委員會紀錄 立法院第11屆第3會期交通委員會第8次全體委員會議紀錄 時  間 中華民國114年4月24日(星期四)9時4分至13時25分 地  點 本院紅樓201會議室 主  席 許委員智傑 議  程 報告事項 宣讀上次會議議事錄 討論事項 審查一、行政院函請審議、二、委員沈伯洋等17人、三、委員葛如鈞等21人、四、委員賴瑞隆等17人、五、委員黃捷等17人、六、委員林宜瑾等18人、七、委員陳素月等24人、八、委員林俊憲等16人、九、委員羅美玲等21人、十、委員吳思瑤等17人、十一、台灣民眾黨黨團、十二、委員邱若華等17人分別擬具「資通安全管理法修正草案」案、十三、委員蔡其昌等18人擬具「資通安全管理法部分條文修正草案」案及十四、委員李柏毅等18人擬具「資通安全管理法第二條及第十一條條文修正草案」案。 【僅進行詢答及宣讀提案條文】 答詢官員 數位發展部部長黃彥男 數位發展部數位產業署署長林俊秀 數位發展部資通安全署署長蔡福隆 數位發展部數位政府司司長王誠明 數位發展部數位國際司司長莊盈志 法務部調查局資通安全處處長張尤仁 主席:出席委員已足法定人數,現在開會。 請議事人員宣讀上次會議議事錄。 立法院第11屆第3會期交通委員會第7次全體委員會議議事錄 時  間:中華民國114年4月16日(星期三)上午9時至下午2時6分 中華民國114年4月17日(星期四)上午9時至中午12時16分 地  點:本院紅樓201會議室 出席委員:魯明哲  洪孟楷  李昆澤  廖先翔  林國成  林俊憲  何欣純  陳素月  黃健豪  陳雪生  徐富癸  邱若華  蔡其昌  許智傑  游 顥    委員出席15人 列席委員:林月琴  林德福  陳俊宇  鍾佳濱  李坤城  黃珊珊  鄭天財Sra Kacaw   黃國昌  楊瓊瓔  王育敏  鄭正鈐  伍麗華Saidhai Tahovecahe    李柏毅  王美惠  張雅琳  王鴻薇  羅明才  邱志偉  林楚茵  蘇清泉  徐欣瑩  蔡易餘  陳冠廷  葉元之  林倩綺  張啓楷  高金素梅     委員列席27人 列席官員: 4月16日 交通部 部長 陳世凱   路政及道安司 司長 黃運貴   公共運輸及監理司 司長 林福山   航政司 司長 韓振華  觀光署 署長 周永暉  公路局 局長 陳文瑞  鐵道局 局長 楊正君  高速公路局 局長 趙興華  民用航空局 局長 何淑萍  航港局 局長 葉協隆  運輸研究所 所長 林繼國  中央氣象署 署長 呂國臣  中華郵政股份有限公司 董事長 王國材  國營臺灣鐵路股份有限公司 代理董事長 伍勝園 總經理 馮輝昇  桃園國際機場股份有限公司 董事長 楊偉甫  臺灣港務股份有限公司 董事長 李賢義  台灣高速鐵路股份有限公司 董事長 鄭光遠  中華航空股份有限公司 董事長 高星潢  陽明海運股份有限公司 董事長 蔡豐明  中華電信股份有限公司 董事長 簡志誠 執行副總經理 林文智 內政部警政署航空警察局 局長 廖恆裕 經濟部 政務次長 何晉滄 外交部 政務次長 陳明祺 財政部 常務次長 謝鈴媛 行政院經貿談判辦公室 副總談判代表 顏慧欣 4月17日 國家運輸安全調查委員會 主任委員 林信得 副主任委員 何慶生 專任委員 張文環 專任委員 陳天賜 專任委員 李延年 主任秘書 姚辰安 執行長 林沛達 航空調查組 組長 劉東明 水路調查組 組長 蘇水灶 鐵道調查組 組長 吳吉村 公路調查組 組長 曾仁松 運輸安全組 組長 鄭永安 運輸工程組 組長 莊禮彰 人事室 主任 廖捐惠 政風室 主任 康希平 主計室 主任 孫淑幸 秘書室 主任 楊依紋 主  席:林召集委員國成 專門委員:邱垂發 主任秘書:李健行 紀  錄:簡任秘書 周厚增 簡任編審 喻 珊 科  長 林宗賢 專  員 劉芳賢 4月16日 報 告 事 項 宣讀上次會議議事錄 決定:議事錄確定。 一、邀請交通部部長陳世凱列席報告業務概況,並備質詢。 二、邀請交通部部長、經濟部次長、外交部次長、財政部次長及行政院經貿談判辦公室就「美國課徵對等關稅對我國交通公私部門之衝擊與因應」進行專題報告,並備質詢。 (本日會議由交通部部長陳世凱、經濟部政務次長何晉滄、外交部政務次長陳明祺、財政部常務次長謝鈴媛、行政院經貿談判辦公室副總談判代表顏慧欣及交通部航政司司長韓振華報告後,計有委員洪孟楷、李昆澤、林國成、林俊憲、魯明哲、何欣純、陳素月、黃健豪、陳雪生、廖先翔、蔡其昌、邱若華、徐富癸、許智傑、陳俊宇、黃珊珊、鄭天財Sra Kacaw、鍾佳濱、楊瓊瓔、林月琴、葉元之、王美惠、張雅琳、伍麗華Saidhai Tahovecahe、蔡易餘及陳冠廷等26人提出質詢,均經交通部部長陳世凱及相關人員分別予以答復。) 決定: 一、報告及詢答完畢。 二、委員游顥、林宜瑾及邱志偉等3人所提書面質詢,均列入紀錄並刊登公報。 三、委員於質詢中要求提供相關書面資料或未及答復部分,請交通部及相關機關儘速以書面答復。 通過臨時提案5項: 一、由於美國政府於114年4月10日宣布對等關稅政策暫緩實施90日,受影響企業紛紛搶出貨以減少該關稅衝擊,已有出口商對於海運能量,例如港口的貨櫃、船隻是否足夠,及貨物能否趕快上船等表示擔憂,為降低產業衝擊,建請交通部及交通部航港局籌組國際海運運輸平穩小組會議,瞭解進出口商需求,協調航商穩定進出口順暢。 提案人:蔡其昌  李昆澤  陳素月 二、鑑於長榮海運毒品走私案,經查核有臺灣港務股份有限公司通行證管制鬆散與交通部航港局資訊不對稱,後續港口管制區內通行與否以通行證為主要依據,且進出入商港管制區未實施人員及行李安全檢查之情況,造成長年以來走私破口,然依據商港法第5條規定,商港區域內治安秩序維護及協助處理違反港務法令事項,由港務警察機關執行之」,依據國家安全法第5條、第19條、第20條規定,港警應有權對出入境人員比照民航安檢實施安全檢查,然實務上則由海洋委員會海巡署執行相關安全檢查作業,除旅客利用金屬探測安檢門、行李安檢X光機外,然船員及港務相關人員僅以目測檢查,使船員隨身攜帶毒品等走私及危險物品無法可阻,港務公司無權阻攔,港警亦無所適從,爰請交通部會同海洋委員會海巡署、內政部移民署及財政部關務署,於2個月內提出比照交通部民用航空局安檢規格之有效安全檢查措施SOP,臺灣港務股份有限公司、交通部航港局則提出改善通行證申請及使用須知、內政部警政署各港務警察總隊提出相關強化指引,維護我國對外貿易窗口,維持社會秩序有效防治毒品走私。 提案人:魯明哲  廖先翔  黃健豪  邱若華  陳雪生  林國成 三、因應美國於114年4月10日宣布暫緩課徵全球對等關稅,臺灣產業全力把握90天黃金關鍵期,加快貨物之上船出口,然基於海運運輸歷日曠久,廠商所能把握之緩衝期更形短少,為協助國內供應鏈應對美國關稅之衝擊,政府自當窮盡一切可能措施,並維持我國出口及貿易之穩定。又因近期中美貿易戰已有升級態勢,衝擊全球海運運輸,導致中美航線無貨可運、東南亞航線爆艙之景況,為維持國際海運運輸平穩、有序進行,特請交通部航港局比照疫情特殊時期,儘速召開「國際海運運輸平穩工作小組」會議,掌握出口需求及艙位供給情形,並協調國籍航商視需要增加航班、艙位。 提案人:何欣純  蔡其昌  陳素月 四、臺鐵豐原站為中部地區鐵道運輸重要據點,臺鐵豐原站每年上、下車達約600萬人次,更為臺中后里、東勢、潭子及神岡等地轉運中心。經查,目前豐原往返板橋及臺北每週僅有18列次、半直達車僅有14列次,非周末之平日往返板橋及臺北之直達及半直達車更僅各有2班。有鑑於若增加豐原至臺北之直達班次,除可縮短民眾通行時間,也可增加民眾利用豐原站搭車北上之意願,故建請國營臺灣鐵路股份有限公司調整並增加往返豐原至臺北之直達班次並優化豐原站及周遭后里、栗林及潭子等車站之交通銜接,以提供旅客多元、便利之交通選擇。 提案人:何欣純  蔡其昌  陳素月 五、「舊山線鐵道自行車」將已不再使用之鐵道轉換為文化觀光資源,成為中部地區熱門旅遊景點。經查,舊山線鐵道雖自苗栗三義開始、經勝興至臺中舊泰安,但目前舊山線鐵道自行車僅於苗栗縣境內營運,而導致臺中舊山線鐵道仍然閒置。為促進鐵道文化之動態保存,交通部觀光署於2024年補助臺中市政府辦理泰安鐵道文化園區「景點優化體驗加值計畫」,國營臺灣鐵路股份有限公司亦於2025年1月13日函報交通部「舊山線基礎設施改善計畫─優先推動階段」修正報告書,研擬將鐵道自行車延伸至臺中舊泰安站,初估計劃經費達9億1,400萬元,並刻正依交通部函復意見研擬修正計畫內容。 有鑑於臺中舊山線為我國重要鐵道文化及觀光資產,爰請國營臺灣鐵路股份有限公司加速推動相關作業,亦請交通部觀光署、國營臺灣鐵路股份有限公司與地方政府通力合作,串聯周遭景點、整合山線觀光廊道,提升整體觀光發展及品質。 提案人:何欣純  蔡其昌  陳素月 4月17日 邀請國家運輸安全調查委員會主任委員林信得列席報告業務概況,並備質詢。 (本日會議由國家運輸安全調查委員會主任委員林信得報告後,計有委員洪孟楷、林國成、李昆澤、魯明哲、陳素月、何欣純、許智傑、林俊憲、徐富癸、廖先翔、蔡其昌、游顥、邱若華、黃健豪、葉元之及張啓楷等16人提出質詢,均經國家運輸安全調查委員會主任委員林信得及相關人員分別予以答復。) 決定: 一、報告及詢答完畢。 二、委員於質詢中要求提供相關書面資料或未及答復部分,請國家運輸安全調查委員會儘速以書面答復。 散會 [image: image1.jpg] 主席:請問各位委員,對議事錄有沒有意見?(無)沒有意見,我們就確定議事錄。 本日進行資通安全管理法修正案共14案的審查,先請委員說明提案要旨。 首先請葛如鈞委員,時間3分鐘。 葛委員如鈞:首先要謝謝主席對於國家資通安全的重視,在今天排審資通安全管理法修正草案,也感謝跨黨派的立法委員同僚們大家共同關注資安的議題。 駭客攻擊事件在全球持續升溫,根據統計,尤其是以製造業和醫療保健產業在臺灣的受害情況最為嚴重,近期臺灣也發生多起醫療院所遭到駭客攻擊的事件,引起民眾對於個人病歷資料外洩的擔憂和疑慮,我個人在教育及文化委員會,也關注非常多的學校在前線可能也有這樣的一個陰影。由於地緣政治關係,臺灣每秒遭遇駭客攻擊大約1.5萬次,我現在講這句話的過程裡可能就已經超過10萬次了,是其他地方的4倍。臺灣的電子產業,尤其半導體業非常的發達,全球駭客通常會針對臺灣的重點產業發動攻擊,來竊取重要的機密資訊。另外一方面,臺灣有高達百分之九十五的企業又是中小企業,能夠投入資安維護的資源相對的稀少,容易成為駭客用來練兵的對象。 因此,本席所提出的修法版本第四條特別強調,為提升通訊安全、資通安全,政府應提供資源,整合民間產業的力量,並提升全民資通安全的意識。與此同時,政府也應該協助民間來處理、因應,以及防範資通安全事件。套用資安界著名的水桶理論,整體系統的安全性取決於最低安全程度的一環。若將整個國家的資通安全視為一體,則政府應該有責任也有義務要投入更多的資源,協助民間企業來提升他們的資安能力,才能夠有效提升我們國家整體的資安能力。 除此之外,本席所提出的修法版本也特別重視公正第三方監督查核的重要性,唯有納入公正第三方的監督,才能夠確保國家資通系統的建置及後續的維護管理皆符合資通安全相關的規定。 另外,在修正案的第十條有關資通安全管理機制的建立與實施上,我所提出的版本也特別強調,公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,該系統屬委託機關之核心資通系統,或委託金額達新臺幣1,000萬以上者,委託機關應另行委託公正第三方進行安全查核。 我的修正案版本第十一條也特別強調,公務機關以及非特定公務機關,應規劃並於公正第三方的監督之下,辦理資通安全演練作業。相關的規範希望能夠有更多公正第三方、國際公正第三方的安全監督,才能夠有效確保國家資通訊系統的建置以及管理。我們也希望能夠依照資安相關的規定以及標準來運行。以上是我所提出的修正草案版本的重點,也懇請各位立院同僚不分黨派一同來支持,謝謝。 主席:謝謝。現在我們請台灣民眾黨黨團代表黃國昌委員說明。 黃委員國昌:謝謝主席,還有所有與會的官員跟委員。台灣民眾黨黨團提出資通安全管理法相關的修正草案,主要有兩個重要的原因,一、過去法案規範的強度跟密度明顯不足,我相信過去幾年來非常多的學者專家以及關心國安的人全部都提供寶貴的意見出來;二、我在追蹤的時候發現超級荒謬的狀況是,我們國發基金投資的公司在我們的軍事要塞設中國資通安的產品,明顯違反相關的法令。但幾次的質詢,搞了半天,沒有法律可以處罰,問國防部,國防部說,請他們拆掉就算了。這樣會有嚇阻效果嗎? 因此,我們這一次所提出的資通安全管理法規範的草案,跟行政院的版本相比有五大特色。第一個,我們成立國家資通安全會報,這個會報希望一方面由行政院院長親自召集,另外一方面能夠納入外部的專家學者,讓整個資通安全會報不僅僅有公權力作為後盾的強度,同時,也有外部的專家可以共同參與,進行公民社會的監督。 第二個特點,規範的主體範圍擴大,目前在資通安全管理法裡面關於非公務機關跟特定的非公務機關,我們希望納入的範圍包括受政府控制的事業、團體或者是機構,這樣才不會讓一些重要的設施、重要的機構應該納入規範卻沒有納入規範。 第三個部分,針對過去有關於資通安全管理法裡面所規範的危害國家資通安全產品,這一個規範客體在母法裡面從來沒有明確的定義,為了符合法的明確性原則,以及跟後面的罰則能夠相配合,我們希望在法律的層次,而不是在授權行政命令的層次,明確去定義什麼是危害國家資通安全的產品。 第四個部分,針對有關於公務機關在一定的條件下可以例外使用這一些可能有危害國家安全資通產品的情況時,我們就「例外使用」規定不可以是開放的授權,而必須要有進一步強度的規範,包括指定的區域跟人員,包括購置的理由消失應該要銷毀等等。 第五個,也是最重要的一個,在違反相關法令的時候,一定要有罰則,這個罰則的強化,要確保相關的行為人在違反國家資通安全管理相關規範的時候,必須要有清楚的罰則,否則像聯合再生在我們的軍事要塞裡面裝中國的資通訊產品,被抓到了以後,到目前為止沒有任何的處罰,只是叫它把東西拆掉,目前還跟國防部在爭執,不願意把東西拆掉,現在東西都還在我們的蘭指部,這種荒謬的狀況可以停止。以上說明,謝謝。 主席:謝謝。 現在請黃捷委員。 黃委員捷:謝謝主席。在場所有委員以及所有官員,大家早安。在我的版本裡面,我必須要強調,我還是針對中共網害的手法來提修法,因為大家知道臺灣不只是遭受到中國的軍事武力威脅,我們也面臨非常嚴重的資安攻擊,也一直都是全球資安攻防的重災區。以去年的數據來看,政府網際網路的服務網每天遭受到的侵擾是240萬次,甚至是前一年的兩倍,也都不斷的在增加當中。國安局其實有提供一份中共網害手法的分析報告,裡面提到,去年中共對臺灣政府和民間的網路駭客案件大多集中在電信業者、交通及國防的供應鏈等三大領域當中,然後遭受到的攻擊是前一年的6.5倍。過去幾個月也有聽到在醫院、學校、私人公司都有遭受到中國駭客入侵的事件,也有駭客試圖要竊取病人的個資以及醫療紀錄資料來上網販售,導致掛號系統暫時失靈,甚至還有被駭的私人機構遭到勒贖成功的事件發生在臺灣,這都顯示在臺灣的資安侵擾真的是越來越頻繁,而且是非常非常嚴重的國家安全的威脅。 所以在我的版本裡面也希望可以補足現行法律的漏洞,我有提出幾個跟院版比較不同的地方,其中一個是,要明定公務機關跟特定非公務機關不得採購及使用中資廠商或是中國地區、港、澳、境外勢力等等實質控制的組織提供的資通服務、系統及設備。這個修法的目的是要讓臺灣的資安系統上面可以完全的阻斷紅色供應鏈,所以也希望所有的黨派都可以來支持、來確保臺灣的數位安全,也希望資通安全管理法這個會期就可以完成三讀,謝謝。 主席:謝謝。 請李柏毅委員。 李委員柏毅:謝謝今天交通委員會排審資通安全法,這個法我是在第1會期的時候提出來的,臺灣面臨最嚴重的網路攻擊、資安攻擊以及認知作戰,這個部分的修法,我們希望可以針對資安攻擊裡面,除了政府部門以外,我提出修正第二條,希望明定權責機關單位之外;我又修正第十一條,也就是公務、特定非公務機關應設置資通安全長之外;資通安全長應通過資安職能訓練機關的評量或經主管機關核可者。這些裡面涵蓋了國家重要基礎設施,包含台電、中油、台水、證交所、醫院還有掌握重大個資的各個公司等等,我們希望都可以列入修法的管理。 面對敵對國家,也就是中國逐漸升級且無所不在的網路攻擊,我們希望透過修法可以很有效的保護到所有臺灣相關的資訊安全內容,在這邊懇請交通委員會跨黨派所有委員予以支持,大家進行討論,謝謝。 主席:好,謝謝。 現在進行機關報告。請數發部黃部長報告。 黃部長彥男:主席、各位委員女士、先生,大家早。今天應邀列席委員會議,針對「資通安全管理法修正草案(以下簡稱本修正草案)」進行報告,說明如下: 資通安全管理法自107年6月6日制定公布,到108年元旦正式實施以來,至今並未進行修法。近年全球資通安全威脅日益升高,政府與關鍵基礎設施頻頻成為駭客攻擊目標。各國(如美國、歐盟、日本等)皆陸續強化資安立法與執法機制,以維護國家安全與經濟穩定。 現行「資通安全管理法」於108年正式施行,累積執行經驗後,發現部分條文無法有效回應新興資安風險與管理需求。近年國內陸續發生多起資安事件,如醫療院所遭入侵、機敏資料外洩、關鍵基礎設施遭攻擊等,顯示現行制度仍有不足,漏洞亟待追補。本修正草案旨在強化國家整體資通安全法律規範、促進政府跨機關合作及區域聯防,並提升公私部門的資安防護能力。 賴總統於114年3月13日召開國安高層會議,並親自召開記者會,提出五大國安及統戰威脅以及17項的因應策略,其中提及各主管機關須防止敵對勢力透過網路、應用程式、AI等工具危害資安,爰應修正強化資通安全管理法,以健全我國資安環境並落實實施。 本修正草案業於113年7月4日提報行政院院會通過並函請立法院審議,立法院113年7月12日一讀交付委員會審查,並經再檢視與總統上揭宣示內容相符。本次共增修十七條,計有六大重點,摘要如下: 一、明確主管機關與各機關權責(修正條文第二條) (一)修正本法之主管機關為數位發展部,並明訂國家資通安全業務由資安署辦理。 (二)導入「中央地方聯防機制」,中央政府與地方政府協同合作、共同應對突發事件或重大挑戰的運作模式,以提高應變效率,降低災害或事件對社會的衝擊。 二、擴大資安稽核範圍(修正條文第八條、第十四條、第十五條) 增訂資安署得稽核無上級機關或監督機關,如總統府、國家安全會議及五院,將稽核範圍擴大至全國公務機關,俾協助各機關檢視及精進資安管理。 三、完善特定非公務機關及委外廠商之監督(修正條文第十條) 公務機關或特定非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應選任適當之受託者,要求受託者建立有效之資通安全管理機制,並監督該機制之實施,確保委外廠商落實資安防護機制,避免納管機關產生資安防護漏洞。 四、限制高風險資安產品 現行對各機關有關危害國家資通安全產品之使用,係以行政規則「各機關對危害國家資通安全產品限制使用原則」規範,現提升至法律位階並明確授權。 五、增訂行政調查機制(修正條文第二十五條)。 增訂中央目的事業主管機關對特定非公務機關重大資通安全事件之調查權限,俾利了解資安事件根因,訂定更完善的保護機制,以提升國家整體資通安全。 六、增訂資通安全專職人員設置要求(修正條文第十九條、第二十條、第二十一條及第二十三條)。 (一)機關應符合資通安全責任等級之要求,設置資通安全專職人員,並強化其專業知能。 (二)增訂特定非公務機關應置資通安全長及應符合資通安全責任等級之要求設置專職人員。 (三)增訂資安人員適任性查核機制。 此次「資通安全管理法」修法,預期能帶來多方面的效益,尤其是在強化國家整體資安防護、提升公私部門資安韌性、因應新興威脅等方面更具前瞻性與實效性。 這裡特別感謝各委員對資安法的關切跟期待,各委員所提出的資安法草案版本,本部都有收到,也都有研析,雖然有些文字跟院版有些出入,但大致內容跟修法方向都跟院版草案相同,因此,懇請委員支持資安法院版草案通過,以強化我國資安的防護,謝謝。 主席:好,謝謝。其餘機關報告請各位參考書面,並列入紀錄,刊登公報。 行政院人事行政總處書面資料: 「審查行政院函請審議資通安全管理法修正草案等14案」書面報告 主席、各位委員、女士、先生: 今天大院第11屆第3會期交通委員會第8次全體委員會議「審查行政院函請審議資通安全管理法修正草案等14案」,本總處奉邀列席,深感榮幸。 各委員提案內容包括「公務機關應設置資通安全專職人員」、「強化資通安全人員專業知能」、「重大資通安全事件之調度支援」及「對資通安全專職人員、資通安全人員任用考試錄取人員之適任性查核」等事項,因係屬數位發展部主管權責,本總處尊重該部意見。 以上報告,敬請各位委員指教,謝謝! 主席:今天進行詢答,因為後面版本很多,要唸很久,所以委員的質詢時間就不要太長,也請時間到的時候如果超過1分鐘再響一次。 詢答時間,出席委員5分鐘,得延長1分鐘;列席委員4分鐘。委員發言登記於10點30分截止,各位委員如果有臨時提案,請於10點前提出,以便議事人員彙整。暫定10點30分休息10分鐘,中午原則上不休息。 現在請登記第一位委員洪孟楷發言。 洪委員孟楷:(9時28分)主席謝謝,麻煩請黃部長。 主席:請部長。 洪委員孟楷:部長,關於資安法的修法,我想朝野大家都有正向的回應跟版本,代表對國家安全來講,我們責無旁貸。但有幾個部分我還是要跟你就教,也落實到底資安法修法之後,能不能真的達成數發部所要達到的目的。 首先,我們看到未來的稽核以及公務機關的稽核等等都會由資安署來負責,對不對? 黃部長彥男:對。 洪委員孟楷:針對資安署的稽核,如果是所有公務機關,不管是特定的非公務機關或是公務機關都要負責的話,你們的人力夠不夠? 黃部長彥男:我們資安署這方面目前是每一年至少稽核40個單位。 洪委員孟楷:40個單位? 黃部長彥男:至少40個單位,那當然未來是…… 洪委員孟楷:但是現在納入之後,是全部的公務機關都要…… 黃部長彥男:對,就是所有的,現在A級機關,如果連特定非公務機關加起來,每年大概有96個單位,所以當然資安法通過…… 洪委員孟楷:等於是一倍多的業務量,我看到你們第三十二條還說,得委託其他公務機關來辦理國家資通安全防護的演練跟稽核。所以你們未來還會再委託出去? 黃部長彥男:對,因為中央目的事業主管機關對自己下面的單位,比如像台電還有油、水、電這些公司應該向經濟部就…… 洪委員孟楷:好,本席要問的問題是,這一些人員有可能是最了解整個國家公務機關的資訊、安全機密,他們的查核就相對重要了。 黃部長彥男:也是要特殊查核。 洪委員孟楷:對不對?也是要特殊查核。好,我們來看一下,現在特殊查核是有相關規定的,我找到人事行政總處在去年12月的時候又把特殊查核的職務一覽表show出來,其中本席看到資通安全署目前只有規定到科長級以上是要經過特殊查核,但是就如同我們最近在講外交部諮議的事件,他的職等沒有很高,可是他經手的是部長的外交行程,也因此一個諮議長期在部長旁邊,拿到的相關資料、流出去的機密不知道有多少,他在政府底下變成是一個共諜,他可能跟部長沒有什麼兩樣。我想請教,未來我們是不是也要把這些相關的稽核人員放入?現在其他部會也都有這樣的考量,他們說不是用職等區分,而是用經手的業務來區分。 黃部長彥男:我們會再進一步在部裡面來討論,根據行政院的規定,我們會再進一步看怎麼樣去修改。 洪委員孟楷:部長,我們現在已經在討論修法了,如果未來這個修法通過之後,馬上就變成數發部資安署的業務,資安署馬上就要上路了,我也看到你們的稽核方式是要報行政院核定…… 黃部長彥男:對。 洪委員孟楷:但這些總要先預想啊! 黃部長彥男:我請署長說明。 洪委員孟楷:來,簡單說明一下。 蔡署長福隆:謝謝委員給我這個機會說明,剛剛委員提到的適任性查核或是特殊查核其實非常重要,我跟委員報告一下,在資安署裡面,的確如同委員剛剛所講的,在科長級以上的主管要做一些特殊查核,但我們是根據業務涉及到的機敏性來決定查核範圍,例如在我們通報應變組裡面,所有同仁都要做查核,也就是根據這個組的特性…… 洪委員孟楷:那你的法源依據呢?目前為止,我們只有看到公務人員的服務辦法裡面有所謂的特殊查核,那這個特殊查核表報出去之後是由法務部調查局來做特殊查核…… 蔡署長福隆:是。 洪委員孟楷:那其他人員是由誰來做特殊查核? 蔡署長福隆:也是請法務部調查局來協助…… 洪委員孟楷:你的法源依據在哪裡? 蔡署長福隆:這不需要法源依據,這個是行政規則。 洪委員孟楷:那你的人員名單要報啊! 蔡署長福隆:對。 洪委員孟楷:如果你沒有報的話,你怎麼有辦法讓法務部調查局…… 蔡署長福隆:我們會報人員跟職務的職稱。 洪委員孟楷:是啊,那你現在報了嗎? 蔡署長福隆:因為我們通報應變組這一組涉及到一些其他機敏相關的資訊,所以人員就會做一些適任性的特殊查核。 洪委員孟楷:我現在問的是報了沒? 蔡署長福隆:我們應該是有報。 洪委員孟楷:不是應該,部長…… 蔡署長福隆:現在已經報過了,像一些具特殊性的組,我們就有特別要求他們做一些比較重要的…… 洪委員孟楷:所以未來去稽核的人員都有特殊查核? 蔡署長福隆:未來我們會增加適任性查核。 洪委員孟楷:適任性查核指的是一般查核? 蔡署長福隆:就是根據公務人員任用法第四條,再加上…… 洪委員孟楷:那是一般查核嘛,但是我們現在講的是……,本席現在提出來就是因為外交部的事件,大家才看到一個諮議可以經手部長的相關行程時,結果他只有被查核過一次,也就是他到任時的一般查核,但是他的機敏程度、經手程度非常的高。一樣嘛,如果未來我們的資訊安全都是由資安署來查核,總統府也是資安署來查,五院也是資安署來查,那他們可能……百分之九十九的同仁都非常好,但只要有一個害群之馬、只要有一個老鼠屎的話,就有可能造成經手出去的資料、東西是破口、漏洞,所以本席才會提出來,到目前為止只有這個部分,則未來是不是應該要增加?還有,這個是公務人員任用法…… 蔡署長福隆:對。 洪委員孟楷:如果未來有委託、委外,有非公務人員的…… 蔡署長福隆:如果是委外,我們資安法裡面的施行細則對委外人員涉及國家機密等等相關部分也要做一些適任性查核。 洪委員孟楷:有編列在資安法裡面嗎? 蔡署長福隆:目前的施行細則裡面就有這個部分。 洪委員孟楷:好,OK。部長,這個部分是本席特別提出來的,請在修法的過程裡面一併納入考量,既然要做,就不要有任何的漏洞。 第二個部分,針對危害全國家的資通安全產品,我看到第十一條新增的,也就是過去沒有法源依據的現在給它法源依據。2023年那時候有講到公務機關差不多有上千項的產品、軟硬體是禁用的,未來法制化之後,這個清單會不會出來? 黃部長彥男:報告委員,因為這種東西……產品一直在變,而且它可能會洗產地,所以我們不會給清單,但是我們會隨時審查跟通報。 洪委員孟楷:但是這樣所有的公務機關能不能夠掌握跟了解? 黃部長彥男:我們會通報,所以會有一個database。 洪委員孟楷:會有database?會持續update嗎? 黃部長彥男:對。 洪委員孟楷:因為本席看到更重要的,譬如上上個月,針對中國大陸製的人工智慧軟體也馬上下令不准公務機關使用,所以針對未來的軟體會適時的增添? 黃部長彥男:對,我們會審查、檢驗跟通報,會有一個通報的database。 洪委員孟楷:依照這個相關法源依據適時的增添,所有的公務機關以及重要列管的非公務機關也都會掌握? 黃部長彥男:會有情資分享,會有database。 洪委員孟楷:所以不會有誤用的狀況? 黃部長彥男:應該不會,我們會落實審查跟…… 洪委員孟楷:之前媒體有問到,到目前為止……既然我們現在要修法,過去可能有用的地方,那現在有沒有全部都盤查,即現在所有機關都沒有用了?這個有沒有落實?因為之前媒體報導講的是,有一些產品可能有特殊、無可取代性,所以還沒有辦法完全禁止。到目前為止,你們現在掌握的狀況如何? 蔡署長福隆:謝謝委員的指導,的確如委員所講的,我們對於危害國家資通安全的產品有一些禁止使用的原則,但是有一些例外原則,例如在教學或是研究現場等等,這些如果有需要的話,一定要報部裡面同意之後,在安全管控的環境之下,像是不能連上公務的環境等等,在管控之下才可以使用。 洪委員孟楷:是。 蔡署長福隆:也要報部裡面同意。 洪委員孟楷:署長,所以我現在只想問一件事,這也是剛剛台灣民眾黨的總召──黃國昌委員說的,因為我聽過他太多次都在質詢同一件事情,我只想問,現在你們清查了,會不會再過一個月、兩個月之後又爆出哪一個部會用了列管的、禁止的產品? 蔡署長福隆:跟委員報告…… 洪委員孟楷:我們現在有沒有全面清查?因為給你們兩年的時間了,2023年開始到現在2025年了,你們現在要修資安法,我們也同意,我們也認為應該要加強國家的安全維護,但是現在通盤的去做檢驗,你們除了有一些特殊備註的、有書面列管的以外,到底現在有沒有? 蔡署長福隆:跟委員報告,我們每年都有清查政府機關有沒有使用這些產品…… 洪委員孟楷:不敢掛保證? 蔡署長福隆:每年都有清查,如果是例外要使用的話,都要特別報部裡面,根據他們的理由來核准,剛剛已經跟委員報告過了。 洪委員孟楷:署長,你沒有回答到我的問題。 蔡署長福隆:是,目前…… 洪委員孟楷:你是個聰明人,但是你不敢回答我這個問題。 蔡署長福隆:我們目前都有在清查這方面…… 洪委員孟楷:部長,不好意思,一句話啦,資安大家都關心,不分朝野、不分黨派,但重點在於落實,我覺得科技日新月異,但重點要落實才能夠防止,因為我覺得重點還是人性,這一點請部長這邊好好的……我們之後會好好的逐條審查,委員有不同版本提出來,若比行政院有更加嚴謹或是更加精進的地方,也拜託數發部真的要用開放的態度一起思考,謝謝。 黃部長彥男:謝謝委員的建議。 主席:謝謝,我們請李昆澤委員。 李委員昆澤:(9時39分)謝謝召委,請一下黃部長。 主席:請部長。 李委員昆澤:部長你好。 黃部長彥男:委員您好。 李委員昆澤:國家的資安架構是非常重要的,不管是公部門或者是特定的非公務機關,我們發現相關的資安人力配置是嚴重的人力不足,資安人力的配置就好像是一座城,我們的資安架構就是要守護這一座城的基本人力,基本人力不足的時候,其實城門很容易被攻破,而且要一個打十個,我想不是每個資安人員都是葉問。我們來看數位發展部資安署所公布2023年的統計資料,中央及地方公部門依法配置的資安專責人員應為1,533人,但實際編制的正式人員只有939人,僅占需求的61.25%而已。即使加上中央及地方公部門的非正職人員─因為正式人員不足,所以有些非正職人員的人力補充,包含約聘僱、委外,總共335人。即使再加上這些外聘人力,公部門的缺額還是達到239人,有將近16%的缺口沒有填補。針對資安人力的不足,部長有什麼具體想法嗎? 黃部長彥男:我們部裡面有一些轉職系訓練,今年預計會補進四百到五百人。另外還有高考資安類科,這部分我們會增加宣傳,希望有更多人來報考。我們希望能從這些訓練管道、轉職系跟高考人員來補充現行資安人力不足的問題。至於細節,是不是請資安署署長說明? 李委員昆澤:我要提醒資安署,公部門的資安人力嚴重不足,主要原因在於待遇不具競爭力,薪資低於業界,這是不爭的事實,且現行人事規定彈性不足。至於特定的非公務機關,像關鍵基礎設施的營運單位或國營事業或經指定的重要民間機構,依照資通安全管理法規定也需要建立資安組織與專責人員,因此,上述單位同樣面臨資安人力不足的問題。我認為公私部門都同樣面臨專業的資安人員編制不足問題,正式的編制人員大概只有六成出頭,剩餘的都要靠約聘跟委外來處理,致職位的穩定性嚴重不足,離職率非常高,請說明一下。 蔡署長福隆:謝謝委員指導。委員所言的確是非常重要的問題,由於資安人力有限,所以公私的各領域及各部門都在競爭有限的資安人力,而待遇也確實是重要的考量因素。鑑於公部門待遇的確無法與私部門的待遇、薪資相較,在人才競逐上比較吃虧。為此,我們提出一些獎勵措施來留才,如增支加給,即A級機關可以增支加給來增加待遇…… 李委員昆澤:增加待遇還是很重要…… 蔡署長福隆:對、對。 李委員昆澤:是否能夠將資安人員列入高風險的專業職系,提供額外的職級晉升與年功加給來留住人才?這是不是以後要推動的方向? 蔡署長福隆:是的,我們會努力,不過這需要跟人事總處積極溝通。 李委員昆澤:另外,對於地方機關的資安問題,同樣,其資安責任及實務推動仍陷入相關困境。臺灣在2024年每週平均遭受3,993次攻擊,是全球平均的138.6%,為亞太之最。不過目前的修法好像只聚焦在稽核與通報流程的提升,至於制度最脆弱、最核心的漏洞還是沒能完全防禦。在全臺灣368個鄉鎮當中,超過三分之一的鄉鎮沒有專任資訊人員,更不用說資安人員!原鄉地區甚至有很多人必須是一個人負責多種業務,包含社福、民政、急難救助以及相關工作,現在還要再加上資訊工作,一人身兼多職。我要嚴肅地請教數發部,有沒有去盤點鄉鎮層級實際的資安基礎能量?這些機關有沒有基本的偵測與通報力?說明一下。 黃部長彥男:請署長說明。 蔡署長福隆:委員講到問題的重點,即地方基層資訊或資安人力不足的問題。當然,人的問題有時候不是短時間內可以解決的,所以我們目前是從整個架構面來向上集中,也就是重要的資訊系統及資安防護,主要交由縣市政府負責規劃跟推動…… 李委員昆澤:規劃跟推動?你們有沒有打算去建立相關的這種區域的資安、資源團隊,以面對編制跟人力不足及資安漏洞等問題? 蔡署長福隆:所以才會在向上集中之後,再建立區域的資安團隊。例如跟當地大學等合作,由他們來做與資安相關的檢測與防護的輔導、協助,我想唯有透過公私協力才有可能提升鄉鎮公所的資訊與資安能量。 李委員昆澤:這是很嚴肅而且很嚴重的問題。最後,有關資安事件的通報制度及揭露問題,我們來看看其他國家跟臺灣在揭露及通報上的落差。臺灣主要係要求內部逐級通報,但在對外揭露上缺乏強制性,因為臺灣資安法主要是強調內部通報,規定政府單位及特定非公務機關發生資安事件時,需依照事件等級,在一定時間之內逐級上報主管機關與行政院資安主管機關!至於在對外揭露方面,並沒有強制條文規定,只有在涉及個資時適用個人資料保護法,要求通知當事人,惟個資法規定也相當籠統,缺乏明確的時限與處罰,實際上存在很大問題。我們來看看美國、歐洲、日本和韓國,他們有明確制度,規定必須在24至72小時之內強制通報並揭露,且對重大事件的公開揭露及通知業務亦有明確規定。所以我具體建議,針對重大資安事件應該在72小時內通報政府,並建立揭露義務與差別性罰則,避免沉默的共犯造成資安更大的漏洞!爰此,資安的通報是不是能比照食安制度,具備強制揭露跟風險預警功能?簡單說明一下。 黃部長彥男:謝謝委員建議。現在新的資安法有要求在一個小時之內要通報,不通報的話會有罰則,這個力道應該會比委員建議的更強一點。不過新的資安法現在有…… 李委員昆澤:我知道有相關的規定,只是相關罰則要更明確,此外在制度的追蹤、監督與落實等方面必須更具體,不要落於虛文規範。 黃部長彥男:我們會嚴格執行。謝謝委員。 主席:我們現在請蔡其昌委員。 蔡委員其昌:(9時49分)謝謝主席。請數發部黃部長。 主席:請部長。 黃部長彥男:委員好。 蔡委員其昌:部長好。針對今天主席安排審查的法案,本席也提出修正版本並修了好幾條,跟行政院版大同小異,我想我們就不談。但其中第四條,本席的版本提到,政府應該提供資源,協助民間處理、因應及防範資通安全威脅事件。部長,你有注意到本席的版本嘛? 黃部長彥男:有。 蔡委員其昌:那部裡面有沒有什麼看法?對於本席這個條文的提出。 黃部長彥男:資安本來就需要公私協力,所以我們現在是有像TWCERT這樣的一個機制,讓通報協助來處理一些資安的事件,我想委員提的版本跟我們未來要推動的應該是相同。 蔡委員其昌:我想概念上你們不會反對,但本席為什麼要加進去,我希望讓你們有法源的基礎,為什麼我要這樣提?部長,你看過監察院有一個調查報告,公告時間是113年1月18號,主要的案由就是針對民間企業及個人資料外洩、上網被兜售的事件。這裡面包括雄獅旅行社、中華航空、和運租車等等其他企業,被盜的數目、個資都是百萬筆、數百萬筆。危害到大型公共事務或者是個資大量的洩漏,這樣的事件不可以跟一般民間譬如單一的一個什麼貿易公司、民間企業的電腦被駭或者幾個客戶的資料被偷,我認為不可以用相同的角度來看。就像你們這次的修法裡面,為什麼你會針對政府所謂關鍵性的這些設施,譬如過去裴洛西議長來臺灣訪問,我們的這些政府公部門電子螢幕上面出現被駭,有一些攻擊臺灣的文字或者有攻擊臺美關係的文字出現,你們這一次修法裡面認為這個要處理嗎?沒有錯嘛!沒關係,如果有人要代替你回答,我也可以。 黃部長彥男:這主要是因為它用了一個產品,就是危害國家資通安全的產品,才會產生這些事情,所以這個從危害國家資通安全產品裡面可以做限制。 蔡委員其昌:對。 黃部長彥男:不過剛剛委員講的沒有錯,就是對這種大型公司,尤其有很多個資的公司,的確要加強管理。我剛剛講的是,當然特定的非公務機關的這個定義,其實各事業目的主管機關可以要求,像iLINK可能交通部可以……類似這種東西,被要求的單位有特殊資料或特殊服務,那當然是可以被要求納入我們的特殊非公務機關特別去監管。 蔡委員其昌:對,你們從產品端,第十條、第十八條,都是企圖從產品端限制。那我的意思是,產品端限制這個我等一下再跟你討論,我也很支持,但是除了產品端的限制,如果產品沒有問題,他可能買的就是美國產品,他不是買一些奇奇怪怪的包括中國的,結果他被駭。舉個例子,譬如路口有大型廣告看板、電子看板,這個其實越來越多,公司規模越來越大,在特定的時間點駭入它,然後就直接把他的政治訴求,譬如兩岸有任何問題的時候,他直接把政治訴求就打在臺灣重要路口的電子屏幕上面。產品沒有問題,就是你在產品端做審核、查核,沒有問題,本來產品就是美國製。再來它是大型企業,可能一時被駭,沒辦法處理,那政府這時候應該要協助吧!部長,你認不認同? 黃部長彥男:對,這個會協助。 蔡委員其昌:對嘛!所以我的意思是給你們一個法源,讓你們在面對這種大型攻擊或者是竊取,很系統性地、數量或規模極大的你們可以因應,法律條文裡面,政府要提供資源協助民間處理,防範這種資通安全的威脅事件。所以部長,我訂這一條,你知道我的用心良苦嘛!讓你們也知道其實可以引用這一條。 這一條規範裡面,到底什麼範圍是你們要處理的?我想就授權,給你們規範出到底是哪一些部分,因為這個其實影響很大,如果我們只界定為,政府只關注那些所謂的基礎設施、關鍵性設施,我認為那個遠遠不足,對國家安全的防護,在資通安全的防護上面我認為遠遠不足。所以本席認為應該要制定這一條,這是一個很重要的原因。 第二個,我剛剛講過,我們在產品端上面,現在不只中國,反正只要我們認為有安全疑慮、威脅的就不可以,對不對? 黃部長彥男:對。 蔡委員其昌:我要跟部長討論一下,隨著科技發展,現在的東西越來越多,我隨便舉一個例子,自動販賣機,當它有internet功能的時候,它上面也有螢幕,也可以連結上網,因為支付現在透過雲端,不是我們傳統的自動販賣機,投錢、按下去完全是機械原理,然後領出飲料,現在的自動販賣機不是這樣,我相信會越來越複雜。所以自動販賣機它是不是資通訊產品? 黃部長彥男:只要連網的都算。 蔡委員其昌:連網的都算,對。我認為以後會越來越多,保溫杯也會啊! 黃部長彥男:可以連網。 蔡委員其昌:因為它可以直接連網,記錄你每天喝多少水,你什麼時候會去裝水、每次都裝多少cc,然後可以辨別出這是水、茶、可樂還是什麼,都可能嘛! 黃部長彥男:都有可能。 蔡委員其昌:這些只要一連網,保溫杯也算是資通訊產品嘛! 黃部長彥男:算納管的。 蔡委員其昌:對,這個範圍你們要去界定,因為現在我們的想像裡面,不可以只界定在手機、平板、電腦,不是這概念嘛! 黃部長彥男:物聯網的設備太多了。 蔡委員其昌:所以部長,你現在這個…… 黃部長彥男:我們會去了解。 蔡委員其昌:對,數發部要去了解,好。 最後,最近有一個新聞,我想大家也都注意到,前臉書的總監指控中國介入Meta審查臺港用戶的發文。部長,你有注意到這個新聞嗎? 黃部長彥男:對,這個新聞我了解。 蔡委員其昌:好,我先不去論介入的這個事實到底真相為何,因為現在有一點各說各話,我們就靜待它的發展。但本席對於一點,我覺得很有必要拿出來探討,很多團體、這裡面藍藍綠綠都有,我們不斷地接收到陳情或者抗議,抗議什麼?抗議有一些文章為什麼會在Meta的社群平臺臉書上面就消失了?消失了之後,他們可能會去詢問Meta公司說:為什麼我的文章會消失?但正常的程序是,他們得不到任何回應或者就算有回應,都不是什麼正面回答你的問題,都是牽扯其他的或者一個簡單的他們內部的什麼規定還是內部的一個什麼原則,它大概就簡單回答你,是這個樣子。 本席覺得是這樣,每一個公司的企業經營有他內部的一些規定、規章,本席沒有意見,但本席認為這種規定、規章應該要公開透明可被檢驗,這個檢驗包括使用者本身,包括政府本身。所以如果數發部認為這件事情你們現在做不到,原因是什麼?如果你們覺得該做、該修法,它就應該被修法,哪有可能它把任何一個……敵人滲透正是因為它不需要說明,它覺得不爽,它就把你刪了,是不是這樣?部長,你懂我的意思嗎? 黃部長彥男:了解。 蔡委員其昌:換言之,這裡面我講的不一定是什麼藍綠,每一個色彩的政黨都有可能被刪,只看它高不高興。它也不需要回答你,它就跟你說:我們的公司就是可以刪。 黃部長彥男:所以Meta的審核機制的確不是很透明,因為這個不透明,連美國國會參議院也在做聽證,所以我們也是看聽證的結果,我們會跟Meta交涉,就是第一個要透明化,要下架應該要讓民眾了解,我想這個我們會持續關注。 蔡委員其昌:對,部長,剛剛你沒有聽懂,我的意思就是,不要再溝通了,我們現在講韌性,在國防、在安全上面的韌性臺灣,我們應該主動地把這些問題,我們就法令來看嘛!全世界裡面臺灣是民主法治的國家,美國也是,但臺灣的國情跟美國不一樣,美國所面臨的即刻性威脅,臺灣比他們危險太多了,就是我們的急迫性比他強太多。所以我們面對民主自由,沒有關係,數發部直接用法治的角度,認為你就是要揭露!就直接告訴你指引是什麼,就直接公布這個叫規則,甚至如果要修法,我們立法院來支持!我想這個大家都會支持啊! 你為什麼把人家刪文?應該要有一套事先的……你公布什麼沒有關係,至少讓我知道你們就是挺共的,所以只要罵到共產黨就一定刪除,那我知道之後就不用你了嘛!你都不告訴我,表面上裝得一副很民主、很自由、言論開放,事實上你刪了什麼?你為什麼要刪這個?背後是不是有共匪的勢力在指導?我怎麼會知道呢?我這樣講你,你也不高興嘛!因為你覺得你沒有嘛!既然你沒有,你要刪人家的文,又沒有一個指導、一個原則,告訴人家你的遊戲規則是什麼,這個才是問題所在啊! 所以部長,你再去跟他們溝通,因為我們每次在這裡講Meta,你都說要去喝咖啡,對不對?從詐騙一路到今天,都是這樣子嘛!本席一直認為這個不可行,你要喝還是可以喝,但是沒有效果嘛!你看,我們最後還不是不斷在立法院修法,給你武器! 它也是美國公司嘛!守法很重要,到每一個國家落地,就要遵守那個國家的法令嘛!中華民國的法令是什麼?我們的數發部應該要有一些想法,不可以讓我們的消費者在使用Meta這些產品,然後整天都在客訴、整天都在跟立法委員陳情、整天就在媒體上和其他平台上面「訐譙」這個事情。我是覺得這個很奇怪啦! 所以我今天無意……我也知道Meta它的準則是什麼,我認為公開透明、讓大家可檢驗是一個基本的common sense,這也是一個基本的要求,而且也不是針對它嘛!全部的社群平台,要落地在我們中華民國,我就是要告訴你:我們的法規就是這樣子,必須每個社群平台都可被檢驗,我要確保你後面不是共產黨,你不是要來消滅中華民國的。好不好?部長。 黃部長彥男:委員說的我瞭解,我剛剛也特別強調,因為美國他們在開聽證會,有關Meta的內容審核機制,希望美國政府會強迫它公開,那我們就會知道怎麼處理了。 蔡委員其昌:對啦,我的意思是說,不用什麼事都等美國,你也可以先做啦!我的意思就是叫它公布審查……公開透明,任何臺灣有在使用的平台就公布嘛!我不會針對一家公司啊!以後哪一家公司都一樣,我的要求是這個樣子嘛!好不好? 黃部長彥男:好,我們再處理。 主席:謝謝。我們請林國成委員。 林委員國成:(10時3分)謝謝主席,請黃部長。 主席:請部長。 林委員國成:還有蔡署長。 主席:還有蔡署長。 黃部長彥男:委員好。 林委員國成:部長早。首先我有兩個小建議,第一個,我還是要建議部長,所屬所有人上台答詢的時候,用語要精準,有就有,沒有就沒有,不要模稜兩可,以免委員在整個詢答過程當中會有錯誤的判斷,這是我良心的建議。 黃部長彥男:好。 林委員國成:第二個,我看今天所有的14個提案,包括行政院版,對資安的方向都非常正確,委員是站在民意機關的立場,看到整個基層所需要的東西,所以大方向都沒有問題,只是一些修法的文字納入,這是非常重要的。既然方向一致,只是在細節部分有所不同,我要很冒昧地請教部長,你們到底有沒有針對這些委員的提案內容做過綜合歸納,並且就文字如何修改跟委員做過溝通?就像我們台灣民眾黨提出來和行政院版不一樣的就是我們希望擴大納入管理,但是行政院版只有政府機關,所以這個部分我不曉得部長有沒有責成屬下去做研究,並跟委員說明、溝通?這樣下次逐條討論會減少很多麻煩耶!請問部長,你有沒有做這個動作? 黃部長彥男:有。關於這些條文,我們已經拜訪過滿多委員了。委員剛剛講得沒錯,我們方向一致,至於文字的修改,我們有針對不同的版本進行比較和研析,再來就會進一步跟委員溝通,文字確定以後,後面再進行二讀、三讀。 林委員國成:部長,資通安全管理法的修正確實刻不容緩,因為過去我們想做卻於法無據,既然現在要修法,行政院有版本,立法委員也有提案,在我看來,資通安全未來的發展和監督管理是非常重要的,大家也都有共識,所以在這個部分我還是要……因為我長期參加交通委員會,每當我看到數位部責任重大但方向有時候是錯誤的,我也私底下建議過部長很多次,也就是我們現在這個單位看起來要人沒人,要錢沒有什麼錢,但是責任就很重大啊!所以這個部分我希望部長要加強溝通,好不好? 黃部長彥男:好,我們會…… 林委員國成:這樣逐條討論的時候會減少很多麻煩。好不好? 黃部長彥男:謝謝委員的意見,我們會持續跟委員討論。 林委員國成:好。 另外,大家都知道有些人認為數位部沒有什麼重要性,但是我認為是非常重要的,因為資安的發展也是你們要來處理、資安的管理也是你們要來處理,可是現在的問題是,在科技日新月異的情況之下,數位部就非常重要。記得我在3個月以前就針對馬偕醫院發生資安問題質詢過你們,前幾天又有一家醫院發生類似的事件,針對醫院一連串的資安問題,我就感覺很奇怪,他們竊取資料完完全全是針對醫院,而且有階段性,所以這就是有計畫的攻擊嘛!3個月以前我就提出質詢,不曉得蔡署長這邊針對所有的醫院,包括馬偕醫院,做了什麼的處置、採取了什麼做法? 黃部長彥男:我請蔡署長回答。 林委員國成:好,署長。 蔡署長福隆:謝謝委員剛剛的寶貴建議,有關醫院資安的防護,第一線是在衛福部這邊,他們有做一些相關的包括…… 林委員國成:你不要推這個!蔡署長,我要知道的是你們這3個月有採取什麼防範措施。 蔡署長福隆:謝謝委員,在資安處置的部分,目前我們除了在聯防機制上面協助衛福部之外,在今年相關的資安服務團裡面有20個單位,其中10個單位是針對醫療體系來做相關的輔導跟服務的工作。 林委員國成:署長,你不用跟我說那麼多,如果你有書面報告,私底下再提供給我,我要你說的是你們做了什麼事,你講那麼多幹嘛!第一個,你知不知道這個被竊以後,有些新藥品的廠商直接找病人去兜售?你有沒有去掌握相關資訊?我要的是這些答案!像馬偕醫院1,600萬筆資料,相關病患都有廠商去跟他們兜售藥品,你有沒有掌控?還有另外一個,你有沒有告訴這些醫院要告知所有病患資料被竊的事情?有沒有去做防範的動作,告知如果有人做其他事情的話,要小心?有沒有做這些動作?我要的是這些,有沒有? 蔡署長福隆:跟委員報告,就剛剛提到的,衛福部是醫院的目的事業主管機關,所以剛剛委員提到的…… 林委員國成:你有沒有督促他們做嘛? 蔡署長福隆:是、是、是…… 林委員國成:有沒有嘛? 蔡署長福隆:我都有請衛福部資訊處李處長充分地處理這件事情。 林委員國成:我問第一題,你就這樣了。部長,其實像這種東西就是亡羊補牢的動作要做,既然被侵犯了,以後要如何建立資安事件的SOP?這很重要。既然對方的資料被盜、被破解,當然你要告知對方,舉例:黃部長,你的資料已經被盜,所以你以後要小心。這個部分要怎麼樣去亡羊補牢?你要有SOP。部長,說實在的,我也知道你們的人很少,但是最起碼的保護措施要做,部長,我是給你建議。 另外一個問題,不是只有醫院,剛剛蔡副院長已經講了,包括私人,最近比較夯的就是關稅措施開始的時候,航運公司這幾天也被駭客攻擊,部長,這個問題你來回答,蔡署長都回答那種答案,我聽了不太「爽快」。要針對問題答復,我已經跟你講過了,所以如果你以後要這樣答復,坦白跟你講,你送書面報告給我,我就不問,對不對?部長,航運公司的資料現在也被盜,如何處理?這幾天而已喔!好啦,我跟你講,醫院盜完以後,他們現在在盜航運公司的資料,他們做這個行為,我不曉得要做什麼,可是最起碼任何一個犯罪行為,我想法務部或相關單位他們都知道,犯罪一定有他的目的,不然他做什麼犯罪動作? 黃部長彥男:委員,這就是為什麼資安法在這裡非常重要,因為…… 林委員國成:是,很重要。 黃部長彥男:因為可以擴大我們去稽核這些單位,剛剛講了,這是交通部下面航港局的工作,我們做的是資安法,通過之後我們可以去稽核。 林委員國成:部長,我跟你講,我對你的業務一向都非常支持,但是對於數位部所有的答復,我是極度不滿,也就是推三阻四。沒錯,它是航港局管的,它是航運公司管的,可是最起碼你要給它資訊,這不是你監督的一部分嗎?你已經發現問題,應該告訴對方這件事情要如何防範,趕快未雨綢繆、亡羊補牢、提出防範措施,這些動作都要做。我今天還沒有跟你談如何去做補救、如何去做求償,因為今天也有資訊保安等等,所以我還是希望部長真的要加油。 黃部長彥男:我們會。 林委員國成:我沒有指責的意思,但是最起碼既然要修法,就要一次到位、一次修得更為完整,這是非常重要的,就像我剛才一開始就跟你建議的,要蒐集所有資料,各委員提出來的如果有不足的部分,我們接受;有困難的,你們加以解說,這樣逐條討論的時候才不會浪費時間,這個法接下來也會更完整、更完善,真正達到制定法律的目的。部長,這點我還是給你一個建議,好不好? 黃部長彥男:好,謝謝委員。 林委員國成:謝謝。 主席:謝謝。 請何欣純委員。 何委員欣純:(10時14分)謝謝許召委,是不是請黃部長? 主席:請部長。 何委員欣純:部長好。同樣地我們也在關心數位發展部有關今天資安法要修法的問題,我關心的有兩件事:第一件事是,今天的即時新聞部長應該也有注意到,面對數位的威脅,美國聯邦政府國務院現在打算改造組織,針對數位治理將設一個新興威脅助卿,專司AI及網路安全的事務;包括南韓也在動員國家網路的防禦力量。我也知道我們賴總統一直以來都在宣示資安國家隊的組成,還有對於臺灣資安的風險如何加以提升,這個不是只有在政府單位,還包括民間產業面怎麼去強化社會資安防禦韌性、資安產業生態系要能夠健全、如何建構新興科技的防禦技術等等,我想這些都是國人對你們數位發展部重大的期許,總統及行政院對數位發展部也有很多的任務交付。以賴總統提出的因應國安威脅、防止網路攻擊、強化資安等等,剛剛其他委員也很關心這些事情,數發部目前的行動請簡要、重點說明。 黃部長彥男:就像委員的簡報講的,我們有3個方向、目標正在做,資安法是最基礎的,我們希望能夠很快通過;再來就是怎麼樣強化、落實資安法的執行,包括全社會防衛韌性、如何帶領資安產業在這個過程中能夠成長,甚至…… 何委員欣純:部長,以剛剛其他委員的發言及本黨籍委員的發言,大家對資安法的修法都支持,但是法修過了之後,真正重要、讓國人有感的是什麼?是落實,你剛剛講到重點,就是如何落實,我們如何強化資安、維護國安?強化資安,公私協力如何打擊詐騙?要安我們國家的安全,也要安人民、國人的信心及財產安全,所以這部分如何落實最重要,對不對? 黃部長彥男:對。 何委員欣純:我就舉一個例子,現在一般國人最有感的是什麼?我們連LINE的詐騙都不知道該怎麼辦,詐騙手法不斷地變形更新,以我從媒體看到的數字,包括我在基層走訪的經驗,連我自己身邊的親人也一樣,都是透過LINE群組,八成以上LINE的帳號被盜,變成了詐騙集團的工具。 LINE有三大盜用陷阱:帳號釣魚,譬如小朋友參加繪畫比賽,可以幫忙投一票嗎?社區參加計畫的評比,可不可以幫忙按個讚或怎麼樣?這是第一個;第二個,電話號碼盜用,就是盜用電話號碼及簡訊的認證碼,事實上卻不是本人;第三個手法是電腦版的盜用,要你去掃假的QR Code。這些都是很新的詐騙手法,而且是現在正在進行中,包括我們的政府官員,我聽說連之前中央政府政務委員的帳號也被盜用,還跟對方LINE一下說「好久不見」。你要是看到有人LINE給你「好久不見」,接下來可能他就會說他家發生什麼事,要跟你借錢。 我要告訴你,現在LINE的帳號被盜用之後,民眾報警也沒用,只能等,為什麼?我就要請部長幫幫忙,你可能會跟我說這是警政署的事,跟你沒有關係。警政署告訴我們,針對這八成以上LINE帳號被盜的詐騙型態,LINE平臺的配合態度消極。我用實際的案例來說明,有一個跟我陳情的民眾,他的LINE帳號被盜,第一個,他找不到真人客服;第二個,他傳了LINE的官方問題反映表通報了,但是很抱歉,客服只是在24小時裡回復「收到」,收到了之後,很抱歉,你可能還要再等個三天、五天、一個禮拜,等待LINE到底能不能給你處理這個假帳號的問題。部長,我可不可以請你跟這個平臺聊聊天、喝咖啡聊一下,好不好?可不可以讓他們的態度積極一點,讓國人有感?我已經被詐騙了,我被這個LINE的假帳號詐騙,我都已經很鬱悶了,而且還心急如焚,去報警也沒用啊! 黃部長彥男:報告委員,這的確是一個問題,我們也有跟警政署討論,那我們也正在積極跟LINE溝通,這個是不是可以請數產署說明? 何委員欣純:來,請說。 林署長俊秀:謝謝委員關心這個議題,我們也很關心這個議題,在昨天晚上跟日本的LINE公司開會開到晚上七點多,檢警調都有參加,針對委員所關心的客服問題,LINE也嘗試在解決,現在從1個禮拜處理100筆提升到200筆,然後調閱的流程也正在優化當中,所以我們會定期開會來協助民眾解決這個問題。 何委員欣純:拜託你們跟平臺多溝通,處理的案件量可以再更有效率,而且再更簡化、優化它的流程,不然這樣子讓我們的國人一直等等等,第一個,報警也沒用;第二個,他等3天、5天,等了1個禮拜,在這個時間差,可能他這個LINE的假帳號還不斷的被用來詐騙其他國人,那這個事情就像滾雪球般的越滾越大,被詐騙的金額就越來越多,你知道嗎?剛剛其他委員也在關心,因為不是只有我們國人、一般人這樣被詐騙,我們現在更擔憂的是什麼?就是有很多國際型的駭客組織鎖定臺灣在做網路攻擊,像剛剛講到醫療體系有很多家醫院,也有很多家產業、公司、企業,這個已經是有系統性的在攻擊、在勒索或者是我們個資外洩變成不同的應用方式,而且這個是違法的應用。我覺得從源頭如果在資安的部分數發部沒有提供資源積極去協助這些醫療院所或是協助這些產業、企業,那後端就衍生出很多違法的應用而損及我們國人的權利,他們未來被詐騙的可能性就會提高。部長,所以呢?剛剛其他委員問你,你都沒有回答,有這麼多家醫療院所被勒索、被攻擊,那我們做了什麼?第二個,在產業、企業界,我們現在法律規定上市櫃公司要有資安長,可是如果它不是上市櫃公司的話,它被勒索、被攻擊,那又該怎麼辦? 黃部長彥男:報告委員,如果我們遇到這種事情,在第一時間我們都有請資安院去協助,所以事實上是有進去協助,那當然我覺得未來更重要的是要從源頭解決,就是希望將來我們有更多的法規依據,我們可以對這些重要的部分,不管是醫院或公司做資安的演練跟稽核,確認不會有這樣的漏洞,這才是最主要的,我想資安法修法對未來整個國家資安的防護可以讓我們有權力去要求演練跟執行,之後還有資安事件通報等等,這整個大家一起公私協力來做好。 何委員欣純:我具體的要求部長,數發部可不可以在2個禮拜之內針對這種系統性的,不管是對醫療體系的攻擊或者是對產業、公司行號的攻擊,除了接收到主管機關的通報,第一個,通報的機制要優化、要有效率、要快速;第二個,在通報之後,不管是數發部的團隊或者是資安院的人,你要給我們一個具體、簡化的流程,還有你們提供的資源怎麼去做,有具體的作法,你這個要先公開、透明,讓國人知道、讓產業界知道、讓醫療系統知道,大家才會了解原來我們政府是真的有系統性、有步驟性而且是有方法、有技術、有資源的在支援他們,好不好? 黃部長彥男:好。 何委員欣純:我也希望在2個禮拜內看得到一個具體的機制。 黃部長彥男:好,我們再送給委員報告。 何委員欣純:我要的是機制,好不好? 黃部長彥男:好。 何委員欣純:謝謝。 黃部長彥男:謝謝。 主席(徐委員富癸代):謝謝何欣純委員。 現在有請許智傑召委。 許委員智傑:(10時24分)謝謝主席,我們再請部長。 黃部長彥男:許委員好。 許委員智傑:部長很辛苦,站了一個早上,比較累了!不過對資安大家都很重視。 黃部長彥男:對。 許委員智傑:我記得數發部有一個T-Road,就是很多單位都很容易被駭客入侵,所以你們就自己做一個政府骨幹的網絡,希望可以在一個安全的環境裡面傳送,以避免被駭客侵入。關於這個部分,我看了你們的資料,在47個A級機關裡面,現在除了行政院、立法院、教育部國教院認為他們沒有這個必要,其他44個都已經建置完成,對這個部分不知道數發部現在的立場是怎麼樣,其他3個到底是不是需要?是不是應該47個都一起?還是目前這樣子已經算是初步完成? 黃部長彥男:報告委員,我們在去年就完成44個,今年的重點應該是把地方政府這些公務機關都能夠納入,就是有更多機關參與T-Road,至少有幾個直轄市應該是在今年會納入T-Road。至於這3個機關當初是說因為沒有業務需要而沒有納入,這一塊是不是請王司長再說明一下? 王司長誠明:是,跟委員報告,因為他們當初沒有需求所以沒有納入,但是如果在之後他們有需求的話,我們會全力協助他們一起來納入。 許委員智傑:所以立法院、行政院都認為他們很安全嗎?萬一有被入侵,誰負責? 王司長誠明:主要是因為他們沒有做跨機關的資料傳輸這一塊,因為T-Road本身的防護就是如果有做跨機關資料傳輸的話,在傳輸當中要去做一個安全的防護,但是如果沒有跨機關傳輸資料這種需求的話,它就不需要介接這個T-Road。 許委員智傑:OK,在6個縣市政府裡面,高雄市跟臺北市還在建置,那其他直轄市呢? 王司長誠明:其他直轄市幾乎都有在導入當中,而且連接到T-Road有一個安控的伺服器,我們都是免費提供給這些縣市來使用,然後我們也會有輔導團去教他們。 許委員智傑:所以預計在明年(115年)可以全部完成嗎? 王司長誠明:可以。 許委員智傑:可以嗎? 王司長誠明:對。 許委員智傑:如果這個都完成之後,是不是在政府機關自己資料的傳輸之外駭客就沒有入侵的機會? 王司長誠明:報告委員,這個是在做資料傳輸的時候駭客沒辦法入侵,但是機關本身還是要有一些防護措施,讓駭客不會從其他管道去侵入到它的系統裡面。 許委員智傑:所以這個T-Road就是將來可以用在政府機關之間,那我們現在看到有很多醫院都已經被駭客入侵,是不是有機會再把他們包括進來? 黃部長彥男:應該是可以。 王司長誠明:是,有一些比較大型的醫院如果要上T-Road的話,我們是可以去幫他們做介接的。 許委員智傑:所以是不是全部的單位都知道這個?我覺得如果如你們所設定的真的這麼好用、真的這麼安全,那就應該更普遍的去用到各機關。假設你們在明(115)年可以全部完成,這個沒問題,然後在完成之後,相對的個資保護也好、資安也好,用T-Road可以涵蓋臺灣大部分機關的資料傳輸,就不會受到駭客的影響。 黃部長彥男:就是在資料傳輸過程中不會受影響,但是剛剛王司長也有特別講到,機關本身系統的防護要從稽核跟演練去確認它的安全,這是跟T-Road沒有直接關係,但是T-Road會有幫助,不過整個機關的安全還是要從根本對系統去做防護,這個我們會去做,只要是我們的政府機關或是特殊的非公務機關,我們都會再進一步去做稽核,確認落實資安的防護。 許委員智傑:好,沒關係。我之前一直在關心這個T-Road的進度,如果你們可以照進度在明年完成,那我也鼓勵你們趕快把這個事情先完成。 黃部長彥男:好,謝謝委員。 許委員智傑:另外,剛剛昆澤委員也有問到,就是你們的員額一直都聘不夠,現在數發部所做的事情通通都覺得人手夠了嗎? 黃部長彥男:報告委員,我先澄清一點,我們現在的預算員額是617人,目前有五百一十多人,大概有百分之八十幾,不過還是不夠,所以還在努力的recruit人、尋找人,剛剛講的尤其是資安的人員,我們確實是努力在尋找中。 許委員智傑:所以你看,第一個,人員聘用不夠;第二個,資安署的離職率,確實比一般的公務機關都還要高,這有點奇怪,近5年全國公務人員的離職率是0.79%,結果資安署的離職率是2.18%,高這麼多倍,3倍。當然之前有所謂的霸凌事件,現在內部署長應該都已經整頓過了嗎?會不會再有這種情況? 黃部長彥男:報告委員,離職率高有幾個原因,當然外面有一些吸引力,因為外面給的薪水很高。另外一點,因為公務工作比較繁重,工作重然後責任大,所以確實有些人員是因為這樣而離開。當然也發生過霸凌事件,經過處理之後,尤其現在新的署長上任之後,問題正在被解決中,所以各方面,我想在今年會有很大的進步。 許委員智傑:OK,簡單的說,你們同僚之間跟工作福利的部分,請部長也特別注意一下,因為資安署的離職率的確是太高,有待檢討。T-Road的事情,也希望你們儘快把它完成。謝謝。 黃部長彥男:好,謝謝委員。 主席(許委員智傑):謝謝。現在請徐富癸委員。 等一下游顥質詢完,就先休息10分鐘。 徐委員富癸:(10時32分)好,謝謝主席,有請黃部長。 主席:請部長。 黃部長彥男:徐委員好。 徐委員富癸:部長早。部長,我們這一次修法,有特別針對中央跟地方聯防機制的修法,我想這是很進步的象徵,也代表地方政府不再只是消極的配合,而是積極參與國家資安防線的一員,部長應該認同啦? 黃部長彥男:完全認同。 徐委員富癸:但是,因為我過去也在縣市政府服務過,我很清楚知道,過去包含縣市政府,對於資安這一塊,它有一定的能量,但是往下一層,很多的鄉鎮公所,甚至很多中央派駐在地方的一些機關、分支機構,他們的資安能力,我們會很擔心,因為畢竟過去他們對這一塊是比較陌生,而且也沒有麼多的人力可以支應,但是面對未來的挑戰,包含現在對岸不斷地用駭客入侵的方式,我想不是只有中央的聯防機制要落實,跟地方的串聯,更是實務上很重要的挑戰,不希望出現所謂資安的破口。 我想請教部長,數發部是不是已經盤點地方政府資安的量能,包含所屬相關中央單位在各分支機構的量能,請部長說明一下。 黃部長彥男:現在資安法新的修法,就是針對中央跟地方能夠強化資安的防護,當然會牽涉到人力跟系統的問題,剛剛也說明過,因為地方的確不只是資安人員,資訊人員也不足,所以希望資訊系統向上集中之後,管理上會比較容易。至於盤點人力的部分,署長可以再補充一下。 蔡署長福隆:謝謝委員的關心,以盤點人力來講,目前所缺的資安人力大概是239人,的確地方是比較多一點,173人,我們會協助地方積極增加相關的人力。預算部分,也會儘量協助地方預算上相關的補助,都會儘量協助地方。 徐委員富癸:另外,針對相關資安設備的部分,我們也擔心地方政府的財力問題,資安設備如果沒有跟著升級,達到一定的防護標準,恐怕也是形成很大的破洞,這部分數發部是不是有協助的機制,甚至未來怎麼樣定期做具體的聯防演練,做地方跟中央資源的串聯,是不是有相關的規劃? 蔡署長福隆:謝謝委員,的確在資安法修法通過之後,我們可以跟地方縣市政府作一些相關的稽核、相關的演練、聯防等等的機制,所以中央跟地方相關資安的防護,我想會更緊密來合作。另外,剛剛委員提到,例如說,地方在資安的人力上面,的確是比較不足,這個部分,其實我們在之前也有請地方成立區域的聯防中心,像臺北、臺中跟臺南,還有東部等等,能力比較強一點的縣市來協助能力比較弱的一些縣市,大家把區域資安聯防的概念提升上來。 徐委員富癸:這點本席還是要請部長能夠防範,因為我們也擔心,包含剛剛召委,大家都在關心人力缺口的部分,以現在看到職場上,一樣的薪水,可以去民間為什麼要來做你們的工作,所以我相信在薪資結構,甚至一些福利的配套措施上,也必須再強化一下,沒有好的誘因,怎麼會找到好的人才? 另外,我想針對彈性的聯防機制,甚至共享的資安人力機制也必須儘快提出,這部分是不是可以在1個月之內給書面報告? 黃部長彥男:再給書面報告,好,沒問題。 徐委員富癸:部長,除了地方的挑戰之外,我想回到中央,這次的修法,提出包含資安署可以稽核總統府、五院,甚至國安會等上級機關,當然我們很樂見這樣的設計跟實務的運作,但是會不會因為這樣子的處理,影響憲政體制的獨立運作,還有資安署的稽核上,是不是有更具體的作法跟說明? 黃部長彥男:我想資安法很重要的部分,就是能夠對所有包含中央單位能夠稽核,不過稽核是一種協助,做演練,至於運作的細節,我請資安署再做說明。 蔡署長福隆:謝謝委員意見,的確因為資安是一體,以往除了行政院之外的其他4個院跟總統府,還有其他單位,沒有辦法在法的授權之下,做相關稽核跟協助的工作,因此沒有辦法整體來做相關資安,包括情資的分享跟一些聯防的工作,修法之後,就可以把整個,除了行政院之外,其他4個院跟總統府,大家可以整合在一起,這樣資安不管是在聯防協助跟情資的分享,都可以更完整的推動,以上。 徐委員富癸:我想國安的問題,大家都很關切,也是大家都要注意。部長,時代雜誌最近有報導AI安全公司針對美國的資訊中心發布,中國掌握多數AI中心關鍵零組件的供應鏈,如果這樣子蓄意的干擾,可能會造成資訊中心無法取得修復的元件,造成癱瘓的現象,而且更可能造成AI模型外洩的高風險攻擊,部長是不是有掌握這些資訊? 黃部長彥男:如果說是AI的算力中心或資訊中心,當然這裡面有很多所謂server的component,我們原則上就是不能用大陸的產品,現在國內的部分,包括電腦業者,這方面我們自己還滿先進的,所以我想這一塊不會需要中國的component才能做這些東西。 徐委員富癸:部長,我想我們都肯定這一次資安法的修法方向,也期待藉由這樣的修法,能夠落實從中央到地方完整安全、國安防範的機制,大家一起來打拚,謝謝。 黃部長彥男:謝謝,謝謝委員。 主席:謝謝,我們請游顥委員。 游委員顥:(10時40分)謝謝主席,請部長。 主席:請部長。 游委員顥:部長,延續剛才許多委員提到目前在資安及AI的部分,如何用大家的專業去對抗AI詐騙。剛好前2天在南投也發生一個時事題,我們看到這個圖片,AI成為大罷免一個惡罷的工具,民進黨或是南投的罷團,他們用AI去生成本席辦公室的新聞稿,還做了2則新聞。第一則說「我感謝罷團第二階段連署通過,但是目前他們還在蒐集連署書」但沒關係,反正荒腔走板,行徑罄竹難書。第二則是他們用偽造的方式,變成支持罷免另外一個選區的馬文君委員。用這樣生成的新聞稿,用ChatGPT去散播這個假訊息,我想問部長,像現在的科技,AI的工具卻成為這樣運用的手段,甚至騷擾的手段。以目前來講,在這個委員會中,我們揭露這樣的一個事件,就是南投的罷團用這樣的方式去抹黑、捏造,還騷擾、攻擊本席跟馬文君委員,數發部對於這樣的事情,第一,有掌握嗎?第二,在地方上能掌握嗎?第三,像這個部分要如何在數位治理上來做政府的角色扮演? 黃部長彥男:游委員,我先從技術面來談這個事情,的確AI最近的進展,它可以生成各式各樣,不管是文字或影音或相片,以前都說眼見為真,可是現在眼見不見得為真,所以這方面是一個最基本的問題,怎麼去判斷跟偵測也是大家在技術面一直在研究的議題。我想這個裡面因為牽涉到AI,所以目前的確有另外一個方向,我們部裡面在推動,在AI的使用方面像AI基本法,這個當然需要再討論,不過要從很多面向來處理,鼓勵AI的成長外,要防範一些管理上面的問題,所以要從這邊去處理。至於個別的新聞,因為這種東西太多了,所以我們並沒有特別去追蹤每一個…… 游委員顥:沒關係,如果像類似這種假訊息,今天是本席跟馬文君委員遇到這樣捏造的訊息,用我們辦公室發新聞稿來做社群散布,在社群的通報上如何讓它下架?以及假訊息如何遏止?也想請教調查局還有資通安全處處長,像這樣的情況,調查局可以用什麼方式來啟動調查? 黃部長彥男:這種假訊息的部分…… 游委員顥:處長請。 黃部長彥男:我跟委員報告,這種假訊息的部分,我們有幾個機制,一個我們有NGO MyGoPen這樣的組織,遇到這種訊息,可以請他們來驗證以後,他們會公布,我們自己本身也有網路詐騙通報查詢網,有時候不見得是假訊息,但有些跟廣告相關類似詐騙的訊息,可以到我們這邊通報,當然警政署或是法務部也有不同的機制來處理假訊息,我是不是請…… 游委員顥:好,那我們請處長。 張處長尤仁:委員好。有關AI生成的假訊息、Deepfake的部分,調查局是有建立一定的檢測的模式,我們也有相關的檢測工具,只要網路上有相關的訊息出現,我們經過檢測是深偽、AI生成的話,只要有違法,譬如違反選罷法,我們就會立案偵辦,報請地檢署,且六都的地檢署都有AI生成假訊息的犯罪調查中心,我們會繫屬偵辦。 游委員顥:謝謝,他在他們的幹部群就直接把ChatGPT在生成的過程跟證據也都有show在上面。謝謝處長。 同樣,今天對於這樣的惡罷、這樣詐騙的過程,今天他們向許多人搜尋惡罷藍委的連署書之外,今天手段上就直接用AI的工具來偽造,還偽造委員辦公室的新聞稿,將來就有可能偽造成影音跟圖像。 謝謝剛才部長的解釋跟調查局的說明,那也希望在AI的治理過程中,能夠讓我們的技術或是防制上更為提升。 另外,本席也再次提到資安長的制度,目前的話都是由副首長來兼任或適當人員,但是本席因為時間有限,請部內提供一下,目前各機關在擔任資安長是副首長的比例跟執行率,以及是委外或是有適當人員的執行率大約比例是多少?包括資安的專業掌握程度是多少?這個比例希望能夠提供給本席辦公室。 本席還是要特別的呼籲、強調,以目前現行法規上,在資安法第十一條各機關必須要設置資安長,但是如果許多機關的資安長本身對於資安沒有非常了解,甚至概念上也不夠熟悉,那他當資安長的話,是不是能夠有效地讓機關內的資訊安全能了解、處理,甚至平行的溝通?當然很多事情還是要回到數發部來請教,只是這樣的制度是希望資安長不是虛設的,反而實際上能夠有功能。在國外,業界的資安長,他們的制度相對來講幾乎都會有資訊背景或是一定時數的訓練,在國內的現行制度,依法規資安法第十一條是必須要設置,那如何能夠真正的強化每一個機關的資安還有專業,還是要麻煩部長。 黃部長彥男:委員,簡單的說明一下,因為資安長要做跨單位的協調,他一定要有足夠管理的權力,所以目前很多是由副首長來擔任,當然副首長在裡面我們會有很多的訓練或是會議,當然也會有幕僚單位來提供協助,所以這樣的機制目前還好,重點還是在管理,所以那個管理的人一定要有這樣的power,重點是要有足夠的權力的人去擔任資安長,技術反而是比較容易解決,因為可以由幕僚跟相關的訓練可以再補強。 游委員顥:這問題我們之後再來探討,因為部會業務的連結歸連結,但是專業跟本身對問題第一時間的掌握,我覺得是相對重要,謝謝。 黃部長彥男:謝謝。 主席:現在休息10分鐘。 休息(10時48分) 繼續開會(10時58分) 主席:現在開始開會。 請林俊憲委員。 林委員俊憲:(10時59分)感謝主席,本席邀請數發部黃部長。 主席:請部長。 黃部長彥男:委員好。 林委員俊憲:部長好。我根據你們的資通安全網路月報,就3月份政府機關的聯防情資數量有七萬五千多件,大概嘗試要攻擊我們網路的有七萬多件,跟去年同期比較,每個月都超過兩成的成長,也就是我們受到網路攻擊的嚴重度可以說是逐月提升,攻擊裡面第一名是入侵類的攻擊,占37%;第二類是資訊的蒐集;第三就是嘗試要突破,例如進入沒有授權的主機。 我看很多單位都有提供類似的報告,像國安局的報告說我們在2024年(去年)平均一天受到網路攻擊的次數大概有240萬次,相較於2023年一天平均120萬次,等於成長100%,增加1倍。國安局的報告指出,2023年一天120萬次,去年(2024年)一天變成240萬次。另外,國安團隊被駭客攻破的案件有900件,比2023年的752件也成長大概二成,可見我們現在面對的狀況愈來愈嚴厲。其中攻擊我們什麼呢?第一個,來自中國的攻擊占80%,主要攻擊我們的都是來自中國的駭客,攻擊我們的主要都是一些基礎設施,包括通訊傳播業、交通及國防,這是最嚴重的。 另外,我再看微軟的報告,幾乎每一份報告都是同樣的結論、同樣的趨勢,就是臺灣受到攻擊的次數及嚴重度都愈來愈高,主要都是來自中國。像微軟的報告說,中國高度鎖定了臺灣,而且還特別提到,臺灣的企業成為中國的高優先攻擊目標,再來就是情報蒐集、國安機構等等。這個結論滿符合部長的報告,部長說現在我們的基礎設施都會受到攻擊。而且中國不只攻擊臺灣,也攻擊其他國家,例如關島,中國為什麼攻擊關島?很可能就是要癱瘓駐在關島的美軍,萬一臺海有事,它可以癱瘓關島的美國駐軍,阻止美方援助臺灣,在彭博社、國際媒體上也都有報導。 請教部長,我們現在國安定義的關鍵基礎設施大概有8加1,第一個是交通,再來是醫療、水資源、政府機關、銀行金融業、高科技園區、能源產業、通訊傳播,最近又加上糧食,所以大概有九大關鍵基礎設施。我們現在希望更納入民間的相關機關、企業,否則以目前的法令,政府是沒有權利對民間的企業做資安稽核,是不是這樣? 黃部長彥男:對,所以這次資安法修法很重要的就是納入特定非公務機關,這樣就可以由目的事業主管機關去定義哪些是他們認為重要的,比如supplier、提供設備的人或者一些執行服務的機關,even民間公司也可以被納入特定非公務機關,進行一樣的資安檢測及查核。 林委員俊憲:好。部長,根據暗網,也就是網路上做一些非法交易買賣的地方,暗網外洩的網站公布資料,臺灣大概有8個受害者,包括亞洲大學,部長知道這件事吧?包括亞洲大學醫院、馬偕醫院,另外一個從英文名稱翻譯成中文名稱,好像是華城電機,再來是彰化基督教醫院,還有科定、喬山,甚至最近在中壢有一個長慎醫院也受到攻擊,而且攻擊以後,這些被拿走的個資甚至在暗網上也有在賣,部長知道吧? 黃部長彥男:我知道,有看到報告。 林委員俊憲:我看這個狀況會愈來愈多。 黃部長彥男:對,所以我才講我們必須強化資安的防護,在這個時候必須馬上修改資安法,讓我們能夠對這些關鍵基礎設施做稽核及資安的演練,來確認他們的資安防護能夠到位。 林委員俊憲:我知道,過去我們對於自己公務機關的網路攻擊大概都有注意,也有專業的報告、統計,但是對關鍵基礎設施,尤其一些民間企業卻很少有,像我剛剛唸給你聽的,現在關鍵基礎設施愈來愈多,8加1,有9項,所以修法的速度要快,才可以整體把重要的民間企業也納進來,甚至做一些資訊安全的輔導、稽查等等相關的工作。部長,你的看法呢? 黃部長彥男:現在資安法的修法還有一個是遇到資安事件,他們要立即通報,所以我們會更清楚掌握目前資安攻擊事件的發生,讓我們可以很快地通報各個單位馬上加強防護,所以新的資安法可以讓每個機關不但要被稽核,還要負責通報。 林委員俊憲:像我就用民間統計的,因為政府沒有在統計關鍵基礎設施受攻擊的狀況,但民間有統計過。我用民間統計的資料給你看,科學園區外洩21萬筆,政府機關有4萬筆,醫院有1萬3,000筆;至於哪些關鍵基礎設施外洩的比例最高?第一個是通訊傳播業,第二個是醫院,第三個是政府機關。我認為這個法律修訂以後,比較重要的是,你要讓這些民間企業的員工也要瞭解自己所屬的企業是屬於關鍵基礎設施,所以他本身也要有資安意識,我們甚至可以輔導這些企業必須對其相關從業人員要有一定的教育,好不好? 黃部長彥男:不只教育,可能有些要進入特殊查核,確認執行的人員有…… 林委員俊憲:另外就是禁用中國製造的相關電子產品,目前法律沒有明確規範,只有行政命令,希望在這裡面也提升到法律的位階,就是針對中國製造跟資訊安全相關的部分一定要法制化,正式提升為法律,因為國人親自看到的大概就是2022年美國眾議院裴洛西議長到臺灣來,當時中國駭客侵入了超商及臺鐵電子看板,我想應該可以讓國人清楚看到我們的資安防護還是必須要有很大的加強。我們希望針對相關的修法,部長應該多跟立委們進行相關的溝通,好不好? 黃部長彥男:好,可以。 林委員俊憲:好,謝謝部長,謝謝主席。 黃部長彥男:謝謝委員。 主席:謝謝。 請魯明哲委員。 魯委員明哲:(11時8分)謝謝主席,有請數位部黃部長。 主席:請部長。 魯委員明哲:黃部長,你是從去年520之後跟新的政府團隊入閣的,我想請教一下這幾年有什麼變化,以及新舊部長是不是有什麼不同的看法。首先,去年預算中心針對112年數位部抽測了大概15到24個公務機關,來協助及瞭解一般公務機關到底資安的品質如何。其實在112年的時候主要檢測的方向分成技術檢測及實地檢測,在檢測過程中,第一項技術檢測針對15個機關,其中有13個機關連基本的落實電腦安全更新(update)都沒做,這是當年其中一個檢測的項目,缺失機關的比率高達86%;第二個,實地檢測針對24個公務機關,其中有17個出現了資安上面的漏洞,缺失率達70%。這是你們提供給立法院112年的資料,不是我個人蒐集的。 然後113年也結束了,所以我們就請教113年的狀況是如何,因為通常這種KPI是要每一年來做比較,即所謂的數據管理,這樣你比較容易了解,我也比較清楚,當然這有兩個部分,對於舊的問題要如何改善,要去進行追蹤,譬如說這些被檢查過的公務機關有問題了,不能擺著不管,還要去review,看看有沒有改善,這個部分我有跟你們調資料,你們說有持續追蹤。我們再問113年對於新的一些公務機關再展開第二波的部分,因為公務機關那麼多,112年只有檢查15個,所以你們針對新的機關有沒有去做呢?到底是什麼狀況呢?請部長說明一下,新的機關你們做了幾個?還有新的技術檢測跟實地檢測的缺失比例又是如何? 蔡署長福隆:跟委員報告,剛剛委員所關心的稽核結果,113年我們也是一樣,針對40個政府機關來做實地的稽核,稽核的情況就如委員所提到的,包括在整個技術上面的檢測跟相關的一些管理,我們發現是有些提升,至於缺點的部分,的確是有要再改進的地方。 魯委員明哲:署長,請問一下,我們這邊列出的是你提供給我的,有三項是明顯進步,顯著提升有兩項,它的比較基礎是什麼?因為提升表示原本是在這裡,但後來提升了,所以你是針對112年這些檢查過的公務機關再去了解後發現他們有明顯的進步,是不是? 蔡署長福隆:跟委員報告,我們並沒有在做比較,而是針對不同的機關來做稽核,所以113年所稽核單位並不是112年稽核過的單位。 魯委員明哲:你們113年是針對不同的機關,請問你們稽核了幾個機關? 蔡署長福隆:40個。 魯委員明哲:40個機關? 蔡署長福隆:對。 魯委員明哲:技術檢測的缺失率大概是多少? 蔡署長福隆:技術的檢測其實就是有一些需要再改善的地方,就是剛剛委員所提到的,包括對網域、網路、資料庫,還有一些核心的系統等等,我們都有做一些檢測,每個機關經檢測完畢之後,我們都會提出一些相關檢測上有缺失的地方,請他們改進。 魯委員明哲:部長、署長,我覺得這有點奇怪了,何必呢?都有進步嘛!缺失率現在一展現出來,今年只有32%,哇!大家給你掌聲啊!但有這麼辛苦嗎?我跟你講,任何人若要從KPI數據上面去比較,你這樣做等於是讓一件事情複雜化,你做數據的人、做數位的人,把它倒過來用一些形容詞來講這個,像明顯進步或是顯著提升,我真的不想把時間耽誤在這裡,我希望113年能夠具體化,提一個數據出來,是好、是壞你們自己知道,大家也都知道,然後逐步改善就好了,部長,能不能把它一致化? 黃部長彥男:好,我們再提供數字給委員。 魯委員明哲:好的。部長,接下來,有關資安的人力荒,事實上你們是一個比較新成立的機關,所以要搶人;第二個,你們又需要非常專業的人,所以其實沒有很容易,我們都知道。但是你們在訂定相關法規時,就像今天又要修法了,但法修完,訂定了一些規則,你們就是要落實,定這些法不是給民眾看的,是我們自己要先落實,包括一些相關機關必須要有專職的資安人力,這是你們的規定,而且也是你們的業管範圍。但我們看到,一樣是112年,中央的部分,法定的員額還缺66人,占整個中央機關應有專職資安人員的比例,大概缺了8.4%,看起來不到10%;地方就比較嚴重了,地方缺了23.1%,這是112年的數據。 這應該是跟資安署有關吧!對此,我覺得應該要有進步,所以針對113年,你給我看一個數據,若減少了、優化了、問題收斂了,大家會給你肯定嘛!畢竟數據會說話,可是你知道你們是怎麼說的嗎?不知道部長知不知道,你們回答我們說113年的資料還在填報作業中,這是114年4月回答的,你們是一個講究效率的部會,卻跟我講還在填報作業中,我覺得好奇怪!因為一個蘿蔔一個坑,到底缺多少人,就是定出一個時間點,比方說去年12月31號截止,有人就有人,沒有人就沒有人,上個月補的不算,怎麼會統計不出來?就跟剛剛一樣,拜託一下,一定要統計出來這個部分,你要看,我也要看,就是從中央到地方各單位有沒有做好資安,這個部分我也希望部長去注意一下。 黃部長彥男:好。 魯委員明哲:再來,既然缺人缺這麼多,我們看到左下角的職缺低提報,即113年公務人員有新開缺,高考三級資通安全類科在各地報缺後也開缺了,但我們看到報缺的數額也非常低,部長能不能用一句話回答,到底中央、地方在不在乎資安專業人力這個事情?你的感覺是如何? 黃部長彥男:報告委員,我們資安人員的任用有幾個管道,一個當然是所謂的轉職系,就是從既有的公務人員再做訓練,希望轉成資安人員,原來預定目標是1,000人,目前已經訓練了兩、三百人,預計今年至少會有450人,也就是因為這樣的關係,所以直接從高考進來的部分,目前各單位的提報人數就比較少,不過我們會加強宣傳。也就是說,這個新的管道應該也是一個很好的管道,對我們的資安人力荒是有輔助的,所以我們會加強宣導,也希望未來高考資安類科這方面的職缺能夠多開一點,不過我們現在主要還是靠內部資安人員的轉職系訓練,目前是以這個方式在進行。 魯委員明哲:部長、署長,我語重心長,所謂的資安,從另外一個角度,就是影響資安的人跟物,還有software、AI的進步速度是用飛的,我感覺你們在處理這些事情上,好像每一年我都是在問同樣的問題,我是不敢這樣說,說你們都是用爬的,你們就是正常在走,所以我都不知道這個仗要怎麼打,我是希望能做的,中央、地方就積極做,因為你們要面對的是一個挑戰的變化,未來你們應把精力花在這裡。 最後,剛剛我們好幾位委員也特別說過了,上次跟你見面我也問你,上次提到很多機構遭到駭客入侵,把資料都竊走了,我今天要特別講,我們中壢長慎醫院遭駭,8萬病歷外洩,因為駭客要錢,後來好像有上暗網去賣病歷,真的還是假的我們不清楚,但我覺得你們要去協助一下,你看從馬偕醫院到彰基醫院,甚至到亞大附屬醫院,一直到現在的長慎醫院,當中有的是教學醫院、教學中心,有的是地方級的區域醫院,我是覺得你們不能夠說這是私人的問題,你們要有一個真的可以去協助的機制,你上次也答應我說要研究看看怎麼樣去協助。基本上,這並不是去管理它,但是你要有一套機制來協助,比方說有公司被詐騙了,結果警察機關說他沒有管這家公司,你不能這樣回答我,而是應趕快弄個SOP,想方設法看看怎麼樣阻止或者讓大家受傷受到最少,因為這種東西滿可怕的,像有一些私人企業的買賣,甚至機票的買賣,大概就是涉及個資外洩,已經讓人很頭痛,而我提的這個東西涉及個人病歷,如果沒有經過允許拿到個人病歷,那是一個更嚴重的犯罪行為,像這樣的個人病歷,連個資之外的都被賣掉了,所以我是建議你,在你們資安責任等級、分級表中,所謂教學級的醫院是被分為特A級嗎? 黃部長彥男:A級單位。 魯委員明哲:因為A級主要是包括公立的,那私立的部分是什麼意思?公立的有好幾萬筆,要予以防範,因為那是很重要的醫療資訊,那私立的應是特A級,不能不管! 黃部長彥男:報告委員,我們會跟衛福部合作,把這一些規範再訂清楚,當然醫院有很多個資,我們當然也知道這個滿重要,資安法修法通過之後,對於這種特定的非公務機關,是可以由中央目的事業主管機關去要求,這部分我們會來協助。 魯委員明哲:我希望你們對醫院這件事情也能跑起來,不要再慢慢走了,好不好?謝謝。 黃部長彥男:謝謝。 主席:謝謝。 請黃健豪委員。 黃委員健豪:(11時20分)謝謝主席。主席,請數位部黃部長。 主席:請部長。 黃部長彥男:委員好。 黃委員健豪:部長好。部長,今天我們討論的是資通安全管理法的修法問題,有一些條文我想跟部長討論一下,除了院版之外,有些委員提出的版本我想提出來給大家參考,包含葛如鈞委員所提版本的第十三條,將「公務機關不得採購、下載、安裝或使用危害國家資通安全產品」入法,這第十三條是從數位部訂定的「各機關對危害國家資通安全產品限制使用原則」而來,第十三條的來源在這邊,就是從數位部所訂定的規範而來,只是現階段對於相關特定廠商的特定品牌有所限制是用所謂的法規命令,是不是有機會把它提升到母法的層次?詳細的規定再把它訂定於子法當中會比較妥適。比如今年2月的時候,卓院長有提到已宣布公務機關全面禁用DeepSeek AI以確保國家資通安全,之所以公務機關禁用DeepSeek的原因,是因為他們可能擔心很多資料會上傳給中共,讓他們掌握到我們內部的資訊。既然有這樣子的事情發生,是不是應該把我剛剛提到的葛如鈞委員所提的第十三條訂定到法律的位階跟層次?而不是只單純用命令來做,院版有沒有辦法採納這樣的作法? 黃部長彥男:報告委員,我們就是把原來的行政命令變成法,就是危害國家資通安全產品,至於它的定義,因為產品變化非常快,我們沒辦法給予一個非常清楚的定義,我們只能從審查、檢驗到最後的通報去做隨時的update,如果一個產品……而且現在有可能是洗產地,也有可能這個公司原來不屬於中國公司,後來賣給中國公司,有太多可能的變化,所以沒有辦法訂定得很清楚說什麼樣是不行,但是我們會隨時去審查,也有通報機制,就是發現這個產品有問題,我們馬上就通報,然後就可以根據資安法來禁用這些設備或產品。 黃委員健豪:部長,產品不斷推陳出新,所以隨時變動、隨時更新那個清單當然是用授權的,只是我現在要確認的是,像剛剛我提到的葛如鈞委員所提的第十三條,他將「公務機關不得採購、下載、安裝或使用危害國家資通安全產品」的文字明文地放進母法裡面,院版現在有放進去嗎?放了沒? 黃部長彥男:報告委員,基本上我們care的是使用,採購這部分就像我剛才講的,因為這個公司不確定是否屬於中國公司,所以不能只看採購,因為公司有可能中資會入股,因此我認為最主要的是後面的使用,只要使用部分我們先定義,先有個機制來找出危害國家資通安全產品有哪些,然後再去限制它的使用。 黃委員健豪:定義是子法啊!定義是後面的事情,而我現在講的是,在你們的條文裡面……因為現在還在討論,那最後院版的條文裡面會不會有相關的?你說採購沒有,那下載、安裝、使用呢? 黃部長彥男:我們是使用、下載及安裝,但是採購沒有在上面。 黃委員健豪:好,這樣有共識,這樣OK!院版有嗎? 蔡署長福隆:院版有使用。 黃部長彥男:院版有使用。 黃委員健豪:有使用而已,那下載、安裝呢?使用的前提是要下載、安裝啊!要在前面就先阻止。 黃部長彥男:院版有使用、下載及安裝。 黃委員健豪:我們就舉具體案例DeepSeek,你當然沒有採購它,但是我們的公務機關是不得使用也不得下載,所以我的意思是你應該把下載跟安裝先放在母法裡面,後續誰是屬於這樣子的案例,那當然是你們隨時去滾動檢討的嘛! 黃部長彥男:case by case。 黃委員健豪:對,好不好?這個部分我提醒一下,應該把它放到這個條文裡面,要增加安裝跟下載的部分。 黃部長彥男:好。 黃委員健豪:再來,現行的條文裡面,院版條文第四條提到「為提升資通安全,政府應提供資源,整合民間及產業力量,提升全民資通安全意識」,這邊的重點在提升全民資安,不是針對產業而已,如果按照現行法令,我們看起來相關的法令都在關注產業面,但是對於真正的全民,我們剛剛提到全民的定義,我們看那個數據,詐騙手法部分,個資盜用24%、購物詐騙15%、企業冒名13%,以及國內發卡銀行詐欺通報金額的整體比例是上升的狀況,這表示全民對於資安的意識好像不太足夠。當然你們在母法裡面訂定了這一條說要著重在全民,可是你們在真正的執行面上,比較像是從企業、產業的角度來看,問題是國中小、高中教育等等的部分,好像在現行的條文裡面並沒有看到這方面的作為,我不知道數位部對這個事情怎麼處理,因為大家可能為了要保護公司的資產,那都沒問題,但問題是現今為什麼這麼多人的個資能夠這麼容易地被騙到手?那麼容易地在新的通訊軟體裡面把自己的個資提供出去?這就代表我們全民的資安意識不足啊!你們在第四條訂定了這樣子的條文,但後續相關的作法好像沒有特別提到這個事情耶!部長。 黃部長彥男:我們在第四條有講到我們要做人才培育,然後我們會加強跟產、學、研的合作,最後再用產、學、研的合作來跟國際交流,再來是對一些的規範……不管怎樣,我們會從教育面、從推動面再去加強全民的資安意識。 黃委員健豪:部長,我的意思是這樣,你們第四條的確寫了,剛剛那是一、二、三、四嘛!我們講真的,一、二、三、四基本上針對的都是所謂的專業人才、針對產業界,而我今天講的,因為這個是要提升全民資通安全意識,它的精神在全民,所以不是只有產業,因為你提到專業人才培育,然後產學合作、國際交流,但多數的普羅大眾不可能去參加資安研討或國際交流,他們也不會是專業人才,以本席為例,我就不可能是資安的專業人才嘛!但是我們要怎麼樣增進一般民眾對資安的意識跟保護,因為在院版條文裡面,你們是沒有提到一般民眾,你們提到的真的比較像是專業人才。所以我要說的是,關於這個部分,應該針對全民去做提升,不能只是針對專業部分而已,部長。 黃部長彥男:委員的建議很好,在全民怎麼樣提升安全意識的部分,我們會有些方案來協助,包括一些宣導或是一些再利用…… 黃委員健豪:我們具體建議,你們應該還要去找教育部,教育部到底…… 黃部長彥男:我們會宣導,然後…… 黃委員健豪:在教材裡面、在校園裡面,或者地方的社會局,又或者內政部等等各單位,針對長照、針對長輩很多的地方…… 黃部長彥男:我們會去宣導。 黃委員健豪:這部分都應該去做,而不是只有專業人才,也就是從學校、從小,以及長輩的部分,他們可能對於科技更新的速度沒有這麼快,你們應該也要去處理,因為其實被詐騙的有很多是這些人,好不好? 黃部長彥男:謝謝委員建議,我們會再看…… 黃委員健豪:部長謝謝、主席謝謝。 主席:謝謝。 請廖先翔委員。 廖委員先翔:(11時28分)謝謝主席,邀請黃部長及蔡署長。 主席:請部長及蔡署長。 黃部長彥男:委員好。 廖委員先翔:兩位午安。今天討論資安法,一個法令訂定之後,很重要的就是落地,落地就是執行,也就是法令裡面有明確規範到一些公務機關或者是非公務機關的特定機關必須要有資通安全的專責人員。請問你們有評估過在這個法令通過之後,會衍生出多少的資通安全人員需要去補嗎?不含現在缺的,是未來衍生新增的需求。 黃部長彥男:我們有一個統計,我請署長說明。 蔡署長福隆:謝謝委員,就剛剛所提到的部分,目前我們對於資安專職人員的配置,若是公務機關,A級機關要配置4位專職人員、B級是2個、C級是1個,D跟E可以不需要配置,因為它比較簡單,目前所缺的資安專職人員大概是239人。 廖委員先翔:需要新增的? 蔡署長福隆:對,需要新增的有239人。 廖委員先翔:需要新增的,含非公務機關? 蔡署長福隆:未來如果是新增所管的非公務機關的話,可能會比這個還更多。 廖委員先翔:所以二三級是公務機關? 蔡署長福隆:我們目前是分A、B、C、D、E五個等級。 廖委員先翔:對,剛剛您講的就是公務機關嘛。 蔡署長福隆:對,公務機關。 廖委員先翔:239? 蔡署長福隆:對。 廖委員先翔:非公務的你們還沒有統計出來? 蔡署長福隆:因為現在的法令沒有去要求非公務機關要設置專職人員,新法通過之後就會要求…… 廖委員先翔:對,所以我才講落地嘛,就是法令通過之後、落地之後,非公務機關的特殊機關需要多少人,你們現在還沒統計出來? 蔡署長福隆:目前還沒有統計出來,因為法還沒有通過。 廖委員先翔:你們應該會算法過了之後要多少人,你們要先算出來才知道這個法令有沒有辦法實際去執行啊! 蔡署長福隆:因為目前有些機關其實都有配置專職的資安人員,這個他們也有配置,我們還沒有去精算新法通過之後會缺多少…… 廖委員先翔:好啦,你們應該是要早點去算好需要多少人,然後才會知道現在既有的缺多少、未來新增的需求是多少,你才能夠去協助機關補足。我確認一下,機關的資通安全專職人員,他可能會去兼其他的業務嗎?還是他就專職在資安的業務? 蔡署長福隆:如果是專責的話,他只能做資安的工作,專職的話就可以做其他資訊的工作等等。 廖委員先翔:就是資通訊相關的工作,可能資安只是他工作的一個部分? 蔡署長福隆:對。 廖委員先翔:好,討論到資安的這個部分,其實它有點像是網路警察的概念,每個機關配置幾個人,每個機關的大小、業務性質不太一樣,其實可能也會衍生出同工不同酬的一些問題,你們有沒有考慮過,既然它是一個類似警察的概念,因為像立法院或者是其他單位有需要安全防護的時候,我們會請警政署協助,它就會派駐人員。如果是比較沒有那麼高強度的維安需求的話,機關可能就是委託保全公司來做基本的管理,我覺得網路安全的部分也有點類似這個概念,如果是需求比較低的,它可能就委託資安公司來做維安管理;比較有需求的,目前我們的狀態是每個機關都要自己設置人員,你們有沒有考慮過,資安署就類似警政署這樣的概念,來統籌所有需要的人員,因為資安人員不一定要在現場,資安人員原則上都是在網路上面操作,相對於警政機關來講,更不需要在每個機關裡面去派駐,你們有沒有討論過這件事情? 蔡署長福隆:跟委員報告,大概就是從兩個角度去想,這是一個聯防的角度,這是剛剛委員講的,可能有一些機關是D級、E級或是C級,它的防護需求沒有那麼高,我們透過一些聯防的機制來協助這個部分。像政府機關來講,透過GSN政府網路裡面一些相關的攔阻或是防護的部分來協助他們。 廖委員先翔:那是透過誰?你說的聯防。 蔡署長福隆:在資安院這邊,我們跟數政司有一個GSN,可以對政府的網路做一些防護的相關措施。 廖委員先翔:所以你們這邊有一批人,可以協助級數比較低的? 蔡署長福隆:對,技術上面的協助,就是看有什麼問題,需要的時候可以協助他們。另外一個是目前的法令規定,假設機關裡面沒有聘到足夠的專責人員,可以用委外人員暫時替代,這個也可以補足目前資安人力不足的需求。 廖委員先翔:對,你們有沒有辦法像警政署這樣,把所有的資安人員編列在資安署裡面,協助各個機關來做資通訊的安全維護?不管是人力的調度,還是相關人員的待遇、編制、工作時數等等,都在同一個部會裡面,相對起來,他是比較穩定的,然後你可以跨機關去支援,譬如你剛剛講某個機關是4個人,可能突然遭遇到大量攻擊的時候,4個人不一定有辦法負荷,而如果是統統在資安署裡面的話,那就可以很輕鬆地去調派,我剛剛要請教的就是這個東西。 蔡署長福隆:是,謝謝委員,這個的確是一個滿好的方向,假設人力可以集中的話,不管是教育訓練、專業技能的提升,我覺得這是一個滿好的想法,但是因為整個資安人力是一條鞭,涉及到人事、人總等等相關的一些法令規定、體制,是不是容我們後續再研究,也要跟人事總處再進行相關的溝通。 廖委員先翔:對,這個當然還牽扯到人事組織法的問題,所以部長這邊也是認為如果能夠一條鞭,由你們資安署統一來做一些管理跟協助機關做資安的話,會是一個比較有效率的方式嘛。 黃部長彥男:對,這個同意,但這個確實牽涉到組織法的調整,要再跟人總討論一下。 廖委員先翔:好,沒關係,如果我們的目標一致的話,我希望後續不管是我們需要提出修法的部分,還是需要跟跨機關協調的部分,大家一起來努力。以上,謝謝。 黃部長彥男:謝謝。 主席:謝謝。 我們請陳素月委員。 陳委員素月:(11時35分)謝謝主席,請主席邀請黃部長還有蔡署長。 主席:請部長、蔡署長。 黃部長彥男:委員早。 陳委員素月:部長早。今天委員會針對資安管理法的修正條文進行詢答,剛剛很多委員也都有關心到,根據國安局公布的資料,臺灣在2024年受到網攻、駭攻的統計數字,比2023年多了兩倍,也就是2024年臺灣遭受超過8億次的網路攻擊,所以平均每日有240萬次,是2023年的兩倍之多。我們也看到國安局的一個統計裡面,我們遭受攻擊的、被攻擊的目標都是以基礎的關鍵設施為主,看起來也真的是滿嚴重的。所以就這個部分請教數發部,有關各關鍵基礎設施的資安防護,數發部大概有哪一些作法? 黃部長彥男:通常遇到這種,就像剛剛講的,政府單位或是關鍵基礎設施的provider,我們會做資安的一些攻防演練、稽核,當然他們也要做一些通報,就是情資分享,所以從這方面,我們是對關鍵基礎建設來做一些資安的強化,當然,因為關鍵基礎建設有很多是屬於不同部會的,所以我們會跟部會之間有一些合作,比如油、水、電是在經濟部,然後醫院在衛福部,我們都會一起來做資安的合作跟防護。 陳委員素月:是,關鍵基礎設施的防護很重要,當然有關資安的維護計畫也是非常重要,所以我們看到資安法第十二條有提到「公務機關應每年向上級或監督機關提出資通安全維護計畫實施情形;無上級機關者,其資通安全維護計畫實施情形應送交主管機關。」照這個條文看起來,好像不是都送數發部資安署。 黃部長彥男:它那個通報會到我們這邊,這個請署長說明。 陳委員素月:通報會到資安署嗎? 蔡署長福隆:是,跟委員報告,的確是,通報都會到我們署裡面來,因為我們有一個通報的系統,所以只要發生資安事件,在一個小時內它就要通報到我們的系統裡面,以掌握相關的事件。 陳委員素月:這個是受到攻擊時的通報? 蔡署長福隆:對。 陳委員素月:平常的資安維護計畫呢? 蔡署長福隆:跟委員報告,維護計畫各單位只要在每年訂定,然後呈給它的主管核定之後就可以,但是這個計畫的實施情形要報到數發部。 陳委員素月:實施情形要報啦。 蔡署長福隆:對。 陳委員素月:所以數發部資安署可以確實掌握各機關的實施情形嗎? 蔡署長福隆:是的,因為我們有一個系統,他們透過系統來填報他們整個計畫的實施情形,我們就可以根據它的實施情形做一些相關的分析、報告等等。 陳委員素月:不曉得這個部分到底有沒有確實落實,我想這個部分資安署應該要積極地去了解。 蔡署長福隆:有,每年我們要求機關大概在3月底前要填報前一年度的維護計畫實施情形。 陳委員素月:好,資安的維護非常重要,剛剛我們也有提到關鍵基礎設施,所以有關通訊的部分,數發部面對天災、風災或者是地震,如果發生關鍵基礎設施斷訊的時候,也就是基地臺如果毀損的時候,數發部有什麼方法可以來支援通訊? 黃部長彥男:通訊的韌性是非常重要,數發部就是用多元異質的網路通訊,包括海、陸、空,所以就是從地面的fiber、到所謂的4G、5G、微波,到天上的衛星,低軌、中軌、高軌都有在布建,希望不管發生什麼樣天災人禍,通訊都能夠暢通,這是數發部很重要的目標。 陳委員素月:是目標,就是如果遇到災害的時候,我們可以怎麼做,本席有看到在0403花蓮地震的時候,確實有發揮這樣子的功能,就是利用低軌衛星投入救災,我想這是值得肯定的,就是透過跟空勤直升機的合作,把低軌衛星的通訊設備送到天祥來協助救災,這個是非常重要的,因為在完全斷訊的情況下,不管是居民要對外聯絡、求救或政府機關要救災,通訊真的是不可或缺的,所以這非常重要。本席也有注意到除了低軌衛星之外,還有一個設備是高空通訊平臺,這部分不曉得數發部目前進展的狀況如何? 黃部長彥男:有關高空通訊平臺,我們去年有做了一個系統,就是用高空的氣球結合通訊設備來做通訊,那個實驗是成功的,今年本來要用無人機做這件事情,但是因為預算被砍,所以我們今年這個計畫暫停,不過希望未來能夠再重新啟動。 陳委員素月:本席注意到的是,剛剛部長說實驗是成功的,可是我看媒體報導那次升空是失敗的。 黃部長彥男:那是因為那天有颱風。 陳委員素月:風力太大。 黃部長彥男:我們事先有測試成功,但在記者會那天沒辦法升空,但前面我們已經經過測試。 陳委員素月:測試是有成功的。 黃部長彥男:測試有成功,但在記者會要發表的時候…… 陳委員素月:所以使用氣球的方式還是有很大的變數。 黃部長彥男:氣球就是…… 陳委員素月:如果災害發生的時候剛好風力又太大,氣球就派不上用場了。 黃部長彥男:對,但是如果在事後的救災,就是剛剛講的在颱風過後,天氣開始轉好以後,氣球就可以升上去,但那一天在開記者會的時候正好遇到颱風,所以那天就沒有升空。 陳委員素月:是,所以我覺得氣球這種方式真的還是有很大的變數,剛剛部長有提到要發展無人機,國外都已經用無人機來載運通訊的設備,所以我們也真的覺得很遺憾,在114年度的預算裡面,數發部確實也有編列預算,關於晶片驅動產業創新再升級的經費,有一部分是要辦理非地面通訊關鍵技術應用推動,對不對? 黃部長彥男:對。 陳委員素月:那這個預算目前都沒了? 黃部長彥男:因為預算被刪減,所以今年暫停。 陳委員素月:今年暫停,因為預算被刪減所以暫停了。所以我覺得在野黨亂刪預算真的就是危害國家的安全,因為對於整個國家的數位韌性真的傷害非常地大。謝謝部長。 黃部長彥男:謝謝委員。 主席:謝謝。 我們現在請邱若華委員。 邱委員若華:(11時44分)謝謝主席,主席,請數發部黃部長。 主席:請部長。 黃部長彥男:委員好。 邱委員若華:部長好。部長,我們先來看法務部的資料,114年1月到3月,全國各地檢署提出共新增了4萬4,761件電信網路詐騙,雖然這個是電信網路詐騙的部分,可是僅僅3個月,詐騙的案件數據已經超過108年的3萬4,947件,以全年來看,雖然113年比起112年有下降,可是還是有16萬7,932件,單日最高的詐騙金額高達5億元,顯示詐騙仍然是非常猖獗,手段也是不斷地翻新。對此,本席要就打詐的議題就教部長。部長,我們再來看到民國81年的時候,環保署有推出寶特瓶回收的政策,當時公告每回收一支寶特瓶可兌換2元的押瓶費;到了86年環保署將回收的金額從2塊錢調到1塊錢,同年它又將押瓶費改為回收獎勵金;接著在89年的時候,回收獎勵金進一步降到每支0.5元;最後在民國91年環保署就全面取消了獎勵的制度。我們也看到財政部在民國71年的時候有制定統一發票給獎辦法,初期是每個月開獎,後來隨著制度的演進每兩個月開獎一次;到了102年為了配合電子發票的政策推動,財政部有增設雲端發票專屬的獎勵,鼓勵民眾使用電子發票。本席會舉這兩個例子、這兩項政策的推動,您認為當時政府為什麼會推這兩項政策?它的思維跟目的是什麼? 黃部長彥男:應該是鼓勵大家用電子發票或者鼓勵回收。 邱委員若華:是,因為政策的推動往往需要以獎勵的方式來鼓勵民眾使用,為了有效打詐,數發部也有開發一個網詐通報查詢的app,這個app在去年的9月30號…… 黃部長彥男:在4月7號又上架了。 邱委員若華:4月7號的時候又上架了,目前的下載次數大約是多少? 黃部長彥男:一萬五千多個民眾下載。 邱委員若華:一萬五千多個民眾下載。 黃部長彥男:目前舉報的詐騙訊息,從去年到現在大概是十五萬多筆,裡面有七萬多筆是詐騙訊息,我們都要求這些廣告平台商下架,大概已經下架七萬多筆,平均每個月下架一萬多筆詐騙廣告。 邱委員若華:平均每個月下架一萬多筆的詐騙廣告。因為本席看到目前在安卓的平台上,下載次數是五千多次,所以在iOS系統上面…… 黃部長彥男:要重新更新軟體,因為軟體是重新上架的,所以如果以前有安裝過都要重新更新。 邱委員若華:好,另外看到數發部LINE的部分,數發部跟通訊軟體LINE合作推出了防詐的動態警報,請問部長,這個防詐動態警報的功能是什麼時候上線的? 黃部長彥男:防詐動態警報,我們…… 林署長俊秀:去年上半年應該就上線。 邱委員若華:去年上半年正式上線嗎?目前有多少民眾加入使用? 林署長俊秀:應該是百萬以上吧,不好意思,這個數字我再…… 邱委員若華:百萬以上,本席看到它目前的好友數是一百三十七萬七千多人,跟網詐通報的app相比,這個LINE的防詐動態警報之普及率跟使用度是比較高的,目前LINE的使用戶也有2,200萬左右,有沒有考慮要加強宣導? 黃部長彥男:LINE跟我們的防詐通報上也有合作,加上我們有這樣一個互通的機制。 邱委員若華:是,那LINE的通報數平均是多少? 黃部長彥男:有關LINE通報數的資料,我們還要再去…… 邱委員若華:再請數發部提供相關的資料。 黃部長彥男:好。 邱委員若華:也希望數發部可以積極研議,像是回報詐騙的資訊率,針對準確度比較高的民眾或他非常積極地去反映詐騙,是不是可以提供具體的獎勵? 黃部長彥男:好,這個再…… 邱委員若華:這個也再研議? 黃部長彥男:OK。 邱委員若華:好,接下來我們回顧EID的歷程,它從2013年開始研發至今已經超過十年了,預算也高達46億,原本要在2020年10月份的時候推出,可是因為當時外界對於資安的風險還有疑慮,最後在2021年的時候宣布全面停止推行,後來也因為違約的關係賠償廠商2.8億。就本席了解,部長,您擁有美國Maryland大學資訊科學碩博士的學位,這邊要請教部長,依您的專業判斷,為什麼當時EID沒有辦法推行呢? 黃部長彥男:我想EID有幾個問題,第一個,因為它是一個實體卡片,而且是要強迫取代目前所有的身分證,因此沒有辦法選擇要用或不用,這個卡片的資安就變得很重要,當然大家對卡片的資安還是有疑慮,因為晶片本身的資安有疑慮,所以我想是由技術…… 邱委員若華:是,晶片有分成四大區塊,分成戶籍地區、公開區、加密區還有自然人憑證區,本席要問今年數發部3月10號數位憑證皮夾,它也是將自然人憑證、健保卡還有駕照等重要的文件整合存放,民眾只需要一支手機就可以進行身分驗證,它跟EID最主要的…… 黃部長彥男:報告委員,完全不一樣,因為憑證皮夾是一個容器。 邱委員若華:它是一個載具嘛。 黃部長彥男:對,我們不會發行新的憑證,也就是拿既有憑證,而且你可以選擇性來放,even自然人憑證也不強迫你一定要放上去,如果覺得有需要才放,所以它是一個container,不是一個新的證件,所以沒有打算取代身分證,也不是EID。 邱委員若華:所以從3月10號當時推出到現在1個月,目前民眾的下載使用率如何? 黃部長彥男:我們現在是開放沙盒讓不同的產業來使用,包括各個業者,產業跟政府,目前有1,300個申請案,他們可以把已經有的憑證放在這個容器裡面,這個容器的好處是不用開發新的app,如果只是要把certificate放上來,已經有東西可以放,這個確實對很多公司跟政府單位是一個幫助。 邱委員若華:本席也要請教部長這部分目前的經費來源?還有整體的建置跟開發費用大概是多少? 黃部長彥男:因為經費有被砍……我請司長說明。 莊司長盈志:跟委員說明一下,這個經費來源是從公共基礎建設的經費項下支應,今年的經費額度約略是在1億元左右。 邱委員若華:OK,謝謝您的說明。部長,你剛剛提到有1,300戶,是企業用戶嗎? 黃部長彥男:就是有包括…… 莊司長盈志:跟委員說明,1,300包含個人,也包含廠商,也包含支付業者,都在1,300裡面。 邱委員若華:所以預計今年年底12月可以順利試營運嗎? 莊司長盈志:目前是在測試階段,希望在測試階段各界能夠積極回應一些相關的改善建議,我們期待能夠在12月會有第一版的公開測試版,讓大家能夠使用。 邱委員若華:OK,好,也務必要確認個資的安全。謝謝。 黃部長彥男:好,謝謝。 主席:謝謝。 鄭天財、鄭天財,鄭天財委員不在。 高金素梅、高金素梅,高金素梅委員不在。 楊瓊瓔、楊瓊瓔,楊瓊瓔委員不在。 請黃捷委員。 黃委員捷:(11時52分)謝謝主席,請黃部長。 主席:請部長。 黃部長彥男:委員好。 黃委員捷:部長好。我在這邊延續早上的提案說明,因為其實今天修資通安全管理法,裡面有一個很重要的部分,是要求公務機關不得採購跟使用危害國家安全的產品,其實在我的版本裡面有更明確的提到危害國家安全的資通產品到底對象是誰,我在裡面非常明確地把紅色供應鏈都寫出來,包括中、港、澳還有境外敵對勢力的產品,都不能採購、下載以及使用,在這邊我也想要請教數發部的意見,直接這樣子寫出來,這個條文的可行性如何? 黃部長彥男:報告委員,危害國家資通安全的產品,比如說今天如果跟某家公司買,這家公司是美國公司,有可能在使用之後,發現它有中資入股,就變成有危害,所以重點是在後面使用的審查、檢查跟通報,所以我想條文這樣寫當然是很好、更清楚,但是還不大夠,後面還是有個使用的審查。 黃委員捷:部長,我的版本裡面是包括,前段是寫說公務機關不得下載、使用及採購這個有危害的產品,以及包括中、港、澳,其實我是把兩個項目都放進去,所以不管是使用端還是前端都有放進去。行政院2020年就已經有一個函文了,對不對?就是直接下令公務機關原則上禁止使用及採購大陸廠牌的資通訊產品,我在這邊就是把它法制化而已,所以我認為這部分應該是沒有什麼疑義,我希望部長可以更明確地把這個條文,如果真的修法的時候,可以把它入法,OK? 黃部長彥男:這個我們可以再討論。 黃委員捷:謝謝部長。再來,還有一點時間,我要講一下,我早上有特別提到醫療資通安全的部分,這是最近發生的事件,包括2月的馬偕醫院、3月的彰化基督教醫院、4月中壢的長慎醫院都被攻擊,造成掛號失靈,因為掛號失靈,醫院被迫改成人工叫號,醫生要手寫處方,還有八萬多人的病例疑似被外洩,這其實是非常嚴重的事情,醫院是非常重要的關鍵基礎設施,既然這麼重要,我知道當時衛福部也有請資安署來協助,對不對?有派人進駐,去看他們到底是發生什麼狀況,我想要了解當時資訊洩漏的災情到底如何?如何去防範? 我在這邊提一下美國的一些例子,因為在今年2月底,美國的FDA還有他們網路安全基礎設施的設施局其實就有提到,有一款康泰克生產的生理監視器CMS8000就是中國生產的,裡面可能有一個後門,從後門可以把病患的資料傳輸到中國第三方大學的IP裡面,這聽起來蠻驚悚的,等於是說如果你用中國的這個機器,它可以把你的生理監視資料偷偷從後門偷走,我認為要非常防範這件事情,雖然我們不知道2、3、4月發生在臺灣的這些案例,到底純粹是駭客想要做一些商業上面的勒索,還是他背後有其他的意圖,不得而知,這個要請你們去調查,可不可以請資安署說明調查出來的結果?包括它的目的為何、災情洩漏的狀況以及如何去防範。 蔡署長福隆:謝謝委員的關心,從2月份開始包括馬偕、彰基等等的醫院,這些駭客入侵的手法,我們發現都是屬於一個駭客組織,叫做Crazy Hunter,也發現這個駭客組織裡面有一些信件好像有簡體字的情況,因此後來檢調單位有去調查,在今年的4月2號刑事警察局有發布一個新聞,他們破獲Crazy Hunter這個駭客組織,裡面有一位來自中國大陸的羅姓駭客,他是二十歲左右,目前對於這個駭客組織已經有一些掌握跟破獲,並循著國際的行政組織在做相關的通緝,這是目前的瞭解。 另外,剛剛也提到醫院對於勒索病毒攻擊的防範,在這幾次事件裡面,我們目前發現終端防護的設施叫做EDR還是最有效的防護措施,這個部分衛福部也在協助各個醫院跟廠商洽談一個比較優惠的價格,來導入相關終端防範的資安設備,以上。 黃委員捷:好,謝謝,我覺得到目前是蠻完整的,確實我們掌握到就是這個Crazy Hunter,如果真的如剛剛署長所說,它背後有一些中國的勢力,這可能是對臺灣整體防衛性的一個壓力測試,這個真的不得了,非常嚴重。 黃部長彥男:對,我們加強防護。 黃委員捷:所以這部分必須要往下追查以及做相關的防範,在這邊提醒,謝謝部長。 黃部長彥男:好,謝謝委員。 主席:謝謝。 王美惠、王美惠,王美惠委員不在。 李柏毅、李柏毅,李柏毅委員不在。 蘇清泉、蘇清泉,蘇清泉委員不在。 葛如鈞、葛如鈞,葛如鈞委員不在。 張啓楷、張啓楷,張啓楷委員不在。 葉元之、葉元之,葉元之委員不在。 登記委員均已發言完畢,作以下決定:報告及詢答完畢,委員邱鎮軍所提書面質詢列入紀錄並刊登公報。委員於質詢中要求提供相關書面資料或未及答復部分,請數位發展部及相關機關儘速以書面答復。 委員邱鎮軍書面質詢: 審查資通安全管理法修正草案等共14案 詐騙越來越猖獗 根據刑事局統計,詐騙案件數從2020年的23,054件暴增到2024年的101,122件,造成人民財損金額也一路攀升,從2020年的42.55億元暴增到2024年11月底的393.78億元新臺幣。若是根據刑事局從去年8月上路的「打詐儀表板」則更為驚人,根據打詐儀表板統計去年8-12月份的詐騙財損金額就高達629.62億元,同期受理報案件數就高達93,379件。打詐國家隊打詐不力惹民怨,根據台灣議題研究中心2024年8月27日公布調查結果,數位發展部登上最惹民怨第一名,負面聲量高達1.2萬則,國家通訊傳播委員會NCC,負面聲量也有5,615則,位居第二,主因就是詐騙電話、簡訊及網路詐騙訊息層出不窮。 Q1:針對數位部開發的「網路詐騙通報查詢網」APP不好用,行政院長卓榮泰在總質詢時表示「確實有改進空間」,他並要求數位部做好「精準」、「可通報」、「好使用」3個原則。請數發部說明本項APP改善情形與每月通報數成長情形? Q2:目前打詐仍偏重在警政署及法務部,但是民眾受騙最多的管道都是從網路及社群軟體,皆為數發部主管業務,請數發部說明具體打詐防堵策略,以及通知網路、社群軟體等業者下架詐騙廣告具體成效數據為何? Q3:去年8月底數發部曾發布與Google、LINE及Meta公私協力強化網路防詐措施,請說明具體成效為何? 全台醫院連續遭駭 2023年資安署成立的時候,蔡英文總統說,要打造『最強資安國家隊』,但是我國資安卻仍然脆弱,包括政府、企業及醫院不斷發生遭駭客攻擊與盜取個資問題,今年2月馬偕醫院遭到駭客入侵,外洩1,660萬筆病人個資,衛福部長邱泰源表示要找數發部打造最強防火牆;接著3/3彰化基督教醫院也被攻擊;4/13桃園長慎醫院又被攻擊,傳出8萬筆資料被外洩,且根據資安業者調查結果,駭客聲稱握有13萬張含有病徵跟個資的醫療影像、10萬份的電子病例文件,還有數百萬筆實驗室、X光、CT、MRI的紀錄,全部被駭走。 Q4:請數位部資安署說明衛福部是否請求協助?又數位部接獲衛福部協助請求迄今推動資安改善進度,並請說明如何協助衛生福利部打造最強防火牆? Q5:請數位部說明醫院納入關鍵基礎建設產業目前推動情形,並說明針對目前尚未納管的醫院(未納入關鍵基礎建設的醫院)應如何協助及要求加強落實資安管理?又未來是否擴大納入為關鍵基礎建設? Q6:資安法業已落實到八大關鍵基礎建設產業(能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關、高科技園區等八大領域),請說明其他七大產業推動落實資安情形? 主席:現在處理資通安全管理法修正案的審查,本日僅先進行宣讀條文的程序,若有修正動議或附帶決議也一併宣讀。如果不是跟這個法案有關的,可以先離開。 現在請議事人員宣讀。 INCLUDEPICTURE "d:\\users\\2TK42201XK\\Desktop\\114042\\第2冊\\27\\資通安全管理法修正草案條文對照表_頁面_001.jpg" \* MERGEFORMAT [image: image2.jpg] [image: image3.jpg] [image: image4.jpg] [image: image5.jpg] [image: image6.jpg] [image: image7.jpg] [image: image8.jpg] [image: image9.jpg] [image: image10.jpg] [image: image11.jpg] [image: image12.jpg] [image: image13.jpg] [image: image14.jpg] [image: image15.jpg] [image: image16.jpg] [image: image17.jpg] [image: image18.jpg] [image: image19.jpg] [image: image20.jpg] [image: image21.jpg] [image: image22.jpg] [image: image23.jpg] [image: image24.jpg] [image: image25.jpg] [image: image26.jpg] [image: image27.jpg] [image: image28.jpg] [image: image29.jpg] [image: image30.jpg] [image: image31.jpg] [image: image32.jpg] [image: image33.jpg] [image: image34.jpg] [image: image35.jpg] [image: image36.jpg] [image: image37.jpg] [image: image38.jpg] [image: image39.jpg] [image: image40.jpg] [image: image41.jpg] [image: image42.jpg] [image: image43.jpg] [image: image44.jpg] [image: image45.jpg] [image: image46.jpg] [image: image47.jpg] [image: image48.jpg] [image: image49.jpg] [image: image50.jpg] [image: image51.jpg] [image: image52.jpg] [image: image53.jpg] [image: image54.jpg] [image: image55.jpg] [image: image56.jpg] [image: image57.jpg] [image: image58.jpg] [image: image59.jpg] [image: image60.jpg] [image: image61.jpg] [image: image62.jpg] [image: image63.jpg] [image: image64.jpg] [image: image65.jpg] [image: image66.jpg] [image: image67.jpg] [image: image68.jpg] [image: image69.jpg] [image: image70.jpg] [image: image71.jpg] [image: image72.jpg] [image: image73.jpg] [image: image74.jpg] [image: image75.jpg] [image: image76.jpg] [image: image77.jpg] [image: image78.jpg] [image: image79.jpg] [image: image80.jpg] [image: image81.jpg] [image: image82.jpg] [image: image83.jpg] [image: image84.jpg] [image: image85.jpg] [image: image86.jpg] [image: image87.jpg] [image: image88.jpg] [image: image89.jpg] [image: image90.jpg] [image: image91.jpg] [image: image92.jpg] [image: image93.jpg] [image: image94.jpg] [image: image95.jpg] [image: image96.jpg] [image: image97.jpg] [image: image98.jpg] [image: image99.jpg] [image: image100.jpg] [image: image101.jpg] [image: image102.jpg] [image: image103.jpg] [image: image104.jpg] [image: image105.jpg] [image: image106.jpg] [image: image107.jpg] [image: image108.jpg] [image: image109.jpg] [image: image110.jpg] [image: image111.jpg] [image: image112.jpg] [image: image113.jpg] [image: image114.jpg] [image: image115.jpg] [image: image116.jpg] [image: image117.jpg] [image: image118.jpg] [image: image119.jpg] [image: image120.jpg] [image: image121.jpg] [image: image122.jpg] [image: image123.jpg] [image: image124.jpg] [image: image125.jpg] [image: image126.jpg] [image: image127.jpg] [image: image128.jpg] [image: image129.jpg] [image: image130.jpg] [image: image131.jpg] [image: image132.jpg] [image: image133.jpg] [image: image134.jpg] [image: image135.jpg] [image: image136.jpg] [image: image137.jpg] [image: image138.jpg] [image: image139.jpg] [image: image140.jpg] [image: image141.jpg] [image: image142.jpg] [image: image143.jpg] [image: image144.jpg] [image: image145.jpg] [image: image146.jpg] [image: image147.jpg] [image: image148.jpg] [image: image149.jpg] [image: image150.jpg] [image: image151.jpg] [image: image152.jpg] [image: image153.jpg] [image: image154.jpg] [image: image155.jpg] [image: image156.jpg] [image: image157.jpg] [image: image158.jpg] [image: image159.jpg] [image: image160.jpg] [image: image161.jpg] [image: image162.jpg] [image: image163.jpg] [image: image164.jpg] [image: image165.jpg] [image: image166.jpg] [image: image167.jpg] [image: image168.jpg] [image: image169.jpg] [image: image170.jpg] [image: image171.jpg] [image: image172.jpg] [image: image173.jpg] [image: image174.jpg] [image: image175.jpg] [image: image176.jpg] [image: image177.jpg] [image: image178.jpg] [image: image179.jpg] [image: image180.jpg] [image: image181.jpg] [image: image182.jpg] [image: image183.jpg] [image: image184.jpg] [image: image185.jpg] [image: image186.jpg] [image: image187.jpg] [image: image188.jpg] [image: image189.jpg] [image: image190.jpg] [image: image191.jpg] [image: image192.jpg] [image: image193.jpg] [image: image194.jpg] [image: image195.jpg] [image: image196.jpg] [image: image197.jpg] [image: image198.jpg] [image: image199.jpg] [image: image200.jpg] [image: image201.jpg] [image: image202.jpg] [image: image203.jpg] [image: image204.jpg] [image: image205.jpg] [image: image206.jpg] [image: image207.jpg] [image: image208.jpg] [image: image209.jpg] [image: image210.jpg] [image: image211.jpg] [image: image212.jpg] [image: image213.jpg] [image: image214.jpg] [image: image215.jpg] [image: image216.jpg] [image: image217.jpg] [image: image218.jpg] [image: image219.jpg] [image: image220.jpg] [image: image221.jpg] [image: image222.jpg] [image: image223.jpg] [image: image224.jpg] [image: image225.jpg] [image: image226.jpg] [image: image227.jpg] [image: image228.jpg] [image: image229.jpg] [image: image230.jpg] [image: image231.jpg] [image: image232.jpg] [image: image233.jpg] [image: image234.jpg] [image: image235.jpg] [image: image236.jpg] [image: image237.jpg] [image: image238.jpg] [image: image239.jpg] [image: image240.jpg] [image: image241.jpg] [image: image242.jpg] [image: image243.jpg] [image: image244.jpg] [image: image245.jpg] [image: image246.jpg] [image: image247.jpg] [image: image248.jpg] [image: image249.jpg] [image: image250.jpg] [image: image251.jpg] [image: image252.jpg] [image: image253.jpg] [image: image254.jpg] [image: image255.jpg] [image: image256.jpg] [image: image257.jpg] [image: image258.jpg] [image: image259.jpg] [image: image260.jpg] [image: image261.jpg] [image: image262.jpg] [image: image263.jpg] [image: image264.jpg] [image: image265.jpg] [image: image266.jpg] [image: image267.jpg] [image: image268.jpg] [image: image269.jpg] [image: image270.jpg] [image: image271.jpg] [image: image272.jpg] [image: image273.jpg] [image: image274.jpg] [image: image275.jpg] [image: image276.jpg] [image: image277.jpg] [image: image278.jpg] [image: image279.jpg] [image: image280.jpg] [image: image281.jpg] [image: image282.jpg] [image: image283.jpg] [image: image284.jpg] [image: image285.jpg] [image: image286.jpg] [image: image287.jpg] [image: image288.jpg] [image: image289.jpg] [image: image290.jpg] [image: image291.jpg] [image: image292.jpg] [image: image293.jpg] [image: image294.jpg] [image: image295.jpg] [image: image296.jpg] [image: image297.jpg] [image: image298.jpg] [image: image299.jpg] [image: image300.jpg] [image: image301.jpg] [image: image302.jpg] [image: image303.jpg] [image: image304.jpg] [image: image305.jpg] [image: image306.jpg] [image: image307.jpg] [image: image308.jpg] [image: image309.jpg] [image: image310.jpg] [image: image311.jpg] [image: image312.jpg] [image: image313.jpg] [image: image314.jpg] [image: image315.jpg] [image: image316.jpg] [image: image317.jpg] [image: image318.jpg] [image: image319.jpg] [image: image320.jpg] [image: image321.jpg] [image: image322.jpg] [image: image323.jpg] [image: image324.jpg] [image: image325.jpg] [image: image326.jpg] [image: image327.jpg] [image: image328.jpg] [image: image329.jpg] [image: image330.jpg] [image: image331.jpg] [image: image332.jpg] [image: image333.jpg] [image: image334.jpg] [image: image335.jpg] [image: image336.jpg] 主席:宣讀完畢。本日會議作以下決議:討論事項各案均另定期繼續審查。本日會議結束,散會,謝謝。 散會(13時25分) 提案條文: