【預告】5/13(一)起,第三階段頁面上方功能列以及下方資訊全面更換新版。 前往查看
  1. 線上筆記
  2. 科目:公職◆國土安全與國境執法
  3. 參考書:黃 安-國土安全與國境執法
  4. 章節:CH2.國境管理
  5. 主題:請試論我國公務機關資通安全管理機制的現況、困境與可行回應對策。
線上筆記功能 將於2024/1/1 移除,請至課程與筆記使用新版筆記功能

目錄 編輯

黃 安-國土安全與國境執法

主題:請試論我國公務機關資通安全管理機制的現況、困境與可行回應對策。


想要觀看完整全文,請先登入

前言: 依中央警察大學國境警察碩士班專任教授柯雨瑞研究,隨著「華為」事件登上國際版面,美 中關係緊張到極點,美國開始使用貿易制裁來抵制華為產品進入美國,認為陸製產品有設置 「後門」,能將資訊傳輸到大陸情資中心,危害國家安全,各國政府亦開始對華為資通產品 展開一連串之禁止與抵制,然而各國真正衡量的是未來 5G 之發展商機與機會。因華為公司 在 5G 科技之發展上已是全球三大電信公司龍頭,如果各國採取禁止與華為在未來通信方面 之合作,將會在 2020 年 5G 之未來發展上失去全球之競爭力。此令各國政府相當困擾,須在 國家安全、資通安全與未來 5G 之發展商機與機會三者之間,取得一定之平衡。如何取捨? 考驗各國政府之專業、能力與企圖。 我國在面對陸製華為資通產品及未來 5G 之潮流下,我國政府將該如何面對這些未來之挑 戰?由於我國與中國大陸有著特殊之政治關係,對於華為產品,我方無法僅從單純之商業利 益考量。究竟華為產品是否會影響到我國之資訊安全及國家安全,這些均是政府應該思考之 方向。我國政府須在中華民國之國家安全、資通安全與未來 5G 之發展商機與機會三者之間, 取得一定之平衡。如何取捨之?考驗我國政府之智慧、專業能力與企圖心。 目前我國政府已經在 2019 年 1 月由行政院公告中央公務機關禁止使用華為陸製產品,隨著 中央之禁令,地方政府亦紛紛效應,至於國營企業及相關 8 大基礎建設之民營企業則尚未有 明確之準則。 各國資通安全管理機制: 世界各國已進入網路之爭奪戰,因此對於資訊安全之防護與立法有其重要性,尤其是各國對 於資安之管理與建立,莫不提升至國家(中央政府)層級,並設立專門部門及法律加以管理。 各國資通安全管理機制之概述如下:美國在 2014 年提出聯邦資訊安全現代化法(Federal Information Security Modernization Act of 2014, FISMA 2014),聯邦資訊安全現代化法(FISMA 2014)授權給美國國土安全部對 於各公務機關進行監督與管理、管制重大資安事件之通報與受到侵害時之處置。另外,美 國歐巴馬政府上台之後,於 2009 年 2 月,制定「國家網絡安全綜合倡議」(Comprehensive National Cybersecurity Initiative(CNCI),發布對美國目前網路安全狀況之重要評估報告及 建議。 德國聯邦議會於 2015 年通過資訊科技安全法(IT-Sicherheitsgesetz)保障民眾與國家基礎 設施之網路安全,讓德國成為網路進程中成為全球科技系統之先驅及模範。 日本基於網路安全,2014 年通過「網路資訊安全基本法」(サイバーセキュリティ基本法), 針對於政府機構與民間單位之資訊安全,「網路資訊安全基本法」進行規範並設立網路安 全戰略本部(サイバーセキュリティ)。 網路安全戰略本部於 2018 年 7 月 27 日發布網路安全年度計畫 2018(サイバーセキュリテ ィ 2018),持續提升國家安全之三大目標,包括: 「提昇經濟社會活力與永續發展」; 《高雄學儒》110 移民行政特訓班 7/20(二)國土安全與移民政策模擬考二參考擬答 「實現國民安全且安心生活之社會」; 「維持國際社會和平、安定與保障日本安全」。中國大陸於 2017 年 6 月實施「網路安全法」,總共有 7 章 79 條,立法目的在於防制網路 詐騙和網路攻擊、保護關鍵基礎設施、網路用戶實名制預防犯罪事件及具有爭議之第 58 條「因維護國家安全和社會公共秩序,處置重大突發社會安全事件之需要,經國務院決定 或者批准,可以在特定區域對網路通信採取限制等臨時措施」來限制級保障國家安全。 中國大陸政府之資通安全管理法制,最具爭議性的,係為「中華人民共和國國家情報法」, 尤其是該法第 14 條規定:「國家情報工作機構依法開展情報工作,可以要求有關機關、組 織和公民提供必要之支持、協助和配合。」第 14 條之前述規定,備受全球各國政府之批 評。批評力道最強者,則為美國。 南韓資訊安全署(Korea Internet & Security Agency)因應資訊安全帶來之威脅提出資訊與 通訊基礎設施保護法(Laws on the Internet and Information Security of Korea),對於不同之 網路犯罪訂出相關之法律規範。 歐盟於 2013 年發布網路暨資訊安全戰略(Cyber security Strategy of the European Union), 希望提供一個開放、安全與可靠之網路空間(An Open, Safe and Secure Cyberspace),以實 現網路安全防護、減少網路犯罪、建立歐盟安全之網路空間及促進歐盟之價值核心為主軸 與訴求。 2016 年歐盟發布一項新的指令,名稱為歐盟網路與資訊系統安全指令(Network and Information Security Directive, NIS Directive),以管制資通安全。英國於 2018 年,頒布電子通訊之網路與資訊系統規則(The Network and Information Systems Regulations 2018),英國之該規則,係實施與踐行歐盟 2016 年網路與資訊系統安全指令 (Network and Information Security Directive, NIS Directive)之相關要求。 我國公務機關資通安全管理機制之現況: 我國公務機關資通安全管理之法制現況: 我國於 107 年 6 月 6 日公布「資通安全管理法」規範公務機關及提供關鍵基礎設施之非公 務機關,以風險管理為核心訂定相關之資通安全維護辦法及應變計畫,除資通安全管理法 為我國資訊安全之母法外,另外,尚包括:刑法第 36 章(妨害電腦使用罪章)、國家安 全法、電信法、電子簽章法、國家機密保護法、個人資料保護法、金融控股公司法、銀行 法、醫療法及人體生物資料庫管理條例等相關子法。 我國公務機關資通安全管理政策受到美國外交政策之重大影響: 我國公務機關在資通安全管理之政策走向方面,向來是受到美國外交政策之重大影響,起 先,美國態度強硬,向同屬「五眼聯盟」(Five Eyes,FVEY)之英國、加拿大、紐西蘭及 澳洲盟友提出勿採用陸製華為之相關資通設備,若有國家選用華為設備並安置在重要系統 內,則美方就不能與該國共同分享情報,以此作為威脅華為 5G 進入美國市場。 為台美友好關係,我國政府便於 2019 年 3 月公告公務機關禁止使用華為大陸通訊設備。 然而時間隨著美國總統川普對於華為設備之態度趨漸軟化,川普希望美國亦盡快推出 5G 技術與中國進行公平之技術之爭。為此我國工商團體亦強烈表明呼籲政府停止觸動大陸之 網軍之戰,以免台灣商品受到抵制、台商企業困境雪上加霜,更何況由政府帶頭抵制更是 容易引起兩岸敏感之政治議題。 《高雄學儒》110 移民行政特訓班 7/20(二)國土安全與移民政策模擬考二參考擬答 我國工商團體對於行政院公告公務機關禁止使用華為大陸通訊設備之政策,非常不以為 然。由此可看,我國工商團體在意者,係為商機,國家安全與資通安全部分,則非我國工 商團體所關注者。由此,亦可顯示行政院公告公務機關禁止使用華為大陸通訊設備之政 策,有著正反面之看法與意見。基本上,我國工商團體極力反對行政院之上開政策。本文 認為,我國工商團體之作法,似恐有違反「資通安全管理法」之相關立法精神意旨。 使用華為陸製資通產品隱藏重大國安危機: 華為 5G 之發展已使得全球許多先進國家與其合作使用該公司之通訊設備,未來 10 年內之 網路軟硬體發展必將讓華為在全球佔有一席之地,而華為之影響力亦將讓中國在網路戰上 對全球各國經濟、軍事及政治上,造成某種程度之威脅。同時亦嚴重影響到我國兩岸未來 之戰爭型態,及我國易成為對岸之網路攻擊目標,且令人有疑慮的,是華為帶有濃厚軍方 之色彩,中共可能在華為之產品設置「後門」,藉以傳輸我國重要之國安、資安數據,在 戰時,其有能力癱瘓我國國軍、公務機關、民間之行動通訊系統,此部分,是我國中央政 府特別擔憂之區塊。 地方政府對於陸製華為之資通產品所造成之國安危機未有充分之認知: 各國因為資安考量紛紛下令禁用華為手機及資通設備,我國政府亦於 2019 年 1 月 15 日 起由工研院帶頭禁用華為手機和電腦使用內部網路。早在 2013 年,國家通訊傳播委員會 (NCC)在 4G 釋照案時,即依照「行動寬頻業務管理規則」第 43 條規定,要求系統建 設業者應考量國家安全,禁止使用中國製之網路和相關基地台之資通設備。 地方政府對於陸製華為設備所造成之國安危機,在回應對策上,尚在研議過渡汰換、觀察、 消極不配合階段,有些地方政府,甚至是非常不配合中央之行政院於 2019 年 1 月所發布 行政命令禁止採購及使用陸資產品之處理原則。本文擬提出一個觀點:資安即國安,有關 資安、國安之課題,應無中央、地方之明顯區別。玆舉一例證明之,有關國家元首、副元 首、重要部會首長之人身安全維護,內政部警政署警官隊亦為負責單位之一,如國家元首、 副元首擬至各地方巡視,內政部警政署警官隊會與各地方政府之警察局共同合作,維護國 家元首、副元首之人身安全,假若,各地方政府之縣市警察局各科室之資通系統,亦採購 及使用陸資產品,恐將國家元首、副元首之人身安全及行踪,完全曝露於中國大陸之國安、 情報、軍事機關之掌控之下,毫無機密可言,具有極高度之人身安全之風險,恐亦非良策。 此亦可證明,若干地方政府對於陸製華為之資通產品所造成之國安危機未有充分之認知。 本文認為,若干地方政府,消極不配合中央行政院之禁止採購及使用陸資產品之處理原則 之作法,似恐有違反「資通安全管理法」之相關立法精神意旨。如僅著眼於發展地方上之 商機與觀光,而漠視國家安全、資通安全,在心態上、作法上,似亦有可議之處。亦即, 地方政府對於陸製華為之資通產品所造成之國安危機未有充分之認知,本文不表贊同。事 實上,資通安全即為國家安全,資安即國安,地方政府亦有憲法上、法律上之法定義務, 共同維護國家安全、資通安全。此種之法定義務,不限定在中央政府。 我國公務機關資通安全管理機制之困境: 禁止連結陸方網站與使用陸製資通產品(含手機): 為了避免來自中國之資安危機,同時亦讓公務機關有明確依循準則,行政院於 2019 年 1 月發布行政命令禁止採購及使用陸資產品之處理原則及公務手機電腦連結到中國大陸 5 大 知名社群網站,如新浪微博、騰訊微博、微信、人人網及百度等搜尋引擎等,並且包含修 《高雄學儒》110 移民行政特訓班 7/20(二)國土安全與移民政策模擬考二參考擬答 圖程式,至於禁止我方公務機關之電腦連結至相關陸方網站之詳細清單,尚未有明確之依 據,尤其是連結特定敏感之網站。 公務機關涉及禁止採購及使用陸資產品之區塊,在 2013 年 10 月,國安局即禁止華為公司 在台投標,國安局並對國內各中央、地方公家機關建議,勿使用中國產品。 我國民間之資通大廠業已與華為公司血脈緊密地相連,已成生命共同體,兩者之商業利 益,環環相扣,著實不易切割: 美國利用加重貿易關稅之脅迫下,呼籲歐洲各國禁用華為公司等陸製之資通產品,然而, 華為產品之優勢,極具吸引力。歐洲民間電信商卻對於華為產品之優勢,及良好品質等特 點,表現出高度之欣賞,尤其是華為已晉升為全球四大電信公司,包括瑞典 EricXXXsson、芬 蘭 Nokia 及南韓 Samsung 等,且未來 5G 第五代行動通訊技術基地台之供應與技術上,華 為更是不遑多讓,這亦是各國在華為之安全疑慮與商業利益上之考量上,非常費心,究竟 要如何取得平衡? 對於美國及我國政府禁用華為相關電子設備,民間企業並不認同,三三三會會長許勝雄認 為各民間企業、尤其是電子企業均有相關之資安機制,不只是華為產品,各國之產品,亦 均設有防駭客、防資訊盜用等機制,民間企業重視的是經濟,有關資安方面之問題,應交 給資安專家來解決,而非一味的禁用華為公司之資通設備。 台灣若禁止華為及其他相關陸製資安產品,中國可能會利用經濟報復之手法,制裁我國在 貿易上之輸入,禁止進口我國生產之某些 5G 相關產品及電子設備,而我國之電子大廠鴻 海等多在對岸有設立廠房,如爆發報復戰,兩岸嚴重之對立情形,勢必會重挫我國經濟, 產生強大之骨牌效應。 禁用華為公司之相關資通產品之後,我國是否有能力邁向 5G 時代,仍有待進一步觀察: 日本總務省 2019 年 4 月 10 日核准國內 4 家電信公司 DOCOMO、KDDI、SOFTBANK 和 樂天公司提出之 5G 營運申請案,而出於安全之理由,日本總務省排除大陸通信設備,如 華為技術等產品,4 家公司將在 2020 年投入6 兆日圓(約 4500 億新台幣)於基地台之 建設,而這亦是 21 世紀之核心基礎設施。 歐盟對於華為公司 5G 之技術,則保持著合作之關係,中國與歐盟 2014 年通過「中歐合作 2020 戰略規劃」其中在 2019 年雙方之第 21 次會談中談到 5G 技術之交流及不強制轉讓技 術,共同致力於世界貿易組織 WTO 之多邊貿易體制,雖然美國總統川普極力反對並使用 貿易加稅之手段或是情資無法共享來懲罰盟友,但基於各國利益間之考量及政治衝突,各 國在追求自身利益下亦持續與大陸企業進行 5G 產業領域合作。 國家通訊傳播委員會(NCC)從 2018 年起,積極規劃 5G 應用與產業創新為發展方向,期 待從 2017 年至 2020 年各階段能將 5G 系統最優化及大規模之應用於國內各場域。除規劃 高/中/低頻評估及修改電信管理法廢除電信事業分類,將特許制、許可制修正為登記制, 鼓勵市場參進。 然華為技術台灣總代理訊葳技術總經理雍海(2019)則認為,5G 在台灣之發展還有很長 之時間要走,2019 年不會落地,2020 年難度亦很大,從其言談中就發現我國在 5G 之研發 上仍具有極大之挑戰。 我國公務機關資通安全管理機制之可行回應對策: 我國政府 2001 起至 2016 在國家資通安全發展政策中,推動連續四期之重大資安政策進程: 《高雄學儒》110 移民行政特訓班 7/20(二)國土安全與移民政策模擬考二參考擬答 第一期機制計畫建構整體資安防護體系; 第二期機制計畫健全整體資安防護能力; 第三期發展方案安全性之智慧台灣,安心優質之數位生活; 第四期發展方案建構安全資安環境。 這四期之內容,說明政府初期以建構資安認知宣導、系統建置、人才培育、技術研發、法律 及國際合作方面等提昇我國之資訊安全環境。 2020 年更是迎向全球 5G 潮流之時代,面對未來資安之挑戰、數位經濟與物聯網(Internet of Things, IoT)時代,行政院於 2018 年提出 DiGi+法案「數位國家.創新經濟發展方案(2017-2025 年)」,推動「友善法制環境」、「跨域數位人才」、 「先進數位科技」等三項數位國家配套措 施,打造安全可信賴之「數位創新基礎環境」及「網路社會數位政府」,而華為事件之影響, 亦考驗我國政府在資安專業人才與資安防護對策之提出。 有必要準確地評估華為公司資通產品之國安危機: 在資訊安全之防護上我國「國安會資安辦、行政院資安處及國家通訊傳播委員」形成三個 資安鐵安角,為我國之國家安全及 8 大關鍵基礎設施加強防護,透過「強化早期預警、持 續控管與維運、通報應變與協處改善」等 4 大面向來建立 8 大關鍵基礎設施領域之聯防機 制。 2018 年下半年,日本政府正式宣布禁用華為公司之相關資通產品,日本政府發現華為公司 之相關資通產品內,隱藏有「間諜晶元」,「間諜晶元」威脅到日本國家安全。此外,華為 公司之網路資通設備,亦被批評留有後門,令中共軍方、國安、情報機關,可以隨時藉由 華為公司之網路資通設備,存取任何資料,備受海內外各國政府之質疑。 依據英國資訊安全雜誌「SCmagazine」及美國科技網站「Lightreading」之報導,華為公司 資通產品確實隱藏後門。微軟工程師拆解華為筆記型電腦之後,發現華為筆記型電腦中有 類似於美國國家安全局所使用的「後門」技術,此種之「後門」技術,可以讓無權使用者, 改變其身分,而成為超級用戶,並有權限建立盜取程式。 因華為或是陸制資通產品(手機、筆記型電腦、、、等),被全球各國政府高度懷疑設置 「後門」,是以,各國對於與大陸華為公司開放 5G 之合作方案態度,亦各有正反之表態, 如五眼聯盟:美國、澳洲、紐西蘭、英國、加拿大及日本等多國,基於國安、資安之疑慮, 抱持著反對之政策,而某有些國家如:歐盟、葡萄牙、印度、德國卻是抱持著贊同或不表 態之意見,這些認同之國家認為未來 2020 之 5G 潮流,需要與華為公司之協助,始能幫助 其擴展更大之商業利益與國家競爭力,至於國家安全,則是採取雙方合作並加強資安之防 護。對於華為陸製產品之態度,我國政府目前基於國家安全理由是採取官方禁止使用及採 購,至於民間機構則無相關禁止使用之規定。本文建議,仍有必要準確地評估華為公司資 通產品造成之國安危機,儘可能地限縮禁用之範圍,以利在國安、資安與台灣之 5G 發展 方面,取得平衡點。 我國公務機關資通安全管理機制宜在美國與中國爭奪全球資通霸主之角力中,尋找最適配 之模式: 2016 年我國首次出現外籍人士到台灣第一銀行 ATM 盜領鉅額款項,車手不需提款卡提 款,國際駭客單靠惡意程式則可提領巨額資金顯示出我國官股銀行出現資安大漏洞,讓國 際駭客集團在全世界橫行無阻,雖然我國有查獲提款車手,但是對於幕後之駭客集團仍未 《高雄學儒》110 移民行政特訓班 7/20(二)國土安全與移民政策模擬考二參考擬答 有進一步之緝獲,尤其是跨國性之犯罪更是需要國際高度之合作與國際刑警組織提供相關 之情資始能免於跨國犯罪集團之駭入。然而我國並非聯合國成員,因此許多資訊安全之交 流與情資,我國並未能及時更新與接收,因此在我國面對兩岸關係及中美貿易大戰之拉鋸 戰中,我國政府對開放使用華為資通之商品之態度與作法,則成為兩國角力之對象。 美國政府強硬的對台灣表示,如果使用華為網路設備,美國將會取消與台灣有關任何合 作,如技術或是情資之分享與合作。基於國家安全理由,美國政府建議台灣及所有國家在 公務機關應該全面禁止使用華為設備,至於民間團體之部分,雖不能強硬之禁止,但需要 利用教育及宣導,勸戒民間個人或團體不要使用該國之相關資通產品。 在美國宣布抵制華為產品之後,華為公司公布 2017 年之財報指出,華為之營收可分為 4 部分,最大之銷售數量以中國為最,佔 50.5%、亞太市場約 12%、歐洲中東和非洲是 27%, 而美洲市場只占 6.5%,從數據中顯示就算美國抵制華為手機,但是實際影響華為之銷售訂 單並無太大影響,更何況華為公司之產品有其價格便宜、品質好、照相品質功能佳等銷售 競爭力,故民間企業團體及個人反而會相對購買較具高價性能之華為。 落實資安宣導,宜強化政府與民間對於華為公司之資通產品所造成國安危機之認知與共 識: 在打擊網路犯罪之預防上,2002 年我國政府提出「電子簽章法」利用公鑰基礎建設(Public Key Infrastructure, PKI)建立民間企業與政府利用線上身分辨識系統及電子文件資訊分享 促進政府效能。2003 年制訂「國家機密保護法」落實國家公務機密之保護及制訂 2005 年 「政府資訊公開法」流通政府資訊及促進人民對公共事務之瞭解,2009 年修訂「資通安全 規範整體發展藍圖」參照前全球先進國家資安發展經驗,並考量我國政府機構現行法制與 資訊環境特性建立資安國家標準與發展,而對於民眾個人隱私及資料之防護上,法令則有 「個人資料保護法」、「刑法」、「通訊保障及監察法」及「電信法」及 2018 年行政院提出 DiGi+法案「數位國家.創新經濟發展方案」,這些均是我國政府目前與地方政府所進行之 資安政策與防護。 而對於華為事件對我國帶來之資安風險,中央與地方政府、國營企業及 8 大關鍵基礎建設 之民間企業或可依照國家安全、國土安全之相關規定,禁止使用與採購陸製資安設備;相 對而言,另對於民團體及個人則以柔性宣導或是教育之方式避免民眾購買陸製手機,避免 資安外洩之疑慮。 2019 年 1 月,我國工研院公告下令禁止使用華為手機,成為公務機關禁止使用華為手機、 資通設備之首位發聲者,之後,國研院與資策會陸續跟進,相繼宣布禁止華為設備連上國 研院與資策會之內網。而至於華為手機是否真正有資安之疑慮,有傳輸之後門系統?目前 仍無相關之明確性證據,但有許多之資安專家表示,華為的確有其資安風險,因為它的商 業模式與其他的智慧型品牌不同,有可能會被使用於政治性用途,我們目前尚未能驗證其 安全性,為了國家安全起見,台灣之中央與地方機關應該要禁用華為設備與手機。 除了鼓勵與宣導在尚未證實華為手機通過資安之安全檢測前,民眾及企業盡量減少購買或 是使用華為等相關設備,除了硬體之使用外,對於大陸開發之軟體 APP 微信等亦盡量減 少下載使用及連結到大陸網站,避免個資遭到連結傳輸與散布。 政府與民間宜儘速完善其內部之資安規範: 我國有近 8 成之中央政府機關,尚未仔細、詳盡之評估國外公務或國外民間機構,其對於 《高雄學儒》110 移民行政特訓班 7/20(二)國土安全與移民政策模擬考二參考擬答 個資保護之程度與機制,以致於我國公、私部門傳送到國外公務或國外民間機構之資訊, 存有非常大之資通安全漏洞,令個資保護之相關法令,已形同具文。再者,政府部門亦無 法了解我國私部門、業者之雲端資料庫,是否設置在中國或外國何處?雲端資料庫可儲存 大量之資料與情資,而我國私部門、業者之雲端資料庫究竟設置何處?我國政府部門、民 間機構均無法清楚知曉之。 國家通訊傳播委員會曾在 2012 年公告「限制通訊傳播事業經營者將所屬用戶之個人資料 傳遞至大陸地區」,但,其他之中央目的事業主管機關,則未頒布類似之法令。究竟我國 之私部門、業者之雲端資料庫,可否設置在中國大陸?或者,將所屬用戶之個人資料傳遞 至大陸地區?目前之狀況,仍屬非常模糊之地帶。本文建議,中央目的事業主管機關宜比 照國家通訊傳播委員會所公告之「限制通訊傳播事業經營者將所屬用戶之個人資料傳遞至 大陸地區」之機制,亦頒布相關之管制、監控、管理之法令,以免重大情資(含國家安全 情報)被傳送至中國大陸之國安、軍事部門。 再者,我國私部門、業者所蒐集之個人資料,如要委託至境外處理,目前,在國內之部分, 僅有金管會對於金融機構所蒐集之個人資料,如要委託至境外處理,需事前得到該會之核 准,其他之中央目的事業主管機關,亦未有相關之管制機制,建議政府之其他之中央目的 事業主管機關,宜比照上述金管會對於金融機構之監控機制為佳。 

想要觀看完整全文,請先登入