危害國家資通安全產品限制使用原則
一、依據 行政院秘書長109年12月18日院臺護長字第1090201804A號函 規定,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務)。
二、依據 行政院112年6月20日院授數資安字第1121000202號函 及 行政院113年12月31日院授數資安字第1131000727號函 說明,重申各公務機關使用資通訊產品原則:
(一)若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由,並經機關資通安全長及其上級機關資通安全長逐級核可,函報資通安全管理法主管機關(數位發展部)核定。
(二)就各機關所盤點之危害國家資通安全產品,相關因應措施摘要如下:
-
行政院於110年5月5日中央及地方政府資通安全長暨行政院國家資通安全會報第37次委員會已向各機關宣達,針對未達使用年限之財物如須報廢時,於相關文件中註明報廢原因,可專案報廢處理。
-
於汰換前則應有適當之配套措施或相應作為:
-
停用(封存)。
-
使用但不與公務網路介接,或擬訂其他適當配套管制措施。
-
將使用情形列入年度稽核時之檢視項目。
-
產品使用屆期後不得再購買危害國家資通安全產品。
(三)辦理採購案時,得依個案特性及實際需要於採購文件中循以下方式辦理:
-
參考行政院公共工程委員會(下稱工程會)採購範本投標須知範本第16點,廠商所供應標的(含工程、財物及勞務)之原產地不允許大陸地區,以及資訊服務採購契約範本第8條第24款,如採購案內涉資通訊軟體、硬體或服務等相關事務,機關可要求廠商執行本案之團隊成員不得為陸籍人士,並不得提供及使用大陸廠牌資通訊產品。資訊服務採購契約範本(下載)
-
倘涉雲端服務者,可另參考工程會資訊雲端服務採購契約範本第17條,廠商履約有下列情形之一者,機關得以書面通知廠商終止契約或解除契約之部分或全部,且不補償廠商因此所生之損失:16.經查廠商提供大陸廠牌、 資通訊產品(含硬體、軟體及服務)、雲端服務之所屬 一切資料存取、備份及備援之實體所在地位於大陸地區 (含香港、澳門),或跨該等境內傳輸相關資料。
-
自行或委外營運,提供公眾活動或使用之場地,不得使用危害國家資通安全產品,且應將相關限制式樣納入委外契約或場地使用規定中,以避免後續履約爭議,並將契約訂定相關文字列入年度稽核時之檢視項目。
-
依工程會113年8月13日工程企字第11300155871號函,機關辦理採購涉及物聯網設備技術規格之訂定,請各機關於採購物聯網設備時依該函說明事項辦理。
-
可參考數位發展部數位產業署之能量登錄機制資訊,揀擇適當之標的、廠商或於契約中載明須提出相關能量登錄證書等。
大陸廠牌清單整理
| 中文名稱 | 英文名稱 | 產品與服務範圍 | 備註 |
| 華為 | Huawei | 智慧型手機、平板電腦、無線網路分享器 | |
| 中興通訊 | ZTE | 電信裝置、行動電話和電信軟體 | |
| 海康威視 | Hikvision | 影像攝錄設備 | |
| 大疆 | DJI | 無人機 | |
| 普聯 | TP-Link | 路由器、網路交換器 | |
| 歐家控股 | OPPO | 智慧型手機 | |
| 小米 | Xiaomi、mi | 智慧型手機、平板電腦、虛擬實境設備、智慧手錶 | |
| 大華 | Dahua | 影像攝錄設備 | |
| 華三通信 | H3C | 路由器、交換器、無線網絡設備 | |
| 海能達 | Hytera | 通信設備 | |
| 中興通訊 | ZTE | 電信裝置、行動電話和電信軟體 | |
| 海信 | Hisense | 家用電器、電腦、通信設備 | |
| 維沃控股 | vivo | 智慧型手機、平板電腦、智慧手錶 | |
| 魅族科技 | MEIZU | 智慧型手機、軟體 | |
| 努比亞 | Nubia | 智慧型手機、軟體 | |
| 水星網路 | Mercusys | 網路設備 | |
| 糖果手機 | SUGAR | 智慧型手機、軟體 | |
| 真我 | realme | 智慧手機、IoT設備 | |
| (無) | TotoLink | 路由器、網路交換器 | |
| 騰達 | Tenda | 路由器、網路交換器 | |
| 福斯康姆 | Foscam | 網路攝影機、軟體 | |
| 新加坡泛學科技 | 線上教學平台 | ||
| 聯想集團 | Lenovo | 電腦 |
上開清單為目前已知,但不僅限於清單內,若無法確認時請廠商協助提供文件證明其非大陸廠牌。
大陸廠牌資通訊產品範圍包含:硬體、軟體、服務
-
軟體:例如應用軟體、系統軟體、開發工具、客製化套裝軟體、APP 及電腦作業系統等。
-
硬體:包括具連網能力,資料處理或控制功能者皆屬廣義之資通訊設備
例如:個人電腦、智慧手機、平板電腦、電視牆、電子看板
伺服器、無人機、印表機、監視器、網路攝影機、網路通訊設備、物聯網設備等。
-
服務:資通服務,如客服服務、軟硬體資產維護服務、雲端空間、線上課程等。
限制對外出租場域使用大陸廠牌資通訊產品
一、於學校 委外契約 或 場地租借使用規定,應明訂不得使用大陸廠牌資通訊產品。
二、針對現有委外契約,應協調廠商配合辦理或修正契約規定。
廠商切結書
機關對於可能選任之受託者及其所供應之財物 (軟體設備) 或勞務之資料存取、儲存、備份及備援等作業,其實體設備所在地及資料傳輸是否跨境等相關議題,得要求其以書面方式揭露,並納入選任評估參考 。
資料所在地及跨境傳輸切結書(下載)
常見問題
Q:有關「限制使用危害國家資通安全產品」是否會提供相關清單?此外,在未公布清單前是否有相關參考作法 ?
A:
一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使用事宜 。
二、現階段係請各公務機關依本院秘書長109年12月18日院臺護長字第1090201804A號函,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下:
-
大陸廠牌:指本院公共工程委員會 107年 12月 20日工程企字第 1070050131號函所稱「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。
-
陸籍人士:指委外廠商執行標案之團隊成員,其現行國籍不得為中國大陸國籍 。另,針對多重國籍部分,如其一國籍屬中國大陸國籍亦屬限制範圍 ;此外,針對香港國籍及澳門國籍人士非屬上述限制範圍 。
-
考量實務執行問題,現行僅限制其最終資通訊產品不可為大陸廠牌,暫未限制大陸廠牌零組件。
-
各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。