| 0 |
洪委員申翰:(10時43分)請國安局蔡局長。 |
| 1 |
主席:請局長。 |
| 2 |
蔡局長明彥:謝謝主席,洪委員好。 |
| 3 |
洪委員申翰:局長,我們今天想要來跟你討論的問題是,其實有很多政府部會的公務員,或者是公部門裡面的約聘僱,常常每天都會開很多會議,包括做很多會議紀錄,這些第一線的公務員,包括個案的訪談或是會議紀錄、訪談紀錄,這些內容有的時候敏感,有時候也不一定敏感,但是裡面勢必都會有一些敏感的資訊,在我們行政體系裡面。所以我們也看到其實有很多公務體系的公務員或約聘僱協助做紀錄,他們常常會去使用錄音轉文件的電子產品,買這個來開會,因為方便嘛!很快就可以把錄音轉成逐字稿,或者是即時的翻譯,但是我不知道局長清不清楚,其實你如果要去使用這些電子產品的話,都需要連線到一個第三方的app,但現在大家發現這些很多第三方的應用程式,大部分都是中國的資訊業者。所以我要問局長第一個問題,你覺得假如我們有一些會議裡面有這些敏感的資訊,使用這類的產品,有沒有一些國安上面的風險? |
| 4 |
蔡局長明彥:對,風險確實是存在,事實上我們也利用各種的機會在提醒,中製的app本身就有存在資安的風險,因為依照中共相關的國安法規,各個相關的軟體或企業,必須要把他們所擁有的客戶資訊提供給相關的國安部門,所以這個問題的風險性是存在的。 |
| 5 |
洪委員申翰:局長,OK,我謝謝你很坦誠講這風險是存在。其實這類的電子產品真的蠻好用的,而且它價格很便宜,所以對我們很多公務體系來說是很吸引人的,就是我買一個就可以方便我工作很多,但我想要跟局長講,我們現在看到有一些看起來它可能是歐洲品牌,這個電子設備它本身可能是歐洲品牌,不是中國品牌喔,但是它第三方app的公司,比方像這個是京華電子,深圳的京華電子,它的母公司就是南京的熊貓電子,熊貓電子的母公司是中國電子信息,這當然是一家中國國務院獨資的公司。 |
| 6 |
甚至我想局長已經清楚,其實2020年,當時有一個國際上面非常非常大,而且大家都瞭解的事件,就是關於深圳的振華數據的這個事情,透過深圳這家中國的國有公司,對很多明星、軍人、商人等等去做相關的監控,當時就被發現了這樣的數據資料,當然,我們發現其實包括剛才講的京華數據跟振華,他們的控制者是相同的。所以局長,我想要說的事情是,像我們現在看到的這個狀況,我不知道國安局有沒有向我們相關部門,在情蒐、情資上面做清楚的提供? |
| 7 |
蔡局長明彥:這個部分,我們比較關切的是剛剛跟委員報告的,就是針對中製的這些資通訊產品或是app的資安風險,來提出一些警示。事實上,在上一屆的立法院,也在這個問題上有很多的討論,因為涉及到規範的依據,到底有沒有一個規範的依據,來讓一般的民眾或公務員在選擇中製的app有所謂的一個法源的依據…… |
| 8 |
洪委員申翰:但是問題來了,它是中製的app,可是產品本身不是中國品牌,是歐洲品牌啊!歐洲品牌去用了中國的app,就像剛才局長說,用了中國的app有可能資料會上傳、會回傳,局長,我剛才問的第一個問題是,國安局有沒有針對這件事情,向數發部或者我們相關的部會來提出示警,有沒有? |
| 9 |
蔡局長明彥:有,因為上一屆立法院是林靜儀委員有做這樣的提案,希望國安局跟數發部,由國安局來提醒數發部相關的問題,在會後後來就請我們的科技副局長跟數發部的次長,針對這個問題有做相關的討論。 |
| 10 |
洪委員申翰:局長,問題是我們之前,當然我們有修了這個所謂各機關對危害國家資通安全產品限制使用原則,對不對? |
| 11 |
蔡局長明彥:對。 |
| 12 |
洪委員申翰:只是這裡面我們的清單沒有公開嘛,對不對? |
| 13 |
蔡局長明彥:嗯! |
| 14 |
洪委員申翰:如果我們按照這個使用原則來做管理的話,局長,你覺得我們管不管的到剛才我們講的這件事情? |
| 15 |
蔡局長明彥:這可能還有涉及到各個部門之間相關的一個…… |
| 16 |
洪委員申翰:你覺得管不管得到? |
| 17 |
蔡局長明彥:不太…… |
| 18 |
洪委員申翰:管不到? |
| 19 |
蔡局長明彥:對,可能不太容易。 |
| 20 |
洪委員申翰:第一個因為清單沒有公布,所以我們事實上這個使用原則現在的作法,是讓資安署透過跨部會的協調平臺跟各機關溝通,它的內容是什麼,我們外界其實也不知道。剛剛在講的這個問題,我們去瞭解了一下,它可能只是要求針對大陸的品牌、中國品牌禁止使用…… |
| 21 |
蔡局長明彥:對。 |
| 22 |
洪委員申翰:這明顯就是一個洞啊,我們剛才講,局長也承認這可能有國安上面疑慮的問題,機敏資料可能會外洩被回傳的問題,可是在這個使用原則裡面,明顯管不到啊!局長,你覺得? |
| 23 |
蔡局長明彥:對,這個問題我們來注意。因為依照資通安全管理法,確實公務機關不能夠使用中國大陸所製的這些資通產品,是有這樣的規範,可是委員剛剛特別提醒的是有外國的品牌去使用到中資的產品,這部分在規範上確實有個模糊空間。 |
| 24 |
洪委員申翰:局長,你會來提醒我們數位部? |
| 25 |
蔡局長明彥:對,我們來處理。 |
| 26 |
洪委員申翰:當然今天數位部不在…… |
| 27 |
蔡局長明彥:對,對,我知道。 |
| 28 |
洪委員申翰:可是我自己是覺得,第一個,大家很困惑的點就是現在包括這個清單沒有公開,到底這裡面,比方我們聽說裡面對於華為的產品有限制使用,但是通常其他的政府部會你要去詢問它,到底它的清單裡面有什麼,我們也不知道,有漏、沒漏是不是夠完整?是不是夠全面?是不是兼顧到各個層次?坦白說大家並不知道。所以很有可能我們的公務員詢問能不能採購,他們說可以,結果一樣回去連線到中國的app,很有可能把這些機敏資料全部都回傳給老共。 |
| 29 |
局長,我這邊要講,因為我知道數位部不在,可是我覺得你們應該用很嚴正的態度,我光是剛才幾分鐘的時間,局長就知道這邊是一個漏洞了嘛! |
| 30 |
蔡局長明彥:我知道,我聽的懂你的意思。 |
| 31 |
洪委員申翰:這邊就是一個明顯的漏洞嘛,我們不是用猜的嘛,這就是一個明顯漏洞,我覺得應該要儘快的,是不是可以在兩個禮拜內和數位部召開一個相關的會議,請他們來討論,請國安局跟數位部來討論,我們到底怎麼把類似這樣的漏洞補起來,包括是不是要研修相關的法規,還是修相關的規定,讓像這樣子的風險,我們有一個具體去解決的時程。很可能也不只是剛才說的這樣子錄音轉錄筆而已,不只是這樣的東西而已,是很多層次,我們現在擔心的事情是這類型的產品,尤其它可能都是用應用服務,包括可能是資訊平臺上面,應用服務都是用中資的,我們有沒有可能有一個更嚴格去管理跟禁止使用的作法? |
| 32 |
蔡局長明彥:好,這部分謝謝委員的提醒,我們會後會立刻來針對這個問題做比較細部的研議,也會找數位部來針對這個問題做一些溝通,畢竟數位部是主管業管機關。 |
| 33 |
洪委員申翰:局長,這可不可以在兩個禮拜內,我沒有要你兩個禮拜出報告,兩個禮拜內請國安局來跟我們辦公室報告你們跟數位部溝通的狀況…… |
| 34 |
蔡局長明彥:好。 |
| 35 |
洪委員申翰:還有你們接下來要怎麼去要求數位部,可能把相關…… |
| 36 |
蔡局長明彥:建議,我們建議。 |
| 37 |
洪委員申翰:建議或要求啦,建議要求它把相關的資訊漏洞、資安漏洞給補上這個期程,好不好?兩個禮拜內可以嗎? |
| 38 |
蔡局長明彥:好,我們來試行,也來提醒主管單位。 |
| 39 |
洪委員申翰:好,謝謝。 |
| 40 |
蔡局長明彥:謝謝。 |
| 41 |
主席:謝謝洪申翰委員,局長請回。 |
| 42 |
接下來我們請馬文君委員上臺質詢。 |