公部门禁危害国安产品 逾千个列管

数位发展部修正《资安法》，禁止公部门使用「危害国家资通安全产品」。资安署23日表示，清单约有10个大项，1000多个产品遭列管。图为2023台湾资安大会。（本报资料照片）

数位发展部修正《资安法》，禁止公部门使用「危害国家资通安全产品」，但担忧产品曝光后，可改名规避，因此清单都未公开。资安署长谢翠娟23日在立法院备询表示，清单约有10个大项，1000多个产品列管中，由于部分产品仍有资料库查询需求，因此采限制性使用。

立委洪孟楷质询提及，数位部修正资安法是否有定义什么是危害国家资安产品？有无产品清单？数位部长唐凤表示，目前已盘点中共可实质控制产品，包含软硬体和服务，若有部会使用就会限期汰换，透过断网措施，确保后续不会有影响。

谢翠娟补充，1000多个列管产品中，资料库与电子书约占1/5，目前列管产品仍未汰换，主因是有查询对岸学术资料库和论文等需求，但仍须经资安长同意后才可使用。

洪孟楷质疑，中下游厂商使用部分是否也要列管？如台铁车站萤幕先前曾有骇客入侵，台铁就推给下游厂商。唐凤说，目前「各机关对危害国家资通安全产品限制使用原则」已修正，公众场域都比照公务场域须纳管。

唐凤表示，公部门共同供应契约中，超过2个机关使用的产品较无问题，若是全新产品、公务系统没用过的，可询问数位部，该部将检视是否受中共实质管控。

立委林俊宪担忧，政府1年采购20万件资安设备，资安法未订定相关罚则，使用机关若无落实盘点设备或自行采用，如何知道有问题的产品。

对此，唐凤也表示，数位部已跟公共工程委员会讨论，将资安相关规范放进新的采购契约内，只要连上公用网路就会发现；谢翠娟也说，各机关设备每月都要上网更新漏洞，如此一来，便知使用的产品有没有问题。