政院公布危害资通安全产品使用原则，3个月内将公布禁用产品清单

行政院发言人Kolas Yotaka（谷辣斯‧尤达卡）在4月19日召开记者会对外公布，一项由行政院院长苏贞昌4月18日同意通过的行政命令“各机关对危害国家资通安全产品限制使用原则”，并以电子公文发函给各机关。而这项原则原本应该在一月底公布，但因为外界有诸多疑虑，所以在综合多方考量下，迟至4月中旬才对外公布。

Kolas Yotaka表示，这项行政命令的母法来自“资通安全管理法”，包括受该法规范的中央与地方政府以及关键基础设施的提供者等，都必须在未来3个月内，优先盘点机关内已经采购的、来自危险地区的产品清单送交行政院，行政院也会汇整一份正面表列、禁止采购品牌的产品清单，给受资安法规范的机关参考；该份使用原则将溯及既往，适用先前已经采购的资安产品。

但她也强调，这个使用原则只适用于政府各机关，并不涉及民间私人企业采购以及民间消费行为。

受规范产品囊括网络摄影机及云端服务在内

Kolas Yotaka表示，未来受资安法规范的机关单位，包括：中央政府的机关（构），各地方县市政府，公立学校，公营事业、行政法人，还有关键基础设施的提供者和政府捐助的财团法人在内，其中，后两者则必须由该单位的中央目的事业主管机关进行相关的督导。

政府目前由国土安全办公室制定的关键基础设施提供者规定有八类，包括：水资源、能源、通讯传播、交通、金融、高科技园区、政府机关与紧急医疗等，但各个类别中，有哪些单位确认为受资安法规范的单位，目前根据资安法的规定，正在进行相关的指定程序中。

为了避免不必要的误会，Kolas Yotaka表示，在该原则中，不使用中国或陆资等敏感字眼，“因为可能产生危害台湾资安通安全产品的来源不一定只有中国，还有其他国家，不点名特定国家别，也可避免疏漏。”

受到规范的产品范围则囊括：服务器主机、网络摄影机、遥测定点设备、无人机、云端服务、电信业的核心骨干网络设备电脑软件、防毒软件、机关委外开发的软件系统、委外通讯设备顾问，以及委外企业开发资讯系统等，都被视为资通安全产品。

采购危害资安产品需经主管机关核可并列册管理

在“各机关对危害国家资通安全产品限制使用原则”的条文中，也清楚规定，“各机关除因业务需求且无其他替代方案外，不得采购及使用危害国家资通安全的产品”，也要求采购的机关必须说明理由且经过主管机关核可后，才能以专案方式购置，相关产品也应该列册管理，以及遵守“指定特地区域及特定人员使用”、“不得与公务网络环境介接”、“不得处理或储存机关公务资讯”、“测试或检验结果应产出报告”、“购置理由消失时，或使用年限界满应立即销毁”等五项规定。

因为这项使用原则溯及既往，所以在条文中也规定，各机关应该要定期办理资产盘点，在4月19日该使用原则公布前，就已经采购的危害国家资通安全产品，应该要在厂商清单提供后3个月内列册管理，并不得与公务网络环境介接，也应该一致非敏感或非重要环境；如果该产品已经届满使用年限的话，则在厂商清单提供后，编列预算于该年度汰除；未达使用年限者，则明定汰除的期限。

由于这项使用原则适用对象包括中央与地方政府在内，加上关键基础设施服务提供者以及政府捐助的财团法人，例如工研院、资策会等，也同样在该法的规范范围中。但高科技园区有内有许多民间企业在内，哪些单位是被资安法指定的关键基础设施提供者，还有待相关清单出炉，但未来科技部与经济部也将透过科学园区管理局，进一步和民间业者建立合作沟通的机制。

公务机关不遵守该使用原则，将依照资安法进行惩处

政府这项“各机关对危害国家资通安全产品限制使用原则”的行政命令，原订在一月底就要公告，为了更周延内容故延后公布。

身兼国家安长得行政院副院长陈其迈在接受媒体访问时也强调，如果未来县市政府不遵守“各机关对危害国家资通安全产品限制使用原则”的规定，也将依据资安法第19条的规定，针对公务机关所属人员未遵守资安法规定者，依照情结轻重予以惩戒或惩处。

但像是台南市政府在一月下旬时，就已经发布新闻稿公布，全面盘点所属资通讯设备，并配合中央资安政策，全面禁用包括华为在内等危害国家资安产品。

台南市政府更公告，为了避免潜在的资安风险，硬件采购除了配合采用政府共同供应契约外，更全面禁止提供中国产品；机关网络连线因采用政府网络网络服务（GSN），无法连上中国网站、可以防止机敏资料外流外；在资讯作业委外管理规范则要求业者进行“委外契约及需求规格书制作”时，应注明资讯安全保密条款，必要时，台南市政府也会与委外厂商签订保密协定，以明确告知委外厂商应遵循事项。