政府禁用中國資訊產品，資安處擬明確原則與禁用清單

隨著全球對中國資訊產品潛在資安問題的疑慮逐漸增高，政府機關禁用中國資訊產品的作法將有更明確的規範，行政院資安處最晚將於1月底前公布政府機關使用陸資產品的處理原則，並於3月底前公布陸資產品管制清單。受規範者為資通安全管理法規範的政府機關與關鍵基礎設施及其服務提供者，目前此規範不涉及一般民營企業。

行政院資安處處長簡宏偉表示，政府的立場就是資安等同國安，而國安沒有灰色地帶，因此對於涉及國家敏感性系統或服務的採購，政府採購法已明文規範可排除陸資產品，以確保國家安全。隨著陸資產品的資安疑慮升高，因應國安會的要求，行政院資安處最晚將在1月31日公布「各機關使用陸資產品處理原則」，並於3月30日前公布受規範的陸資品牌產品清單，且持續更新這份中國產品禁用清單。

簡宏偉指出，目前行政院所規範的陸資產品，包括軟體資產、資通訊設備、可攜式設備，以及資訊系統的開發、維運和維護與雲端服務等，只要負責設計、製造，甚至是提供的產品服務是陸資企業，都在該處理原則的規範之中。

他進一步表示，由於產業變化會影響對於產品的認定，因此資安處將持續更新中國禁用產品清單。例如，原本是臺資企業，透過公開市場的股權交易、市場企業併購等方式，也有可能變成陸資企業；又或是因為商業決策的改變，即便是不在禁用清單中的外國廠牌，都有可能隨時把客服中心設在中國，而使其產品存在資安隱憂，因此這份中國禁用產品清單必須持續更新。

簡宏偉表示，政府將採取階段性作法，而不會斷然要求政府機關單位立刻汰換所有中國產品。第一階段將要求各個機關盤點相關的軟硬體產品和服務，查明是否有陸資產品，如果已經到了汰換期限，就直接汰換；若距離汰換年限還有一段時間，機關必須明定汰換期限，並且規範陸資產品不可以介接機關重要敏感的環境和系統。

簡宏偉表示，如果採購陸資產品有其業務上的必要性，則需要具體記載原因與採購清單，並規定專人負責、規定專門應用的區域範圍，不得與公務系統相連接。

簡宏偉強調，陸資產品處理原則是針對公務機關組織，而非針對個人。公務人員的私人的手機仍有自由選擇產品的個人自由，但是公務用手機絕不能採購陸資產品，而公務人員的私人手機若在明列的禁用中國產品清單中，則不可連接公務機關的內網。目前公務機關對於私人手機連結內網，皆採列管與限定Mac Address等連網權限控管。

對於日前美國聯邦政府基於資安考量禁用中國網路攝影機，簡宏偉表示，對政府而言確實是很大的資安風險，這類產品會納入評估，若確定有資安風險，會要求資安法適用機關逐步汰換陸資產品，並避免陸資品牌的網路監控系統與公務系統連結，以確保重要機敏資料的安全性。

雖然政府祭出的管制措施目前只針對「資安法」適用的公務機關以及關鍵基礎設施業者，但簡宏偉認為，陸資品牌的無人機與智慧音箱等物聯網裝置，因為價格便宜逐漸取得廣大的市佔率，對於資安亦是一大隱憂。

他表示，無人機的影像若被暗中取得，則可以作為情資偵查之用；而隨處可見的智慧音箱，當數量夠龐大時，串聯成一個內部網域，就成為龐大的情蒐網。之前國外就有報導，智慧音箱可以錄下命案現場的片段，倘若陸資品牌的智慧音箱刻意安裝後門程式，偷偷錄音，要做任何資料蒐集、控制，更是輕而易舉。此外，中國政府對於網路言論的過濾，是否也會在智慧音箱產品發生，也是值得注意的。

簡宏偉表示，一般民眾較缺乏資安風險概念，往往因為物美價廉、性價比高而選擇陸資產品，對於中國物聯網產品的高市佔率及高滲透率所帶來的潛在威脅，對未來將積極對一般民眾宣導。

目前NCC已經有規定，電信業者的骨幹網路設備禁用陸資產品，工程會也有函示，政府採購若涉及敏感國安議題的採購，可以排除陸資產品；而投審會在審查來臺投資的陸資企業時，也已經明定不得承包政府專案等規範。