發佈日期：114/04/18

為避免公務及機敏資料遭不當竊取，導致機關機敏公務資訊外洩或造成國家資通安全危害風險，行政院前已發布「各機關對危害國家資通安全產品限制使用原則」，明確要求中央與地方機關（構）、公立學校、公營事業、行政法人以及自行或委外營運提供公眾活動或使用之場地，限制使用危害國家資通安全產品，並以行政院秘書長109年12月18日院臺護長字第1090201804A號函，重申公務用之資通訊產品不得使用大陸廠牌，且不得安裝非公務用軟體。

為因應新型態數位服務延伸之新興資安風險，再次重申本校應遵循前述規定，並配合辦理以下事項：

1. 公務用之資通訊產品（含軟體、硬體及服務）不得使用大陸廠牌，且不得安裝非公務用軟體。
2. 應就已使用或採購之大陸廠牌資通訊產品列冊管理，且不得與公務環境介接。
3. 前開產品未汰換前，應有適當配套措施或相應作為。（詳參行政院114年3月31日院授數資安字第1141000253號函）

公務機關原則全面禁用大陸廠牌資通訊產品（包含軟體Deepseek AI、抖音），倘因業務需求且無其他替代方案，必須採購或使用前開產品時，應具體敘明理由，經機關資安長及其上級機關資安長逐級核可，函報《資通安全管理法》主管機關數位發展部核定後，以專案方式購置列冊管理。

★ 屬「大陸廠牌」且為「資通訊產品」即「禁止公務使用與採購」!!!

◉ 「大陸廠牌」之定義

從嚴認定，所有屬大陸「廠牌」者，無論其原產地於我國、大陸地區或第三地區等，渠等產品均列入限制使用範圍。
考量實務執行問題，現行僅限制其最終資通訊產品不可為大陸廠牌，暫未限制大陸廠牌零組件。

大陸廠牌眾多，公務機關環境常見大陸品牌包含但不限於以下所列（如遇無法判斷者，建議請廠商提供證明或上網搜尋該品牌資訊）：

◉ 「資通訊產品」之定義

參考《資通安全管理法》第3條用詞定義，包含軟體、硬體及服務等，另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品，如無人機、網路攝影機、印表機等。

• 軟體：資通系統、應用軟體（App）、系統軟體、開發工具、客製化套裝軟體、電腦作業系統等。
• 硬體：包括具連網能力、資料處理或控制功能者皆屬之，例如個人電腦、筆記型電腦、平板電腦、伺服器、智慧型手機、行動電話機、網路通訊設備（網路交換器、無線網路分享器等）、無人機、虛擬實境設備、影像攝錄設備、多功能事務機、印表機、投影機、物聯網設備（IoT）、門禁系統等。
• 服務：資通服務，例如客服服務、軟硬體資產維護服務、雲端空間服務等。

◉ 採購案之「危害國家資通安全產品」相關規範

機關辦理採購案時，有關「危害國家資通安全產品」之相關規範，得依個案特性及實際需要於採購文件中循以下方式辦理：

• 廠商所供應標的（含工程、財物及勞務）之原產地不允許大陸地區，如採購案內涉及資通訊軟體、硬體或服務等相關事務，機關可要求廠商執行本案之團隊成員不得為陸籍人士，並不得提供及使用大陸廠牌資通訊產品。（參考行政院公共工程委員會採購範本投標須知範本第16點、資訊服務採購契約範本第8條第24款）
• 倘涉雲端服務者，經查廠商提供大陸廠牌、資通訊產品（含硬體、軟體及服務）、雲端服務之所屬一切資料存取、備份及備援之實體所在地位於大陸地區（含香港、澳門），或跨該等境內傳輸相關資料，則機關得以書面通知廠商終止契約或解除契約之部分或全部，且不補償廠商因此所生之損失。（參考行政院公共工程委員會資訊雲端服務採購契約範本第17條）
• 各機關自行或委外營運，提供公眾活動或使用之場地，不得使用危害國家資通安全產品，且應將相關限制式樣納入委外契約或場地使用規定中，以避免後續履約爭議，並將契約訂定相關文字列入年度稽核時之檢視項目。
• 機關辦理公告金額以上採購涉及物聯網設備技術規格之訂定，請各機關於採購物聯網設備時依「工程會113年8月13日工程企字第11300155871號函」說明事項辦理。
• 各機關辦理採購，亦可參考數位發展部數位產業署之能量登錄機制資訊，揀擇適當之標的、廠商或於契約中載明須提出相關能量登錄證書等。

ℹ️建議多利用共同供應契約採購相關設備，避免採購大陸廠牌資通訊產品。

🔗參考資料

• 各機關對危害國家資通安全產品限制使用原則
• 大陸廠牌資通訊產品及委外經營公眾場域盤點原則
• 行政院秘書長109年12月18日院臺護長字第1090201804A號函
• 行政院114年3月31日院授數資安字第1141000253號函
• 數位發展部資通安全署 資安法常見問題8.6 有關「限制使用危害國家資通安全產品」是否會提供相關清單？
• 投標須知範本、資訊服務採購契約範本、資訊雲端服務採購契約範本