付費限定文章

AIoT數位轉型的法律議題（4）資通供應鏈安全及溯源管理法制議題

資通安全階層架構如同金字塔的三層，由上而下依序是：政策管理安全（法令、規範）、系統與應用安全（程式、網路、資料庫、雲端、軟硬體）、基礎安全（密碼學演算法，包括數位簽章、雜湊函數）。所以首當其衝必須了解何謂「資通」？其相關管理安全的法令政策為何？才能得到較保障的資通安全。

若智慧物聯網（AIoT）的產品或服務安全性不足（潛在的資安漏洞）恐成為駭客攻擊的缺口，進而使基礎設施、產品或服務無法正常運作或竊取重要資訊等 ，如此的資安威脅將造成個資隱私、生命財產、經濟運作與國家安全產生破口。

我國的< 資通安全管理法 >（下稱「資通法」）於民國 107 年 6 月 6 日公布，其立法目的在於為積極推動國家資通安全政策，加速建構國家資通安全環境，以保障國家安全，維護社會公共利益。並以對人民生活、經濟活動及公眾或國家安全有重大影響者為納管對象。

資通法的主管機關是行政院，並設有資通安全處，以及國家資通安全會報技術服務中心，資通法第3條第3款就定義「資通安全」，是指防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害，以確保其機密性、完整性及可用性。

說到這裡，還是要先搞懂與掌握什麼是「資通」？資通法第3條第1、2款提到「資通」系統或服務，就是：「用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享」的系統或服務。所以「資通」就是在做這檔事。而提供資通系統或服務的「供應鏈」，除公務機關外，就是特定的非公務機關，就是指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。而「關鍵基礎設施」，是指實體或虛擬資產、系統或網路，其功能一旦停止運作或效能降低，對國家安全、社會公共利益、國民生活或經濟活動有重大影響之虞，經主管機關定期檢視並公告之領域。

為避免國家資通安全遭到威脅或破壞，我們就必須重視資通供應鏈安全及其管理的相關法制。從實務面與法制面來看，我國如何降低公部門與私部門（特別是非關鍵基礎設施服務提供者）在數位轉型過程中的資安風險？在公部門方面，所採產品服務之資安具體認定程序、評鑑標準、及救濟制度宜如何訂定，以符合公平與明確性？從產業的面向，如何確保資通設備供應鏈的安全？

他山之石可以攻錯，我們可借鏡美國5G資安政策與法制進程，作為我國資通供應鏈安全管理推動的重要參考指標。

歐盟、北大西洋公約組織會員國的政府官員及專家代表，曾在西元2019年5月間於捷克布拉格舉辦之 5G 安全會議（The Prague 5G Security）研討 5G 資安議題，會議結論彙整為「布拉格提案」（The Prague Proposals），作為各國建構 5G 的資安參考建議。

在政策面向有提到：網路建設與維護方面應適用資安國際標準或指引；網路治理法制方面依循透明、公平等共通原則，並充分監督；而供應國方面應評估是否有適足個資