苏南/从华为事件看新上路的《资安法》
▲元旦上路的《资安法》,对于八大关键基础设施相关产业,包括医院、科学园区、通讯业等,完全禁止对岸的电信设备及软体服务。(图/路透社)
关于近期的华为事件,美台商会会长韩儒伯(Rupert Hammond-Chambers)曾说过,如果台湾使用华为设备,就不要指望美国与台湾在网路技术合作。美国国家利益网站(National Interest)也曾表示,华为产品在台湾使用普遍,可能是「藏在台湾的特洛伊木马」,非无国安漏洞。
国安局2013年10月就曾禁止华为来台湾投标,并建议各公务机关不要采用华为产品。今年1月中旬,行政院也表示,总统府、行政院与中央各政府机关,多年前已全面禁止在公务上使用包括华为在内的中国资通讯产品。
除了台湾,华为产品也陆续遭欧美等国禁用,例如「五眼联盟」(Five Eyes,缩写为FVEY,英美协定下组成的国际情报分享团体,成员包括澳洲、加拿大、纽西兰、英国和美国)中的美国、澳洲及纽西兰去年相继禁用华为设备;英国电信(BT)也将华为排除在5G网路设备供应商竞标名单外;加拿大亦基于国家安全理由,对华为进行审查。
为何华为产品会遭受这么多国家的抵制?原因在于,依中国大陆去年新修订的《国家情报法》第10条规定:「国家情报工作机构根据工作需要,依法使用必要的方式、手段和渠道,在境内外开展情报工作。」第14条:「国家情报工作机构可以要求有关机关、组织和公民提供必要的支持、协助和配合。」中国的情报组织有权要求人民或组织协助搜集情资,而华为具有军方背景,被认定在资安上存有疑虑,因此许多国家都对华为的产品有所保留。
今年元旦起,台湾开始实施《资通安全管理法》(下称《资安法》),对于八大关键基础设施相关产业,包括医院、科学园区、通讯业等,完全禁止对岸的电信设备及软体服务。
《资安法》将资安风险管理分为前中后三阶段:事前/订定资安维护计划、通报应变机制;事中/接受稽核及提出实施情形、通报资安事件;事后/提出改善报告、调查处理及改善报告,制定目的在于推动国家资通安全政策,加速建构国家资通安全环境,以保障国家安全,维护社会公共利益。规范对象包括公务机关与特定非公务机关,而特定非公务机关,包括关键基础设施提供者(如台电)、公营事业(如台糖)、政府捐助之财团法人(如工研院,工研院宣布今年1月15日起,内部网路不再支援华为手机与电脑)。
资安风险管控的角色与权责配置上,要设置资安长、资安维护计划及事件通报与应变机制,并向上级或监督机关提报维护计划、资安事件及改善结果,并且接受资安稽核。
执行上,应订定资安责任等级、事件通报与应变办法、资通系统建置及服务委外管理等。例如,台南市研考会日前已就资讯资产盘点,确认已无华为网通设备,并要求个人行动装置应避免连上机关内部网路,也提醒设备采购时,应将资安泄漏风险列为评选评分参考。
笔者建议,对于数位提供者及资讯厂商的责任,未来应视《资安法》执行成效及与业者沟通后,修法纳入。此外,针对资安专才培育、资安产业发展及建置资安防护团队,也有待未来增修相关子法以配套,才能完善台湾的资安基础环境及资安联防体系。
好文推荐
●苏南,国立云林科技大学营建系及通识教育中心教授,交通大学土木工程博士,中正大学法学博士,中国政法大学法学博士。以上言论不代表本公司立场。
