行政院2019年發布《各機關對危害國家資通安全產品限制使用原則》規定,應基於國家安全、國際情資分享、潛在風險及衝擊分析等因素,蒐集相關機關意見綜合評估,據以核定生產、研發、製造或提供前點產品之「廠商清單」。對於「清單」何時出來,多位立委24日在立法院司法及法制委員會向數位部進行質詢。
立法院司法及法制委員會24日邀請國安會、數位部、國安局、調查局等單位率所屬單位主管列席就「面對歐美各國陸續頒布禁止使用或限制採購大陸資通訊及科技產品,此類產品對我國國家安全危害為何?國安會及相關國安單位是否於年度預算中制定計畫針對各類國際情勢演變進行相關評估作業並採取因應對策」進行專題報告,並備質詢。
立委陳歐珀質詢呼籲,盡速提出「危害國家資安」廠商清單,落實防堵措施;將科技產業納入國安決策範圍,建立相關監管措施;考慮仿效美國,訂定晶片科技產業保護法、給予護國神山群實質支持。立委江永昌質詢建議,一個是對於基礎設施提供者「強制」不可以,另一個是中小企業的資訊都要保護,有清單的話,他可以「自願」遵守。
立委江啟臣指出,現在很多子公司,如何界定是否為中國公司,他用很多子公司規避,所以美國是直接禁止採購華為等,這叫正面表列,資安即國安,到底做了哪些措施?數位部次長闕河鳴回應,現在的正面表列就是公務機關不得使用「中國品牌的產品」,清單實體上比美國更嚴格。江啟臣追問,如果透過子公司掛其他公司的品牌?闕河鳴表示,這次處理法規修正有考慮這樣的情境。
立委黃世杰質詢問到有無這份清單?闕河鳴表示,中國牌產品有造冊「列管」在各單位,共6,496件,不會彙整成廠牌清單。對此,黃世杰質疑不用汰換?資通安全署長謝翠娟表示,他們有全面盤點政府機關使用哪些陸牌產品,應定期汰換,如:學術資料庫、電子書、外館使用的電信服務等,都有做安全監控。
黃世杰指出,現在因為全球產業鏈的關係,所以有貼牌的問題,有無盤點?闕河鳴回應,新的規定就是要處理貼牌情形。黃世杰追問是否建立機制以符合法規,謝翠娟表示,因為廠牌名稱一直變,所以廠牌沒有意義。
黃世杰強調,問題是私部門也需要知道哪些產品、廠牌有資安、國安疑慮,美國也有公布,是否該參考,回去檢討下,現在國際情勢轉變中,應讓更多人知道風險,讓他們主動去迴避,而非公部門清查自己列管就好,「不是這樣做資安的吧?」◇