蘇南/從華為事件看新上路的《資安法》

2019年02月12日 15:00

▲▼ 華為 。(圖/路透)

▲元旦上路的《資安法》,對於八大關鍵基礎設施相關產業,包括醫院、科學園區、通訊業等,完全禁止對岸的電信設備及軟體服務。(圖/路透社)

關於近期的華為事件,美台商會會長韓儒伯(Rupert Hammond-Chambers)曾說過,如果台灣使用華為設備,就不要指望美國與台灣在網路技術合作。美國國家利益網站(National Interest)也曾表示,華為產品在台灣使用普遍,可能是「藏在台灣的特洛伊木馬」,非無國安漏洞。

國安局2013年10月就曾禁止華為來台灣投標,並建議各公務機關不要採用華為產品。今年1月中旬,行政院也表示,總統府、行政院與中央各政府機關,多年前已全面禁止在公務上使用包括華為在內的中國資通訊產品。

除了台灣,華為產品也陸續遭歐美等國禁用,例如「五眼聯盟」(Five Eyes,縮寫為FVEY,英美協定下組成的國際情報分享團體,成員包括澳洲、加拿大、紐西蘭、英國和美國)中的美國、澳洲及紐西蘭去年相繼禁用華為設備;英國電信(BT)也將華為排除在5G網路設備供應商競標名單外;加拿大亦基於國家安全理由,對華為進行審查。

為何華為產品會遭受這麼多國家的抵制?原因在於,依中國大陸去年新修訂的《國家情報法》第10條規定:「國家情報工作機構根據工作需要,依法使用必要的方式、手段和渠道,在境內外開展情報工作。」第14條:「國家情報工作機構可以要求有關機關、組織和公民提供必要的支持、協助和配合。」中國的情報組織有權要求人民或組織協助搜集情資,而華為具有軍方背景,被認定在資安上存有疑慮,因此許多國家都對華為的產品有所保留。

今年元旦起,台灣開始實施《資通安全管理法》(下稱《資安法》),對於八大關鍵基礎設施相關產業,包括醫院、科學園區、通訊業等,完全禁止對岸的電信設備及軟體服務。

《資安法》將資安風險管理分為前中後三階段:事前/訂定資安維護計畫、通報應變機制;事中/接受稽核及提出實施情形、通報資安事件;事後/提出改善報告、調查處理及改善報告,制定目的在於推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益。規範對象包括公務機關與特定非公務機關,而特定非公務機關,包括關鍵基礎設施提供者(如台電)、公營事業(如台糖)、政府捐助之財團法人(如工研院,工研院宣布今年1月15日起,內部網路不再支援華為手機與電腦)。

資安風險管控的角色與權責配置上,要設置資安長、資安維護計畫及事件通報與應變機制,並向上級或監督機關提報維護計畫、資安事件及改善結果,並且接受資安稽核。

執行上,應訂定資安責任等級、事件通報與應變辦法、資通系統建置及服務委外管理等。例如,台南市研考會日前已就資訊資產盤點,確認已無華為網通設備,並要求個人行動裝置應避免連上機關內部網路,也提醒設備採購時,應將資安洩漏風險列為評選評分參考。

筆者建議,對於數位提供者及資訊廠商的責任,未來應視《資安法》執行成效及與業者溝通後,修法納入。此外,針對資安專才培育、資安產業發展及建置資安防護團隊,也有待未來增修相關子法以配套,才能完善台灣的資安基礎環境及資安聯防體系。

好文推薦

蘇南/恭喜發財!紅包拿來!孩子的紅包不是你的

蘇南/房屋買賣須附無違建證明 柯P管太多?

蘇南/【媽媽嘴案】員工殺人雇主得賠?同案件事實判決卻不同

▲雲林科大科技法律研究所 蘇南教授●蘇南,國立雲林科技大學營建系及通識教育中心教授,交通大學土木工程博士,中正大學法學博士,中國政法大學法學博士。以上言論不代表本公司立場。

讀者迴響