療財團法人等，同時還包括科學園區，上述採購原則，對於民營企業雖然沒有罰則也無強制力，但Kolas表示，該原則上路後，八大關鍵基礎設施之目的事業主管機關，包括金管會、NCC（通傳會）與科技部、經濟部、衛福部，必須與監理之民間企業「溝通」資通安全產品之採購原則。 （相關報導： 不只華為，你知道所有手機都在蒐集回傳你的資料嗎？保護資安你可以這樣做… ｜ 更多文章 ）

採購原則溯及既往　政府機關應於3個月內列冊管理

Kolas強調，這項採購原則在法律上，具有「溯及既往」之效力，因此，這項新規定上路後，政府機關應該在3個月內，針對先前已採購之資通安全產品，盤點採購廠商清單，並且列冊管理。

至於資通產品範圍，包括伺服主機、網路攝影機、遙測定點設備、無人機、雲端服務、電信業核心骨幹網路、電腦軟體、防毒軟體、機關委外開發之軟體系統、委外通訊設備顧問、委外企業開發資訊系統，都被視為資通安全產品。Kolas強調，上述產品之採購必須符合處理原則，最大精神就是不能危害國家安全。

Kolas表示，這項原則只是一份處理原則，從現在開始，才會要求各機關現在已經使用的商品進行盤點，盤點出有無來自「危險地區」，三個月內會把大家有疑慮商品彙整到中央，再由中央彙整出一份清單，行政院公告清單後，相關單位必須遵守名稱，這項清單將採正面表列，包括禁止採購之品牌，同時具備溯及既往效力。

儘管行政院方面強調，這項採購原則不具備罰則，Kolas強調，未來採購清單之公布，可能會採取處理原則，但也不排除形成具法律約束力之「辦法」。

具資安疑慮產品　處理原則為隔離與汰換

對於目前已經採購之具資安疑慮之產品，Kolas表示，對於伺服器、雲端設備等產品，未來政府將有二項處理原則，就是隔離與汰換。

在隔離規定方面，未來相關機構3個月內盤點清單後，具資安疑慮之伺服器與雲端設備，將「不得與公務網路介接」，且「不得處理與儲存機關公務資訊」，汰換方面，如果已經到可以汰換年限，相關機構應立刻銷毀，重新採購沒有資安疑慮商品。

對於科學園區被列入八大關鍵基礎設施，是否將影響園區內廠商之採購權益？Kolas表示，科技部與經濟部未來將透過科學園區管理局，與廠商建立合作適用機制，八大關鍵基礎設施之目的事業主管機關，未來將利用政府計畫或用各式各樣協約，對參與計畫廠商之資安設備採購進行約束。不過，這是否代表竹科廠商未來將不得使用中製網路監視設施？Kolas回答，「這要園區管理局跟廠商共同討論。」 （相關報導： 不只華為，你知道所有手機都在蒐集回傳你的資料嗎？保護資安你可以這樣做… ｜ 更多文章 ）

至於地方政府部分，中央未來如何約束藍營執政縣市？Kolas表示，儘管這項採購原則對地方政府而言，是「處理原則」，但行政院多次向地方政府強調「政府一體」精神，考量中央與地方電子公文每日大量往返，《資通安全管理法》第三條針對公務機關定義，也包括中央與地方機關，因此該辦法公布後，「會有一定法律效力！」