| 0 |
翁委員曉玲:(11時33分)這邊有請黃部長。 |
| 1 |
主席:請部長。 |
| 2 |
黃部長彥男:委員好。 |
| 3 |
翁委員曉玲:部長好。因為時間的關係,所以我待會可能會很快地問幾個問題,首先就是我今天看到新聞,就是有關於無線電視臺的執照即將在6月30號就要屆期,因為現在無線電視臺的執照是執照綁頻率,但是因為現在NCC委員缺位的問題,還沒有辦法補齊,有看到他們先前的作法,遇到有關頻道執照屆期卻無法辦法更換的狀況,他們會用行政指導的方式告訴業者說你們就繼續播放,現在問題來了,對於無線電視臺核發頻率的部分是數發部的職責,你們接下來會怎麼做? |
| 4 |
黃部長彥男:我們是不是請資源司來做說明? |
| 5 |
翁委員曉玲:因為我們的無線電視臺總共有16個頻道,他們的執照都即將在6月30號屆期。 |
| 6 |
曾司長文方:跟委員報告,誠如剛剛委員說的,有關頻率的核發其實是為了提供無線電視的服務,所以在這部分,因為目前NCC還在審查無線電視跟相關廣播電視的續照審理,所以除非NCC否准續照申請,不然的話,這個頻率目前還是在持續使用中。 |
| 7 |
翁委員曉玲:我覺得你們回去要研議,就是頻道執照的核發跟頻率的部分是不是可以分開處理,各核發各的相關許可?縱使現在NCC在審議相關執照、換照的作業,可是NCC委員會沒有達到法定人數7人,他們現在只有3位,另外4位行政院也沒提名,行政院已經耽擱了一整年,將近一整年的時間都沒有提出新的人選,本來卓榮泰還說5月的時候就會提出新的NCC委員名單,但是到現在為止都沒有看到!因此接下來就會發生16家無線電視臺執照到期的頻率核發問題,我認為數發部這邊應該要研議,關於頻率核發你們要儘速去處理,畢竟你們之前也曾經針對業者,只要頻率、頻譜稍微晚一些交回來,你們就給予很重的處罰! |
| 8 |
黃部長彥男:沒有,NCC如果沒有說要繳回頻率,我們原則上不會處理,就是可以繼續使用,所以頻率是已經核發了就…… |
| 9 |
翁委員曉玲:頻率也有頻率執照屆期的時間,部長,我想你對這方面不是很了解,你可能再回去了解一下關於執照的問題。 |
| 10 |
接下來,我第二個問題要問的就是,這次中華電信有2張商用憑證都被撤銷,在數發部委託第三方稽核的「2024年政府伺服器數位憑證管理中心外部稽核報告」當中就有提到,其實從2023年開始中華電信就陸陸續續出了一些狀況,甚至Root CA團隊從2023年到2025年,歷經2023、2024、2025都有催繳,請他們應該要趕快去把相關的憑證作業處理好,因為都沒有做好,所以這次憑證作業就發生了疏失,可能也會對於臺灣現在公務機關的憑證產生一些影響。請問數發部自己有沒有檢討?你們現在對於中華電信會怎麼處理? |
| 11 |
黃部長彥男:我們有在跟中華電信溝通,細節部分我請數政司司長說明一下。 |
| 12 |
王司長誠明:跟委員報告,我們跟中華電信的關係是屬於契約關係,所以我們對他們的營運狀況也會有一個稽核方式。剛才委員有提到,之前有發現他們在管理面上沒有做得很好,這部分我們在跟他們的一些會議上面都有提醒他們。至於…… |
| 13 |
翁委員曉玲:謝謝,您剛剛說到所謂的契約關係,我想請教到底目前有多少政府機關使用中華電信的憑證,是全部嗎?目前中央、地方政府機關都是使用中華電信的憑證嗎? |
| 14 |
王司長誠明:報告委員,目前包括中央、地方跟國營事業,總共大概有1萬張的憑證是使用中華電信的,之前…… |
| 15 |
翁委員曉玲:關於使用中華電信的憑證,我們政府每年要花多少錢去購買這樣的憑證?是一年一年簽約還是一次都簽很多年? |
| 16 |
王司長誠明:我們每年都會有一個議約的程序,但是我們這整個案子是跟其他的合在一起,所以這其實算是裡面其中一個功能而已。 |
| 17 |
翁委員曉玲:算是一個集中採購,所以大概是多少錢,您知道嗎? |
| 18 |
王司長誠明:每年大概是300到500萬之間。 |
| 19 |
翁委員曉玲:這次因為發生了中華電信違約的情況,所以政府機關應該要向中華電信請求損害賠償,我希望數發部這邊要處理好這件事情、要給中華電信一些教訓。 |
| 20 |
另外我還要再請教,這次的事件是不是屬於資通安全管理法當中所謂的資通安全事件? |
| 21 |
黃部長彥男:報告委員,如同剛剛講的,這個是他的憑證中心從今年8月30號開始不能發憑證,但是並不影響到我們這些已經發憑證的,那個加密等級都還夠,包括我們現在還有雙憑證、還有一個TWCA的憑證,所以事實上並沒有影響到我們整個政府的資安。 |
| 22 |
翁委員曉玲:我在這邊要提醒部長,我覺得你們對於資通安全事件的解釋真的非常狹隘,怎麼能夠說這次憑證失效好像對於資通安全都沒有影響! |
| 23 |
接下來我問一下,在你們的資通安全法裡面其實有講到關鍵基礎設施者,中華電信是不是屬於資通安全法裡面所指的資通關鍵基礎設施者? |
| 24 |
黃部長彥男:它指的是電信系統是關鍵…… |
| 25 |
翁委員曉玲:還是它屬於關鍵電信基礎設施者? |
| 26 |
黃部長彥男:它的電信系統是關鍵基礎……對,是屬於CI,但指的是它的電信系統。 |
| 27 |
翁委員曉玲:因為在第十八條裡面,特定非公務機關就是指關鍵基礎設施,針對資通安全事件有相關的義務要求,違反的話還有處罰,所以中華電信在這邊是不是屬於…… |
| 28 |
黃部長彥男:中華電信有很多服務,比如說Hami就不是CI,所以Hami出問題不屬於資安的管理範疇,但電信系統就是我們管理的、屬於CI的部分,所以剛剛講的那個CA目前也不在我們的CI裡面,CA是它發憑證的這個功能、目前被Google取消,但是它過去所發憑證還是有效、加密等級還是夠的,所以我說這不是一個資安事件,這是他們內部管理CA發放的過程當中出了問題,但是並不影響所有過去拿過這些憑證的人的資安系統。 |
| 29 |
翁委員曉玲:我們現在不講過去,而是講它現在確實造成一些問題,對不對?當初如果不是有些機關即時去購買第二張的憑證,可能就會發生資安的問題。我要講的是,如果今天數發部對於資通安全管理法的解釋是這麼的狹隘,像中華電信……更何況我們全臺灣上萬個機關都是使用中華電信的憑證! |
| 30 |
黃部長彥男:我們中央機關其實沒問題,因為我們換成雙憑證以後都換成TWCA憑證,所以完全沒有影響到未來…… |
| 31 |
翁委員曉玲:是因為你們之前已經知道他發生這樣的問題嗎? |
| 32 |
黃部長彥男:我們本來就進行雙憑證,因為任何韌性一定都是要有所謂的backup,所以這個是在我上任之後…… |
| 33 |
翁委員曉玲:我也很肯定數發部對於這個事情至少已經採取了一個緊急的應變措施,但是對於中華電信是不是屬於我們資通安全管理法裡面所指的資通關鍵基礎設施,或者你們直接講說,他就是電信關鍵基礎設施也沒有問題,因為依照電信管理法裡面的規定,你們本來就要去訂定這些關關鍵基礎設施的防護管理辦法,可是看起來你們都沒有做,你們也沒有對於中華電信有任何的處罰! |
| 34 |
黃部長彥男:CI包括幾個產業,一個就電信業,電信業講的是電信服務,但我還是要說,中華電信有很多、很多服務,不是每一個服務都是屬於CI的部分,所以我想這是case by case,如果今天是電信系統出問題或是被入侵,當然是屬於資安事件,但是今天這件事情嚴格講起來並不影響政府資安的防護,也不影響目前民間的使用。 |
| 35 |
翁委員曉玲:現在資通安全管理法裡面處理的不是只有公務機關的資安防護,連非特定公務機關也是一樣。 |
| 36 |
黃部長彥男:對,CI就包括…… |
| 37 |
翁委員曉玲:我現在要強調的就是,因為這個事情很重要,如果按照部長講的話,其實以後根本也不需要去買或通過什麼的電信憑證…… |
| 38 |
黃部長彥男:沒有,如果是電信系統就是我們要…… |
| 39 |
翁委員曉玲:既然我們現在是委託中華電信去處理電信憑證這件事情,這當然很重要,否則我們民眾常常傳送資料給政府機關可能會被竊取,因為沒有加密保護,這個部分就是為什麼臺灣詐騙情況這麼嚴重! |
| 40 |
黃部長彥男:報告委員,CA…… |
| 41 |
翁委員曉玲:我這邊就提示部長,你們還是要好好去研議,好不好…… |
| 42 |
黃部長彥男:我們會有solution去處理。 |
| 43 |
翁委員曉玲:有關於資通安全事件,像中華電信這個問題可能先前的法律沒有辦法規定的很完備,可是這個部分必須要檢討。 |
| 44 |
黃部長彥男:我們有在督促,但是我就說…… |
| 45 |
翁委員曉玲:我也希望你們針對剛剛講的中華電信的部分給我一份檢討報告。 |
| 46 |
黃部長彥男:好,不過中華電信的事件並不影響政府的資安,這我必須強調,謝謝。 |
| 47 |
翁委員曉玲:好,那就麻煩你們兩個禮拜之內給我一份對於中華電信憑證失效的檢討報告。 |
| 48 |
黃部長彥男:發放憑證失效,不是憑證,憑證沒有失效。 |
| 49 |
翁委員曉玲:對,發放憑證,是! |
| 50 |
黃部長彥男:好。 |
| 51 |
主席:因為後面還很多人,我想時間到就隔1分鐘再響鈴一次。 |
| 52 |
請鍾佳濱委員。 |