【本報台北訊】數位部修正資安法明定公部門禁用危害國家資安產品，資安署今（23）日表示，這份清單分為網路類、系統類、資料庫類等10多個大類，目前掌握約有1000多個列管項目，不過這份名單並未公開，其中有1/5跟資料庫、電子書有關，列管產品將要求限期汰換或提高資安規格。

立法院交通委員會今天審查113年度中央政府總預算案關於數位發展部單位預算，國民黨立委洪孟楷今天關注資安法修法中，禁止公部門採購與使用危害國家資通安全產品，關注目前公部門例外使用危害國家資安產品使用狀況。

數位部長唐鳳答詢時表示，盤點中國可實質控制的軟體、服務與硬體產品等，確實有些部會還在使用，會限期汰換，若還在使用，會需要斷網使用等。

針對還在使用因此特別列管的產品，數位部資安署長謝翠娟表示，舉例來說，有些部會因為業務需要查詢中國資料庫、讀相關論文，所以需要特別請資安長簽核使用。

立委擔心會不會公部門外包的下游廠商還是可能採購或使用危害國家資安產品，唐鳳表示，第一，像是先前修正「各機關對危害國家資通安全產品限制使用原則」，台鐵廣告看板這類型場域也要包含在契約規範中。

第二，公部門共同供應契約中，會有2個機關以上都在使用的產品，機關可以從中挑選，等於是「白名單」，如果完全是沒看過的品牌或產品等，可以再來跟數位部詢問，希望引導購買沒有疑慮的產品。

圖／Unsplash

民進黨立委林俊憲關注為何不公開危害國家資安產品清單等，唐鳳指出，數位部不公開名單，主要考量是擔心，如果公部門人員看到名單危害產品，會去推斷不在名單上的就不是危害產品，但是對軟體與服務來說，改名是非常容易的，「產品改名後，就不是危害產品嗎？當然不是」。

唐鳳直言，如果直接說某個國家、某些廠牌不能使用，其餘產品都可以，被點名的產品可以立即「洗產地」，跑到其他國家，反而可以規避規範。

唐鳳表示，希望公務機關採購人員或資安專責人員，如果購買其他機關都沒買過的產品或服務時，還是可以跟數位部查詢，如果真的沒看過這項產品，數位部也會了解產品是否有改名，這份名單雖沒公開，但公務機關有需求都可跟數位部查詢。

媒體詢問這些列管中的產品何時可以全數汰換，謝翠娟表示，公部門特別列管的數量約1000多個產品，使用年限到期就要汰換，但部分產品因當地沒有其他選擇，還是可能繼續使用，確實無法完全汰換。

謝翠娟說明，部分外館因為當地沒有其他電信商可選擇，因此必須使用相關產品，畢竟還是要上網，但就必須加上更嚴格的控制措施，包含防火牆、資安防護、網路封包檢測等。