危害國家資通安全產品之限制
發佈日期:114/04/18|更新日期:115/02/06
為避免公務及機敏資料遭不當竊取,導致機關機敏資訊外洩或衍伸國家資通安全危害風險,我國「資通安全管理法」(以下簡稱本法)已於114年9月24日修正條文第十一條,明定「公務機關不得下載、安裝或使用危害國家資通安全產品」等相關規定;並於114年12月19日訂定發布「危害國家資通安全產品審查辦法」(以下簡稱本辦法),以認定本法第三條第十一款所稱危害國家資通安全產品,及規範本法第十一條第三項有關危害國家資通安全產品之審查程序、風險評估、情資分享、使用限制及其他相關事項。
為遵循前述法規規定,並因應新型態數位服務延伸之新興資安風險,敬請本校教職員配合遵守下列事項:
- 公務機關不得下載、安裝或使用危害國家資通安全產品。
- 自行或委外營運場所,提供公眾視聽或使用之傳播設備及網際網路接取服務,不得下載、安裝或使用危害國家資通安全產品。
- 公務機關發配供業務使用之資通訊設備,不得下載、安裝或使用危害國家資通安全產品,並應遵守相關法令規範。
ℹ️依據本法第十一條第一項但書規定,因業務需求且無其他替代方案者,經本校資通安全長及教育部資通安全長核可,函報數位發展部核定後,得以專案方式使用,並列冊管理。
◉ 什麼是「危害國家資通安全產品」?
綜整下列相關法規與函示:
- 依據本法第三條第一項第十一款,危害國家資通安全產品指經數位發展部認定,對國家資通安全具有直接或間接造成危害風險,影響政府運作或社會安定之資通系統、服務或產品。
- 依據資通安全管理法114年9月24日修正條文對照表之修正條文第十一條說明三,危害國家資通安全產品包括受國家安全法及反滲透法所稱大陸地區、香港、澳門、境外敵對勢力或其所設立或實質控制之各類組織、機構、團體或其派遣之人等實質控制者所提供之產品。
- 依據本辦法第四條第一項第二款,機關提報之資通系統、服務或產品為大陸廠牌者,數位發展部得進行危害國家資通安全產品情資分享。
- 依據行政院秘書長109年12月18日院臺護長字第1090201804A號函,已明確規範公務用之資通訊產品不得使用大陸廠牌。
綜上,「危害國家資通安全產品」包括:
- 屬大陸廠牌之資通系統、服務或產品。
- 大陸地區、香港、澳門、境外敵對勢力所提供之資通系統、服務或產品。
- 其他由數位發展部依據本辦法認定並進行情資分享之資通系統、服務或產品。(請參考「已明確限制之危害國家資通安全產品」公告網頁)
ℹ️依據本辦法第二條規定,本校對於資通系統、服務或產品,認有危害國家資通安全之疑慮時,須轉由教育部填具提報表並檢附相關文件送交數位發展部審查。
◉ 什麼是「大陸廠牌」?
依據危害國家資通安全產品審查辦法逐條說明之第四條說明一之(二),大陸廠牌指來源為「大陸地區廠商」之產品,並參考行政院公共工程委員會107年12月20日工程企字第1070050131號函,大陸地區廠商指依大陸地區法律設立登記之公司、合夥或獨資之工商行號、法人、機構或團體;至於零組件於大陸地區製造,但產品來源並非大陸地區廠商者,則非為本款所稱之大陸廠牌產品。
ℹ️產品製造地非於大陸地區,但該產品生產公司符合上述所稱大陸地區廠商者,則符合大陸廠牌產品;實際為「大陸地區廠商」,但偽冒成他國廠商,亦同。
大陸廠牌眾多,公務機關環境常見大陸品牌包含但不限於以下所列(如遇無法判斷者,建議請廠商提供證明或上網搜尋該品牌資訊):
| 華為 (Huawei) | 小米 (Xiaomi) | 紅米 (Redmi) | OPPO | vivo |
| 海康威視 (Hikvision) | 大疆 (DJI) | 普聯 (TP-Link) | 大華 (Dahua) | 中興通訊 (ZTE) |
| 海信 (Hisense) | Foscam | 騰達 (Tenda) | 新華三 (H3C) | 海能達 (Hytera) |
| 糖果手機 (SUGAR) | WIKO | 魅族 (MEIZU) | 努比亞 (Nubia) | 真我 (REALME) |
| 水星網路 (Mercusys) | 酷派 (Coolpad) | 卓普 (ZOPO) | 美圖 (Meitu) | 酷比 (Koobee) |
| 金立 (GIONEE) | 黑鯊 (Black Shark) | 極米 (XGIMI) | 影石科技 (Insta360) | 高巨創新 (EMO) |
◉ 什麼是「資通系統、服務或產品」?
參考本法第3條用詞,定義如下:
- 資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
- 資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
另外,參考數位發展部大陸廠牌資通訊產品及委外經營公眾場域盤點原則,資通訊產品包含軟體、硬體及服務等,另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品,如無人機、網路攝影機、印表機等。
- 軟體:資通系統、應用軟體(App)、系統軟體、開發工具、客製化套裝軟體、電腦作業系統等。
- 硬體:包括具連網能力、資料處理或控制功能者皆屬之,例如個人電腦、筆記型電腦、平板電腦、伺服器、智慧型手機、行動電話機、網路通訊設備(網路交換器、無線網路分享器等)、無人機、虛擬實境設備、影像攝錄設備、多功能事務機、印表機、投影機、物聯網設備(IoT)、門禁系統等。
- 服務:資通服務,例如客服服務、軟硬體資產維護服務、雲端空間服務等。
◉ 辦理資通服務委外採購,應注意哪些事項?
請參考「資通服務委外採購注意事項」公告網頁,要求廠商簽署本校「資通服務委外之資通安全條款切結書」及其他相關切結書,以規定「限制陸籍與危害國家資通安全產品」之相關規範。
ℹ️建議可優先透過共同供應契約採購相關設備,以降低採購到大陸廠牌資通訊產品之風險。
其它有關「危害國家資通安全產品」之相關規範,得依個案特性及實際需要於採購文件中循以下方式辦理:
- 廠商所供應標的(含工程、財物及勞務)之原產地不允許大陸地區,如採購案內涉及資通訊軟體、硬體或服務等相關事務,機關可要求廠商執行本案之團隊成員不得為陸籍人士,並不得提供及使用大陸廠牌資通訊產品。(參考行政院公共工程委員會採購範本投標須知範本第16點、資訊服務採購契約範本第8條第24款)
- 倘涉雲端服務者,經查廠商提供大陸廠牌、資通訊產品(含硬體、軟體及服務)、雲端服務之所屬一切資料存取、備份及備援之實體所在地位於大陸地區(含香港、澳門),或跨該等境內傳輸相關資料,則機關得以書面通知廠商終止契約或解除契約之部分或全部,且不補償廠商因此所生之損失。(參考行政院公共工程委員會資訊雲端服務採購契約範本第17條)
- 各機關自行或委外營運,提供公眾活動或使用之場地,不得使用危害國家資通安全產品,且應將相關限制式樣納入委外契約或場地使用規定中,以避免後續履約爭議,並將契約訂定相關文字列入年度稽核時之檢視項目。
- 機關辦理公告金額以上採購涉及物聯網設備技術規格之訂定,請各機關於採購物聯網設備時依「工程會113年8月13日工程企字第11300155871號函」說明事項辦理。
- 各機關辦理採購,亦可參考數位發展部數位產業署之能量登錄機制資訊,揀擇適當之標的、廠商或於契約中載明須提出相關能量登錄證書等。
🔗參考資料
- 資通安全管理法、危害國家資通安全產品審查辦法、國家安全法、反滲透法
- 資通安全管理法114年9月24日修正條文對照表
- 危害國家資通安全產品審查辦法逐條說明
- 資通服務委外採購注意事項公告網頁
- 大陸廠牌資通訊產品及委外經營公眾場域盤點原則
- 行政院秘書長109年12月18日院臺護長字第1090201804A號函
- 行政院公共工程委員會107年12月20日工程企字第1070050131號函
- 行政院114年3月31日院授數資安字第1141000253號函
- 數位發展部資通安全署 資安法常見問題8.6 有關「限制使用危害國家資通安全產品」是否會提供相關清單?
- 投標須知範本、資訊服務採購契約範本、資訊雲端服務採購契約範本