Skip to content

Instantly share code, notes, and snippets.

@ronnywang

ronnywang/full.txt

Created May 22, 2023 10:49
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save ronnywang/28ac3cb040e3a34dad824fd0e6edf131 to your computer and use it in GitHub Desktop.
Save ronnywang/28ac3cb040e3a34dad824fd0e6edf131 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
full.txt
[00:00:00.000 --> 00:00:29.800] (音樂)
[00:00:29.800 --> 00:00:59.600] (音樂)
[00:00:59.600 --> 00:01:29.400] (音樂)
[00:01:29.400 --> 00:01:59.200] (音樂)
[00:01:59.200 --> 00:02:29.000] (音樂)
[00:02:29.000 --> 00:02:58.800] (音樂)
[00:02:58.800 --> 00:03:28.600] (音樂)
[00:03:28.600 --> 00:03:58.400] (音樂)
[00:03:58.400 --> 00:04:28.200] (音樂)
[00:04:28.200 --> 00:04:58.000] (音樂)
[00:04:58.000 --> 00:05:27.800] (音樂)
[00:05:27.800 --> 00:05:57.600] (音樂)
[00:05:57.600 --> 00:06:27.400] (音樂)
[00:06:27.400 --> 00:06:57.200] (音樂)
[00:06:57.200 --> 00:07:27.000] (音樂)
[00:07:27.000 --> 00:07:56.800] (音樂)
[00:07:56.800 --> 00:08:26.600] (音樂)
[00:08:26.600 --> 00:08:56.400] (音樂)
[00:08:56.400 --> 00:09:26.200] (音樂)
[00:09:26.200 --> 00:09:56.000] (音樂)
[00:09:56.000 --> 00:10:25.800] (音樂)
[00:10:25.800 --> 00:10:55.600] (音樂)
[00:10:55.600 --> 00:11:25.400] (音樂)
[00:11:25.400 --> 00:11:55.200] (音樂)
[00:11:55.200 --> 00:12:25.000] (音樂)
[00:12:25.000 --> 00:12:54.800] (音樂)
[00:12:54.800 --> 00:13:24.600] (音樂)
[00:13:24.600 --> 00:13:54.400] (音樂)
[00:13:54.400 --> 00:14:24.200] (音樂)
[00:14:24.200 --> 00:14:54.000] (音樂)
[00:14:54.000 --> 00:15:23.800] (音樂)
[00:15:23.800 --> 00:15:53.600] (音樂)
[00:15:53.600 --> 00:16:23.400] (音樂)
[00:16:23.400 --> 00:16:53.200] (音樂)
[00:16:53.200 --> 00:17:23.000] (音樂)
[00:17:23.000 --> 00:17:52.800] (音樂)
[00:17:52.800 --> 00:18:22.600] (音樂)
[00:18:22.600 --> 00:18:52.400] (音樂)
[00:18:52.400 --> 00:19:22.200] (音樂)
[00:19:22.200 --> 00:19:52.000] (音樂)
[00:19:52.000 --> 00:20:21.800] (音樂)
[00:20:21.800 --> 00:20:51.600] (音樂)
[00:20:51.600 --> 00:21:21.400] (音樂)
[00:21:21.400 --> 00:21:51.200] (音樂)
[00:21:51.200 --> 00:22:21.000] (音樂)
[00:22:21.000 --> 00:22:50.800] (音樂)
[00:22:50.800 --> 00:23:20.600] (音樂)
[00:23:20.600 --> 00:23:50.400] (音樂)
[00:23:50.400 --> 00:24:20.200] (音樂)
[00:24:20.200 --> 00:24:50.000] (音樂)
[00:24:50.000 --> 00:25:19.800] (音樂)
[00:25:19.800 --> 00:25:49.600] (音樂)
[00:25:49.600 --> 00:26:19.400] (音樂)
[00:26:19.400 --> 00:26:49.200] (音樂)
[00:26:49.200 --> 00:27:19.000] (音樂)
[00:27:19.000 --> 00:27:48.800] (音樂)
[00:27:48.800 --> 00:28:18.600] (音樂)
[00:28:18.600 --> 00:28:48.400] (音樂)
[00:28:48.400 --> 00:29:18.200] (音樂)
[00:29:18.200 --> 00:29:48.000] (音樂)
[00:29:48.000 --> 00:30:17.800] (音樂)
[00:30:17.800 --> 00:30:47.600] (音樂)
[00:30:47.600 --> 00:31:12.800] (音樂)
[00:31:12.800 --> 00:31:17.600] 好 出席委員已經逐法令人數現在開會
[00:31:17.600 --> 00:31:21.200] 請議事人員宣讀上次會議議事錄
[00:31:21.200 --> 00:31:26.000] 立法院第十屆第七會期交通委員會第十次全體委員會議事錄
[00:31:26.000 --> 00:31:31.200] 時間112年5月15日星期一 上午95分至11時48分
[00:31:31.200 --> 00:31:33.400] 地點本院紅樓201會議室
[00:31:33.400 --> 00:31:36.200] 出席委員蔡培惠委員等14人
[00:31:36.200 --> 00:31:38.800] 列席委員王美惠委員等10人
[00:31:38.800 --> 00:31:40.400] 請教委員邱顯智
[00:31:40.400 --> 00:31:45.000] 列席官員交通部政務次長陳彥博等相關人員
[00:31:45.000 --> 00:31:47.800] 主席許召集委員志杰
[00:31:47.800 --> 00:31:49.000] 報告事項
[00:31:49.000 --> 00:31:52.200] 一宣讀上次會議議事錄決定議事錄確定
[00:31:52.200 --> 00:31:54.800] 二 處理112年度
[00:31:54.800 --> 00:31:59.400] 中央政府總預算關於交通部主管預算凍結書面報告案
[00:31:59.400 --> 00:32:00.800] 計48案
[00:32:00.800 --> 00:32:06.400] 決定一 第一案至第48案均約已備查提報院會
[00:32:06.400 --> 00:32:10.000] 邀請交通部就意後國際航線規劃
[00:32:10.000 --> 00:32:13.200] 及全臺整體觀光行銷規劃及願景
[00:32:13.200 --> 00:32:15.400] 進行專題報告並被質詢
[00:32:15.400 --> 00:32:16.600] 討論事項
[00:32:16.600 --> 00:32:19.400] 審查112年度中央政府總預算
[00:32:19.400 --> 00:32:23.000] 關於交通部主管預算凍結書面報告案計3案
[00:32:23.000 --> 00:32:26.800] 本次會議專題報告與討論事項合併詢答
[00:32:26.800 --> 00:32:29.800] 由交通部政務次長陳彥博等報告後
[00:32:29.800 --> 00:32:32.600] 藉由委員洪孟凱等14人提出質詢
[00:32:32.600 --> 00:32:37.200] 均因交通部政務次長及相關人員分別予以答覆
[00:32:37.200 --> 00:32:39.600] 決定一 報告說明及尋找完畢
[00:32:39.600 --> 00:32:42.600] 二 委員張其露等二人所提書面質詢
[00:32:42.600 --> 00:32:44.600] 均列入記錄並刊登公報
[00:32:44.600 --> 00:32:48.600] 三 委員於質詢中要求提供相關書面資料
[00:32:48.600 --> 00:32:50.000] 或二級答覆部分
[00:32:50.000 --> 00:32:53.200] 請交通部儘速以書面答覆
[00:32:53.200 --> 00:32:55.000] 決議討論事項
[00:32:55.000 --> 00:32:59.000] 第一案至第三案均統一動資提報院會
[00:32:59.000 --> 00:33:00.600] 通過臨時提案一項
[00:33:00.600 --> 00:33:02.200] 宣讀完畢
[00:33:02.200 --> 00:33:04.200] 這個就是我們
[00:33:04.200 --> 00:33:11.800] 好 現在介紹在場委員 我們陳家華委員
[00:33:11.800 --> 00:33:16.200] 邱成元委員
[00:33:16.200 --> 00:33:19.800] 好 介紹在場官員
[00:33:19.800 --> 00:33:22.200] 數位發展部 我們唐鳳部長
[00:33:22.200 --> 00:33:23.800] 請坐
[00:33:23.800 --> 00:33:27.200] 任性建設師鄭明東師長
[00:33:27.200 --> 00:33:28.400] 師長請坐
[00:33:28.400 --> 00:33:30.200] 數位政府師
[00:33:30.200 --> 00:33:32.800] 王承明師長
[00:33:32.800 --> 00:33:34.000] 王師長請坐
[00:33:34.000 --> 00:33:37.800] 法治處張學文處長
[00:33:37.800 --> 00:33:39.600] 處長請坐
[00:33:39.600 --> 00:33:43.600] 資通安全署副署長林春瑩
[00:33:43.600 --> 00:33:45.400] 好 請坐
[00:33:45.400 --> 00:33:51.000] 數位產業署林俊秀副署長
[00:33:51.000 --> 00:33:52.200] 副署長請坐
[00:33:52.200 --> 00:33:57.400] 國家資通安全研究院何全德院長
[00:33:57.400 --> 00:33:59.200] 院長請坐
[00:33:59.200 --> 00:34:04.400] 產生部財政資訊中心張文西主任
[00:34:04.400 --> 00:34:06.200] 好 主任請坐
[00:34:06.200 --> 00:34:09.800] 法務部廖江縣參事
[00:34:09.800 --> 00:34:12.400] 好 廖參事請坐
[00:34:12.400 --> 00:34:17.600] 本日進行電子發票整合服務平台
[00:34:17.600 --> 00:34:20.600] 登入系統出現資安的缺失
[00:34:20.600 --> 00:34:23.000] 如何就全國政府部門
[00:34:23.000 --> 00:34:26.400] 各系統進行資安系統盤點及改善
[00:34:26.400 --> 00:34:34.800] 專題報告及資通安全管理法的審查
[00:34:34.800 --> 00:34:39.400] 現在請邱成遠委員
[00:34:39.400 --> 00:34:41.400] 請說明提案要紙
[00:34:41.400 --> 00:34:53.800] 好 謝謝主席還有我們唐鳳部長
[00:34:53.800 --> 00:34:56.800] 我想近來台灣發生多起重大
[00:34:56.800 --> 00:34:58.000] 各自外洩的事件
[00:34:58.000 --> 00:35:01.200] 嚴重影響國家社會及民眾的安全
[00:35:01.200 --> 00:35:04.600] 使得各自與資安成為社會重視的問題
[00:35:04.600 --> 00:35:06.600] 而資通安全管理法就是攸關
[00:35:06.600 --> 00:35:09.000] 我國資通安全的根本大法
[00:35:09.000 --> 00:35:13.200] 這一部法令雖然在107年6月才公布實行
[00:35:13.200 --> 00:35:17.600] 但是因為數位發展部在111年的8月才成立
[00:35:17.600 --> 00:35:20.400] 依據行政院去年8月24號公告
[00:35:20.400 --> 00:35:23.200] 本法有兩個主管機關
[00:35:23.200 --> 00:35:26.400] 部分條文已由數位發展部主管
[00:35:26.400 --> 00:35:29.400] 那另外的條文仍由行政院主管
[00:35:29.400 --> 00:35:30.800] 會不會造成雙頭馬車
[00:35:30.800 --> 00:35:32.200] 這是我們擔心的問題
[00:35:32.200 --> 00:35:35.000] 同時對照近期發生多起的政府
[00:35:35.000 --> 00:35:36.800] 內部各自外洩的事件
[00:35:36.800 --> 00:35:38.600] 至今沒有辦法釐清原因
[00:35:38.600 --> 00:35:42.600] 顯示這部法律還有很大檢討跟改進的空間
[00:35:42.600 --> 00:35:45.600] 很可惜今天並沒有行政院版的草案
[00:35:45.600 --> 00:35:47.600] 讓今天的審查美中不足
[00:35:47.600 --> 00:35:50.800] 也凸顯速發部至今的相關的定位
[00:35:50.800 --> 00:35:54.800] 還有所需要來去做討論的一個空間
[00:35:54.800 --> 00:35:57.000] 但是還是非常感謝
[00:35:57.000 --> 00:35:59.200] 這個我們交通委員會陳學生召委
[00:35:59.200 --> 00:36:02.600] 能夠將相關的草案排入審查的議程
[00:36:02.600 --> 00:36:05.200] 本黨團認為要完善各自的保護
[00:36:05.200 --> 00:36:09.000] 需要提升本法對於落實資通安全的要求
[00:36:09.000 --> 00:36:12.200] 資通安全應同時包括這個
[00:36:12.200 --> 00:36:14.200] information technology
[00:36:14.200 --> 00:36:16.400] 也就是IT的資訊技術
[00:36:16.400 --> 00:36:19.400] 以及Operational technology
[00:36:19.400 --> 00:36:22.200] 也是OT的操作技術兩個部分
[00:36:22.200 --> 00:36:26.400] 然而現有的法規的相關的規範
[00:36:26.400 --> 00:36:28.000] 僅偏重IT的部分
[00:36:28.000 --> 00:36:29.600] 缺乏對於操作技術
[00:36:29.600 --> 00:36:31.600] 也就是OT的詳細規範
[00:36:31.600 --> 00:36:34.600] 得使用在實際上的應用
[00:36:34.600 --> 00:36:37.000] 面對到許多的一個困難
[00:36:37.000 --> 00:36:39.600] 因此本黨團這次提出的修法草案
[00:36:39.600 --> 00:36:43.200] 主要是參考新加坡的網路安全法
[00:36:43.200 --> 00:36:44.600] 2018年的版本
[00:36:44.600 --> 00:36:48.600] 以及經濟部標檢局的CMS 66243
[00:36:48.600 --> 00:36:50.800] 國家標準的相關標準
[00:36:50.800 --> 00:36:55.000] 針對操作技術的一個風險
[00:36:55.000 --> 00:36:56.800] 也就是這個OT的部分
[00:36:56.800 --> 00:36:59.200] 做相關比較詳細的規範
[00:36:59.200 --> 00:37:01.200] 並增加有關資通安全風險
[00:37:01.200 --> 00:37:03.400] 評估標準的詳細規範
[00:37:03.400 --> 00:37:05.200] 另外也參考歐盟
[00:37:05.200 --> 00:37:07.200] 就是一般資料保護規定
[00:37:07.200 --> 00:37:09.600] 也是GDPR的一個規範
[00:37:09.600 --> 00:37:12.200] 來去做為納入的一個重點
[00:37:12.200 --> 00:37:13.400] 針對資料的傳輸
[00:37:13.400 --> 00:37:15.000] 以及資料管理者的義務
[00:37:15.000 --> 00:37:17.000] 來去進行相關的規範
[00:37:17.000 --> 00:37:18.800] 本黨團認為資通安全管理法
[00:37:18.800 --> 00:37:20.400] 應該要與時俱進
[00:37:20.400 --> 00:37:22.400] 速發部應該加速相關的法規
[00:37:22.400 --> 00:37:23.600] 跟政策的推動
[00:37:23.600 --> 00:37:25.400] 才能保障人民的權益
[00:37:25.400 --> 00:37:27.200] 並且要接軌國際
[00:37:27.200 --> 00:37:28.800] 以提升台灣的競爭力
[00:37:28.800 --> 00:37:30.000] 敬請大家支持
[00:37:30.000 --> 00:37:31.000] 謝謝大家
[00:37:31.000 --> 00:37:34.800] 好 謝謝邱存元委員
[00:37:34.800 --> 00:37:40.000] 好 上面請世衛部談部長報告
[00:37:41.000 --> 00:37:42.000] (一起來)
[00:37:42.000 --> 00:37:43.000] (一起)
[00:37:43.000 --> 00:37:45.000] 對 一起沒關係
[00:37:45.000 --> 00:37:54.000] 主席 各位委員 各位媒體朋友 大家好
[00:37:54.000 --> 00:37:57.000] 那我就先就就是
[00:37:57.000 --> 00:37:59.000] 貴委員會提出來就是
[00:37:59.000 --> 00:38:01.000] 財政部 財資中心
[00:38:01.000 --> 00:38:03.000] 電子發票 整合服務平台
[00:38:03.000 --> 00:38:06.000] 登入系統的資安缺失這部分報告
[00:38:06.000 --> 00:38:09.000] 然後再就是跟著做資安法
[00:38:09.000 --> 00:38:11.000] 提案修法的書面報告
[00:38:11.000 --> 00:38:13.000] 的一個簡要的口頭報告
[00:38:13.000 --> 00:38:16.000] 那大家知道就是最近
[00:38:16.000 --> 00:38:18.000] 媒體有報導就是
[00:38:18.000 --> 00:38:20.000] 財資中心電子發票整合服務平台
[00:38:20.000 --> 00:38:23.000] 有一些帳號使用相同的預設密碼
[00:38:23.000 --> 00:38:27.000] 那這個案子是民間的這個白帽駭客
[00:38:27.000 --> 00:38:30.000] 守望相助主動發現之後
[00:38:30.000 --> 00:38:34.000] 那透過我來聯絡我們的台灣電腦網路
[00:38:34.000 --> 00:38:36.000] 維基處理協調中心TWCCC
[00:38:36.000 --> 00:38:40.000] 那接下來TWC就立刻轉給本部的
[00:38:40.000 --> 00:38:42.000] 資安署來處理
[00:38:42.000 --> 00:38:45.000] 那資安署立即的研析財資中心確認應處之後
[00:38:45.000 --> 00:38:48.000] 就要求財政中心進行資安通報
[00:38:48.000 --> 00:38:50.000] 那我們後來也收到了資安通報
[00:38:50.000 --> 00:38:52.000] 那也督促相關的改善
[00:38:52.000 --> 00:38:55.000] 那比方說預設密碼應該要隨機產生
[00:38:55.000 --> 00:38:57.000] 不一定用相同的密碼
[00:38:57.000 --> 00:38:59.000] 以及如果還有人用相同密碼
[00:38:59.000 --> 00:39:00.000] 應該要強制更改
[00:39:00.000 --> 00:39:02.000] 以及要從單一的因子的認證
[00:39:02.000 --> 00:39:04.000] 變成雙因子認證等等
[00:39:04.000 --> 00:39:09.000] 那這些財政中心分別在5月11跟16都完成了
[00:39:09.000 --> 00:39:11.000] 剛剛講到這些變更
[00:39:11.000 --> 00:39:13.000] 那資安署也立刻進行抽測
[00:39:13.000 --> 00:39:17.000] 目前看起來財資是有完成這樣子的修改
[00:39:17.000 --> 00:39:20.000] 但是我想這個是一個例子
[00:39:20.000 --> 00:39:23.000] 那我們是希望說所有的部會
[00:39:23.000 --> 00:39:26.000] 所有縣市政府機關都應該要做盤點
[00:39:26.000 --> 00:39:28.000] 來避免同樣類型的事件
[00:39:28.000 --> 00:39:30.000] 所以在今天5月22號
[00:39:30.000 --> 00:39:33.000] 剛好是我們行政院國際安全會報
[00:39:33.000 --> 00:39:35.000] 那我們也有安排財政中心
[00:39:35.000 --> 00:39:38.000] 來報告這個事件的應處以及做法
[00:39:38.000 --> 00:39:40.000] 來精進資安的防護作為
[00:39:40.000 --> 00:39:44.000] 那我們接下來也會在機關的資安機構裡面
[00:39:44.000 --> 00:39:47.000] 把這個密碼合理性納入機構的項目
[00:39:47.000 --> 00:39:49.000] 來避免類似的情勢發生
[00:39:49.000 --> 00:39:51.000] 那這是這部分的報告
[00:39:51.000 --> 00:39:54.000] 那接下來就是剛剛也很感謝
[00:39:54.000 --> 00:39:56.000] 就是委員對於提案的說明
[00:39:56.000 --> 00:39:58.000] 我想資安法、修法這個是
[00:39:58.000 --> 00:40:00.000] 我們當然應該做的事情
[00:40:00.000 --> 00:40:02.000] 尤其是剛剛提到主管機關的調試
[00:40:02.000 --> 00:40:05.000] 就是整部法的主管機關應該是由
[00:40:05.000 --> 00:40:08.000] 我們數位部那以及我們資安所來負責
[00:40:08.000 --> 00:40:10.000] 那只有在涉及就是特定的
[00:40:10.000 --> 00:40:12.000] 像關鍵紀錄設施等等
[00:40:12.000 --> 00:40:14.000] 需要行政院來聯繫協調的部分
[00:40:14.000 --> 00:40:16.000] 那部分再請行政院來進行
[00:40:16.000 --> 00:40:18.000] 這個是沒有問題的
[00:40:18.000 --> 00:40:20.000] 那剛剛也提到說地方政府的部分
[00:40:20.000 --> 00:40:24.000] 因為我們現在就是在法律事項裡面
[00:40:24.000 --> 00:40:26.000] 我們的集合目前是沒有這個
[00:40:26.000 --> 00:40:29.000] 集合到地方政府裡面
[00:40:29.000 --> 00:40:31.000] 那這個就是牽涉到地方政府
[00:40:31.000 --> 00:40:33.000] 跟中央中間的權責關係
[00:40:33.000 --> 00:40:35.000] 那這部分我們也正在徵詢
[00:40:35.000 --> 00:40:37.000] 地方政府的意見來進行調試
[00:40:37.000 --> 00:40:39.000] 那事實上雖然說還沒有
[00:40:39.000 --> 00:40:41.000] 我們的版本送到行政院
[00:40:41.000 --> 00:40:43.000] 但是現在各個地方政府以及相關的部會
[00:40:43.000 --> 00:40:46.000] 也正在討論我們之前擬具的一些
[00:40:46.000 --> 00:40:50.000] 關於像特定非公務機關要增設資安長
[00:40:50.000 --> 00:40:52.000] 應職資安專責人員等等的這些
[00:40:52.000 --> 00:40:53.000] 我們提出來的事項
[00:40:53.000 --> 00:40:55.000] 那因為這次修法範圍比較大
[00:40:55.000 --> 00:40:57.000] 可能賴不及在這個會期
[00:40:57.000 --> 00:41:00.000] 送到這個行政院然後再交給立法院
[00:41:00.000 --> 00:41:03.000] 所以我們現在是會跑一個完整的期程
[00:41:03.000 --> 00:41:05.000] 包含預告六十天等等
[00:41:05.000 --> 00:41:07.000] 那希望能夠在今年結束前
[00:41:07.000 --> 00:41:08.000] 有一個願望
[00:41:08.000 --> 00:41:10.000] 希望有回答到剛剛大家的錘詢
[00:41:10.000 --> 00:41:12.000] 謝謝
[00:41:12.000 --> 00:41:18.000] 好 謝謝唐鳳部長
[00:41:18.000 --> 00:41:22.000] 上次會議的醫師錄
[00:41:22.000 --> 00:41:24.000] 對醫師錄各位委員有沒有意見
[00:41:24.000 --> 00:41:27.000] 沒有意見醫師錄確定
[00:41:29.000 --> 00:41:32.000] 請林楚英委員提案說明
[00:41:32.000 --> 00:41:41.000] 謝謝主席
[00:41:41.000 --> 00:41:44.000] 本席將就資安資通安全管理
[00:41:44.000 --> 00:41:47.000] 辦法第十一條修正案進行提案說明
[00:41:47.000 --> 00:41:50.000] 我們都知道其實資訊安全是越來越重要
[00:41:50.000 --> 00:41:53.000] 我們的政府部門每個月平均受到
[00:41:53.000 --> 00:41:55.000] 五到八萬件的外來攻擊
[00:41:55.000 --> 00:41:56.000] 而去年八月
[00:41:56.000 --> 00:41:59.000] 美國前議長培洛西來台的時候
[00:41:59.000 --> 00:42:02.000] 更是多達到十萬件
[00:42:02.000 --> 00:42:06.000] 那麼超過了平日單日被攻擊的二十三倍之多
[00:42:06.000 --> 00:42:09.000] 所以公務機關在資訊安全被駭客攻擊
[00:42:09.000 --> 00:42:12.000] 現在的抵擋能力確實是非常的重要
[00:42:12.000 --> 00:42:15.000] 所以公務機關必須具有紮實的防禦能力
[00:42:15.000 --> 00:42:18.000] 才能阻擋來自於四面八方的五行攻擊
[00:42:18.000 --> 00:42:21.000] 那麼現任有關於資安法第十一條
[00:42:21.000 --> 00:42:23.000] 公務機關應設置資安長
[00:42:23.000 --> 00:42:26.000] 由機關首長指派副首長
[00:42:26.000 --> 00:42:29.000] 或是市任人員來兼任
[00:42:29.000 --> 00:42:33.000] 推動及監督機關內資通安全相關的事務
[00:42:33.000 --> 00:42:35.000] 這是法條上面規定
[00:42:35.000 --> 00:42:40.000] 但是卻沒有明文來要求資安長的專業能力
[00:42:40.000 --> 00:42:43.000] 我認為這是在人事上面當中
[00:42:43.000 --> 00:42:45.000] 一個非常嚴重的漏洞
[00:42:45.000 --> 00:42:49.000] 資安長是公務機關的資安部門的最高決策首長
[00:42:49.000 --> 00:42:51.000] 那我國政府部門現任的資安長
[00:42:51.000 --> 00:42:54.000] 幾乎都是指派副首長來擔任
[00:42:54.000 --> 00:42:56.000] 那麼政府部門的副首長
[00:42:56.000 --> 00:42:59.000] 是一定具備有該部門的專業知識
[00:42:59.000 --> 00:43:04.000] 但是未必受過資安相關訓練或者是課程
[00:43:04.000 --> 00:43:08.000] 所以要負責資訊安全這種日新月異
[00:43:08.000 --> 00:43:13.000] 尤其不論是駭客來自於四面八方
[00:43:13.000 --> 00:43:16.000] 而且日新月異的科技攻擊的時候
[00:43:16.000 --> 00:43:18.000] 那麼重大的資安事件
[00:43:18.000 --> 00:43:20.000] 遇到緊急狀況要處理的時候
[00:43:20.000 --> 00:43:23.000] 一定都要請示最高首長
[00:43:23.000 --> 00:43:25.000] 這樣的一個狀況底下
[00:43:25.000 --> 00:43:28.000] 本席認為必須在明文規定上面
[00:43:28.000 --> 00:43:30.000] 把資安長的條件
[00:43:30.000 --> 00:43:34.000] 必須要做一個更有制度化的劃分
[00:43:34.000 --> 00:43:38.000] 本席建議我們可以接近歐盟資安長的認證制度
[00:43:38.000 --> 00:43:42.000] 要求資安長必須具備資安的核心知識
[00:43:42.000 --> 00:43:45.000] 才能妥善規劃並落實資安政策
[00:43:45.000 --> 00:43:49.000] 那麼促發部已經完整的有人才培育的課程
[00:43:49.000 --> 00:43:53.000] 並定期會公布資安專業認證的單位
[00:43:53.000 --> 00:43:56.000] 如果法規上路有了配套完備
[00:43:56.000 --> 00:43:59.000] 我認為我國在資安的部分可以更進一完備
[00:43:59.000 --> 00:44:01.000] 那麼是以上本席的報告
[00:44:01.000 --> 00:44:05.000] 也希望能夠獲得在場委員以及主席的認可
[00:44:05.000 --> 00:44:06.000] 謝謝
[00:44:06.000 --> 00:44:13.000] 好 謝謝林主任委員的提案說明
[00:44:13.000 --> 00:44:17.000] 下面請財政部張主任報告
[00:44:17.000 --> 00:44:18.000] 請
[00:44:18.000 --> 00:44:27.000] 主席各位委員先進
[00:44:27.000 --> 00:44:29.000] 大家好 今天衛委會安排說明
[00:44:29.000 --> 00:44:32.000] 有關電子發票整合服務平台的資安缺失
[00:44:32.000 --> 00:44:36.000] 就全國政府部門進行系統
[00:44:36.000 --> 00:44:39.000] 資安系統盤點改善部分進行專業報告
[00:44:39.000 --> 00:44:43.000] 以下請就本部電子發票整合服務平台的部分
[00:44:43.000 --> 00:44:45.000] 弱點改善的說明
[00:44:45.000 --> 00:44:47.000] 如下進行指教
[00:44:47.000 --> 00:44:52.000] 這個平台本來是主要是提供營利事業
[00:44:52.000 --> 00:44:56.000] 針對所開立的電子發票純正跟查詢的服務
[00:44:56.000 --> 00:45:00.000] 主要是供應帳戶跟營業稅的申報所使用
[00:45:00.000 --> 00:45:02.000] 在今年的5月10號的時候
[00:45:02.000 --> 00:45:04.000] 接獲民眾反映
[00:45:04.000 --> 00:45:09.000] 到台灣電腦網路危機協調中心這邊
[00:45:09.000 --> 00:45:13.000] 說明平台配附的預設密碼
[00:45:13.000 --> 00:45:15.000] 是否會弱密碼
[00:45:15.000 --> 00:45:19.000] 並沒有強制變更就可以登入有資安疑慮
[00:45:19.000 --> 00:45:21.000] 所以中心這邊就立即做改善
[00:45:21.000 --> 00:45:25.000] 首先進行這個平台帳號的清查
[00:45:25.000 --> 00:45:35.000] 就要求使用營利事業單位進行密碼的變更
[00:45:35.000 --> 00:45:37.000] 那我們處理方式
[00:45:37.000 --> 00:45:42.000] 像營利事業登入的密碼改為隨機產生
[00:45:42.000 --> 00:45:44.000] 從5月11號開始
[00:45:44.000 --> 00:45:48.000] 就把這個預設密碼的長度加長變為12位
[00:45:48.000 --> 00:45:52.000] 的英文跟數字的亂數組合的密碼
[00:45:52.000 --> 00:45:57.000] 另外是強制營利事業變更預設登入的密碼
[00:45:57.000 --> 00:46:02.000] 在13號起針對這個平台配發的預設密碼
[00:46:02.000 --> 00:46:05.000] 在登入後就是強制立即變更
[00:46:05.000 --> 00:46:08.000] 同時在16號起5月16號起
[00:46:08.000 --> 00:46:12.000] 輸入第二的英尺才能變更預設密碼的
[00:46:12.000 --> 00:46:15.000] 藉以阻擋就有預設密碼的登入
[00:46:15.000 --> 00:46:18.000] 同時我們也增加了這個顯示登入紀錄
[00:46:18.000 --> 00:46:21.000] 在營利事業登入之後
[00:46:21.000 --> 00:46:24.000] 在操作畫面就會顯示上次登入的時間
[00:46:24.000 --> 00:46:26.000] 讓營利事業能夠方便查證
[00:46:26.000 --> 00:46:31.000] 同時我們也選擇以電子郵件登入通知這個情況
[00:46:31.000 --> 00:46:36.000] 讓營利事業能夠了解自己登入帳號的情況
[00:46:36.000 --> 00:46:38.000] 後續進行的作為是
[00:46:38.000 --> 00:46:42.000] 我們目前在針對營利事業每90日
[00:46:42.000 --> 00:46:45.000] 就需要選擇變更或保留原登入密碼
[00:46:45.000 --> 00:46:51.000] 來確認這件密碼的安全性
[00:46:51.000 --> 00:46:54.000] 提供營業人調閱相關的紀錄
[00:46:54.000 --> 00:46:58.000] 後續新生新者會以加密的附件
[00:46:58.000 --> 00:47:01.000] 來發送相關的密碼
[00:47:01.000 --> 00:47:05.000] 這就要解決自從民眾發現這些預設密碼
[00:47:05.000 --> 00:47:07.000] 的這個資安風險之後
[00:47:07.000 --> 00:47:12.000] 中信這邊就緊急採取應變措施
[00:47:12.000 --> 00:47:14.000] 立刻修補這個系統
[00:47:14.000 --> 00:47:17.000] 落密碼的這個缺失
[00:47:17.000 --> 00:47:20.000] 那所幸的是目前沒有
[00:47:20.000 --> 00:47:22.000] 因為目前這個系統沒有
[00:47:22.000 --> 00:47:24.000] 任何個人資料外洩的情勢
[00:47:24.000 --> 00:47:27.000] 也沒有接獲營利事業反應資料外洩
[00:47:27.000 --> 00:47:29.000] 洩漏的情勢
[00:47:29.000 --> 00:47:33.000] 那我們會持續關注並及時組織回應
[00:47:33.000 --> 00:47:36.000] 以上說明進行各位委員會議指教 謝謝
[00:47:36.000 --> 00:47:44.000] 好 謝謝財政部張主任
[00:47:44.000 --> 00:47:46.000] 現在進行巡達
[00:47:46.000 --> 00:47:48.000] 先宣告以下事項
[00:47:48.000 --> 00:47:51.000] 巡達時間初期委員5+1分鐘
[00:47:51.000 --> 00:47:53.000] 列席委員3+1分鐘
[00:47:53.000 --> 00:47:57.000] 委員發言登記截止10點30分截止
[00:47:57.000 --> 00:48:00.000] 各位委員如果有提案請在10點前
[00:48:00.000 --> 00:48:03.000] 提出來以便議事員會診
[00:48:03.000 --> 00:48:06.000] 暫定10點30分休息10分鐘
[00:48:06.000 --> 00:48:08.000] 中午原則上不休息
[00:48:08.000 --> 00:48:11.000] 現在請登記第一位陳教華委員發言
[00:48:11.000 --> 00:48:19.000] 謝謝主席
[00:48:19.000 --> 00:48:21.000] 請部長
[00:48:21.000 --> 00:48:25.000] 財政部這邊的主任
[00:48:25.000 --> 00:48:27.000] 好 謝謝
[00:48:27.000 --> 00:48:32.000] 委員好
[00:48:32.000 --> 00:48:34.000] 部長好
[00:48:34.000 --> 00:48:37.000] 部長我剛看你的這個報告非常的簡單
[00:48:37.000 --> 00:48:40.000] 就是好像結論就是
[00:48:40.000 --> 00:48:46.000] 速發部請財政部加強這個督導
[00:48:46.000 --> 00:48:51.000] 那請問我們在電子發票平台資安漏洞
[00:48:51.000 --> 00:48:54.000] 這個部分我們在查核的時候
[00:48:54.000 --> 00:48:56.000] 有發現這個問題嗎
[00:48:56.000 --> 00:48:59.000] 謝謝委員讓我有機會說明
[00:48:59.000 --> 00:49:01.000] 我剛剛說明報告有說請
[00:49:01.000 --> 00:49:05.000] 我們的財政中心在今天的資安長會議裡面
[00:49:05.000 --> 00:49:07.000] 把這個當作類似一個教案
[00:49:07.000 --> 00:49:08.000] 讓大家知道
[00:49:08.000 --> 00:49:11.000] 那我們也之後會把它納入我們的集合的項目裡面
[00:49:11.000 --> 00:49:14.000] 就是說以後才要集合
[00:49:14.000 --> 00:49:17.000] 那目前就是速發部
[00:49:17.000 --> 00:49:21.000] 或者是行政院之前的資通匯報這邊
[00:49:21.000 --> 00:49:25.000] 沒有針對相關的財政部
[00:49:25.000 --> 00:49:29.000] 我們所負責的這個業務做集合
[00:49:29.000 --> 00:49:30.000] 是不是
[00:49:30.000 --> 00:49:31.000] 我們之前的集合項目裡面
[00:49:31.000 --> 00:49:33.000] 比較沒有特別去看說
[00:49:33.000 --> 00:49:35.000] 他的這個密碼的
[00:49:35.000 --> 00:49:37.000] 就是當然我們有
[00:49:37.000 --> 00:49:39.000] 其實他有密碼管理等等的制度
[00:49:39.000 --> 00:49:41.000] 但是像這個特定的樣態
[00:49:41.000 --> 00:49:43.000] 就是他所有人的預設密碼
[00:49:43.000 --> 00:49:45.000] 在某些條件上沒有納進去
[00:49:45.000 --> 00:49:47.000] 沒有集合嘛
[00:49:47.000 --> 00:49:49.000] 有集合但是這個之前就是這個太陽
[00:49:49.000 --> 00:49:50.000] 沒有集合到這個樣態嘛
[00:49:50.000 --> 00:49:53.000] 那請問到底還有多少樣態
[00:49:53.000 --> 00:49:57.000] 我們速發部可以預見就是還沒有集合到
[00:49:57.000 --> 00:50:00.000] 當然就是以密碼來講
[00:50:00.000 --> 00:50:02.000] 是出事了才知道嗎
[00:50:02.000 --> 00:50:03.000] 我們以密碼來講
[00:50:03.000 --> 00:50:05.000] 我們其實今年跟明年
[00:50:05.000 --> 00:50:07.000] 我們就是要全面推行所謂零星任
[00:50:07.000 --> 00:50:09.000] 就是不要再只用密碼來做認證
[00:50:09.000 --> 00:50:11.000] 所以應該所有相關的
[00:50:11.000 --> 00:50:13.000] 單純用密碼單因素的樣態
[00:50:13.000 --> 00:50:14.000] 應該都可以對峙
[00:50:14.000 --> 00:50:16.000] 本行是認為就是
[00:50:16.000 --> 00:50:18.000] 如果速發部從
[00:50:18.000 --> 00:50:21.000] 我們接續發生這麼多
[00:50:21.000 --> 00:50:23.000] 資安的漏洞
[00:50:23.000 --> 00:50:25.000] 像電子發票平台
[00:50:25.000 --> 00:50:28.000] 還有公務機關2016年到現在的
[00:50:28.000 --> 00:50:31.000] 拔起重大個資外洩
[00:50:31.000 --> 00:50:35.000] 還有1789間上市櫃公司
[00:50:35.000 --> 00:50:37.000] 超過7%
[00:50:37.000 --> 00:50:39.000] 都有用這個預設密碼
[00:50:39.000 --> 00:50:43.000] 所以至少130家上市櫃公司有受到影響
[00:50:43.000 --> 00:50:46.000] 然後國營事業還有監督法人
[00:50:46.000 --> 00:50:49.000] 也都出現同樣的問題
[00:50:49.000 --> 00:50:51.000] 那今天就是
[00:50:51.000 --> 00:50:54.000] 速發部是身為統籌的
[00:50:54.000 --> 00:50:56.000] 那現在看起來就是好像是
[00:50:56.000 --> 00:50:59.000] 被動在解決資安問題而已
[00:50:59.000 --> 00:51:04.000] 所以部長你怎麼樣能夠負責任交代說
[00:51:04.000 --> 00:51:07.000] 你能夠除了今天這種樣態之外呢
[00:51:07.000 --> 00:51:09.000] 還有哪些樣態
[00:51:09.000 --> 00:51:11.000] 不只是財政部
[00:51:11.000 --> 00:51:14.000] 其他部會的這些資安的機何
[00:51:14.000 --> 00:51:17.000] 還沒有找出該機何
[00:51:17.000 --> 00:51:19.000] 還沒有機何的
[00:51:19.000 --> 00:51:20.000] 好謝謝委員
[00:51:20.000 --> 00:51:21.000] 很好的問題喔
[00:51:21.000 --> 00:51:23.000] 我想我們的工作
[00:51:23.000 --> 00:51:25.000] 不是只是事後的應變跟處置
[00:51:25.000 --> 00:51:27.000] 我們也要在事前
[00:51:27.000 --> 00:51:29.000] 去建立一些共通的原件
[00:51:29.000 --> 00:51:31.000] 有點像防火艦才的認證這樣子
[00:51:31.000 --> 00:51:33.000] 然後並且透過巡檢的方式
[00:51:33.000 --> 00:51:35.000] 去預先知道說哪些
[00:51:35.000 --> 00:51:36.000] 好預先知道
[00:51:36.000 --> 00:51:37.000] 那本席問你
[00:51:37.000 --> 00:51:39.000] 如果我們最近發現
[00:51:39.000 --> 00:51:41.000] 中國華大基因
[00:51:41.000 --> 00:51:44.000] 我們現在很多醫院都用他們的機台
[00:51:44.000 --> 00:51:45.000] 那我們很多國人
[00:51:45.000 --> 00:51:48.000] 包括做健康檢查的檢體
[00:51:48.000 --> 00:51:50.000] 或者是有檢驗的檢體
[00:51:50.000 --> 00:51:52.000] 那這些基因的個資
[00:51:52.000 --> 00:51:56.000] 我們怎麼去防堵不會被查緝
[00:51:56.000 --> 00:51:57.000] 不會被對方
[00:51:57.000 --> 00:52:00.000] 或者是這些基因庫的資料
[00:52:00.000 --> 00:52:02.000] 都流到中國去了
[00:52:02.000 --> 00:52:05.000] 那我們怎麼防堵這個外洩
[00:52:05.000 --> 00:52:07.000] 那目前主管機關跟速發部
[00:52:07.000 --> 00:52:09.000] 我們要怎麼主動來
[00:52:09.000 --> 00:52:11.000] 做好這個防堵的作業
[00:52:11.000 --> 00:52:14.000] 是 謝謝委員的詢問
[00:52:14.000 --> 00:52:16.000] 當然在我們公務機關
[00:52:16.000 --> 00:52:18.000] 關於基礎設施裡面
[00:52:18.000 --> 00:52:20.000] 危害產品不管硬體問題還是服務
[00:52:20.000 --> 00:52:22.000] 原則上是禁止使用
[00:52:22.000 --> 00:52:25.000] 那如果就是沒有特別的替代品
[00:52:25.000 --> 00:52:28.000] 然後而且可以確保說
[00:52:28.000 --> 00:52:30.000] 它是在不聯網的情況下操作的話
[00:52:30.000 --> 00:52:33.000] 那可以經過資安長簽合來使用
[00:52:33.000 --> 00:52:35.000] 我是針對這個案子
[00:52:35.000 --> 00:52:37.000] 那部長你要回答我
[00:52:37.000 --> 00:52:38.000] 我們中國華大基因
[00:52:38.000 --> 00:52:40.000] 現在非常多機台在
[00:52:40.000 --> 00:52:43.000] 各個醫院甚至研究單位
[00:52:43.000 --> 00:52:45.000] 甚至我們公家單位都有
[00:52:45.000 --> 00:52:46.000] 那怎麼去查緝
[00:52:46.000 --> 00:52:48.000] 那你可以給本席一個書面報告嗎
[00:52:48.000 --> 00:52:51.000] 當然我們會當然會去了解
[00:52:51.000 --> 00:52:53.000] 因為這個是衛福部
[00:52:53.000 --> 00:52:54.000] 本身來做盤點
[00:52:54.000 --> 00:52:56.000] 那我們會在技術上面去給知人
[00:52:56.000 --> 00:52:58.000] 好 我們不要等
[00:52:58.000 --> 00:53:00.000] 很多人的基因的資料
[00:53:00.000 --> 00:53:01.000] 都被人家拿走了
[00:53:01.000 --> 00:53:05.000] 而且現在在修那個再生醫療法
[00:53:05.000 --> 00:53:07.000] 其實未來的基因的這個檢測
[00:53:07.000 --> 00:53:10.000] 這些資料甚至要移植
[00:53:10.000 --> 00:53:13.000] 甚至要做細胞治療都有相關性
[00:53:13.000 --> 00:53:16.000] 那請書發部重視這個問題
[00:53:16.000 --> 00:53:18.000] 謝謝委員提醒 謝謝
[00:53:18.000 --> 00:53:20.000] 好 那再來我們知道就是
[00:53:20.000 --> 00:53:23.000] 資安就是國安嘛
[00:53:23.000 --> 00:53:26.000] 那我們也希望不要變成是一個口號
[00:53:26.000 --> 00:53:27.000] 那有一位網友
[00:53:27.000 --> 00:53:29.000] 他在陳品書店買了
[00:53:29.000 --> 00:53:31.000] 阿貢打來怎麼辦一書
[00:53:31.000 --> 00:53:32.000] 沒想到隨後
[00:53:32.000 --> 00:53:35.000] 阿貢就真的打電話打來了
[00:53:35.000 --> 00:53:37.000] 真的打來了
[00:53:37.000 --> 00:53:39.000] 那該名網友表示
[00:53:39.000 --> 00:53:43.000] 他自稱是陳品回訪的詐騙電話
[00:53:43.000 --> 00:53:45.000] 甚至頻頻強調
[00:53:45.000 --> 00:53:48.000] 中國武統是必然等統戰的言論
[00:53:48.000 --> 00:53:52.000] 那書發部產業署16號早上
[00:53:52.000 --> 00:53:54.000] 有會同資安院策會
[00:53:54.000 --> 00:53:56.000] 跟內政部警政署
[00:53:56.000 --> 00:53:58.000] 有組成一個行政調查小組
[00:53:58.000 --> 00:54:02.000] 前往陳品去進行實地行政訪查
[00:54:02.000 --> 00:54:04.000] 那部長請問這個
[00:54:04.000 --> 00:54:07.000] 個案涉及後段的認知作戰問題
[00:54:07.000 --> 00:54:10.000] 個資的外洩途徑及相關情形
[00:54:10.000 --> 00:54:12.000] 書發部有釐清了嗎
[00:54:12.000 --> 00:54:15.000] 是 謝謝委員讓我們有機會說明
[00:54:15.000 --> 00:54:18.000] 我們現在就是按照重大矚目程序
[00:54:18.000 --> 00:54:19.000] 三天之內調查
[00:54:19.000 --> 00:54:20.000] 十天之內做報告
[00:54:20.000 --> 00:54:22.000] 那十四天之內做出處分
[00:54:22.000 --> 00:54:24.000] 那這個處分也會對外公開
[00:54:24.000 --> 00:54:27.000] 那至於你提到行政調查的部分
[00:54:27.000 --> 00:54:30.000] 我們是不是請陳業書的同仁簡單說明
[00:54:30.000 --> 00:54:33.000] 跟委員報告
[00:54:33.000 --> 00:54:35.000] 我們會遵照剛部長講的
[00:54:35.000 --> 00:54:37.000] 那個重大矚目的程序
[00:54:37.000 --> 00:54:39.000] 就是十天內會出報告
[00:54:39.000 --> 00:54:41.000] 十四天內行政諾為開會說明
[00:54:41.000 --> 00:54:43.000] 那請問這樣的問題認知作戰
[00:54:43.000 --> 00:54:45.000] 包括這樣的電話
[00:54:45.000 --> 00:54:48.000] 還有包括我們知道刑事警察局
[00:54:48.000 --> 00:54:52.000] 公布2022年高風險賣場的排名
[00:54:52.000 --> 00:54:54.000] 依序是柏克萊網路書店
[00:54:54.000 --> 00:54:58.000] 旋轉拍賣蝦皮成品及迪卡龍等
[00:54:58.000 --> 00:55:01.000] 那對於疑似各自外洩的電商刑事局
[00:55:01.000 --> 00:55:04.000] 有會同速發部去
[00:55:04.000 --> 00:55:08.000] 就是資安訪談提供相關的資源
[00:55:08.000 --> 00:55:10.000] 那到今天為止
[00:55:10.000 --> 00:55:12.000] 速發部有接到刑事局函送
[00:55:12.000 --> 00:55:16.000] 有幾家到底有幾家綜合性的電商
[00:55:16.000 --> 00:55:18.000] 又做了幾家行政訪查
[00:55:18.000 --> 00:55:20.000] 那裁罰是不是還是掛鈴
[00:55:20.000 --> 00:55:22.000] 我們請陳業書
[00:55:22.000 --> 00:55:23.000] 有裁罰嗎
[00:55:23.000 --> 00:55:25.000] 目前沒有
[00:55:25.000 --> 00:55:27.000] 那如果部長
[00:55:27.000 --> 00:55:30.000] 如果我們現在都是只停留在
[00:55:30.000 --> 00:55:32.000] 行政查查也不罰
[00:55:32.000 --> 00:55:35.000] 那這些像蝦皮旋轉拍賣
[00:55:35.000 --> 00:55:38.000] 一直是刑事局的榜上有名
[00:55:38.000 --> 00:55:40.000] 那險件改善的還是很大的資安漏洞
[00:55:40.000 --> 00:55:43.000] 那到底這個要怎麼來處理呢
[00:55:43.000 --> 00:55:46.000] 因為就是新版的各自發修法
[00:55:46.000 --> 00:55:48.000] 大院已經三度通過
[00:55:48.000 --> 00:55:50.000] 所以在之後我們不會說
[00:55:50.000 --> 00:55:52.000] 只是查查沒有改善裁罰
[00:55:52.000 --> 00:55:54.000] 事實上如果我們確定是他所洩漏的
[00:55:54.000 --> 00:55:55.000] 也就會先罰喔
[00:55:55.000 --> 00:55:57.000] 然後再進行改善的要求
[00:55:57.000 --> 00:55:58.000] 好不好意思
[00:55:58.000 --> 00:56:00.000] 財政部剛剛第一個問題
[00:56:00.000 --> 00:56:01.000] 忘了請你回答
[00:56:01.000 --> 00:56:02.000] 請你回答一下
[00:56:02.000 --> 00:56:05.000] 目前財政部在積合的情況
[00:56:05.000 --> 00:56:07.000] 我們到底為什麼這樣漏洞
[00:56:07.000 --> 00:56:08.000] 那積合幾次
[00:56:08.000 --> 00:56:10.000] 為什麼都沒有發現
[00:56:10.000 --> 00:56:11.000] 我們分成報告委員
[00:56:11.000 --> 00:56:14.000] 就是分合定期積合跟專案積合
[00:56:14.000 --> 00:56:16.000] 那平常我們本來的積合就是
[00:56:16.000 --> 00:56:18.000] 每半年就會一次
[00:56:18.000 --> 00:56:19.000] 定期的積合
[00:56:19.000 --> 00:56:21.000] 那但是因為這個密碼的部分
[00:56:21.000 --> 00:56:24.000] 平常在這個
[00:56:24.000 --> 00:56:27.000] 我們是會要求使用者
[00:56:27.000 --> 00:56:29.000] 去變更他的密碼
[00:56:29.000 --> 00:56:30.000] 但是沒有去積合
[00:56:30.000 --> 00:56:32.000] 他是不是真的有變更
[00:56:32.000 --> 00:56:35.000] 那這個範圍是主要發生在說
[00:56:35.000 --> 00:56:37.000] 這個營利事業單位
[00:56:37.000 --> 00:56:41.000] 沒有使用公章憑證的這個使用單位
[00:56:41.000 --> 00:56:44.000] 其實實際上有80%的營利事業使用
[00:56:44.000 --> 00:56:47.000] 營利事業者是使用公章憑證
[00:56:47.000 --> 00:56:48.000] 那這些為了
[00:56:48.000 --> 00:56:50.000] 當時為了鼓勵大家使用電子發電
[00:56:50.000 --> 00:56:51.000] 大家使用電子發票
[00:56:51.000 --> 00:56:53.000] 對於不願意申請公章憑證的時候
[00:56:53.000 --> 00:56:57.000] 我們請他到國稅局開立帳號密碼
[00:56:57.000 --> 00:56:59.000] 是這一部分的這個業者
[00:56:59.000 --> 00:57:03.000] 才會發生在設立帳號密碼的這個問題
[00:57:03.000 --> 00:57:06.000] 主任這個樣態其實已經蠻嚴重了
[00:57:06.000 --> 00:57:09.000] 那請問我們財政部針對這些
[00:57:09.000 --> 00:57:11.000] 還有沒有積合到的樣態
[00:57:11.000 --> 00:57:15.000] 是不是可以趕快密集的來做查查
[00:57:15.000 --> 00:57:16.000] 報告委員
[00:57:16.000 --> 00:57:18.000] 目前我們已經有做全面的清查
[00:57:18.000 --> 00:57:22.000] 針對這個常用的這個弱密碼的樣態
[00:57:22.000 --> 00:57:24.000] 會進行檢核
[00:57:24.000 --> 00:57:27.000] 然後也會強制他們進行變更
[00:57:27.000 --> 00:57:28.000] 主席抱歉再給我一分鐘
[00:57:28.000 --> 00:57:30.000] 部長再請問一下
[00:57:30.000 --> 00:57:32.000] 在先前有質詢的時候
[00:57:32.000 --> 00:57:34.000] 那時候次長是有回答
[00:57:34.000 --> 00:57:37.000] 我們如果有各自外洩的問題
[00:57:37.000 --> 00:57:41.000] 是第一時間通報數位部督導的財團法人
[00:57:41.000 --> 00:57:44.000] TWNIC就是網路資訊中心
[00:57:44.000 --> 00:57:45.000] 是這樣嗎
[00:57:45.000 --> 00:57:48.000] 目前是各自的這個督導
[00:57:48.000 --> 00:57:51.000] 就是第一時間我們是去通知
[00:57:51.000 --> 00:57:54.000] 不是 是財團法人機單位嗎
[00:57:54.000 --> 00:57:57.000] 這個是電腦網路危機處理機協調中心
[00:57:57.000 --> 00:57:59.000] TWSRC
[00:57:59.000 --> 00:58:02.000] 那這支計畫目前是確實是在TWNIC底下
[00:58:02.000 --> 00:58:05.000] 那在之後明年我們正在規劃
[00:58:05.000 --> 00:58:07.000] 看是不是整併到資安院裡頭
[00:58:07.000 --> 00:58:10.000] 我之前好像有請質詢部長
[00:58:10.000 --> 00:58:13.000] 部長是回答是資安院
[00:58:13.000 --> 00:58:16.000] 那現在是改由這兩個財團法人嗎
[00:58:16.000 --> 00:58:18.000] 不是 您剛剛提到的是
[00:58:18.000 --> 00:58:20.000] 發聲的時候來釐清它是不是
[00:58:20.000 --> 00:58:21.000] 那他們現在
[00:58:21.000 --> 00:58:24.000] 要去行政調查那個就是資安院了
[00:58:24.000 --> 00:58:27.000] 好 那他們現在有收到多少件通報
[00:58:27.000 --> 00:58:31.000] TWSRC收到的通報不一定都跟各自有關
[00:58:31.000 --> 00:58:33.000] 那我們現在實際上收到
[00:58:33.000 --> 00:58:35.000] 中大矚目的案件
[00:58:35.000 --> 00:58:37.000] 目前大概十幾件吧
[00:58:37.000 --> 00:58:39.000] 就是各自的部分有十幾件
[00:58:39.000 --> 00:58:41.000] 那執行是由誰來執行
[00:58:41.000 --> 00:58:43.000] 就是由主管機關
[00:58:43.000 --> 00:58:45.000] 因為目前還沒有獨立的各自會
[00:58:45.000 --> 00:58:47.000] 那這個當然委員知道
[00:58:47.000 --> 00:58:49.000] 已經就是新的各自法裡面提到
[00:58:49.000 --> 00:58:50.000] 會有獨立各自會
[00:58:50.000 --> 00:58:51.000] 但是還沒有的情況下
[00:58:51.000 --> 00:58:53.000] 目前就是像之前
[00:58:53.000 --> 00:58:56.000] 微風的實體的部分就是經濟部
[00:58:56.000 --> 00:58:58.000] 格上就是交通部
[00:58:58.000 --> 00:59:00.000] 那無電面領事就是我們產業署
[00:59:00.000 --> 00:59:02.000] 部長 我是認為就是我們
[00:59:02.000 --> 00:59:05.000] 數發部成立我們很多業務資安署
[00:59:05.000 --> 00:59:09.000] 資安署是由我們原來的行政院
[00:59:09.000 --> 00:59:11.000] 資安會報對不對
[00:59:11.000 --> 00:59:12.000] 對 它是幫忙公布
[00:59:12.000 --> 00:59:13.000] 你轉過來
[00:59:13.000 --> 00:59:15.000] 但是現在資安外洩問題這麼嚴重
[00:59:15.000 --> 00:59:17.000] 而且各個部會這個
[00:59:17.000 --> 00:59:19.000] 這個有可能資安洩漏的
[00:59:19.000 --> 00:59:20.000] 這個樣態非常多
[00:59:20.000 --> 00:59:24.000] 你有把握 你有信心你能做得好嗎
[00:59:24.000 --> 00:59:27.000] 因為現在本席真的也對你沒信心了
[00:59:27.000 --> 00:59:29.000] 我想事後的應處
[00:59:29.000 --> 00:59:31.000] 當然是必須要持續做
[00:59:31.000 --> 00:59:33.000] 但最重要就是事前的巡檢
[00:59:33.000 --> 00:59:34.000] 就像剛剛講到的
[00:59:34.000 --> 00:59:36.000] 如果是之前巡檢的時候
[00:59:36.000 --> 00:59:38.000] 對 那你巡檢樣態沒有發現
[00:59:38.000 --> 00:59:39.000] 你怎麼巡檢
[00:59:39.000 --> 00:59:41.000] 現在問題是搞不好資安署都
[00:59:41.000 --> 00:59:46.000] 那個資通署還有我們數發部都搞不清楚
[00:59:46.000 --> 00:59:47.000] 這些樣態是什麼
[00:59:47.000 --> 00:59:50.000] 那各部會發生的才跟你們求救
[00:59:50.000 --> 00:59:52.000] 那你們也還沒有集合完全
[00:59:52.000 --> 00:59:54.000] 我想數位部成立之後
[00:59:54.000 --> 00:59:55.000] 跟之前最大的不同
[00:59:55.000 --> 00:59:58.000] 就是我們從今年開始有主動巡檢
[00:59:58.000 --> 00:59:59.000] 我們叫任性巡檢
[00:59:59.000 --> 01:00:01.000] 它特別是在技術上面
[01:00:01.000 --> 01:00:03.000] 就這些共通元件去巡檢
[01:00:03.000 --> 01:00:05.000] 而不是像之前比較大規模的這種集合
[01:00:05.000 --> 01:00:07.000] 它比較是包含管理員
[01:00:07.000 --> 01:00:11.000] 那你那個掛牌到現在幾個月了
[01:00:11.000 --> 01:00:14.000] 當然8月到現在已經超過半年了
[01:00:14.000 --> 01:00:17.000] 對 那也希望就是說不只是我們部
[01:00:17.000 --> 01:00:20.000] 還有各個中央主管機關
[01:00:20.000 --> 01:00:23.000] 還有他們轄下的各目的事業主管機關
[01:00:23.000 --> 01:00:26.000] 能夠把所有的資安的集合的樣態
[01:00:26.000 --> 01:00:28.000] 都找出來可以嗎
[01:00:28.000 --> 01:00:29.000] 當然
[01:00:29.000 --> 01:00:31.000] 你有信心多久可以做出來
[01:00:31.000 --> 01:00:33.000] 我想我們這個巡檢
[01:00:33.000 --> 01:00:34.000] 該集合的樣態
[01:00:34.000 --> 01:00:35.000] 是
[01:00:35.000 --> 01:00:37.000] 要多少時間
[01:00:37.000 --> 01:00:39.000] 這個任性巡檢到今年年底
[01:00:39.000 --> 01:00:41.000] 會統括出最基本的樣態
[01:00:41.000 --> 01:00:43.000] 然後在明年提出大規模來實施
[01:00:43.000 --> 01:00:45.000] 還要那麼久嗎
[01:00:45.000 --> 01:00:47.000] 三個月可以嗎
[01:00:47.000 --> 01:00:48.000] 我想我們任性巡檢
[01:00:48.000 --> 01:00:49.000] 它有自己走的節奏
[01:00:49.000 --> 01:00:50.000] 那但是我們現在
[01:00:50.000 --> 01:00:51.000] 巡檢的樣態
[01:00:51.000 --> 01:00:53.000] 我現在講的是樣態
[01:00:53.000 --> 01:00:56.000] 不是要你完成全部的這個巡檢
[01:00:56.000 --> 01:00:58.000] 我想我們三個月給委員一個書面報告
[01:00:58.000 --> 01:00:59.000] 我們在三個月
[01:00:59.000 --> 01:01:00.000] 從現在算起三個月
[01:01:00.000 --> 01:01:02.000] 收集到的樣態
[01:01:02.000 --> 01:01:03.000] 但是不包含全部的
[01:01:03.000 --> 01:01:05.000] 到年底前要集合的機關
[01:01:05.000 --> 01:01:06.000] 說不也可以去
[01:01:06.000 --> 01:01:09.000] 要求各個目的事業主管機關
[01:01:09.000 --> 01:01:10.000] 他們自己
[01:01:10.000 --> 01:01:12.000] 自己把自己該做的
[01:01:12.000 --> 01:01:14.000] 沒有查出來樣態找出來
[01:01:14.000 --> 01:01:15.000] 我們今天在資安會議
[01:01:15.000 --> 01:01:17.000] 也會做這樣子的要求
[01:01:17.000 --> 01:01:19.000] 謝謝主席
[01:01:19.000 --> 01:01:27.000] 好謝謝陳嬌華委員
[01:01:27.000 --> 01:01:28.000] 下一位請
[01:01:28.000 --> 01:01:30.000] 林俊憲委員發言
[01:01:30.000 --> 01:01:32.000] 好謝謝主席
[01:01:32.000 --> 01:01:34.000] 本席邀請我們速發部唐部長
[01:01:34.000 --> 01:01:36.000] 唐部長請
[01:01:36.000 --> 01:01:40.000] 委員好
[01:01:40.000 --> 01:01:41.000] 部長好
[01:01:41.000 --> 01:01:42.000] 部長陳品疑似
[01:01:42.000 --> 01:01:43.000] 各自外洩這個事情
[01:01:43.000 --> 01:01:46.000] 你現在看起來是怎麼外洩
[01:01:46.000 --> 01:01:47.000] 目前當然在調查中
[01:01:47.000 --> 01:01:49.000] 大概有幾個可能性
[01:01:49.000 --> 01:01:51.000] 一個是他本身的網站
[01:01:51.000 --> 01:01:52.000] 另外一個是他的物流
[01:01:52.000 --> 01:01:53.000] 或他後面的金流
[01:01:53.000 --> 01:01:55.000] 或其他的地方
[01:01:55.000 --> 01:01:56.000] 所以一個是
[01:01:56.000 --> 01:01:58.000] 物流或他後面的金流
[01:01:58.000 --> 01:01:59.000] 或其他的地方
[01:01:59.000 --> 01:02:01.000] 所以已經15號發生到現在
[01:02:01.000 --> 01:02:02.000] 已經一個禮拜了
[01:02:02.000 --> 01:02:04.000] 你還不知道什麼原因發生
[01:02:04.000 --> 01:02:05.000] 我們做出採取的時候
[01:02:05.000 --> 01:02:06.000] 會對外說明
[01:02:06.000 --> 01:02:07.000] 已經一個禮拜了
[01:02:07.000 --> 01:02:08.000] 我提醒你
[01:02:08.000 --> 01:02:10.000] 一個禮拜你當個部長
[01:02:10.000 --> 01:02:12.000] 還不知道到底
[01:02:12.000 --> 01:02:14.000] 比較可能性你也沒把握
[01:02:14.000 --> 01:02:15.000] 你也不知道
[01:02:15.000 --> 01:02:16.000] 我們做出採取的時候
[01:02:16.000 --> 01:02:18.000] 會對外說明
[01:02:18.000 --> 01:02:20.000] 好再來
[01:02:20.000 --> 01:02:22.000] 過去發生這種詐騙
[01:02:22.000 --> 01:02:25.000] 都是為騙錢
[01:02:25.000 --> 01:02:27.000] 我第一次看這個
[01:02:27.000 --> 01:02:28.000] 這個是認知詐騙
[01:02:28.000 --> 01:02:29.000] 算不算
[01:02:29.000 --> 01:02:31.000] 他也不是要騙他錢
[01:02:31.000 --> 01:02:33.000] 他打電話來跟他說
[01:02:33.000 --> 01:02:34.000] 武統是必然
[01:02:34.000 --> 01:02:36.000] 講一些意識形態的話
[01:02:36.000 --> 01:02:38.000] 所以現在詐騙
[01:02:38.000 --> 01:02:39.000] 又有一個新
[01:02:39.000 --> 01:02:41.000] 我看起來好像這個是新的模式
[01:02:41.000 --> 01:02:43.000] 以前我們都認為
[01:02:43.000 --> 01:02:44.000] 所謂詐騙
[01:02:44.000 --> 01:02:46.000] 為了取得你的個資
[01:02:46.000 --> 01:02:47.000] 主要都是為了錢
[01:02:47.000 --> 01:02:50.000] 那以前需要查證的假訊息
[01:02:50.000 --> 01:02:51.000] 都是文字影像
[01:02:51.000 --> 01:02:52.000] 那現在這一次
[01:02:52.000 --> 01:02:56.000] 他是新的模式
[01:02:56.000 --> 01:02:58.000] 他用打電話的電話語音
[01:02:58.000 --> 01:02:59.000] 電話耳語
[01:02:59.000 --> 01:03:01.000] 散播電話耳語
[01:03:01.000 --> 01:03:03.000] 而且他是一種認知上的
[01:03:03.000 --> 01:03:05.000] 一種宣傳
[01:03:05.000 --> 01:03:07.000] 擾亂詐騙等等
[01:03:07.000 --> 01:03:09.000] 那部長你看
[01:03:09.000 --> 01:03:11.000] 你剛有提到
[01:03:11.000 --> 01:03:13.000] 現在所謂的這種
[01:03:13.000 --> 01:03:14.000] 資安問題
[01:03:14.000 --> 01:03:16.000] 或者說我們常講的
[01:03:16.000 --> 01:03:17.000] 個資外洩
[01:03:17.000 --> 01:03:20.000] 其實政府單位發生很多
[01:03:20.000 --> 01:03:22.000] 健保署 華航
[01:03:22.000 --> 01:03:23.000] 剛有提到I-LAND
[01:03:23.000 --> 01:03:25.000] 其實民間也有
[01:03:25.000 --> 01:03:27.000] 當然民間像委員百貨等等
[01:03:27.000 --> 01:03:30.000] U-Bike 統聯
[01:03:30.000 --> 01:03:32.000] 部長你說有預先
[01:03:32.000 --> 01:03:34.000] 有什麼主動巡檢
[01:03:34.000 --> 01:03:36.000] 那個是對
[01:03:36.000 --> 01:03:38.000] 特別有我們全國個資的機關
[01:03:38.000 --> 01:03:40.000] 今年開始我們主動巡檢
[01:03:40.000 --> 01:03:41.000] 那你是針對公部門嗎
[01:03:41.000 --> 01:03:43.000] 完全沒有針對民間的企業
[01:03:43.000 --> 01:03:44.000] 所以我們認為
[01:03:44.000 --> 01:03:45.000] 是不是如果對於
[01:03:45.000 --> 01:03:47.000] 你們專列上的評估
[01:03:47.000 --> 01:03:49.000] 對一些高風險的企業單位
[01:03:49.000 --> 01:03:51.000] 當他達到一定的規模
[01:03:51.000 --> 01:03:54.000] 比如他掌握的客戶
[01:03:54.000 --> 01:03:56.000] 或者是他的會員人數
[01:03:56.000 --> 01:03:57.000] 達到一定
[01:03:57.000 --> 01:03:59.000] 基本上我認為
[01:03:59.000 --> 01:04:03.000] 書畫部應該也要把他們納入
[01:04:03.000 --> 01:04:05.000] 主動巡檢的對象
[01:04:05.000 --> 01:04:07.000] 這是我們產業署在辦理
[01:04:07.000 --> 01:04:08.000] 事實上是有
[01:04:08.000 --> 01:04:09.000] 就是之前刑事局
[01:04:09.000 --> 01:04:10.000] 告訴我們產業署
[01:04:10.000 --> 01:04:11.000] 特別高風險的
[01:04:11.000 --> 01:04:13.000] 那即使還沒有發生事件
[01:04:13.000 --> 01:04:14.000] 產業署也會輔導他們
[01:04:14.000 --> 01:04:16.000] 導入像銀碼技術
[01:04:16.000 --> 01:04:17.000] 那你現在輔導的誰
[01:04:17.000 --> 01:04:19.000] 那是不是請產業署來回答
[01:04:19.000 --> 01:04:20.000] 你主動輔導哪一家
[01:04:20.000 --> 01:04:21.000] 就大的電商
[01:04:21.000 --> 01:04:23.000] 民間企業是哪一家
[01:04:23.000 --> 01:04:25.000] 我們最近有紅隊演練
[01:04:25.000 --> 01:04:26.000] 包括博客來
[01:04:26.000 --> 01:04:29.000] 包括可能現在創業家兄弟
[01:04:29.000 --> 01:04:31.000] 另外我們每年會檢
[01:04:31.000 --> 01:04:33.000] 所以對民間企業開始了沒有
[01:04:33.000 --> 01:04:35.000] 民間我們每年會有40家
[01:04:35.000 --> 01:04:37.000] 的那個協助他們去做
[01:04:37.000 --> 01:04:38.000] 他們資安的一個
[01:04:38.000 --> 01:04:39.000] 一個鑑見
[01:04:39.000 --> 01:04:41.000] 紅隊就是試著去攻擊
[01:04:41.000 --> 01:04:42.000] 就是在有人攻擊前
[01:04:42.000 --> 01:04:44.000] 我們先找人去攻擊
[01:04:44.000 --> 01:04:46.000] 所以現在你所謂的主動巡檢
[01:04:46.000 --> 01:04:48.000] 你也把民間企業納入
[01:04:48.000 --> 01:04:49.000] 就是產業署這邊也有
[01:04:49.000 --> 01:04:52.000] 我們每年至少會巡檢40家
[01:04:52.000 --> 01:04:53.000] 那什麼樣的對象
[01:04:53.000 --> 01:04:55.000] 是你們主動去篩檢嗎
[01:04:55.000 --> 01:04:57.000] 去篩檢是不是這樣子
[01:04:57.000 --> 01:04:58.000] 就是比較高風險的
[01:04:58.000 --> 01:05:00.000] 這個有個資外洩的
[01:05:00.000 --> 01:05:01.000] 當然是優先
[01:05:01.000 --> 01:05:02.000] 就是他個資比較多的
[01:05:02.000 --> 01:05:04.000] 或之前被通報比較多的
[01:05:04.000 --> 01:05:06.000] 因為大概陳品這一件
[01:05:06.000 --> 01:05:08.000] 塑化部是可以是主動介入
[01:05:08.000 --> 01:05:11.000] 因為他是網路的那種平台
[01:05:11.000 --> 01:05:13.000] 那其他的像I-LAND
[01:05:13.000 --> 01:05:16.000] 主管單位是個工種
[01:05:16.000 --> 01:05:17.000] 如果照法律規定
[01:05:17.000 --> 01:05:18.000] 那是交通部的事情
[01:05:18.000 --> 01:05:20.000] 交通部哪有能力去處理
[01:05:20.000 --> 01:05:21.000] 資安的問題
[01:05:21.000 --> 01:05:23.000] 我們資安院可以去協助
[01:05:23.000 --> 01:05:24.000] 這沒有問題
[01:05:24.000 --> 01:05:27.000] 是 就是他只能找塑化部
[01:05:27.000 --> 01:05:28.000] 那我是覺得塑化部
[01:05:28.000 --> 01:05:29.000] 現在應該反過來
[01:05:29.000 --> 01:05:30.000] 你應該要主動
[01:05:30.000 --> 01:05:31.000] 對不對
[01:05:31.000 --> 01:05:32.000] 所以現在政府單位
[01:05:32.000 --> 01:05:33.000] 我們有主動的巡檢
[01:05:33.000 --> 01:05:35.000] 那民間單位也要主動
[01:05:35.000 --> 01:05:37.000] 開始來進行
[01:05:37.000 --> 01:05:39.000] 要不然當時塑化部成立
[01:05:39.000 --> 01:05:41.000] 塑化部成立 社會各界
[01:05:41.000 --> 01:05:43.000] 有很大的期望
[01:05:43.000 --> 01:05:44.000] 塑化部成立以後
[01:05:44.000 --> 01:05:47.000] 民怨更強 更強烈
[01:05:47.000 --> 01:05:48.000] 詐騙更嚴重
[01:05:48.000 --> 01:05:51.000] 看起來這樣子的話
[01:05:51.000 --> 01:05:52.000] 那塑化部的成立
[01:05:52.000 --> 01:05:54.000] 讓大家失望
[01:05:54.000 --> 01:05:55.000] 就沒有達到我們當時
[01:05:55.000 --> 01:05:56.000] 所要設想的一個
[01:05:56.000 --> 01:05:58.000] 他的公共性目標
[01:05:58.000 --> 01:05:59.000] 這一點請部長
[01:05:59.000 --> 01:06:01.000] 應該要加強一下
[01:06:01.000 --> 01:06:02.000] 是
[01:06:02.000 --> 01:06:03.000] 那我再請教你
[01:06:03.000 --> 01:06:06.000] 我以前有要求NCC
[01:06:06.000 --> 01:06:09.000] 要主動去抽測
[01:06:09.000 --> 01:06:12.000] 手機的資安問題
[01:06:12.000 --> 01:06:15.000] 對 特別是比較有危害可能性的場合
[01:06:15.000 --> 01:06:16.000] 他本來沒有
[01:06:16.000 --> 01:06:18.000] 我要求NCC要抽測
[01:06:18.000 --> 01:06:20.000] 就NCC管理就抽測
[01:06:20.000 --> 01:06:22.000] 大概10啦 15台
[01:06:22.000 --> 01:06:25.000] 那現在NCC把這個業務
[01:06:25.000 --> 01:06:26.000] 切割給塑化部
[01:06:26.000 --> 01:06:28.000] 是我們任新司 對
[01:06:28.000 --> 01:06:30.000] 就停了
[01:06:30.000 --> 01:06:32.000] 你什麼時候公布
[01:06:32.000 --> 01:06:34.000] 是不是請任新司來跟您報告
[01:06:34.000 --> 01:06:36.000] 你有做嗎
[01:06:36.000 --> 01:06:38.000] 部長委員 我們沒有停這個業務
[01:06:38.000 --> 01:06:39.000] 這個業務會持續在我們
[01:06:39.000 --> 01:06:40.000] 數位部來進行
[01:06:40.000 --> 01:06:42.000] 我們去年的15家
[01:06:42.000 --> 01:06:43.000] 剛剛委員說的時間
[01:06:43.000 --> 01:06:44.000] 那你公布了嗎
[01:06:44.000 --> 01:06:45.000] 我們會即將要公布了
[01:06:45.000 --> 01:06:47.000] 我們是輔導業者
[01:06:47.000 --> 01:06:48.000] 做好修補
[01:06:48.000 --> 01:06:49.000] 你那邊胡說八道
[01:06:49.000 --> 01:06:51.000] NCC以前都什麼時候公布
[01:06:51.000 --> 01:06:52.000] 差不多也是這個時間
[01:06:52.000 --> 01:06:54.000] 差不多1月5月公布
[01:06:54.000 --> 01:06:55.000] 差不多
[01:06:55.000 --> 01:06:56.000] 你們塑化部去年8月成立
[01:06:56.000 --> 01:06:58.000] 到現在沒有任何公布
[01:06:58.000 --> 01:06:59.000] 部長委員
[01:06:59.000 --> 01:07:01.000] 也剛好業務交接的關係
[01:07:01.000 --> 01:07:02.000] 給我一點時間
[01:07:02.000 --> 01:07:03.000] 那你根本沒有做啊
[01:07:03.000 --> 01:07:04.000] 已經做好了
[01:07:04.000 --> 01:07:05.000] 我們即將公布
[01:07:05.000 --> 01:07:08.000] 8月到現在已經成立多久了
[01:07:08.000 --> 01:07:09.000] 我都在注意這個問題
[01:07:09.000 --> 01:07:11.000] 你知道為什麼嗎
[01:07:11.000 --> 01:07:15.000] 因為NCC開始做這個事情以後
[01:07:15.000 --> 01:07:17.000] 它抽測都是一些大產白
[01:07:17.000 --> 01:07:18.000] 包括三星
[01:07:18.000 --> 01:07:19.000] OPPO
[01:07:19.000 --> 01:07:20.000] Google
[01:07:20.000 --> 01:07:21.000] Apple等等
[01:07:21.000 --> 01:07:22.000] 結果發現
[01:07:22.000 --> 01:07:25.000] Android系統幾乎都是要重測
[01:07:25.000 --> 01:07:28.000] 複測才會通過
[01:07:28.000 --> 01:07:30.000] 表示這個抽測是有效的
[01:07:30.000 --> 01:07:31.000] 所以它第一次都不會通過
[01:07:31.000 --> 01:07:34.000] 後來到第二次以上
[01:07:34.000 --> 01:07:35.000] 它來通過了
[01:07:35.000 --> 01:07:37.000] 表示這樣的抽測是必要
[01:07:37.000 --> 01:07:38.000] 而且有效
[01:07:38.000 --> 01:07:39.000] 因為它改善了
[01:07:39.000 --> 01:07:41.000] 複測才通過
[01:07:41.000 --> 01:07:44.000] 像蘋果大概都第一次就會通過
[01:07:44.000 --> 01:07:47.000] 可能是它系統IOS的問題
[01:07:47.000 --> 01:07:50.000] 好 那你那個塑化部
[01:07:50.000 --> 01:07:53.000] 也把這個工作納入你自己的職長範圍
[01:07:53.000 --> 01:07:54.000] 你看你要關我
[01:07:54.000 --> 01:07:55.000] 你關我自己有寫啊
[01:07:55.000 --> 01:07:56.000] 有啊 我們現在
[01:07:56.000 --> 01:07:58.000] 如同剛才司長所說的
[01:07:58.000 --> 01:08:00.000] 我們是所謂回溯性揭露
[01:08:00.000 --> 01:08:02.000] 就是他們修好了我們公布
[01:08:02.000 --> 01:08:04.000] 因為如果還沒有修好公布的話
[01:08:04.000 --> 01:08:05.000] 有安全上的公布
[01:08:05.000 --> 01:08:07.000] 這位是我們處長嗎 是不是
[01:08:07.000 --> 01:08:10.000] 以前NCC是每年大概1月會公布一次
[01:08:10.000 --> 01:08:12.000] 年終再公布一次了
[01:08:12.000 --> 01:08:15.000] 你塑化部8月到現在也根本
[01:08:15.000 --> 01:08:18.000] 沒有任何的一個諮詢的揭露
[01:08:18.000 --> 01:08:20.000] 你說你有做 誰知道
[01:08:20.000 --> 01:08:22.000] 我們會盡快盤點之後來揭露
[01:08:22.000 --> 01:08:24.000] 是不是這樣子 部長
[01:08:24.000 --> 01:08:25.000] 你應該要
[01:08:25.000 --> 01:08:28.000] 而且
[01:08:28.000 --> 01:08:30.000] 而且你還特別把這個業務
[01:08:30.000 --> 01:08:31.000] 本部成立後
[01:08:31.000 --> 01:08:34.000] 由本部接替國家NCC
[01:08:34.000 --> 01:08:37.000] 就是來持續推動
[01:08:37.000 --> 01:08:40.000] 這個是你的官網你自己
[01:08:40.000 --> 01:08:43.000] 把NCC的這個職務自己切割
[01:08:43.000 --> 01:08:45.000] 這是我們的工作 沒錯
[01:08:45.000 --> 01:08:47.000] 工作要做給我們看啊
[01:08:47.000 --> 01:08:48.000] 是
[01:08:48.000 --> 01:08:49.000] 沒有看不到啊
[01:08:49.000 --> 01:08:50.000] 你現在說你有做
[01:08:50.000 --> 01:08:52.000] 誰知道是真的假的
[01:08:52.000 --> 01:08:53.000] 我想我們接下來
[01:08:53.000 --> 01:08:54.000] 那你有做沒公布
[01:08:54.000 --> 01:08:56.000] 我們接下來公布的時候
[01:08:56.000 --> 01:08:58.000] 也會就是專程讓委員知道
[01:08:58.000 --> 01:09:00.000] 不是讓我知道
[01:09:00.000 --> 01:09:02.000] 其實我們只要是希望這些
[01:09:02.000 --> 01:09:04.000] 手機廠商他真的是要注意
[01:09:04.000 --> 01:09:05.000] 自己知道的問題嘛
[01:09:05.000 --> 01:09:07.000] 就是說政府有在管這個事情
[01:09:07.000 --> 01:09:08.000] 有
[01:09:08.000 --> 01:09:10.000] 那過去基本上
[01:09:10.000 --> 01:09:12.000] 很多安卓系統都是
[01:09:12.000 --> 01:09:13.000] 負責才會通過嘛 對不對
[01:09:13.000 --> 01:09:15.000] 所以表示這樣的
[01:09:15.000 --> 01:09:16.000] 抽奪是有必要的
[01:09:16.000 --> 01:09:19.000] 我希望在塑化部成立
[01:09:19.000 --> 01:09:22.000] 跟一些這種業務的推動交接
[01:09:22.000 --> 01:09:24.000] 要重要工作不能中斷
[01:09:24.000 --> 01:09:25.000] 同意
[01:09:25.000 --> 01:09:26.000] 就像主長也說
[01:09:26.000 --> 01:09:28.000] 搞不好是工作交接的時候
[01:09:28.000 --> 01:09:30.000] 所以造成
[01:09:30.000 --> 01:09:32.000] 原本應該要公布的時間
[01:09:32.000 --> 01:09:33.000] 並沒有
[01:09:33.000 --> 01:09:36.000] 我希望這個應該要儘速來改善好不好
[01:09:36.000 --> 01:09:37.000] 是 好的
[01:09:37.000 --> 01:09:38.000] 好 謝謝部長
[01:09:38.000 --> 01:09:39.000] 謝謝
[01:09:39.000 --> 01:09:44.000] 好 謝謝林俊憲委員
[01:09:44.000 --> 01:09:47.000] 下位請陳樹月委員發言
[01:09:53.000 --> 01:09:54.000] 謝謝主席
[01:09:54.000 --> 01:09:56.000] 請主席邀請唐鳳部長
[01:09:56.000 --> 01:09:57.000] 好 唐部長
[01:09:57.000 --> 01:10:02.000] 你好
[01:10:02.000 --> 01:10:04.000] 部長早安
[01:10:04.000 --> 01:10:07.000] 日前有發生了這個電子發票
[01:10:07.000 --> 01:10:11.000] 這個系統出現資案的這個問題嘛
[01:10:11.000 --> 01:10:12.000] 那這個事件的發生
[01:10:12.000 --> 01:10:15.000] 就本席所看到了解的是
[01:10:15.000 --> 01:10:17.000] 在5月9號的時候
[01:10:17.000 --> 01:10:18.000] 有這個白帽駭客
[01:10:18.000 --> 01:10:21.000] 他用財政部電子發票平台
[01:10:21.000 --> 01:10:23.000] 發給公司的這個帳戶及密碼
[01:10:23.000 --> 01:10:27.000] 去測試許多公司的一個帳號
[01:10:27.000 --> 01:10:30.000] 結果都顯示登入成功嘛
[01:10:30.000 --> 01:10:31.000] 那據我所瞭解
[01:10:31.000 --> 01:10:34.000] 他是馬上第一時間跟部長反應
[01:10:34.000 --> 01:10:35.000] 是的
[01:10:35.000 --> 01:10:38.000] 是 那部長您要求他先跟這個
[01:10:38.000 --> 01:10:40.000] 台灣電腦網路危機處理
[01:10:40.000 --> 01:10:42.000] 暨協調中心通報
[01:10:42.000 --> 01:10:44.000] 這個就跟之前I-RAM的時候一樣
[01:10:44.000 --> 01:10:46.000] 因為這是一個標準程序
[01:10:46.000 --> 01:10:47.000] 標準程序
[01:10:47.000 --> 01:10:49.000] 那部長既然已經收到通知了
[01:10:49.000 --> 01:10:51.000] 你不能馬上由你來這邊轉給
[01:10:51.000 --> 01:10:54.000] 這個就是TWCCRT嗎
[01:10:54.000 --> 01:10:56.000] 因為TWCCRT它必須要
[01:10:56.000 --> 01:10:57.000] 好比像之後
[01:10:57.000 --> 01:10:59.000] 財政部要聯絡的時候
[01:10:59.000 --> 01:11:02.000] 是要跟那個通報人進行確認等等
[01:11:02.000 --> 01:11:04.000] 那我如果一直在中間中轉的話
[01:11:04.000 --> 01:11:06.000] 我還有別的事情要做這樣
[01:11:06.000 --> 01:11:08.000] 是 因為我是覺得說
[01:11:08.000 --> 01:11:11.000] 很多民眾不一定知道這個程序啦
[01:11:11.000 --> 01:11:13.000] 那是不是會因為這樣子的一個程序
[01:11:13.000 --> 01:11:17.000] 又延誤了那個重要的一個
[01:11:17.000 --> 01:11:18.000] 關鍵的事情
[01:11:18.000 --> 01:11:19.000] 在這個案子上應該沒有這個問題
[01:11:19.000 --> 01:11:20.000] 沒有這個問題啦
[01:11:20.000 --> 01:11:22.000] 那從這個事件我們也看出
[01:11:22.000 --> 01:11:25.000] 這個真的是一個很大的一個漏洞
[01:11:25.000 --> 01:11:27.000] 那事實上這樣的漏洞
[01:11:27.000 --> 01:11:29.000] 是預先可以去防止的
[01:11:29.000 --> 01:11:32.000] 我覺得說這樣子的一個作業程序
[01:11:32.000 --> 01:11:34.000] 也顯示我們財政部
[01:11:34.000 --> 01:11:36.000] 沒有這個資安的一個意識
[01:11:36.000 --> 01:11:39.000] 怎麼可以在給這個公司申請的時候
[01:11:39.000 --> 01:11:41.000] 是都給同一組密碼
[01:11:41.000 --> 01:11:43.000] 雖然說有要求他們
[01:11:43.000 --> 01:11:45.000] 自己再行變更啦
[01:11:45.000 --> 01:11:47.000] 可是我覺得說在一開始
[01:11:47.000 --> 01:11:49.000] 就不應該是給同一組密碼
[01:11:49.000 --> 01:11:51.000] 所以在經過這樣子有
[01:11:51.000 --> 01:11:54.000] 就是這個熱心的
[01:11:54.000 --> 01:11:57.000] 這樣子的一個白毛駭客的一個反應之後
[01:11:57.000 --> 01:12:00.000] 那雖然有做了一個修正修改
[01:12:00.000 --> 01:12:02.000] 可是我覺得說這樣子的一個事件
[01:12:02.000 --> 01:12:05.000] 也凸顯出我們整個政府部門
[01:12:05.000 --> 01:12:09.000] 對這個資安的一個防禦的一個部分
[01:12:09.000 --> 01:12:11.000] 真的這個不管是意識也好
[01:12:11.000 --> 01:12:12.000] 社會能力也好
[01:12:12.000 --> 01:12:14.000] 我覺得都有待加強
[01:12:14.000 --> 01:12:16.000] 完全同意
[01:12:16.000 --> 01:12:19.000] 這邊我也想請教部長就是說
[01:12:19.000 --> 01:12:23.000] 白毛駭客是很熱心的網路高手
[01:12:23.000 --> 01:12:25.000] 那我們自己速發部
[01:12:25.000 --> 01:12:27.000] 有沒有這樣子的一個人力
[01:12:27.000 --> 01:12:30.000] 可以來做主動的一個網路巡視的
[01:12:30.000 --> 01:12:33.000] 這樣子的一個工作
[01:12:33.000 --> 01:12:35.000] 如果你完全要仰賴民間
[01:12:35.000 --> 01:12:38.000] 仰賴民間的這個熱心的人士
[01:12:38.000 --> 01:12:39.000] 來跟我們提供
[01:12:39.000 --> 01:12:42.000] 我覺得這樣子我們可能是太弱了
[01:12:42.000 --> 01:12:45.000] 有也有一些民間的這樣子的高手
[01:12:45.000 --> 01:12:46.000] 有加入資安院
[01:12:46.000 --> 01:12:48.000] 所以資安院在掛牌之後
[01:12:48.000 --> 01:12:50.000] 我們就把這個任性的巡檢
[01:12:50.000 --> 01:12:52.000] 當作新的業務來積極的辦理
[01:12:52.000 --> 01:12:54.000] 這個我們絕對會做
[01:12:54.000 --> 01:12:55.000] 這個會走了
[01:12:55.000 --> 01:12:58.000] 所以未來我們會主動的來
[01:12:58.000 --> 01:13:00.000] 做這個網路巡邏
[01:13:00.000 --> 01:13:01.000] 對這是一個
[01:13:01.000 --> 01:13:02.000] 那另外一個是說
[01:13:02.000 --> 01:13:05.000] 像剛才財政部有提到說
[01:13:05.000 --> 01:13:07.000] 其實工商憑證登錄是沒有問題的
[01:13:07.000 --> 01:13:09.000] 只是當初因為方便的關係
[01:13:09.000 --> 01:13:12.000] 有一些沒有工商憑證的用這個密碼
[01:13:12.000 --> 01:13:14.000] 但是其實從我們的角度來看
[01:13:14.000 --> 01:13:16.000] 有一些共同的方式
[01:13:16.000 --> 01:13:18.000] 好比像說透過個人的手機
[01:13:18.000 --> 01:13:21.000] TWID或自然憑證或行動自然憑證
[01:13:21.000 --> 01:13:23.000] 有各種各樣子的方式
[01:13:23.000 --> 01:13:25.000] 其實報中所說也都有用過的
[01:13:25.000 --> 01:13:26.000] 所以像這些
[01:13:26.000 --> 01:13:27.000] 應該以後就是一個標準的程序
[01:13:27.000 --> 01:13:29.000] 不要再只依賴密碼這樣
[01:13:29.000 --> 01:13:33.000] 是因為我覺得這個資安的一個問題
[01:13:33.000 --> 01:13:37.000] 然後也衍生的就是這個詐騙的這個案件
[01:13:37.000 --> 01:13:40.000] 真的是不勝沒數了
[01:13:40.000 --> 01:13:43.000] 那截至目前為止
[01:13:43.000 --> 01:13:44.000] 台灣也發生很多
[01:13:44.000 --> 01:13:46.000] 重大的這個資安的事件
[01:13:46.000 --> 01:13:49.000] 包括之前的這個戶籍資料的一個外洩
[01:13:49.000 --> 01:13:52.000] 2300萬筆的資料外洩
[01:13:52.000 --> 01:13:54.000] 還有這個Iron租車平台
[01:13:54.000 --> 01:13:56.000] 還有最近的這個電子發票平台
[01:13:56.000 --> 01:13:58.000] 還有這個成品書局
[01:13:58.000 --> 01:13:59.000] 這個民眾購書
[01:13:59.000 --> 01:14:02.000] 然後就接到中共那邊打來的電話
[01:14:02.000 --> 01:14:03.000] 這樣子的一個事件
[01:14:03.000 --> 01:14:05.000] 我覺得這個都讓我們覺得
[01:14:05.000 --> 01:14:08.000] 整個台灣真的這個資安的部分
[01:14:08.000 --> 01:14:11.000] 真的是暴露在一個很大的危機之下
[01:14:11.000 --> 01:14:14.000] 那我們也希望就是說
[01:14:14.000 --> 01:14:16.000] 數位部不能夠只是頭痛一頭
[01:14:16.000 --> 01:14:17.000] 腳痛一腳
[01:14:17.000 --> 01:14:22.000] 應該要有更大的一個能力去防止
[01:14:22.000 --> 01:14:25.000] 那另外我想請教一下就是說
[01:14:25.000 --> 01:14:27.000] 就是資安的問題
[01:14:27.000 --> 01:14:30.000] 那個防堵軟體也是其中的一個
[01:14:30.000 --> 01:14:33.000] 一道那個防火門
[01:14:33.000 --> 01:14:37.000] 那最近我也有接到民眾反應就是說
[01:14:37.000 --> 01:14:41.000] 有關這個防堵軟體就是趨勢科技
[01:14:41.000 --> 01:14:44.000] 因為他們在中國大陸有設這個
[01:14:44.000 --> 01:14:46.000] 就是設立這個研究中心
[01:14:46.000 --> 01:14:48.000] 所以他們也對這個防堵軟體
[01:14:48.000 --> 01:14:50.000] 有很大的這個資安的一個疑慮
[01:14:50.000 --> 01:14:52.000] 然後他也跟我反映說
[01:14:52.000 --> 01:14:56.000] 在幾年前他們也疑似說
[01:14:56.000 --> 01:14:58.000] 把這個客戶的一個資料
[01:14:58.000 --> 01:15:00.000] 就是使用者的這個瀏覽器的資料
[01:15:00.000 --> 01:15:02.000] 回傳到中國的伺服器
[01:15:02.000 --> 01:15:07.000] 所以被這個美國這個蘋果下架
[01:15:07.000 --> 01:15:09.000] 有這樣的事情
[01:15:09.000 --> 01:15:11.000] 我們是不是請資安書跟您說明
[01:15:11.000 --> 01:15:12.000] 好
[01:15:12.000 --> 01:15:14.000] 好 跟委員說明一下
[01:15:14.000 --> 01:15:19.000] 就是有關一些產品就是不只是防堵軟體
[01:15:19.000 --> 01:15:22.000] 目前我們除了限制大陸廠牌之外
[01:15:22.000 --> 01:15:25.000] 那其他的我們都會做那個進一步關注
[01:15:25.000 --> 01:15:27.000] 那資安委員書也有提到
[01:15:27.000 --> 01:15:29.000] 就是卡帕斯基的部分
[01:15:29.000 --> 01:15:32.000] 還有一個那個趨勢科技的部分
[01:15:32.000 --> 01:15:34.000] 那像趨勢科技
[01:15:34.000 --> 01:15:37.000] 之前他曾經因為採購的議題
[01:15:37.000 --> 01:15:39.000] 然後美國政府有一些新聞出來
[01:15:39.000 --> 01:15:43.000] 不過目前趨勢科技還在美國國防採購清單上
[01:15:43.000 --> 01:15:45.000] 就是美國國防部的採購
[01:15:45.000 --> 01:15:47.000] 還是會跟他採購
[01:15:47.000 --> 01:15:49.000] 那一次的事件比較像是
[01:15:49.000 --> 01:15:53.000] 他們調查起來是他內部一個人員的議題
[01:15:53.000 --> 01:15:55.000] 那有關相關的一些concern
[01:15:55.000 --> 01:15:57.000] 因為這些軟體
[01:15:57.000 --> 01:15:59.000] 我們都持續在關注
[01:15:59.000 --> 01:16:02.000] 如果有比較高的風險情資出來
[01:16:02.000 --> 01:16:04.000] 我們就會做進一步的處理
[01:16:04.000 --> 01:16:06.000] 目前的話應該還在可控的範圍裡
[01:16:06.000 --> 01:16:07.000] 是 好
[01:16:07.000 --> 01:16:09.000] 那就這個防堵軟體的部分
[01:16:09.000 --> 01:16:11.000] 就是說我們速發部會不會
[01:16:11.000 --> 01:16:13.000] 給這個公務部門一些建議
[01:16:13.000 --> 01:16:15.000] 就是安全的這個
[01:16:15.000 --> 01:16:17.000] 或者是禁止使用的廠牌
[01:16:17.000 --> 01:16:19.000] 這個部分
[01:16:19.000 --> 01:16:23.000] 對 我想我們除了就透過公共供應契約
[01:16:23.000 --> 01:16:25.000] 等等的方式來把我們覺得OK的
[01:16:25.000 --> 01:16:29.000] 這個品牌推薦給各個相關的機關之外
[01:16:29.000 --> 01:16:32.000] 我們也會持續就是去防堵這個危害產品
[01:16:32.000 --> 01:16:34.000] 進入公務部門 這兩個我們都會做
[01:16:34.000 --> 01:16:36.000] 我想這個部分很重要
[01:16:36.000 --> 01:16:38.000] 那我們也希望就是速發部這邊可能要
[01:16:38.000 --> 01:16:40.000] 多用一些心力
[01:16:40.000 --> 01:16:41.000] 好 謝謝
[01:16:41.000 --> 01:16:43.000] 謝謝 提醒 謝謝
[01:16:43.000 --> 01:16:48.000] 好 謝謝陳樹月委員發言
[01:16:48.000 --> 01:16:51.000] 再為請蔡培惠委員發言
[01:16:51.000 --> 01:16:53.000] 謝謝 蔡培惠委員發言
[01:16:53.000 --> 01:16:58.000] 謝謝 蔡培惠委員發言
[01:16:58.000 --> 01:17:00.000] 謝謝趙吉仁
[01:17:00.000 --> 01:17:01.000] 要請唐鳳部長
[01:17:01.000 --> 01:17:03.000] 好 部長請
[01:17:03.000 --> 01:17:06.000] 大家好
[01:17:06.000 --> 01:17:07.000] 是 你好
[01:17:07.000 --> 01:17:10.000] 那我也要請我們的任性建設師的司長
[01:17:10.000 --> 01:17:12.000] 還有資安署的副署長
[01:17:12.000 --> 01:17:14.000] 好 請
[01:17:14.000 --> 01:17:16.000] 念到的長官就請
[01:17:16.000 --> 01:17:19.000] 我覺得在這個具體的質詢之前呢
[01:17:19.000 --> 01:17:21.000] 我注意到任性建設師要提
[01:17:21.000 --> 01:17:23.000] 要去關注
[01:17:23.000 --> 01:17:28.000] 就是提供這種資通安全者的防護的推動及管理
[01:17:28.000 --> 01:17:30.000] 告訴我一個具體的進展
[01:17:30.000 --> 01:17:32.000] 或者是具體做的項目
[01:17:32.000 --> 01:17:34.000] 請
[01:17:34.000 --> 01:17:38.000] 我想這個是我們所有的司書一起聯訪
[01:17:38.000 --> 01:17:40.000] 不是只有任性司
[01:17:40.000 --> 01:17:42.000] 而且您提到了財政部這個
[01:17:42.000 --> 01:17:43.000] 因為它屬於公司
[01:17:43.000 --> 01:17:44.000] 不是財政部
[01:17:44.000 --> 01:17:46.000] 這個是我從數位發展部
[01:17:46.000 --> 01:17:50.000] 提供者資通安全防護推動及管理
[01:17:50.000 --> 01:17:51.000] 電信相關的業者
[01:17:51.000 --> 01:17:52.000] 這個都沒有問題
[01:17:52.000 --> 01:17:54.000] 我只要知道具體的進展
[01:17:54.000 --> 01:17:55.000] 具體的內容
[01:17:55.000 --> 01:17:57.000] 具體的設施
[01:17:57.000 --> 01:17:58.000] 報告委員
[01:17:58.000 --> 01:18:00.000] 通訊傳播網路
[01:18:00.000 --> 01:18:02.000] 它是資安管理法裡面
[01:18:02.000 --> 01:18:04.000] 八大關鍵基礎設施其中之一
[01:18:04.000 --> 01:18:07.000] 那我們按照法律每年事前
[01:18:07.000 --> 01:18:08.000] 事前的這個
[01:18:08.000 --> 01:18:10.000] 維護計畫的審查
[01:18:10.000 --> 01:18:12.000] 事中如果發生事件的通報
[01:18:12.000 --> 01:18:14.000] 那事後的這個
[01:18:14.000 --> 01:18:16.000] 或者平常的資訊的情節的分享
[01:18:16.000 --> 01:18:18.000] 都按照資通安全管理法
[01:18:18.000 --> 01:18:19.000] 由數位部
[01:18:19.000 --> 01:18:21.000] 我們任性司在負責
[01:18:21.000 --> 01:18:23.000] 通訊傳播的這個相關的管理
[01:18:23.000 --> 01:18:24.000] 你剛剛講了
[01:18:24.000 --> 01:18:26.000] 就如同我在網路上看的
[01:18:26.000 --> 01:18:27.000] 我要的是具體
[01:18:27.000 --> 01:18:28.000] 為什麼呢
[01:18:28.000 --> 01:18:29.000] 因為我有特別去注意到
[01:18:29.000 --> 01:18:31.000] 處罰部資安署
[01:18:31.000 --> 01:18:34.000] 而且要來協力民間企業資安升級
[01:18:34.000 --> 01:18:37.000] 那它牽涉到的就是你們做的哪些事
[01:18:37.000 --> 01:18:38.000] 我舉兩個例子來講
[01:18:38.000 --> 01:18:41.000] 比如說我們要來協助民間企業升級
[01:18:41.000 --> 01:18:42.000] 大家可能想到了可能是
[01:18:42.000 --> 01:18:44.000] 臉書啊Meta啦
[01:18:44.000 --> 01:18:45.000] 可是我想問你
[01:18:45.000 --> 01:18:47.000] 我們每天在搭計程車
[01:18:47.000 --> 01:18:49.000] 可能都會有很多的計程車業者
[01:18:49.000 --> 01:18:51.000] 55688或各式各樣的
[01:18:51.000 --> 01:18:53.000] 其實那裡頭有非常多資安
[01:18:53.000 --> 01:18:55.000] 你住在哪裡去哪裡
[01:18:55.000 --> 01:18:56.000] 然後或者是說
[01:18:56.000 --> 01:18:57.000] 中間有沒有中途
[01:18:57.000 --> 01:18:59.000] 諸如此類等等等
[01:18:59.000 --> 01:19:01.000] 這些東西也有很多個資
[01:19:01.000 --> 01:19:03.000] 怎麼來協助他們
[01:19:03.000 --> 01:19:05.000] 我想要知道的是這些答案
[01:19:05.000 --> 01:19:08.000] 不過因為計程車業可能不是通信
[01:19:08.000 --> 01:19:09.000] 就是電信視野
[01:19:09.000 --> 01:19:12.000] 所以這個就是回到我們產業署的工作
[01:19:12.000 --> 01:19:13.000] 都可以啦
[01:19:13.000 --> 01:19:14.000] 不管是你們內部怎麼分工
[01:19:14.000 --> 01:19:16.000] 就告訴我你們怎麼來協助
[01:19:16.000 --> 01:19:19.000] 這些民間企業資安升級
[01:19:19.000 --> 01:19:20.000] 這是你的工作啊
[01:19:20.000 --> 01:19:22.000] 告訴我們怎麼做啊
[01:19:22.000 --> 01:19:24.000] 我們大概分兩個部分
[01:19:24.000 --> 01:19:25.000] 待會再請產業署
[01:19:25.000 --> 01:19:26.000] 跟你們比較詳細的講
[01:19:26.000 --> 01:19:28.000] 一個是說我們自己
[01:19:28.000 --> 01:19:30.000] 會去做驗證跟測試
[01:19:30.000 --> 01:19:32.000] 好比像提到的零信任
[01:19:32.000 --> 01:19:34.000] 怎麼樣子透過更安全的方法來登錄
[01:19:34.000 --> 01:19:36.000] 來簽章等等
[01:19:36.000 --> 01:19:37.000] 那我們資安院
[01:19:37.000 --> 01:19:40.000] 跟其他機構有這樣的驗測報告之後
[01:19:40.000 --> 01:19:42.000] 我們就會分享給民間的朋友說
[01:19:42.000 --> 01:19:44.000] 你下次要做人別驗證
[01:19:44.000 --> 01:19:45.000] 要做什麼的時候
[01:19:45.000 --> 01:19:46.000] 這邊就有一些比較安全的
[01:19:46.000 --> 01:19:47.000] 原件可以使用
[01:19:47.000 --> 01:19:49.000] 我們也會輔導他來使用
[01:19:49.000 --> 01:19:50.000] 好那我們來上一頁
[01:19:50.000 --> 01:19:52.000] 你們有做了驗證
[01:19:52.000 --> 01:19:54.000] 可是上次就犯了一個錯誤
[01:19:54.000 --> 01:19:56.000] 就是基本上呢
[01:19:56.000 --> 01:19:57.000] 這些統一發票
[01:19:57.000 --> 01:19:58.000] 這個你們改正了
[01:19:58.000 --> 01:20:00.000] 我知道就是打入統編之後
[01:20:00.000 --> 01:20:01.000] 會有預設密碼
[01:20:01.000 --> 01:20:03.000] 很多的企業沒有把這個預設密碼改掉
[01:20:03.000 --> 01:20:05.000] 所以就有很多的這個
[01:20:05.000 --> 01:20:07.000] 會員資料都受影響
[01:20:07.000 --> 01:20:09.000] 甚至於連上市上櫃公司也受影響
[01:20:09.000 --> 01:20:12.000] 那這些基本上是有錯
[01:20:12.000 --> 01:20:14.000] 然後太慢反應
[01:20:14.000 --> 01:20:15.000] 你了解我意思嗎
[01:20:15.000 --> 01:20:16.000] 就是說
[01:20:16.000 --> 01:20:18.000] 為什麼我要把這兩件事情
[01:20:18.000 --> 01:20:20.000] 協助民間企業升級
[01:20:20.000 --> 01:20:21.000] 跟這件事情
[01:20:21.000 --> 01:20:23.000] 這個資安的漏洞
[01:20:23.000 --> 01:20:24.000] 我要連在一起講
[01:20:24.000 --> 01:20:26.000] 我要提醒的是部長
[01:20:26.000 --> 01:20:30.000] 這件事情絕對不能夠緩不濟急
[01:20:30.000 --> 01:20:32.000] 等發生的時候再來搶救
[01:20:32.000 --> 01:20:33.000] 就太慢了
[01:20:33.000 --> 01:20:36.000] 你們我相信整個世衛部
[01:20:36.000 --> 01:20:38.000] 大概都是全台灣最了解資安
[01:20:38.000 --> 01:20:40.000] 然後最了解整個通訊軟體的
[01:20:40.000 --> 01:20:42.000] 這個科技進展的
[01:20:42.000 --> 01:20:43.000] 然後也知道
[01:20:43.000 --> 01:20:44.000] 在這個進展的同時
[01:20:44.000 --> 01:20:47.000] 要如何防患的
[01:20:47.000 --> 01:20:50.000] 你們是我們台灣的大腦
[01:20:50.000 --> 01:20:52.000] 你應該把這些東西做好
[01:20:52.000 --> 01:20:54.000] 所以我要知道具體的作為
[01:20:54.000 --> 01:20:55.000] 我來看最後一個
[01:20:55.000 --> 01:20:56.000] 因為時間的關係
[01:20:56.000 --> 01:20:58.000] 我希望你多講一點
[01:20:58.000 --> 01:21:01.000] 現在的匿名群組的詐騙橫行
[01:21:01.000 --> 01:21:03.000] 我說的不是這種臉書
[01:21:03.000 --> 01:21:05.000] 什麼這個計程車業者
[01:21:05.000 --> 01:21:07.000] 這種幾百萬的資料
[01:21:07.000 --> 01:21:09.000] 我說的是個別的群組
[01:21:09.000 --> 01:21:11.000] 我相信在座的每一個人
[01:21:11.000 --> 01:21:12.000] 你都有一些小群組
[01:21:12.000 --> 01:21:14.000] 比如說剛好你住在大安區
[01:21:14.000 --> 01:21:16.000] 你就有一些這裡的生活瑣事
[01:21:16.000 --> 01:21:17.000] 那我住在南投
[01:21:17.000 --> 01:21:18.000] 或是竹山舊友
[01:21:18.000 --> 01:21:19.000] 你知道嗎
[01:21:19.000 --> 01:21:20.000] 我們就可以看到
[01:21:20.000 --> 01:21:21.000] 像這樣子的
[01:21:21.000 --> 01:21:23.000] 比如說怎麼樣來讓你有鼓勵
[01:21:23.000 --> 01:21:25.000] 怎麼樣子的利潤
[01:21:25.000 --> 01:21:26.000] 這樣子一看
[01:21:26.000 --> 01:21:27.000] 我相信大多數的人
[01:21:27.000 --> 01:21:29.000] 都會覺得這是詐騙消息
[01:21:29.000 --> 01:21:31.000] 可是現在更可怕的是什麼
[01:21:31.000 --> 01:21:33.000] 同樣的這個訊息的下一則
[01:21:33.000 --> 01:21:34.000] 是告訴你說
[01:21:34.000 --> 01:21:36.000] 我們現在的產品油煙
[01:21:36.000 --> 01:21:37.000] 降註查都貴了
[01:21:37.000 --> 01:21:39.000] 然後我可以讓你買到便宜的
[01:21:39.000 --> 01:21:41.000] 麻煩你加入這個LINE群組
[01:21:41.000 --> 01:21:44.000] 那這個坦白講就是這個詐騙
[01:21:44.000 --> 01:21:46.000] 那有的人會說不會
[01:21:46.000 --> 01:21:47.000] 有時候我們講團購
[01:21:47.000 --> 01:21:49.000] 大概的訊息內容也是這樣
[01:21:49.000 --> 01:21:51.000] 那這樣就要回來數位簿
[01:21:51.000 --> 01:21:53.000] 就是假設我是一個團購的業者
[01:21:53.000 --> 01:21:54.000] 假設我是好了
[01:21:54.000 --> 01:21:56.000] 我在這個群組發
[01:21:56.000 --> 01:21:58.000] 可能我也只有在這個群組發而已
[01:21:58.000 --> 01:22:01.000] 可是只要是資安這種攻擊性的
[01:22:01.000 --> 01:22:02.000] 它一定是全面發的
[01:22:02.000 --> 01:22:04.000] 所以你們應該查得到啊
[01:22:04.000 --> 01:22:05.000] 而這個利民群組
[01:22:05.000 --> 01:22:07.000] 不是只是攔截電話而已
[01:22:07.000 --> 01:22:09.000] 在這些LINE啊或者是訊息
[01:22:09.000 --> 01:22:11.000] 同一個IP不斷的傳遞訊息
[01:22:11.000 --> 01:22:13.000] 這不就是凸顯了
[01:22:13.000 --> 01:22:16.000] 它如果不是一個官方的商業帳號
[01:22:16.000 --> 01:22:17.000] 那很可能個人帳號
[01:22:17.000 --> 01:22:19.000] 它就是一個詐騙的一個
[01:22:19.000 --> 01:22:21.000] 一個一個介面好了
[01:22:21.000 --> 01:22:25.000] 怎麼辦 如何防範
[01:22:25.000 --> 01:22:28.000] 這個其實跟之前就是詐騙的
[01:22:28.000 --> 01:22:30.000] 或者是垃圾郵件等等的形狀
[01:22:30.000 --> 01:22:31.000] 是很像的喔
[01:22:31.000 --> 01:22:33.000] 就是說我們大概都是跟這個
[01:22:33.000 --> 01:22:35.000] 像之前是郵件平台
[01:22:35.000 --> 01:22:36.000] 現在是您提到LINE等等
[01:22:36.000 --> 01:22:39.000] 它偵測到就是異常的活動的時候
[01:22:39.000 --> 01:22:41.000] 也會同步通報來聯訪
[01:22:41.000 --> 01:22:43.000] 那這個就是剛才提到包含TWCC
[01:22:43.000 --> 01:22:44.000] 或者是資安院
[01:22:44.000 --> 01:22:47.000] 在接到這樣子所謂威脅情資的時候
[01:22:47.000 --> 01:22:49.000] 第一時間讓大家知道
[01:22:49.000 --> 01:22:51.000] 那另外就是我想守望相助
[01:22:51.000 --> 01:22:52.000] 也非常重要了
[01:22:52.000 --> 01:22:53.000] 在LINE上面只要看到
[01:22:53.000 --> 01:22:56.000] 這樣比較像是詐騙或資安供給的訊息
[01:22:56.000 --> 01:22:58.000] 可以長按然後按檢舉喔
[01:22:58.000 --> 01:23:00.000] 那這樣的話第一時間
[01:23:00.000 --> 01:23:01.000] 它就會出現在LINE
[01:23:01.000 --> 01:23:03.000] 跟其他人分享的情資裡面
[01:23:03.000 --> 01:23:05.000] 所以我想這兩個是需要協防的
[01:23:05.000 --> 01:23:08.000] 就是越多人收到詐騙郵件的時候
[01:23:08.000 --> 01:23:10.000] 越多人回應
[01:23:10.000 --> 01:23:12.000] 你們就越快知道
[01:23:12.000 --> 01:23:13.000] 那多少人不知道
[01:23:13.000 --> 01:23:15.000] 我們就回到那個
[01:23:15.000 --> 01:23:16.000] 我已經講了第三次了
[01:23:16.000 --> 01:23:18.000] 就是 拜託
[01:23:18.000 --> 01:23:19.000] 你們的T大使
[01:23:19.000 --> 01:23:21.000] 趕快來教這些阿公阿嬤好了
[01:23:21.000 --> 01:23:22.000] 告訴他說你長按喔
[01:23:22.000 --> 01:23:23.000] 檢舉喔
[01:23:23.000 --> 01:23:25.000] 這壞人就會去給他抓喔
[01:23:25.000 --> 01:23:27.000] 拜託你怎麼來教
[01:23:27.000 --> 01:23:28.000] 不然我講實在話
[01:23:28.000 --> 01:23:30.000] 當時我們在這個防疫的時候
[01:23:30.000 --> 01:23:32.000] 這個1966啊
[01:23:32.000 --> 01:23:33.000] 不是對不起
[01:23:33.000 --> 01:23:35.000] 就是各式各樣子的宣導
[01:23:35.000 --> 01:23:37.000] 就持續的在宣導
[01:23:37.000 --> 01:23:38.000] 大家才知道說
[01:23:38.000 --> 01:23:40.000] 我們該怎麼樣來做
[01:23:40.000 --> 01:23:42.000] 戴口罩啦或者是勤洗手啦
[01:23:42.000 --> 01:23:44.000] 很多事可以來做
[01:23:44.000 --> 01:23:46.000] 所以我要說的事情
[01:23:46.000 --> 01:23:47.000] 我們的數位
[01:23:47.000 --> 01:23:48.000] 絕對不是只是在天上
[01:23:48.000 --> 01:23:50.000] 我們要防範這些詐騙
[01:23:50.000 --> 01:23:52.000] 必須要走到基層
[01:23:52.000 --> 01:23:53.000] 跟每一個人講
[01:23:53.000 --> 01:23:54.000] 謝謝 委員上次質詢之後
[01:23:54.000 --> 01:23:56.000] 我們就回去盤點
[01:23:56.000 --> 01:23:58.000] 那在我們雲市級相關的預算裡面
[01:23:58.000 --> 01:24:00.000] 我們會調播相當程度的預算
[01:24:00.000 --> 01:24:02.000] 來做委員所做的這些事情
[01:24:02.000 --> 01:24:04.000] 所以再給我們一點時間
[01:24:04.000 --> 01:24:06.000] 我們會盤點出具體的做法
[01:24:06.000 --> 01:24:07.000] 也會如委員上次要求
[01:24:07.000 --> 01:24:09.000] 就是請產業署專員來跟您報告
[01:24:09.000 --> 01:24:10.000] 那謝謝
[01:24:10.000 --> 01:24:12.000] 謝謝
[01:24:12.000 --> 01:24:16.000] 好 謝謝蔡博會委員
[01:24:16.000 --> 01:24:20.000] 下一位請李坤哲委員發言
[01:24:20.000 --> 01:24:31.000] 會叫我李坤哲的
[01:24:31.000 --> 01:24:34.000] 是我當年工廠的同事
[01:24:34.000 --> 01:24:36.000] 都是很親切的叫法
[01:24:36.000 --> 01:24:40.000] 來請唐孟部長還有資訊中心財政部張主任
[01:24:40.000 --> 01:24:42.000] 來有請
[01:24:44.000 --> 01:24:46.000] 部長好
[01:24:46.000 --> 01:24:48.000] 這是這個會期
[01:24:48.000 --> 01:24:52.000] 數位部到我們交通委員會
[01:24:52.000 --> 01:24:54.000] 來備詢的第五次
[01:24:54.000 --> 01:24:56.000] 那其實不只是我
[01:24:56.000 --> 01:24:59.000] 或是其他交通委員會的成員
[01:24:59.000 --> 01:25:01.000] 對數位部的質詢
[01:25:01.000 --> 01:25:04.000] 大部分都集中在資安
[01:25:04.000 --> 01:25:08.000] 個資防詐的相關議題
[01:25:08.000 --> 01:25:11.000] 那相關資安的議題
[01:25:11.000 --> 01:25:14.000] 是一個大家都很關切的議題
[01:25:14.000 --> 01:25:16.000] 如果資料外洩
[01:25:16.000 --> 01:25:19.000] 造成這樣一個詐騙的一個
[01:25:19.000 --> 01:25:21.000] 重要的一個破口
[01:25:21.000 --> 01:25:22.000] 那我們來看看
[01:25:22.000 --> 01:25:24.000] 在五月的時候
[01:25:24.000 --> 01:25:29.000] 這個月我們有白帽的駭客來通報
[01:25:29.000 --> 01:25:33.000] 就是有關於電子花票整合服務平台
[01:25:33.000 --> 01:25:35.000] 出現相關的問題
[01:25:35.000 --> 01:25:38.000] 剛才其他委員也有質詢過
[01:25:38.000 --> 01:25:41.000] 那就是財政部給所有的公司
[01:25:41.000 --> 01:25:45.000] 一個統一組的預設密碼
[01:25:45.000 --> 01:25:47.000] 那部分企業
[01:25:47.000 --> 01:25:50.000] 其實是沒有去更改這個相關的密碼
[01:25:50.000 --> 01:25:53.000] 那他們只要用統編以及政府
[01:25:53.000 --> 01:25:55.000] 所提供的預設密碼
[01:25:55.000 --> 01:25:57.000] 就可以瀏覽公司的資料
[01:25:57.000 --> 01:26:00.000] 也包括國營事業等等
[01:26:00.000 --> 01:26:03.000] 那有130家的上市櫃公司
[01:26:03.000 --> 01:26:05.000] 還有中華郵政台鐵等等
[01:26:05.000 --> 01:26:08.000] 還有中科院等等的行政法人
[01:26:08.000 --> 01:26:11.000] 那這個部分我先請教一下財政部
[01:26:11.000 --> 01:26:14.000] 張主任我們對於這樣的一個
[01:26:14.000 --> 01:26:17.000] 缺乏資安系統
[01:26:17.000 --> 01:26:19.000] 以及資安意識的狀況
[01:26:19.000 --> 01:26:21.000] 財政部要怎麼去處理
[01:26:21.000 --> 01:26:23.000] 跟委員報告就是
[01:26:23.000 --> 01:26:27.000] 一開始的部分是因為
[01:26:27.000 --> 01:26:29.000] 你們都沒察覺嗎
[01:26:29.000 --> 01:26:33.000] 我們因為公司有兩種狀況
[01:26:33.000 --> 01:26:36.000] 就是80%的公司是使用工商憑證
[01:26:36.000 --> 01:26:38.000] 他們有這個預設密碼的問題
[01:26:38.000 --> 01:26:40.000] 那20%的
[01:26:40.000 --> 01:26:42.000] 立法院的系統我們電腦
[01:26:42.000 --> 01:26:45.000] 預設密碼進來就立刻要更改他的密碼
[01:26:45.000 --> 01:26:50.000] 而且定期還會強制你要再一次的更改密碼
[01:26:50.000 --> 01:26:53.000] 財政部對於這樣完全沒有資安意識
[01:26:53.000 --> 01:26:56.000] 我們現在的做法
[01:26:56.000 --> 01:27:01.000] 第一個就是用12個數字亂碼
[01:27:01.000 --> 01:27:03.000] 來做為一個預設的密碼
[01:27:03.000 --> 01:27:07.000] 第二你們強制登入的時候
[01:27:07.000 --> 01:27:09.000] 就要更改密碼
[01:27:09.000 --> 01:27:13.000] 另外就是平時也要去做
[01:27:13.000 --> 01:27:15.000] 更改密碼的一些動作
[01:27:15.000 --> 01:27:17.000] 是 報告委員這些
[01:27:17.000 --> 01:27:19.000] 我們現在都已經修改了
[01:27:19.000 --> 01:27:21.000] 那就是12年前在設計的時候
[01:27:21.000 --> 01:27:24.000] 我們是預期這些營利事業進來的時候
[01:27:24.000 --> 01:27:26.000] 會自行修改密碼
[01:27:26.000 --> 01:27:27.000] 12年了
[01:27:27.000 --> 01:27:28.000] 所以他們
[01:27:28.000 --> 01:27:30.000] 12年是國教了
[01:27:30.000 --> 01:27:31.000] 是 所以我們
[01:27:31.000 --> 01:27:32.000] 教不會
[01:27:32.000 --> 01:27:33.000] 所以我們立刻做改善
[01:27:33.000 --> 01:27:34.000] 12年前你們設計
[01:27:34.000 --> 01:27:39.000] 經過12年到今年5月才有白帽駭客來通報
[01:27:39.000 --> 01:27:41.000] 有這樣的一個狀況
[01:27:41.000 --> 01:27:43.000] 這個整個資安系統
[01:27:43.000 --> 01:27:46.000] 資安意識真的欠缺到這種狀況
[01:27:46.000 --> 01:27:49.000] 另外對民眾的部分來說
[01:27:49.000 --> 01:27:52.000] 也是在今年5月成品的網路書店
[01:27:52.000 --> 01:27:54.000] 民眾買書的時候
[01:27:54.000 --> 01:27:59.000] 還接到相關的自稱書局的回訪電話
[01:27:59.000 --> 01:28:01.000] 強調統戰的相關言論
[01:28:01.000 --> 01:28:04.000] 這也是民眾個人資料的外洩
[01:28:04.000 --> 01:28:07.000] 也是這家公司對於相關資料的
[01:28:07.000 --> 01:28:09.000] 這樣的一個保護
[01:28:09.000 --> 01:28:10.000] 相關的欠缺
[01:28:10.000 --> 01:28:12.000] 當然現在
[01:28:12.000 --> 01:28:15.000] 數位部跟資安院
[01:28:15.000 --> 01:28:16.000] 以及警方
[01:28:16.000 --> 01:28:18.000] 有去實地的調查
[01:28:18.000 --> 01:28:22.000] 那預計5月26會提出相關的報告
[01:28:22.000 --> 01:28:24.000] 來 那請部長說明一下
[01:28:24.000 --> 01:28:25.000] 我們這次主要
[01:28:25.000 --> 01:28:27.000] 除了說要釐清
[01:28:27.000 --> 01:28:29.000] 到底是在哪一個點上面發生
[01:28:29.000 --> 01:28:30.000] 個人資料外洩之外
[01:28:30.000 --> 01:28:33.000] 更重要的是找到根本原因之後
[01:28:33.000 --> 01:28:35.000] 必須要輔導他們去改善
[01:28:35.000 --> 01:28:36.000] 好比像說
[01:28:36.000 --> 01:28:38.000] 如果他是下游資料外洩物流
[01:28:38.000 --> 01:28:39.000] 或者是金流的話
[01:28:39.000 --> 01:28:41.000] 我們就要導入所謂的陰霾技術
[01:28:41.000 --> 01:28:43.000] 讓下游其實根本不需要
[01:28:43.000 --> 01:28:44.000] 收到這麼detail的
[01:28:44.000 --> 01:28:46.000] 包含他的聯絡電話等等的資料
[01:28:46.000 --> 01:28:48.000] 我要提醒部長跟主任
[01:28:48.000 --> 01:28:50.000] 你們今天不是求品
[01:28:50.000 --> 01:28:53.000] 不是來說這個球打得怎麼樣怎麼樣
[01:28:53.000 --> 01:28:55.000] 你們都是主管機關
[01:28:55.000 --> 01:28:56.000] 當然要負責
[01:28:56.000 --> 01:28:59.000] 對於公務部門跟非公務部門
[01:28:59.000 --> 01:29:00.000] 相關的資安系統
[01:29:00.000 --> 01:29:01.000] 資安意識
[01:29:01.000 --> 01:29:03.000] 必須你們要負起
[01:29:03.000 --> 01:29:06.000] 督促的相關的重要責任
[01:29:06.000 --> 01:29:07.000] 那我們現在公司部門
[01:29:07.000 --> 01:29:10.000] 其實遭受到的這樣的一個
[01:29:10.000 --> 01:29:11.000] 資安的問題
[01:29:11.000 --> 01:29:12.000] 層出不窮
[01:29:12.000 --> 01:29:14.000] 那我們看到
[01:29:14.000 --> 01:29:15.000] 近年來
[01:29:15.000 --> 01:29:17.000] 數位部自己提供的資料
[01:29:17.000 --> 01:29:21.000] 中央與地方政府的資安事件
[01:29:21.000 --> 01:29:23.000] 2020年677件
[01:29:23.000 --> 01:29:26.000] 2021年733件
[01:29:26.000 --> 01:29:30.000] 2022年暴增到806件
[01:29:30.000 --> 01:29:34.000] 那資安業者的check point的
[01:29:34.000 --> 01:29:36.000] 發佈最新研究報告
[01:29:36.000 --> 01:29:38.000] 就是說全球
[01:29:38.000 --> 01:29:43.000] 每週平均遭受攻擊的這樣的一個次數
[01:29:43.000 --> 01:29:46.000] 我們台灣是亞太地區的1.8倍
[01:29:46.000 --> 01:29:49.000] 是全球的2.6倍
[01:29:49.000 --> 01:29:51.000] 那數位部有什麼因應的措施
[01:29:51.000 --> 01:29:53.000] 部長你要跟社會大眾講
[01:29:53.000 --> 01:29:57.000] 數位部成立唐鳳當部長
[01:29:57.000 --> 01:30:00.000] 那接下來我們公司部門遭受這種
[01:30:00.000 --> 01:30:02.000] 資安的攻擊
[01:30:02.000 --> 01:30:04.000] 是會下降
[01:30:04.000 --> 01:30:06.000] 件數會下降
[01:30:06.000 --> 01:30:07.000] 還是不會下降
[01:30:07.000 --> 01:30:09.000] 但是上升會和緩
[01:30:09.000 --> 01:30:11.000] 不會暴增
[01:30:11.000 --> 01:30:13.000] 你讓民眾知道未來的趨勢嗎
[01:30:13.000 --> 01:30:14.000] 好的
[01:30:14.000 --> 01:30:17.000] 我們知道就是過去兩年
[01:30:17.000 --> 01:30:19.000] 就是2021、2022年
[01:30:19.000 --> 01:30:22.000] 甚至包含大家可能記得去年8月
[01:30:22.000 --> 01:30:25.000] 就是Pelosi一戰放台的時候的事件
[01:30:25.000 --> 01:30:27.000] 確實境外對我們的攻擊的力道
[01:30:27.000 --> 01:30:29.000] 是大幅的上升
[01:30:29.000 --> 01:30:31.000] 所以在這個情況下
[01:30:31.000 --> 01:30:33.000] 當然機關勇於通報資安事件
[01:30:33.000 --> 01:30:36.000] 在境外攻擊那麼嚴重的情況下
[01:30:36.000 --> 01:30:37.000] 絕對是一件好事
[01:30:37.000 --> 01:30:39.000] 我們是鼓勵大家通報
[01:30:39.000 --> 01:30:40.000] 而不是鼓勵大家不通報
[01:30:40.000 --> 01:30:42.000] 那我們主要看的就是說
[01:30:42.000 --> 01:30:43.000] 它通報之後我們多快
[01:30:43.000 --> 01:30:45.000] 能夠找到根本原因
[01:30:45.000 --> 01:30:47.000] 這樣一個通報是重要的
[01:30:47.000 --> 01:30:50.000] 所以跟交通系統的志願報告系統一樣
[01:30:50.000 --> 01:30:53.000] 飛安或是鐵道安全的志願報告系統
[01:30:53.000 --> 01:30:54.000] 是有同樣的狀況性
[01:30:54.000 --> 01:30:57.000] 但是我們這樣的一個通報的次數
[01:30:57.000 --> 01:30:58.000] 越來越增加
[01:30:58.000 --> 01:31:01.000] 其實除了志願來通報之外
[01:31:01.000 --> 01:31:03.000] 也代表了這個資安攻擊
[01:31:03.000 --> 01:31:05.000] 我們本來就是全球遭受
[01:31:05.000 --> 01:31:07.000] 資安攻擊的重心
[01:31:07.000 --> 01:31:10.000] 對 就表示我們的察覺的能力提升了
[01:31:10.000 --> 01:31:12.000] 那我們數二部成立之後
[01:31:12.000 --> 01:31:13.000] 有一個最大的差別
[01:31:13.000 --> 01:31:16.000] 就是我們會主動的事前的去巡檢
[01:31:16.000 --> 01:31:18.000] 也就是不要等別人來攻擊
[01:31:18.000 --> 01:31:19.000] 然後來通報
[01:31:19.000 --> 01:31:20.000] 我們就要先發現
[01:31:20.000 --> 01:31:22.000] 哪些漏洞可能會發生
[01:31:22.000 --> 01:31:24.000] 那其實像白帽駭客
[01:31:24.000 --> 01:31:25.000] 這樣子守望相助的通報
[01:31:25.000 --> 01:31:26.000] 我覺得非常好
[01:31:26.000 --> 01:31:28.000] 那也有一些白帽駭客
[01:31:28.000 --> 01:31:29.000] 願意來加入我們資安院
[01:31:29.000 --> 01:31:31.000] 去從事這樣巡檢的工作
[01:31:31.000 --> 01:31:33.000] 好 部長 我們針對財政部的
[01:31:33.000 --> 01:31:35.000] 這個電子花票
[01:31:35.000 --> 01:31:37.000] 整合的這個服務平台
[01:31:37.000 --> 01:31:40.000] 我們平時應該有做集合吧
[01:31:40.000 --> 01:31:41.000] 是 我們平時當然有
[01:31:41.000 --> 01:31:43.000] 你們有發現這個問題嗎
[01:31:43.000 --> 01:31:45.000] 我們並沒有在之前的集合裡面
[01:31:45.000 --> 01:31:48.000] 發現說就是每一個使用者
[01:31:48.000 --> 01:31:49.000] 預設的這個密碼
[01:31:49.000 --> 01:31:51.000] 有些沒有變更的這個問題
[01:31:51.000 --> 01:31:53.000] 那也表示你們不夠積極
[01:31:53.000 --> 01:31:54.000] 數位部成立
[01:31:54.000 --> 01:31:58.000] 然後財政部這麼重大的一個
[01:31:58.000 --> 01:32:00.000] 個資的這樣的防護的缺口
[01:32:00.000 --> 01:32:02.000] 我們在集合沒有查到
[01:32:02.000 --> 01:32:04.000] 那我們集合是在集合什麼
[01:32:04.000 --> 01:32:05.000] 來 我請教一下張主任
[01:32:05.000 --> 01:32:07.000] 到底有沒有集合 張主任
[01:32:07.000 --> 01:32:09.000] 報委員是有集合
[01:32:09.000 --> 01:32:10.000] 有集合
[01:32:10.000 --> 01:32:11.000] 跟委員報告是
[01:32:11.000 --> 01:32:13.000] 這個系統是沒有個資的系統
[01:32:13.000 --> 01:32:15.000] 它是純正發票
[01:32:15.000 --> 01:32:18.000] 因為營業事業它會開發票
[01:32:18.000 --> 01:32:19.000] 那它需要
[01:32:19.000 --> 01:32:20.000] 這樣不算個資嗎
[01:32:20.000 --> 01:32:21.000] 它沒有個人的
[01:32:21.000 --> 01:32:23.000] 開去發票的相關的這些資料
[01:32:23.000 --> 01:32:26.000] 能夠讓外人一覽無遺
[01:32:26.000 --> 01:32:27.000] 它沒有個人的
[01:32:27.000 --> 01:32:28.000] 重要的資料嗎
[01:32:28.000 --> 01:32:29.000] 它是重要的資料
[01:32:29.000 --> 01:32:31.000] 當然它是公司的資料
[01:32:31.000 --> 01:32:32.000] 它不是個人的資料
[01:32:32.000 --> 01:32:33.000] 它有分兩部分
[01:32:33.000 --> 01:32:34.000] 一部分是公式
[01:32:34.000 --> 01:32:36.000] 就是公開展示的資料
[01:32:36.000 --> 01:32:39.000] 好 那數位部有沒有定期來做集合
[01:32:39.000 --> 01:32:41.000] 有的 那我們在今年
[01:32:41.000 --> 01:32:42.000] 現在有
[01:32:42.000 --> 01:32:44.000] 對 我們在今年新的情況
[01:32:44.000 --> 01:32:46.000] 就是不但納入集合的樣態
[01:32:46.000 --> 01:32:48.000] 我們也會主動去巡查這種
[01:32:48.000 --> 01:32:49.000] 單一密碼的
[01:32:49.000 --> 01:32:50.000] 那你們集合到
[01:32:50.000 --> 01:32:53.000] 財政部有這樣的狀況沒有
[01:32:53.000 --> 01:32:55.000] 我們今年的相關的任性巡檢
[01:32:55.000 --> 01:32:56.000] 還沒有開始
[01:32:56.000 --> 01:32:57.000] 所以就還沒有到財政部
[01:32:57.000 --> 01:32:59.000] 那就民間的朋友守望相助
[01:32:59.000 --> 01:33:01.000] 他主動通報了
[01:33:01.000 --> 01:33:02.000] 好 那你們現在察覺
[01:33:02.000 --> 01:33:03.000] 你有沒有要求
[01:33:03.000 --> 01:33:05.000] 財政部去公改這個系統
[01:33:05.000 --> 01:33:06.000] 有 當然 當然
[01:33:06.000 --> 01:33:08.000] 而且我們也請財政部
[01:33:08.000 --> 01:33:10.000] 做成類似像教案一樣
[01:33:10.000 --> 01:33:11.000] 在今天的資安長會議裡面
[01:33:11.000 --> 01:33:12.000] 跟大家分享
[01:33:12.000 --> 01:33:15.000] 那相關於公務部門
[01:33:15.000 --> 01:33:16.000] 那非公務部門
[01:33:16.000 --> 01:33:18.000] 其實也有相當多的
[01:33:18.000 --> 01:33:19.000] 這樣的一個問題
[01:33:19.000 --> 01:33:21.000] 那我們自通安全管理法的
[01:33:21.000 --> 01:33:22.000] 規範範圍
[01:33:22.000 --> 01:33:24.000] 其實就是公務機關
[01:33:24.000 --> 01:33:26.000] 加上特定的非公務機關
[01:33:26.000 --> 01:33:29.000] 例如關鍵基礎設施的提供者
[01:33:29.000 --> 01:33:31.000] 或者是公營事業
[01:33:31.000 --> 01:33:34.000] 政府捐助的財團法人等等
[01:33:34.000 --> 01:33:37.000] 那非公務機關目前的規範方式
[01:33:37.000 --> 01:33:40.000] 其實我們也是蠻擔憂的
[01:33:40.000 --> 01:33:42.000] 因為目前好像只能透過
[01:33:42.000 --> 01:33:44.000] 中央目的事業主管機關
[01:33:44.000 --> 01:33:47.000] 就他主管的這些產業
[01:33:47.000 --> 01:33:50.000] 針對資安提出相關的指引
[01:33:50.000 --> 01:33:51.000] 那這個部分
[01:33:51.000 --> 01:33:53.000] 例如衛福部針對醫療院所
[01:33:53.000 --> 01:33:56.000] 所訂定的資安防護參考指引
[01:33:56.000 --> 01:34:00.000] 或者是金管會對金融領域的
[01:34:00.000 --> 01:34:02.000] 訂定資安內部控制
[01:34:02.000 --> 01:34:05.000] 以及指引相關的這些規範
[01:34:05.000 --> 01:34:07.000] 那其他的非常欠缺
[01:34:07.000 --> 01:34:09.000] 來 部長說明一下
[01:34:09.000 --> 01:34:11.000] 因為資安這個要求是比較高的
[01:34:11.000 --> 01:34:12.000] 除了您剛剛關心的
[01:34:12.000 --> 01:34:13.000] 各自洩漏之外
[01:34:13.000 --> 01:34:16.000] 還有包含他服務不能中斷等等
[01:34:16.000 --> 01:34:17.000] 那所以這些就是
[01:34:17.000 --> 01:34:18.000] 像您剛剛提到的
[01:34:18.000 --> 01:34:20.000] 醫療院所或金融領域
[01:34:20.000 --> 01:34:22.000] 當然各自是要守護之外
[01:34:22.000 --> 01:34:23.000] 所以對非公務機關
[01:34:23.000 --> 01:34:25.000] 我們目前是沒有統一的
[01:34:25.000 --> 01:34:26.000] 資安的規範嗎
[01:34:26.000 --> 01:34:29.000] 我們是有統一的資安的規範
[01:34:29.000 --> 01:34:31.000] 包含服務不能中斷等等
[01:34:31.000 --> 01:34:32.000] 那這些是由
[01:34:32.000 --> 01:34:34.000] 中央目的事業主管機關來指定
[01:34:34.000 --> 01:34:36.000] 哪些比較像關鍵基礎設施
[01:34:36.000 --> 01:34:37.000] 的這種重要性的
[01:34:37.000 --> 01:34:39.000] 需要受這麼高的規範
[01:34:39.000 --> 01:34:41.000] 那其他的是受個資法的規範
[01:34:41.000 --> 01:34:43.000] 我知道 現在當然是
[01:34:43.000 --> 01:34:45.000] 由目的主管機關
[01:34:45.000 --> 01:34:48.000] 針對個別的產業來訂定相關的
[01:34:48.000 --> 01:34:50.000] 資安的一些指引規範
[01:34:50.000 --> 01:34:52.000] 那我現在講的是整體
[01:34:52.000 --> 01:34:53.000] 我們對於非公務部門
[01:34:53.000 --> 01:34:55.000] 有沒有做一個統一的
[01:34:55.000 --> 01:34:56.000] 資安的一個規範
[01:34:56.000 --> 01:34:58.000] 是 我想就是
[01:34:58.000 --> 01:35:00.000] 我們這個資安署所訂定的規範
[01:35:00.000 --> 01:35:02.000] 這個是最基本的
[01:35:02.000 --> 01:35:03.000] 就是不管在上面
[01:35:03.000 --> 01:35:05.000] 再加多少防護參考指引
[01:35:05.000 --> 01:35:07.000] 我們資安署這邊所訂定的指引
[01:35:07.000 --> 01:35:09.000] 就無論如何必須要遵守
[01:35:09.000 --> 01:35:10.000] 那是法律的一部分
[01:35:10.000 --> 01:35:12.000] 部長 我們現在要去落實
[01:35:12.000 --> 01:35:15.000] 相關的資安法的一個執法
[01:35:15.000 --> 01:35:17.000] 那另外對於
[01:35:17.000 --> 01:35:20.000] 非公務機關的資安意思
[01:35:20.000 --> 01:35:21.000] 要強化
[01:35:21.000 --> 01:35:24.000] 那另外要逐步
[01:35:24.000 --> 01:35:26.000] 對於非公務機關
[01:35:26.000 --> 01:35:28.000] 相關的資安的法令規範
[01:35:28.000 --> 01:35:30.000] 我們要逐步去落實
[01:35:30.000 --> 01:35:32.000] 來 最後讓你簡單說明一下
[01:35:32.000 --> 01:35:33.000] 是 謝謝委員提醒
[01:35:33.000 --> 01:35:35.000] 我們現在在進行
[01:35:35.000 --> 01:35:38.000] 資通安全管理法的修法的討論的時候
[01:35:38.000 --> 01:35:40.000] 確實如同委員所說的
[01:35:40.000 --> 01:35:41.000] 包含地方政府
[01:35:41.000 --> 01:35:45.000] 或者是其他別的主管機關相關的事業
[01:35:45.000 --> 01:35:46.000] 要透過怎麼樣子的盤點
[01:35:46.000 --> 01:35:48.000] 並且培植他們的這個意識
[01:35:48.000 --> 01:35:49.000] 甚至這個結合
[01:35:49.000 --> 01:35:51.000] 要不要到地方政府等等
[01:35:51.000 --> 01:35:52.000] 這個我們都在
[01:35:52.000 --> 01:35:54.000] 就是陸續的在做討論
[01:35:54.000 --> 01:35:56.000] 那我們希望說能夠盡快收斂到一個共識
[01:35:56.000 --> 01:35:59.000] 在今年年底前整理出一個願板
[01:35:59.000 --> 01:36:01.000] 部長 我們現在討論到
[01:36:01.000 --> 01:36:03.000] 我們公務部門 非公務部門
[01:36:03.000 --> 01:36:05.000] 遭受的這樣一個資安的攻擊
[01:36:05.000 --> 01:36:07.000] 當然 資源通報
[01:36:07.000 --> 01:36:08.000] 這是一個非常重要
[01:36:08.000 --> 01:36:10.000] 顯現問題的一個關鍵
[01:36:10.000 --> 01:36:12.000] 不過重點還是在於
[01:36:12.000 --> 01:36:15.000] 我們對於這些通報處理的程序跟結果
[01:36:15.000 --> 01:36:16.000] 效率如何
[01:36:16.000 --> 01:36:17.000] 沒錯
[01:36:17.000 --> 01:36:20.000] 以及日後會發生這樣的狀況與否
[01:36:20.000 --> 01:36:22.000] 這個都是蘇維布要加強讀出的
[01:36:22.000 --> 01:36:24.000] 完全同意 謝謝 謝謝委員提醒
[01:36:24.000 --> 01:36:29.000] 好 謝謝李坤哲委員
[01:36:30.000 --> 01:36:34.000] 坤哲委員跟我25年以前國民大會代表同事
[01:36:34.000 --> 01:36:35.000] 到現在
[01:36:35.000 --> 01:36:38.000] 他又年非常的
[01:36:38.000 --> 01:36:41.000] 非常的困境 說真的
[01:36:41.000 --> 01:36:43.000] 個人也很努力
[01:36:43.000 --> 01:36:45.000] 我在此特別說明一下
[01:36:45.000 --> 01:36:48.000] 我們好朋友 雖然黨派不同
[01:36:48.000 --> 01:36:52.000] 那剛才他所提蘇發布的事情
[01:36:52.000 --> 01:36:55.000] 我想隨著資安的事件不斷的增加
[01:36:55.000 --> 01:36:58.000] 蘇發布成立以後你們的責任更新更大
[01:36:58.000 --> 01:37:02.000] 那您跟NCC之間不能再互推皮球
[01:37:02.000 --> 01:37:04.000] 您是主管機關 好不好
[01:37:04.000 --> 01:37:07.000] 不管直線的指揮系統已經橫向聯繫
[01:37:07.000 --> 01:37:09.000] 你都要負起責
[01:37:09.000 --> 01:37:12.000] 我想部長你們單位
[01:37:12.000 --> 01:37:14.000] 危機感應該逐漸的要上升
[01:37:14.000 --> 01:37:16.000] 這一點要拜託大家 好不好
[01:37:16.000 --> 01:37:19.000] 尤其總統對你非常的信賴
[01:37:19.000 --> 01:37:22.000] 你又是國內非常火紅的一個專家
[01:37:22.000 --> 01:37:24.000] 加油了 好不好
[01:37:24.000 --> 01:37:27.000] 好 下一位請秋嫻自委員發言
[01:37:27.000 --> 01:37:35.000] 謝謝主席
[01:37:35.000 --> 01:37:39.000] 那我想請數位發展部唐部長
[01:37:39.000 --> 01:37:42.000] 以及財政部財政資訊中心張主任
[01:37:42.000 --> 01:37:45.000] 那我先請主任
[01:37:45.000 --> 01:37:47.000] 好 主任請
[01:37:47.000 --> 01:37:49.000] 好 主任好
[01:37:49.000 --> 01:37:52.000] 主任今天這個報告
[01:37:52.000 --> 01:37:56.000] 這個我看到財政部的這個報告
[01:37:56.000 --> 01:38:00.000] 針對這個電子發票整合服務平台
[01:38:00.000 --> 01:38:03.000] 它的登錄系統出現資安的缺失
[01:38:03.000 --> 01:38:06.000] 主任我想先請教缺失在哪裡
[01:38:06.000 --> 01:38:10.000] 這弱密碼 預設弱密碼的設定
[01:38:10.000 --> 01:38:17.000] 同時這個使用者並沒有按時去修改密碼
[01:38:17.000 --> 01:38:19.000] 那這什麼意思
[01:38:19.000 --> 01:38:24.000] 第一個是我們在過去在機制設計上的缺失
[01:38:24.000 --> 01:38:26.000] 沒有想到
[01:38:26.000 --> 01:38:30.000] 不是啦 你現在在你這個報告總共才三頁
[01:38:30.000 --> 01:38:32.000] 總共才三頁
[01:38:32.000 --> 01:38:34.000] 三頁裡面這個字體還這麼大
[01:38:34.000 --> 01:38:37.000] 在這個缺失裡面完全看不出來
[01:38:37.000 --> 01:38:40.000] 你到底懂不懂這個缺失是什麼
[01:38:40.000 --> 01:38:45.000] 那民眾來 其實民眾是來跟我們辦公室陳情之後
[01:38:45.000 --> 01:38:47.000] 我們告訴財政部嘛
[01:38:47.000 --> 01:38:48.000] 是 謝謝
[01:38:48.000 --> 01:38:50.000] 那他怎麼說的 一句話就講完了嘛
[01:38:50.000 --> 01:38:55.000] 也就是說 你的密碼 你發送給大家的密碼都是一樣的
[01:38:55.000 --> 01:39:00.000] 你發送給唐部長 發送給主任 發送給我
[01:39:00.000 --> 01:39:05.000] 發送給召委的密碼 每一組的密碼都是一樣的啊
[01:39:05.000 --> 01:39:07.000] 你的問題在這裡
[01:39:07.000 --> 01:39:12.000] 那所以我就可以拿著這個密碼登錄到你的系統裡面
[01:39:12.000 --> 01:39:14.000] 我就可以登錄到所有人裡面
[01:39:14.000 --> 01:39:17.000] 我一個人可以看一萬家
[01:39:17.000 --> 01:39:19.000] 問題在這裡
[01:39:19.000 --> 01:39:21.000] 主任 這樣對嗎
[01:39:21.000 --> 01:39:27.000] 是 但是就是原來我們並沒有告訴別人的密碼是這樣的狀況
[01:39:27.000 --> 01:39:28.000] 那你
[01:39:28.000 --> 01:39:29.000] 不是嘛 主任
[01:39:29.000 --> 01:39:34.000] 你現在 你的問題是你不應該是把所有人的密碼都是一樣的
[01:39:34.000 --> 01:39:36.000] 讓他們回去登錄別人的嘛
[01:39:36.000 --> 01:39:38.000] 我們現在已經做出了修正
[01:39:38.000 --> 01:39:41.000] 所以我現在的問題在你的報告裡面完全沒有提到
[01:39:41.000 --> 01:39:44.000] 第一個就是說 你要報告的解決就是缺失嘛
[01:39:44.000 --> 01:39:49.000] 現在交委會排這個題目的目的就是說這個缺失是什麼
[01:39:49.000 --> 01:39:53.000] 連缺失都寫不清楚
[01:39:53.000 --> 01:39:54.000] 我想請教啦
[01:39:54.000 --> 01:39:56.000] 我們在處理方式這邊有說明
[01:39:56.000 --> 01:39:59.000] 你今天你第一頁裡面 背景說明裡面
[01:39:59.000 --> 01:40:03.000] 你說 配護預設密碼為弱密碼 且為強制變更即可登錄
[01:40:03.000 --> 01:40:05.000] 有指出我剛剛講的那個問題
[01:40:05.000 --> 01:40:09.000] 你的密碼發送給人家都是一樣的嗎
[01:40:09.000 --> 01:40:10.000] 沒有耶
[01:40:10.000 --> 01:40:11.000] 好 第二個
[01:40:11.000 --> 01:40:14.000] 問題在哪裡就應該解決問題嘛
[01:40:14.000 --> 01:40:19.000] 你的報告裡面 寥寥三葉字體還這麼大
[01:40:19.000 --> 01:40:21.000] 完全都沒有指出三個問題
[01:40:21.000 --> 01:40:25.000] 第一個 這個資安檢核體制到底出什麼問題
[01:40:25.000 --> 01:40:27.000] 為什麼會造成這樣的危機嘛
[01:40:27.000 --> 01:40:29.000] 像剛剛李昆哲委員你有講啊
[01:40:29.000 --> 01:40:31.000] 立法院的系統裡面不會有這個問題
[01:40:31.000 --> 01:40:33.000] 其他機關裡面不會有這個問題嘛
[01:40:33.000 --> 01:40:37.000] 那你的系統裡面為什麼會出現這個問題
[01:40:37.000 --> 01:40:40.000] 這第一個 你要回答的是這個問題
[01:40:40.000 --> 01:40:44.000] 第二個 當這一個體制出了問題之後
[01:40:44.000 --> 01:40:47.000] 民眾來跟委員的辦公室陳情
[01:40:47.000 --> 01:40:49.000] 我們把它轉給財政部之後
[01:40:49.000 --> 01:40:52.000] 為什麼你可以從5月11號
[01:40:52.000 --> 01:40:56.000] 一直處理 處理到5月16號
[01:40:56.000 --> 01:40:59.000] 你才有一個所謂的第二因子
[01:40:59.000 --> 01:41:03.000] 這是為什麼花了將近一週才完整
[01:41:03.000 --> 01:41:05.000] 這個是你要在報告裡面解釋的
[01:41:05.000 --> 01:41:08.000] 第三個 就是我們其實最重視的
[01:41:08.000 --> 01:41:11.000] 未來資安的檢核體制 危機應變體制
[01:41:11.000 --> 01:41:16.000] 要怎麼改進 從這裡也完全看不出來
[01:41:16.000 --> 01:41:18.000] 部長 那我想請教
[01:41:18.000 --> 01:41:21.000] 是不是認為說財政部啊
[01:41:21.000 --> 01:41:25.000] 的資安機核機制出了問題
[01:41:25.000 --> 01:41:29.000] 我想這個可能要由這個資安署來
[01:41:29.000 --> 01:41:30.000] 做細部的回答
[01:41:30.000 --> 01:41:33.000] 不過我先講一下 就是任何這種
[01:41:33.000 --> 01:41:36.000] 不是使用工商憑證這一類強的登錄的系統
[01:41:36.000 --> 01:41:39.000] 都可能出現類似的狀況
[01:41:39.000 --> 01:41:41.000] 所以我們今年的一個重點
[01:41:41.000 --> 01:41:43.000] 就是全面的去體檢 去巡檢
[01:41:43.000 --> 01:41:46.000] 確保說像這樣子的弱因子
[01:41:46.000 --> 01:41:49.000] 能夠用第二個或甚至第三個強的因子
[01:41:49.000 --> 01:41:50.000] 所謂的零信任
[01:41:50.000 --> 01:41:53.000] 這樣即使是出現像剛剛講的弱密碼
[01:41:53.000 --> 01:41:54.000] 沒有更改的情況
[01:41:54.000 --> 01:41:56.000] 它也會被第二到第三道門擋住
[01:41:56.000 --> 01:41:57.000] 好 那我想請教嘛
[01:41:57.000 --> 01:41:59.000] 那部長這樣講
[01:41:59.000 --> 01:42:01.000] 主任 你這個平台
[01:42:01.000 --> 01:42:04.000] 資安的機核的流程是什麼
[01:42:04.000 --> 01:42:06.000] 要經過哪些人去機核
[01:42:06.000 --> 01:42:10.000] 我們有內部的機核委員
[01:42:10.000 --> 01:42:12.000] 跟外部的機核成員
[01:42:12.000 --> 01:42:14.000] 那我們自己另外還有一個
[01:42:14.000 --> 01:42:18.000] 資安科來成立這個機核的小組
[01:42:18.000 --> 01:42:22.000] 那做定期的結合跟這次的專案機核
[01:42:22.000 --> 01:42:23.000] 那剛才這個預設
[01:42:23.000 --> 01:42:25.000] 我們在報告裡面寫說沒有變
[01:42:25.000 --> 01:42:27.000] 發送統一的密碼這個部分
[01:42:27.000 --> 01:42:29.000] 其實就是預設密碼
[01:42:29.000 --> 01:42:31.000] 我們在文字上寫得不好
[01:42:31.000 --> 01:42:32.000] 這請委員先講
[01:42:32.000 --> 01:42:34.000] 主任 那想請教
[01:42:34.000 --> 01:42:36.000] 那為什麼你有一些機核人員
[01:42:36.000 --> 01:42:37.000] 你要經過一些人機核
[01:42:37.000 --> 01:42:40.000] 那為什麼沒有發現這個漏洞
[01:42:40.000 --> 01:42:41.000] 為什麼
[01:42:41.000 --> 01:42:44.000] 報告委員 因為是密碼的部分
[01:42:44.000 --> 01:42:49.000] 因為是等於說在使用者這一端裡面
[01:42:49.000 --> 01:42:52.000] 他通常在程式
[01:42:52.000 --> 01:42:54.000] 不是啊 你現在就是每個人
[01:42:54.000 --> 01:42:56.000] 發送給人家每一位都是一樣的嘛
[01:42:56.000 --> 01:42:58.000] 那這是很明顯的
[01:42:58.000 --> 01:42:59.000] 這是一個漏洞
[01:42:59.000 --> 01:43:01.000] 其他機關可能也不會出現這個問題
[01:43:01.000 --> 01:43:04.000] 那你現在為什麼出現這個漏洞
[01:43:04.000 --> 01:43:06.000] 那你要去說明啊
[01:43:06.000 --> 01:43:10.000] 否則你未來是不是也一二再再二三會發生呢
[01:43:10.000 --> 01:43:11.000] 報告委員
[01:43:11.000 --> 01:43:12.000] 就是我們這個漏洞
[01:43:12.000 --> 01:43:14.000] 是原來在機設設計上的缺失
[01:43:14.000 --> 01:43:16.000] 那我們在修改之後
[01:43:16.000 --> 01:43:17.000] 我們有全面清查所有的系統
[01:43:17.000 --> 01:43:18.000] 那跟委員話
[01:43:18.000 --> 01:43:20.000] 目前其他系統是沒有類似
[01:43:20.000 --> 01:43:21.000] 那當時發票的部分
[01:43:21.000 --> 01:43:24.000] 因為這個不是一般人使用
[01:43:24.000 --> 01:43:26.000] 而且是營利事業在
[01:43:26.000 --> 01:43:30.000] 只是為了在申報營所營利
[01:43:30.000 --> 01:43:32.000] 營業稅的部分使用
[01:43:32.000 --> 01:43:34.000] 他並不是經常性使用
[01:43:34.000 --> 01:43:37.000] 大部分的機關都是兩個月才會去看一次
[01:43:37.000 --> 01:43:40.000] 所以他們對變更密碼之間有很多意見
[01:43:40.000 --> 01:43:43.000] 那時間會修改的比較長的原因是
[01:43:43.000 --> 01:43:46.000] 因為他們兩個月才變一次
[01:43:46.000 --> 01:43:48.000] 那剛好在這事件發生的時間是
[01:43:48.000 --> 01:43:51.000] 在營業稅申報的期間
[01:43:51.000 --> 01:43:53.000] 那很多業者都有反應說
[01:43:53.000 --> 01:43:57.000] 你現在就是有信心告訴大家說
[01:43:57.000 --> 01:44:01.000] 你這個錯誤已經修正了嗎
[01:44:01.000 --> 01:44:03.000] 目前在這個系統的部分
[01:44:03.000 --> 01:44:04.000] 我們已經修改完
[01:44:04.000 --> 01:44:07.000] 因為從你的報告是完全看不出來的
[01:44:07.000 --> 01:44:10.000] 好那我接下來第二個問題是非常簡單
[01:44:10.000 --> 01:44:12.000] 5月10號發生嘛
[01:44:12.000 --> 01:44:15.000] 你5月11號你5月11號你做了什麼
[01:44:15.000 --> 01:44:18.000] 你5月11號你就是把新登錄的
[01:44:18.000 --> 01:44:21.000] 預設的密碼把它這個增強嘛
[01:44:21.000 --> 01:44:23.000] 是是是
[01:44:23.000 --> 01:44:26.000] 那你5月11號做這個5月12號的時候
[01:44:26.000 --> 01:44:28.000] 你去電子郵件去通知
[01:44:28.000 --> 01:44:29.000] 這些預設的密碼
[01:44:29.000 --> 01:44:32.000] 過去的要去變更密碼
[01:44:32.000 --> 01:44:34.000] 那5月13號的時候
[01:44:34.000 --> 01:44:36.000] 你才去要求說
[01:44:36.000 --> 01:44:39.000] 登錄之後要強制變更密碼
[01:44:39.000 --> 01:44:41.000] 對不對但是喔
[01:44:41.000 --> 01:44:44.000] 在這個過程之中一直處理到現在的時候
[01:44:44.000 --> 01:44:46.000] 本來的密碼都沒有變
[01:44:46.000 --> 01:44:48.000] 所以我如果
[01:44:48.000 --> 01:44:50.000] 我要再去登錄別人
[01:44:50.000 --> 01:44:52.000] 到5月13號的時候還是可以
[01:44:52.000 --> 01:44:57.000] 所以我們也是因為民眾又來跟我們反應說
[01:44:57.000 --> 01:45:01.000] 這個他的密碼還是可以去登錄別人的
[01:45:01.000 --> 01:45:03.000] 我們才又告訴財政部
[01:45:03.000 --> 01:45:04.000] 部長你了解有意思嗎
[01:45:04.000 --> 01:45:06.000] 了解因為整個過程我也有參與
[01:45:06.000 --> 01:45:08.000] 是啊所以到5月16號
[01:45:08.000 --> 01:45:10.000] 你可以看到他這個流程
[01:45:10.000 --> 01:45:13.000] 我要講的就是說到5月16號的時候
[01:45:13.000 --> 01:45:15.000] 你才需要去要求說
[01:45:15.000 --> 01:45:16.000] 我們去跟你講了
[01:45:16.000 --> 01:45:18.000] 你才說去輸入第二因子時的
[01:45:18.000 --> 01:45:20.000] 變更預設密碼嘛
[01:45:20.000 --> 01:45:22.000] 才把這個擋住
[01:45:22.000 --> 01:45:25.000] 讓我拿到這個這麼大家都一樣的密碼
[01:45:25.000 --> 01:45:28.000] 不會去登錄別人的
[01:45:28.000 --> 01:45:32.000] 主任這個處理的這個過程
[01:45:32.000 --> 01:45:34.000] 到底有沒有問題
[01:45:34.000 --> 01:45:37.000] 為什麼可以一個事情可以處理到一週
[01:45:37.000 --> 01:45:42.000] 你才能夠把這個5月16號才可以把這個漏洞堵住
[01:45:42.000 --> 01:45:44.000] 包委員就是最主要剛才有說明
[01:45:44.000 --> 01:45:46.000] 就是因為剛好是13 14到15
[01:45:46.000 --> 01:45:49.000] 15號是最後一天的營業稅的申報
[01:45:49.000 --> 01:45:50.000] 那申報的部分
[01:45:50.000 --> 01:45:53.000] 營業事業大概有很多是並不是自己處理
[01:45:53.000 --> 01:45:55.000] 都是委託這個代理人
[01:45:55.000 --> 01:45:57.000] 基障式代理人來做申報
[01:45:57.000 --> 01:45:59.000] 那這個對他們作業上的變更
[01:45:59.000 --> 01:46:01.000] 他們覺得這個影響太大
[01:46:01.000 --> 01:46:02.000] 主任你這個理由
[01:46:02.000 --> 01:46:05.000] 我覺得真的大家很難接受
[01:46:05.000 --> 01:46:07.000] 已經發生這個漏洞了
[01:46:07.000 --> 01:46:09.000] 你5月16號應該做的事情
[01:46:09.000 --> 01:46:11.000] 你5月11號就應該做了
[01:46:11.000 --> 01:46:12.000] 部長
[01:46:12.000 --> 01:46:15.000] 我們是有能不通知這些業者
[01:46:15.000 --> 01:46:17.000] 那請他們盡量的配合
[01:46:17.000 --> 01:46:19.000] 那同時在月薪
[01:46:19.000 --> 01:46:21.000] 不是啦這個危機的因應
[01:46:21.000 --> 01:46:23.000] 都已經發生問題了
[01:46:23.000 --> 01:46:26.000] 那還要人家一而再再而三的來反應
[01:46:26.000 --> 01:46:28.000] 那你才能夠知道說
[01:46:28.000 --> 01:46:31.000] 別人的這個密碼現在還在登錄期間
[01:46:31.000 --> 01:46:32.000] 還可以登錄
[01:46:32.000 --> 01:46:34.000] 這非常離譜耶
[01:46:34.000 --> 01:46:39.000] 部長那是不是財政部的這個危機應變機制出了問題
[01:46:39.000 --> 01:46:42.000] 為什麼沒辦法一步到位
[01:46:42.000 --> 01:46:48.000] 是我想TLSCC第一時間就在財政部的邀請之下
[01:46:48.000 --> 01:46:51.000] 讓實際來跟我通報的那位朋友
[01:46:51.000 --> 01:46:53.000] 跟財政部直接的聯繫了
[01:46:53.000 --> 01:46:54.000] 所以就是說我想那位朋友
[01:46:54.000 --> 01:46:57.000] 以及他旁邊的一些白帽駭客
[01:46:57.000 --> 01:46:58.000] 從頭到尾大概都知道說
[01:46:58.000 --> 01:47:00.000] 財政部已經準備好怎麼樣修改
[01:47:00.000 --> 01:47:02.000] 只是因為營業稅申報的關係
[01:47:02.000 --> 01:47:04.000] 所以延後上板
[01:47:04.000 --> 01:47:06.000] 那這個確實是有在溝通上面
[01:47:06.000 --> 01:47:07.000] 可以講得更清楚的地方
[01:47:07.000 --> 01:47:08.000] 是啊
[01:47:08.000 --> 01:47:11.000] 部長我覺得這個這種牛舖化的這個程度
[01:47:11.000 --> 01:47:13.000] 因為你也知道說像這樣的一個狀況
[01:47:13.000 --> 01:47:15.000] 資安外洩或怎麼樣
[01:47:15.000 --> 01:47:19.000] 那個時間基本上是非常寶貴的嘛
[01:47:19.000 --> 01:47:21.000] 那所以我覺得這個事情
[01:47:21.000 --> 01:47:23.000] 應該要徹底的去檢討
[01:47:23.000 --> 01:47:26.000] 至少在這個報告裡面真的完全看不出來
[01:47:26.000 --> 01:47:30.000] 那側重點應該是說未來到底要如何去做改善
[01:47:30.000 --> 01:47:32.000] 那我最後的這個訴求
[01:47:32.000 --> 01:47:37.000] 就請財政部會同這個數位部的這個資安署
[01:47:37.000 --> 01:47:40.000] 一個月內就本事件重新提出一個調查處理
[01:47:40.000 --> 01:47:42.000] 跟檢討的報告
[01:47:42.000 --> 01:47:44.000] 因為你這種報告像這樣的事情
[01:47:44.000 --> 01:47:48.000] 三頁這完全沒辦法接受的
[01:47:48.000 --> 01:47:50.000] 那這個時候裡面應該包含
[01:47:50.000 --> 01:47:51.000] 就是我剛剛提到的
[01:47:51.000 --> 01:47:53.000] 到底本來的這個缺失
[01:47:53.000 --> 01:47:56.000] 為什麼沒有在資安集合過程中被發現
[01:47:56.000 --> 01:47:58.000] 你為什麼不會被發現
[01:47:58.000 --> 01:47:59.000] 因為你說你有集合
[01:47:59.000 --> 01:48:00.000] 但是為什麼都不會被發現
[01:48:00.000 --> 01:48:03.000] 第二個就是說當被發現之後
[01:48:03.000 --> 01:48:05.000] 假設下一次有這樣的狀況
[01:48:05.000 --> 01:48:08.000] 那你的緊急應變處理的過程是什麼
[01:48:08.000 --> 01:48:10.000] 不可能像這一次這樣
[01:48:10.000 --> 01:48:13.000] 又搞到一個禮拜之後
[01:48:13.000 --> 01:48:15.000] 你才把這個漏洞補起來嘛
[01:48:15.000 --> 01:48:16.000] 第三個就是說
[01:48:16.000 --> 01:48:18.000] 未來如何去強化資安檢核
[01:48:18.000 --> 01:48:20.000] 跟緊急事件應變的機制
[01:48:20.000 --> 01:48:22.000] 那最後一個應該是
[01:48:22.000 --> 01:48:24.000] 數位部的這個責任就是說
[01:48:24.000 --> 01:48:26.000] 針對這個事件
[01:48:26.000 --> 01:48:28.000] 它三之十可以攻錯嘛
[01:48:28.000 --> 01:48:32.000] 應該是說檢討改善項目如何推展到其他的公務機關
[01:48:32.000 --> 01:48:36.000] 那避免其他公務機關有類似這樣的狀況
[01:48:36.000 --> 01:48:39.000] 是 正是為什麼我們今天有請財政部
[01:48:39.000 --> 01:48:41.000] 在我們的全國資安長會議裡面
[01:48:41.000 --> 01:48:42.000] 把這個作為交案來分享
[01:48:42.000 --> 01:48:44.000] 所以委員所提出來這個一個月之內
[01:48:44.000 --> 01:48:46.000] 我想我們兩個加起來
[01:48:46.000 --> 01:48:47.000] 做這樣的書面報告
[01:48:47.000 --> 01:48:48.000] 應該是沒有問題
[01:48:48.000 --> 01:48:49.000] 好 那謝謝部長
[01:48:49.000 --> 01:48:50.000] 那再來就是說
[01:48:50.000 --> 01:48:52.000] 部長想要請教這個蝦皮
[01:48:52.000 --> 01:48:55.000] 蝦皮有兩件事情要請教部長
[01:48:55.000 --> 01:48:56.000] 一個就是說
[01:48:56.000 --> 01:48:59.000] 蝦皮名列一二年第一季
[01:48:59.000 --> 01:49:01.000] 高風險賣場第一名
[01:49:01.000 --> 01:49:04.000] 那刑事局接到了七百八十一個案件
[01:49:04.000 --> 01:49:07.000] 什麼時候要依照各支法
[01:49:07.000 --> 01:49:09.000] 去對蝦皮開罰
[01:49:09.000 --> 01:49:11.000] 請陳業淑跟林順
[01:49:11.000 --> 01:49:13.000] 市委員報告
[01:49:13.000 --> 01:49:15.000] 五月八號有進行行政檢查
[01:49:15.000 --> 01:49:16.000] 那我們給
[01:49:16.000 --> 01:49:17.000] 五月八號
[01:49:17.000 --> 01:49:18.000] 是
[01:49:18.000 --> 01:49:19.000] 請蝦皮補充了
[01:49:19.000 --> 01:49:22.000] 包括了六大項
[01:49:22.000 --> 01:49:24.000] 包括他的安控的執行記錄
[01:49:24.000 --> 01:49:26.000] 幾個的軌跡
[01:49:26.000 --> 01:49:28.000] 查了的記錄資料庫結構等等
[01:49:28.000 --> 01:49:30.000] 所以我們有六大項
[01:49:30.000 --> 01:49:32.000] 也請了刑事警察局
[01:49:32.000 --> 01:49:34.000] 跟這個一六五
[01:49:34.000 --> 01:49:35.000] 一起來跟他做集合
[01:49:35.000 --> 01:49:37.000] 那有請他補件
[01:49:37.000 --> 01:49:39.000] 其他縣級來補這些資料
[01:49:39.000 --> 01:49:40.000] 那我們
[01:49:40.000 --> 01:49:42.000] 那你什麼時候要做決定
[01:49:42.000 --> 01:49:45.000] 這不可能是永遠都調查不完
[01:49:45.000 --> 01:49:48.000] 永遠都沒辦法結案的一個案件嘛
[01:49:48.000 --> 01:49:49.000] 對不對
[01:49:49.000 --> 01:49:51.000] 已經這麼久了一段時間了
[01:49:51.000 --> 01:49:54.000] 我們在這個月底前會做決定
[01:49:54.000 --> 01:49:55.000] 這個月底前會做決定
[01:49:55.000 --> 01:49:56.000] 是
[01:49:56.000 --> 01:49:57.000] 那第二個就是說
[01:49:57.000 --> 01:50:01.000] 精明聯最近揭露蝦皮的服務條款
[01:50:01.000 --> 01:50:03.000] 那你看他的部長
[01:50:03.000 --> 01:50:05.000] 他的服務條款裡面就是說
[01:50:05.000 --> 01:50:07.000] 這個不保證喔
[01:50:07.000 --> 01:50:09.000] 那你個人應該承擔的
[01:50:09.000 --> 01:50:11.000] 全部相關的風險等等
[01:50:11.000 --> 01:50:13.000] 把所有的資安的風險
[01:50:13.000 --> 01:50:16.000] 全部都推給這個消費者嘛
[01:50:16.000 --> 01:50:20.000] 那其實在這個零售業等網路交易
[01:50:20.000 --> 01:50:22.000] 定型化契約應記載跟不記載事件
[01:50:22.000 --> 01:50:25.000] 第13點裡面有一個系統安全
[01:50:25.000 --> 01:50:27.000] 他裡面其實就有提到說
[01:50:27.000 --> 01:50:28.000] 企業經營者應該確保
[01:50:28.000 --> 01:50:32.000] 其實消費跟這個消費者交易的電腦系統
[01:50:32.000 --> 01:50:35.000] 他具備有一般可合理期待的安全性嘛
[01:50:35.000 --> 01:50:37.000] 那請問部長
[01:50:37.000 --> 01:50:38.000] 蝦皮這樣的規定
[01:50:38.000 --> 01:50:41.000] 全部都推給這個消費者
[01:50:41.000 --> 01:50:44.000] 難道沒有違反零售業等網路交易定型化
[01:50:44.000 --> 01:50:47.000] 契約應記載及不記載事件的相關規定嗎
[01:50:47.000 --> 01:50:48.000] 您指的是
[01:50:48.000 --> 01:50:51.000] 對 您承認在法律容許的最大限度內
[01:50:51.000 --> 01:50:52.000] 都好的這一段是不是
[01:50:52.000 --> 01:50:54.000] 沒錯 然後他就是右邊這邊
[01:50:54.000 --> 01:50:55.000] 右邊這邊
[01:50:55.000 --> 01:50:56.000] 跟消保相關認定
[01:50:56.000 --> 01:50:57.000] 這個產業組也有處理
[01:50:57.000 --> 01:51:00.000] 然後他說您跟二人應承擔
[01:51:00.000 --> 01:51:02.000] 全部的相關的風險
[01:51:02.000 --> 01:51:03.000] 等於是說
[01:51:03.000 --> 01:51:07.000] 他完全不用負責有關於這個定型化契約上面
[01:51:07.000 --> 01:51:12.000] 有關這個網路交易定型化契約應記載及不記載事項裡面
[01:51:12.000 --> 01:51:15.000] 合理期待安全性電腦系統
[01:51:15.000 --> 01:51:18.000] 具有合理期待安全性的規定了
[01:51:18.000 --> 01:51:20.000] 對 這個部分
[01:51:20.000 --> 01:51:22.000] 好 那跟委員報告
[01:51:22.000 --> 01:51:25.000] 就是這個我們有發文請蝦皮說明
[01:51:25.000 --> 01:51:29.000] 蝦皮說明回來之後我們正在找我們相關的
[01:51:29.000 --> 01:51:33.000] 各式保護的專家來review他的說明是不是合理
[01:51:33.000 --> 01:51:34.000] 就是說他說明
[01:51:34.000 --> 01:51:36.000] 因為我一直聽到最後結果就是說
[01:51:36.000 --> 01:51:39.000] 你給他說明陳書意見
[01:51:39.000 --> 01:51:41.000] 這當然是行政程序法上面的規定
[01:51:41.000 --> 01:51:45.000] 但是到最後你總得做一個決定
[01:51:45.000 --> 01:51:47.000] 對不對 因為你是權責機關嘛
[01:51:47.000 --> 01:51:48.000] 也是約定前
[01:51:48.000 --> 01:51:51.000] 對啊 所以那我自己看這個東西的時候
[01:51:51.000 --> 01:51:54.000] 這是一目即知的
[01:51:54.000 --> 01:51:56.000] 當然程序上面沒有問題
[01:51:56.000 --> 01:51:58.000] 這個陳書意見沒有問題嘛
[01:51:58.000 --> 01:52:00.000] 但是你是一個權責機關
[01:52:00.000 --> 01:52:05.000] 你是全台灣應該是對這個領域最專業的一個機關
[01:52:05.000 --> 01:52:07.000] 那如果說你沒辦法做決定
[01:52:07.000 --> 01:52:09.000] 那已經沒有其他機關可以做決定嘛
[01:52:09.000 --> 01:52:11.000] 這是一個公權力的行使的問題
[01:52:11.000 --> 01:52:12.000] 對 我們的責任當然沒有問題
[01:52:12.000 --> 01:52:16.000] 是啊 這也是一個這個部長跟這個署長
[01:52:16.000 --> 01:52:18.000] 包括這個我們的數位部的同仁
[01:52:18.000 --> 01:52:20.000] 一個責無旁貸的責任嘛
[01:52:20.000 --> 01:52:22.000] 好 那針對這個部分的話
[01:52:22.000 --> 01:52:25.000] 請數位部在兩週內就蝦皮違反各執法
[01:52:25.000 --> 01:52:30.000] 跟這個我剛剛提到的這個電子化契約的處理情形
[01:52:30.000 --> 01:52:32.000] 提出一個書院報告給本委員會
[01:52:32.000 --> 01:52:33.000] 應該沒有問題
[01:52:33.000 --> 01:52:36.000] 好 謝謝部長 謝謝主席
[01:52:36.000 --> 01:52:38.000] 選制委員口才那麼好
[01:52:38.000 --> 01:52:40.000] 再講半個鐘頭也講不完
[01:52:40.000 --> 01:52:48.000] 那個誰 金凱
[01:52:48.000 --> 01:52:52.000] 鍾佳明 李坤哲 何君仁你們提案要不要先處理
[01:52:52.000 --> 01:52:54.000] 不然你們兩個跑掉沒人處理喔
[01:52:54.000 --> 01:52:56.000] 要不要先處理
[01:52:56.000 --> 01:52:58.000] 一分鐘就結束啊
[01:52:58.000 --> 01:53:01.000] 不然你說到那裡跑掉了
[01:53:01.000 --> 01:53:05.000] 還不是一樣
[01:53:05.000 --> 01:53:07.000] 好 請何君仁委員發言
[01:53:07.000 --> 01:53:14.000] 謝謝英明的主席陳昭偉
[01:53:14.000 --> 01:53:17.000] 我們請唐鳳部長
[01:53:17.000 --> 01:53:19.000] 唐鳳部長
[01:53:19.000 --> 01:53:21.000] 謝謝
[01:53:21.000 --> 01:53:23.000] 好 部長
[01:53:23.000 --> 01:53:25.000] 其實我剛剛聽了一早上
[01:53:25.000 --> 01:53:28.000] 我覺得每次的這個資安事件發生之後
[01:53:28.000 --> 01:53:30.000] 我們在調查的期間
[01:53:30.000 --> 01:53:34.000] 那我們的這個資安漏洞能不能及時補起來
[01:53:34.000 --> 01:53:38.000] 我聽到像剛剛財政部我們電子發票系統的這件事情
[01:53:38.000 --> 01:53:40.000] 資訊系統這件事情
[01:53:40.000 --> 01:53:43.000] 我們慢了一個禮拜才去把這個資安漏洞
[01:53:43.000 --> 01:53:45.000] 才把它解決
[01:53:45.000 --> 01:53:47.000] 原因之一是說
[01:53:47.000 --> 01:53:50.000] 怕影響到這個所謂的營業稅的報稅
[01:53:50.000 --> 01:53:52.000] 那緊急應變
[01:53:52.000 --> 01:53:55.000] 我們也可以延長這個報稅的時間
[01:53:55.000 --> 01:53:57.000] 第一要件是什麼
[01:53:57.000 --> 01:53:59.000] 應該要把資安漏洞補起來
[01:53:59.000 --> 01:54:01.000] 部長你同不同意
[01:54:01.000 --> 01:54:04.000] 當然同意 所以他們第一時間也有通知所有受到影響的人
[01:54:04.000 --> 01:54:06.000] 只有通知啊
[01:54:06.000 --> 01:54:09.000] 問題是資安系統上的資安漏洞沒有補起來啊
[01:54:09.000 --> 01:54:12.000] 這個就是接下來我要問部長
[01:54:12.000 --> 01:54:14.000] 全國矚目的陳品的事件
[01:54:14.000 --> 01:54:16.000] 這個陳品連續兩年
[01:54:16.000 --> 01:54:19.000] 民業警方的高風險賣場
[01:54:19.000 --> 01:54:21.000] 這個我想今天很多委員都提到
[01:54:21.000 --> 01:54:23.000] 那問題是提到了之後呢
[01:54:23.000 --> 01:54:25.000] 大家就在問啊
[01:54:25.000 --> 01:54:27.000] 那陳品的目前這一件事情
[01:54:27.000 --> 01:54:29.000] 那調查的如何
[01:54:29.000 --> 01:54:31.000] 對 我們現在就是同樣的嘛
[01:54:31.000 --> 01:54:33.000] 就是十天會寫報告
[01:54:33.000 --> 01:54:35.000] 十四天會做出處分
[01:54:35.000 --> 01:54:37.000] 處分會讓大家知道是怎麼樣的處分
[01:54:37.000 --> 01:54:39.000] 除了時間點 那我們目前呢
[01:54:39.000 --> 01:54:41.000] 現在在調查的期間
[01:54:41.000 --> 01:54:44.000] 那這個系統上的資安漏洞
[01:54:44.000 --> 01:54:46.000] 解決了嗎 還存在嗎
[01:54:46.000 --> 01:54:48.000] 這個是不是請那個副首長跟你說
[01:54:48.000 --> 01:54:50.000] 好來來 請說
[01:54:50.000 --> 01:54:53.000] 我們上次去行政院調查的時候
[01:54:53.000 --> 01:54:56.000] 到現場請到有請那個甄九隊
[01:54:56.000 --> 01:54:59.000] 協助 那甄九隊有邀一些log的資料
[01:54:59.000 --> 01:55:01.000] 那陳品正在提供給甄九隊
[01:55:01.000 --> 01:55:02.000] 在做進一步的
[01:55:02.000 --> 01:55:04.000] 所以現在正在提供資料
[01:55:04.000 --> 01:55:06.000] 那我要去確認一下
[01:55:06.000 --> 01:55:09.000] 跟提供資料的這一段時間
[01:55:09.000 --> 01:55:13.000] 意思是說 這個所謂的資安漏洞
[01:55:13.000 --> 01:55:14.000] 還是沒有解決
[01:55:14.000 --> 01:55:15.000] 這是兩件事
[01:55:15.000 --> 01:55:17.000] 我們是各自的主管機關
[01:55:17.000 --> 01:55:19.000] 但是因為陳品也有報案
[01:55:19.000 --> 01:55:21.000] 所以刑事局那邊及時的聯防
[01:55:21.000 --> 01:55:22.000] 包含跨國的偵查等等
[01:55:22.000 --> 01:55:24.000] 這個是兩線在進行
[01:55:24.000 --> 01:55:25.000] 那所以部長 我問你的專業啊
[01:55:25.000 --> 01:55:27.000] 因為我們一般人不懂啊
[01:55:27.000 --> 01:55:28.000] 我們現在只關心的
[01:55:28.000 --> 01:55:31.000] 從一般人來 角度來看的話
[01:55:31.000 --> 01:55:32.000] 我現在只關心的是
[01:55:32.000 --> 01:55:34.000] 那我現在到陳品去買書
[01:55:34.000 --> 01:55:36.000] 在這個平台上或是在他的系統上
[01:55:36.000 --> 01:55:38.000] 我是不是這個資訊的安全
[01:55:38.000 --> 01:55:40.000] 有沒有被保障啊
[01:55:40.000 --> 01:55:41.000] 對 當然就是說
[01:55:41.000 --> 01:55:43.000] 各自的安全有沒有被保障
[01:55:43.000 --> 01:55:45.000] 謝謝 委員給我們機會說明
[01:55:45.000 --> 01:55:47.000] 我想任何人去
[01:55:47.000 --> 01:55:50.000] 剛剛您這邊簡報提到的這些
[01:55:50.000 --> 01:55:52.000] 民眾通報的高風險賣場
[01:55:52.000 --> 01:55:55.000] 都可能有一定程度的風險
[01:55:55.000 --> 01:55:56.000] 這是為什麼刑事局說
[01:55:56.000 --> 01:55:57.000] 他們是高風險賣場
[01:55:57.000 --> 01:55:59.000] 我們現在主要的工作是
[01:55:59.000 --> 01:56:01.000] 確保我們找到根本原因之後
[01:56:01.000 --> 01:56:03.000] 要根本解決這些事情
[01:56:03.000 --> 01:56:04.000] 部長 我當然知道
[01:56:04.000 --> 01:56:05.000] 我們要找到根本原因
[01:56:05.000 --> 01:56:06.000] 要解決事情
[01:56:06.000 --> 01:56:08.000] 那我現在就是在問你嘛
[01:56:08.000 --> 01:56:10.000] 我們現在調查的時間
[01:56:10.000 --> 01:56:12.000] 拖了那麼久
[01:56:12.000 --> 01:56:14.000] 在這一段期間
[01:56:14.000 --> 01:56:16.000] 那我關心的是
[01:56:16.000 --> 01:56:18.000] 那我現在如果再去陳品買書
[01:56:18.000 --> 01:56:20.000] 那我會不會也受到這個
[01:56:20.000 --> 01:56:22.000] 各自外洩 這個資訊安全
[01:56:22.000 --> 01:56:24.000] 各自安全的影響嘛
[01:56:24.000 --> 01:56:26.000] 我現在要你跟我打yes or no
[01:56:26.000 --> 01:56:28.000] 我們關心的是這個
[01:56:28.000 --> 01:56:30.000] 那在這一段調查期間
[01:56:30.000 --> 01:56:31.000] 他的這個資訊
[01:56:31.000 --> 01:56:33.000] 這個所謂的資安的系統
[01:56:33.000 --> 01:56:35.000] 這個漏洞到底
[01:56:35.000 --> 01:56:38.000] 有沒有被補足 被解決
[01:56:38.000 --> 01:56:39.000] 那有沒有暫停使用
[01:56:39.000 --> 01:56:40.000] 或是怎樣
[01:56:40.000 --> 01:56:41.000] 我現在再去買書
[01:56:41.000 --> 01:56:43.000] 我會不會受到影響
[01:56:43.000 --> 01:56:44.000] 就如同剛剛你回答的
[01:56:44.000 --> 01:56:46.000] 為什麼那麼多人在關心
[01:56:46.000 --> 01:56:48.000] 蝦皮購物
[01:56:48.000 --> 01:56:49.000] 蝦皮購物還有呢
[01:56:49.000 --> 01:56:51.000] 很多的這個電商平台
[01:56:51.000 --> 01:56:53.000] 我們每天有那麼多的國人
[01:56:53.000 --> 01:56:55.000] 在上網在賣 買賣東西
[01:56:55.000 --> 01:56:58.000] 那問題是我現在關心的是
[01:56:58.000 --> 01:57:00.000] 成立的訴發部到現在
[01:57:00.000 --> 01:57:01.000] 我們關心的是
[01:57:01.000 --> 01:57:04.000] 那能夠為我們國人的資安
[01:57:04.000 --> 01:57:06.000] 把關到什麼程度嗎
[01:57:06.000 --> 01:57:07.000] 我現在去蝦皮購物
[01:57:07.000 --> 01:57:09.000] 我的個資會不會外洩嗎
[01:57:09.000 --> 01:57:11.000] 我現在去陳品買書
[01:57:11.000 --> 01:57:14.000] 我的個資會不會外洩嗎
[01:57:14.000 --> 01:57:15.000] 跟委員報告
[01:57:15.000 --> 01:57:17.000] 這個根據陳品的說明
[01:57:17.000 --> 01:57:19.000] 他已經找了國內數一數二的
[01:57:19.000 --> 01:57:21.000] 資安公司來做他們檢測
[01:57:21.000 --> 01:57:23.000] 包括中華資安跟奧義智慧
[01:57:23.000 --> 01:57:25.000] 那檢測目前的結果如何
[01:57:25.000 --> 01:57:27.000] 目前 他目前系統沒有問題
[01:57:27.000 --> 01:57:29.000] 所以他們自己請了
[01:57:29.000 --> 01:57:31.000] 所謂的專業一流的資安公司
[01:57:31.000 --> 01:57:33.000] 來檢測是沒有問題
[01:57:33.000 --> 01:57:35.000] 那沒有問題 那為什麼會發生
[01:57:35.000 --> 01:57:36.000] 但是因為跟委員報告
[01:57:36.000 --> 01:57:37.000] 資安的還有很多是
[01:57:37.000 --> 01:57:39.000] 供應鏈管理的議題
[01:57:39.000 --> 01:57:40.000] 他正在清查當中
[01:57:40.000 --> 01:57:42.000] 就他的物流或者是金流相關的
[01:57:42.000 --> 01:57:44.000] 那請問一下你現在的這個調查部分
[01:57:44.000 --> 01:57:46.000] 你調查了什麼東西
[01:57:46.000 --> 01:57:49.000] 那你要求陳品提供了什麼東西
[01:57:49.000 --> 01:57:53.000] 我們請陳品提供很多LOG的資料
[01:57:53.000 --> 01:57:56.000] 包括全線的管理 LOG的資料
[01:57:56.000 --> 01:57:59.000] 還有供應商的管理相關的資料
[01:57:59.000 --> 01:58:01.000] 所以到現在已經第八天了
[01:58:01.000 --> 01:58:02.000] 一個禮拜多了
[01:58:02.000 --> 01:58:04.000] 我們已經 目前應該有掌握到一定的市政
[01:58:04.000 --> 01:58:07.000] 證明他到底有沒有這個資安的問題
[01:58:07.000 --> 01:58:09.000] 到底有沒有
[01:58:09.000 --> 01:58:13.000] 目前資料還在彙整當中
[01:58:13.000 --> 01:58:16.000] 好 你說還在彙整當中
[01:58:16.000 --> 01:58:18.000] 那你說陳品他們自己請的這個
[01:58:18.000 --> 01:58:20.000] 所謂的這個資訊公司
[01:58:20.000 --> 01:58:22.000] 專業的公司來查是沒有問題
[01:58:22.000 --> 01:58:24.000] 那問題是呢還是發生了
[01:58:24.000 --> 01:58:28.000] 那所以呢他們自己調查的算不算數
[01:58:28.000 --> 01:58:30.000] 我不知道 我不知道數位部
[01:58:30.000 --> 01:58:32.000] 數發部怎麼看
[01:58:32.000 --> 01:58:33.000] 那部長你怎麼看
[01:58:33.000 --> 01:58:35.000] 他們自己請的這個專業的
[01:58:35.000 --> 01:58:38.000] 所謂的資訊公司來查系統說沒有問題
[01:58:38.000 --> 01:58:40.000] 你對這件事你的態度
[01:58:40.000 --> 01:58:44.000] 是 我們為什麼會要求整個供應鏈相關的LOG
[01:58:44.000 --> 01:58:45.000] 就是他的紀錄檔
[01:58:45.000 --> 01:58:47.000] 就是因為說陳品自己請來的
[01:58:47.000 --> 01:58:49.000] 這樣子的資安公司
[01:58:49.000 --> 01:58:52.000] 他所 就是查核的這個範圍
[01:58:52.000 --> 01:58:54.000] 不一定有給予我們全過程
[01:58:54.000 --> 01:58:55.000] 就是包含後面的貨運啊
[01:58:55.000 --> 01:58:57.000] 或者是物流或者金流啊
[01:58:57.000 --> 01:58:58.000] 等等的這些部分
[01:58:58.000 --> 01:59:00.000] 所以我們現在在彙整的資訊
[01:59:00.000 --> 01:59:02.000] 就是去看說後面的這些環節
[01:59:02.000 --> 01:59:03.000] 是不是有可能出差錯
[01:59:03.000 --> 01:59:05.000] 以及有沒有可能陳品導入
[01:59:05.000 --> 01:59:07.000] 所謂的銀碼的技術
[01:59:07.000 --> 01:59:08.000] 確保說後面這些
[01:59:08.000 --> 01:59:10.000] 其實根本不需要接到客戶的手機
[01:59:10.000 --> 01:59:12.000] 也應該要 手機號碼
[01:59:12.000 --> 01:59:14.000] 也應該要能夠執行他的這些工作
[01:59:14.000 --> 01:59:16.000] 所以這個就是未來的一個
[01:59:16.000 --> 01:59:18.000] 可能你報告裡面的重點
[01:59:18.000 --> 01:59:19.000] 是的 是的 好
[01:59:19.000 --> 01:59:21.000] 那我再做另外一件事情
[01:59:21.000 --> 01:59:25.000] 那陳品這件事情你說是重大資安事件
[01:59:25.000 --> 01:59:26.000] 那你是如何界定
[01:59:26.000 --> 01:59:29.000] 是媒體爆料了 人家開記者會了
[01:59:29.000 --> 01:59:31.000] 你就把它界定為重大資安事件嗎
[01:59:31.000 --> 01:59:34.000] 那一般國人所發生的一些事情
[01:59:34.000 --> 01:59:37.000] 包括我剛剛講的這個陳品 蝦皮
[01:59:37.000 --> 01:59:39.000] 這些呢 早就是所謂的
[01:59:39.000 --> 01:59:40.000] 高風險詐騙賣場
[01:59:40.000 --> 01:59:44.000] 那也曾經在2023
[01:59:44.000 --> 01:59:47.000] 就有我們的委員都開過記者會了
[01:59:47.000 --> 01:59:51.000] 那都是要各自外洩案件發生之後才要查
[01:59:51.000 --> 01:59:54.000] 而且呢 是重大的資安事件才要查嗎
[01:59:54.000 --> 01:59:56.000] 不是 我們大概都會去查
[01:59:56.000 --> 01:59:58.000] 像剛剛陳元淑講的
[01:59:58.000 --> 02:00:01.000] 包含我們找民間做紅隊測試等等
[02:00:01.000 --> 02:00:03.000] 都是照著委員在前幾張簡報
[02:00:03.000 --> 02:00:06.000] 刑事局那個高風險的排序來進行工作
[02:00:06.000 --> 02:00:08.000] 所以這個我們並沒有輕忽
[02:00:08.000 --> 02:00:11.000] 你那你的排序來查的時候是怎麼樣的查
[02:00:11.000 --> 02:00:14.000] 你剛剛講說 按照刑事警察局
[02:00:14.000 --> 02:00:17.000] 他這個所謂的高風險賣場的排序來查
[02:00:17.000 --> 02:00:19.000] 那你們查的內容又是什麼
[02:00:19.000 --> 02:00:21.000] 查的方式又是什麼
[02:00:21.000 --> 02:00:23.000] 對 其實主要就是這邊的
[02:00:23.000 --> 02:00:24.000] 就是這邊講到的
[02:00:24.000 --> 02:00:26.000] 如果他有 好比方說他的手機號碼
[02:00:26.000 --> 02:00:28.000] 客戶的手機號碼等等洩漏的話
[02:00:28.000 --> 02:00:30.000] 我們會試著去溯源
[02:00:30.000 --> 02:00:31.000] 甚至我們也會請紅隊
[02:00:31.000 --> 02:00:33.000] 就是模擬駭客的攻擊一樣
[02:00:33.000 --> 02:00:37.000] 試著在剛剛整個全過程裡面去找到破口等等
[02:00:37.000 --> 02:00:38.000] 那這件個案是因為
[02:00:38.000 --> 02:00:40.000] 他成品本身有包案嘛
[02:00:40.000 --> 02:00:43.000] 這是個案已經是刑事調查的這個程度
[02:00:43.000 --> 02:00:45.000] 所以當然就是媒體會報導等等
[02:00:45.000 --> 02:00:48.000] 但是其實這些高風險我們平常都有在輔導
[02:00:48.000 --> 02:00:49.000] 也有在巡查
[02:00:49.000 --> 02:00:50.000] 那頻率多少 稽查的頻率
[02:00:50.000 --> 02:00:52.000] 這個是不是請那個陳彥鼠說明
[02:00:52.000 --> 02:00:54.000] 剛剛聽到是40+次嗎
[02:00:54.000 --> 02:00:59.000] 我們每年會做這個電商的鑑檢40+次
[02:00:59.000 --> 02:01:01.000] 然後兩個紅隊演的
[02:01:01.000 --> 02:01:05.000] 每年在所謂的多少時間內的頻率是40+次
[02:01:05.000 --> 02:01:08.000] 就是Gino8月27號成立之後
[02:01:08.000 --> 02:01:10.000] 我們就做電商
[02:01:10.000 --> 02:01:11.000] 到現在為止嗎
[02:01:11.000 --> 02:01:13.000] 對 今年還會有40+
[02:01:13.000 --> 02:01:14.000] 今年還會有40+次的
[02:01:14.000 --> 02:01:15.000] 對
[02:01:15.000 --> 02:01:18.000] 那我認為說要更頻繁
[02:01:18.000 --> 02:01:20.000] 因為你看喔
[02:01:20.000 --> 02:01:24.000] 這個從110到111
[02:01:24.000 --> 02:01:29.000] 他一直這幾家都是在所謂的民眾通報的高風險賣場裡面
[02:01:29.000 --> 02:01:30.000] 那表示什麼
[02:01:30.000 --> 02:01:33.000] 第一個 民眾使用率高
[02:01:33.000 --> 02:01:35.000] 在上面交易的使用率高
[02:01:35.000 --> 02:01:37.000] 第二個 很多的個資
[02:01:37.000 --> 02:01:39.000] 我相信也是這幾家
[02:01:39.000 --> 02:01:43.000] 他們掌握國人的個資也是量最高
[02:01:43.000 --> 02:01:44.000] 第三個
[02:01:44.000 --> 02:01:48.000] 他們在報警報案這一個方面
[02:01:48.000 --> 02:01:51.000] 是警方列管的高風險賣場
[02:01:51.000 --> 02:01:55.000] 所以這個部分應該要讓我們速發部
[02:01:55.000 --> 02:01:59.000] 應該更積極的提高他稽查的一個頻率跟次數
[02:01:59.000 --> 02:02:00.000] 還有呢
[02:02:00.000 --> 02:02:01.000] 加次
[02:02:01.000 --> 02:02:02.000] 我為什麼這麼講
[02:02:02.000 --> 02:02:05.000] 我剛剛說一般人關心的是我上網去買東西
[02:02:05.000 --> 02:02:06.000] 我上網去訂東西
[02:02:06.000 --> 02:02:09.000] 我留下的個資到底會不會外洩
[02:02:09.000 --> 02:02:12.000] 那就是大家要對政府有信心
[02:02:12.000 --> 02:02:14.000] 可以幫他們把關
[02:02:14.000 --> 02:02:15.000] 那就是速發部嘛
[02:02:15.000 --> 02:02:16.000] 我完全同意
[02:02:16.000 --> 02:02:18.000] 而且新的剛三讀通過的個資法
[02:02:18.000 --> 02:02:20.000] 在這一點上會有很大的幫助
[02:02:20.000 --> 02:02:24.000] 因為之前他如果限期改善等等
[02:02:24.000 --> 02:02:26.000] 那個過程裡面是沒有辦法裁罰的
[02:02:26.000 --> 02:02:28.000] 而之前也最多罰到20萬而已
[02:02:28.000 --> 02:02:31.000] 那所以從電商的角度來看
[02:02:31.000 --> 02:02:33.000] 當然他傷益受損是最主要的
[02:02:33.000 --> 02:02:36.000] 但是那個罰金是就是有點不成比例
[02:02:36.000 --> 02:02:39.000] 那這個現在新的版本的三讀通過個資法
[02:02:39.000 --> 02:02:42.000] 應該可以促使更多的電商
[02:02:42.000 --> 02:02:43.000] 因為最高200嘛
[02:02:43.000 --> 02:02:45.000] 來做適當的投資
[02:02:45.000 --> 02:02:47.000] 來解決這樣根本原因上的問題
[02:02:47.000 --> 02:02:49.000] 那我剛剛還有一個問題你沒回答到
[02:02:49.000 --> 02:02:51.000] 那你如何界定重大的資安事件
[02:02:51.000 --> 02:02:54.000] 因為我看到這個重大的資安事件
[02:02:54.000 --> 02:02:57.000] 你就速度就有快了一點
[02:02:57.000 --> 02:02:58.000] 那之前呢
[02:02:58.000 --> 02:03:00.000] 我們在諮詢你的時候
[02:03:00.000 --> 02:03:02.000] 很多的行政調查是很慢的
[02:03:02.000 --> 02:03:03.000] 是
[02:03:03.000 --> 02:03:05.000] 這邊是個資事件啦
[02:03:05.000 --> 02:03:07.000] 我們資安通報是政府裡面自己的
[02:03:07.000 --> 02:03:09.000] 重大矚目的個資事件
[02:03:09.000 --> 02:03:10.000] 這個在就是
[02:03:10.000 --> 02:03:14.000] 那你怎麼界定重大矚目的個資外洩事件
[02:03:14.000 --> 02:03:16.000] 就包含委員們啦
[02:03:16.000 --> 02:03:17.000] 或者是媒體啊
[02:03:17.000 --> 02:03:18.000] 或等等
[02:03:18.000 --> 02:03:19.000] 或有人開記者會
[02:03:19.000 --> 02:03:21.000] 或者他影響的範圍非常大等等
[02:03:21.000 --> 02:03:22.000] 就是一次影響非常多人
[02:03:22.000 --> 02:03:23.000] 我是建議啦
[02:03:23.000 --> 02:03:25.000] 你要分級分類啦
[02:03:25.000 --> 02:03:27.000] 而且要把這個效率
[02:03:27.000 --> 02:03:30.000] 跟這個魄力跟能力專業拿出來
[02:03:30.000 --> 02:03:33.000] 這樣子我們國人才會信任政府
[02:03:33.000 --> 02:03:34.000] 也才會相信
[02:03:34.000 --> 02:03:36.000] 我們成立訴發部是有用的啦
[02:03:36.000 --> 02:03:37.000] 不然的話
[02:03:37.000 --> 02:03:40.000] 很多國人到現在為止都還沒有感受到
[02:03:40.000 --> 02:03:43.000] 這個政府對於這個不管是詐騙也好
[02:03:43.000 --> 02:03:44.000] 個資外洩也好
[02:03:44.000 --> 02:03:47.000] 或者是資安系統的一個建置也好
[02:03:47.000 --> 02:03:49.000] 還感受不到
[02:03:49.000 --> 02:03:51.000] 對我想在就是境外攻擊的力道
[02:03:51.000 --> 02:03:53.000] 就是大幅篡升的這兩年
[02:03:53.000 --> 02:03:55.000] 今年可能又會更多
[02:03:55.000 --> 02:03:57.000] 我們這邊相應的聯防的
[02:03:57.000 --> 02:03:59.000] 以及根本原因的查處的力道
[02:03:59.000 --> 02:04:01.000] 也必須要等比例的上升才行
[02:04:01.000 --> 02:04:02.000] 要再加強
[02:04:02.000 --> 02:04:05.000] 所以你要除了稽查行政調查慢
[02:04:05.000 --> 02:04:08.000] 這個所謂的這個法案的推動也慢
[02:04:08.000 --> 02:04:10.000] 我最後再跟你提醒
[02:04:10.000 --> 02:04:13.000] 你剛剛講我們個資法已經修法通過了
[02:04:13.000 --> 02:04:17.000] 個資法修法通過才多久的時間
[02:04:17.000 --> 02:04:22.000] 行政院的版本到我們立法院三讀通過75天
[02:04:22.000 --> 02:04:26.000] 我們訴發部現在成立到現在已經268天
[02:04:26.000 --> 02:04:29.000] 我們的資通法也還沒看到行政院的版本
[02:04:29.000 --> 02:04:31.000] 是這個其實我們有一個版本
[02:04:31.000 --> 02:04:33.000] 正在跟地方政府協商
[02:04:33.000 --> 02:04:36.000] 這個就牽涉到地方政府跟中央全縣的問題
[02:04:36.000 --> 02:04:37.000] 我們希望能夠儘快協商
[02:04:37.000 --> 02:04:39.000] 協商還要多久
[02:04:39.000 --> 02:04:40.000] 我們當然是希望年底前
[02:04:40.000 --> 02:04:42.000] 你預計的時程是多久
[02:04:42.000 --> 02:04:44.000] 我們是希望年底前能夠提出院版
[02:04:44.000 --> 02:04:46.000] 如果協商順利的話也許加速
[02:04:46.000 --> 02:04:50.000] 我是希望你可以儘速的在下個會期提出
[02:04:50.000 --> 02:04:53.000] 我們希望是年底前三讀通過
[02:04:53.000 --> 02:04:56.000] 不要告訴我還要在年底前才提出版本
[02:04:56.000 --> 02:04:58.000] 這個我們就請專屬的同仁
[02:04:58.000 --> 02:04:59.000] 要加快速度好不好
[02:04:59.000 --> 02:05:02.000] 個資法三讀通過75天而已
[02:05:02.000 --> 02:05:03.000] 理解了理解了
[02:05:03.000 --> 02:05:04.000] 好不好
[02:05:04.000 --> 02:05:10.000] 這個效率能力專業要讓人民有感
[02:05:10.000 --> 02:05:11.000] 大家才會信任政府
[02:05:11.000 --> 02:05:13.000] 才會相信成立訴發部是有用的
[02:05:13.000 --> 02:05:14.000] 好以上謝謝
[02:05:14.000 --> 02:05:15.000] 謝謝委員
[02:05:15.000 --> 02:05:18.000] 再給你五分鐘
[02:05:18.000 --> 02:05:21.000] 再給你五分鐘
[02:05:21.000 --> 02:05:22.000] 你要講喔
[02:05:22.000 --> 02:05:28.000] 現在處理臨時提案
[02:05:28.000 --> 02:05:29.000] 不要照喔
[02:05:30.000 --> 02:05:32.000] 請醫師先讀
[02:05:32.000 --> 02:05:34.000] 為增進我國政府資訊安全
[02:05:34.000 --> 02:05:37.000] 請數位部一盤點該廠商所產的
[02:05:37.000 --> 02:05:41.000] 其他政府資訊系統是否亦有類似漏洞
[02:05:41.000 --> 02:05:44.000] 並於一個月內完成清點改善提出報告
[02:05:44.000 --> 02:05:48.000] 二盤點政府各部門現有各類向民眾公開
[02:05:48.000 --> 02:05:52.000] 提供民眾登錄使用之網路便民服務系統
[02:05:52.000 --> 02:05:54.000] 登錄驗證方式之安全性
[02:05:54.000 --> 02:05:56.000] 並提出改善規劃
[02:05:56.000 --> 02:06:01.000] 兩個月內提出初步盤點結果與改善規劃報告
[02:06:01.000 --> 02:06:06.000] 提案人委員李坤哲何新淳許志杰中嘉賓宣讀完畢
[02:06:06.000 --> 02:06:09.000] 好各位委員還有行政部門有沒有意見
[02:06:09.000 --> 02:06:11.000] 沒有喔
[02:06:11.000 --> 02:06:12.000] 沒有意見照案通過
[02:06:12.000 --> 02:06:17.000] 那有委員
[02:06:17.000 --> 02:06:21.000] 等一下休息十分鐘好不好許志杰委員
[02:06:21.000 --> 02:06:22.000] 你還沒什麼急事
[02:06:22.000 --> 02:06:27.000] 還有第二案喔
[02:06:27.000 --> 02:06:29.000] 好第二案來
[02:06:29.000 --> 02:06:30.000] 還有第二案
[02:06:30.000 --> 02:06:32.000] 好第二案來宣讀
[02:06:32.000 --> 02:06:46.000] 第二案請財政部檢視部轄縣有名向民眾開放提供民眾登錄使用之網路資訊系統驗證方式安全性
[02:06:46.000 --> 02:06:56.000] 並研議以安全性較高驗證強度較強之自然民憑證工商憑證作為登錄驗證機制或其他方式提升安全性
[02:06:56.000 --> 02:06:58.000] 與兩個月內提出檢討報告
[02:06:58.000 --> 02:07:03.000] 第二任委員李坤哲何新淳許志杰中嘉賓宣讀完畢
[02:07:03.000 --> 02:07:12.000] 好第二案各位委員行政部門有沒有意見
[02:07:12.000 --> 02:07:13.000] 行政包委員
[02:07:13.000 --> 02:07:14.000] 張主任
[02:07:14.000 --> 02:07:16.000] 報告主席那個第二行的部分
[02:07:16.000 --> 02:07:18.000] 是不是可以增加三個字
[02:07:18.000 --> 02:07:23.000] 發給營業申請人在營業後面加上人帳號
[02:07:23.000 --> 02:07:30.000] 就是發給營業人帳號申請人因為他是針對人
[02:07:30.000 --> 02:07:33.000] 發給營業人申請不要
[02:07:33.000 --> 02:07:34.000] 不是
[02:07:34.000 --> 02:07:39.000] 增加三個字營業人帳號在營業後面加上人帳號三個字
[02:07:39.000 --> 02:07:41.000] 發給營業人帳號三個字喔
[02:07:41.000 --> 02:07:42.000] 對對對
[02:07:42.000 --> 02:07:43.000] 是
[02:07:43.000 --> 02:07:45.000] 好各位委員有沒有意見
[02:07:45.000 --> 02:07:48.000] 沒有意見第二案照案通過喔謝謝
[02:07:48.000 --> 02:07:55.000] 那志杰委員那個後面有一兩位很像要趕其他委員會發言
[02:07:55.000 --> 02:07:59.000] 那就你就委屈一點講少一點好不好
[02:07:59.000 --> 02:08:02.000] 你講的長還就來不及了
[02:08:02.000 --> 02:08:05.000] 好現在請我們召委發言
[02:08:05.000 --> 02:08:14.000] 謝謝一民的召委我們會照辦
[02:08:14.000 --> 02:08:17.000] 我們現在請那個部長
[02:08:17.000 --> 02:08:18.000] 部長好
[02:08:18.000 --> 02:08:28.000] 部長好剛才那個新淳委員提到的其實我們都有共同的期盼
[02:08:28.000 --> 02:08:35.000] 就是說我們數位部成立這個各支跟國安
[02:08:35.000 --> 02:08:39.000] 跟詐騙這些東西如何讓民眾有感
[02:08:39.000 --> 02:08:42.000] 事實上我們也都一直在關注
[02:08:42.000 --> 02:08:47.000] 那總是這個駭客無所不入
[02:08:47.000 --> 02:08:52.000] 無孔不入但是呢要怎麼樣讓人民有感
[02:08:52.000 --> 02:08:55.000] 我們其實也都非常的著急
[02:08:55.000 --> 02:08:59.000] 你可以看到這個陳品剛新淳有問
[02:08:59.000 --> 02:09:05.000] 陳品各支外洩這個事件一般我們在行政上就是說三天之內要有行政調查
[02:09:05.000 --> 02:09:09.000] 然後再來十天之內要提出調查報告
[02:09:09.000 --> 02:09:15.000] 那我們本來三天之內有行政調查這個有照程序做嗎
[02:09:15.000 --> 02:09:20.000] 那後來聽說要調查進度要報告之後又臨時取消為什麼
[02:09:20.000 --> 02:09:23.000] 這個是不是請陳研署跟您說明
[02:09:23.000 --> 02:09:25.000] 沒有沒有我們
[02:09:25.000 --> 02:09:27.000] 那我們十天內調查報告可以出來嗎
[02:09:27.000 --> 02:09:28.000] 可以啊
[02:09:28.000 --> 02:09:30.000] 這個是陳品取消還是
[02:09:30.000 --> 02:09:31.000] 可以出來
[02:09:31.000 --> 02:09:32.000] 我們沒有取消
[02:09:32.000 --> 02:09:33.000] 我們沒有取消
[02:09:33.000 --> 02:09:40.000] 就是本來是說調查報告三天之後要說明後來沒有說明
[02:09:40.000 --> 02:09:44.000] 我們本來就是做成處分的時候一案處分說明
[02:09:44.000 --> 02:09:47.000] 所以就變成跟調查報告一起報告
[02:09:47.000 --> 02:09:50.000] 行政會召開會議來檢討之後
[02:09:50.000 --> 02:09:51.000] 再看行政會
[02:09:51.000 --> 02:09:54.000] 十天之內調查報告出來沒有問題
[02:09:54.000 --> 02:09:57.000] 但是還要等行政院開會完會再由行政院
[02:09:57.000 --> 02:09:59.000] 因為就是打炸的那個機制
[02:09:59.000 --> 02:10:05.000] 打炸的機制是要請那個羅秉成政務委員召集就是處分的那個會議
[02:10:05.000 --> 02:10:09.000] 在那個會議裡面做成決議我們會就那個決議來跟大家報告
[02:10:09.000 --> 02:10:13.000] 所以十天內的單數就是要等那個會議結束才能發布
[02:10:13.000 --> 02:10:18.000] 那個調查報告是先在行政院裡面討論然後是十四天去做處分
[02:10:18.000 --> 02:10:21.000] OK希望說這個能夠如期啦
[02:10:21.000 --> 02:10:24.000] 那因為大家都很關心像
[02:10:24.000 --> 02:10:28.000] 5月17那個U-Bike受到攻擊這個部長知道嗎
[02:10:28.000 --> 02:10:30.000] 當然
[02:10:30.000 --> 02:10:33.000] 這個我就說真的是很難防範
[02:10:33.000 --> 02:10:39.000] 但是好像我們一直在防範的是案子越來越多
[02:10:39.000 --> 02:10:43.000] 那部長覺得這個要怎麼處理
[02:10:43.000 --> 02:10:47.000] 對其實我們現在在推不管是所謂零信任或者是引碼技術
[02:10:47.000 --> 02:10:52.000] 都是希望在源頭就是一開始就不要把像民眾的電話等等的
[02:10:52.000 --> 02:10:55.000] 各自就是散布到下游的廠商
[02:10:55.000 --> 02:11:01.000] 以前是沒有這些技術所以你要他送或什麼就不得不給他就是收貨人的電話資訊
[02:11:01.000 --> 02:11:06.000] 所以現在零信任跟引碼技術現在這些民間廠商都有處理嗎
[02:11:06.000 --> 02:11:12.000] 對我們現在在包含我們自己雲市集或者是我們資安院對身份認證去做相關的驗測等等
[02:11:12.000 --> 02:11:14.000] 這個我們都會在很積極的推
[02:11:14.000 --> 02:11:17.000] 那我們預期就是新版的個資法通過之後
[02:11:17.000 --> 02:11:21.000] 因為就不是罰二十萬而是就是最高可以罰相當多
[02:11:21.000 --> 02:11:28.000] 那會相當程度上面會提供誘營讓民間的這些電商有這個誘營去投資零信任跟引碼技術
[02:11:28.000 --> 02:11:34.000] 對因為現在你看U-Bike陳其順我命說要做U-Bike光是進就進不去
[02:11:34.000 --> 02:11:36.000] 進了一兩個小時都進不去
[02:11:36.000 --> 02:11:39.000] 那這個對民眾生活影響很大
[02:11:39.000 --> 02:11:44.000] 你看那麼多的人民要去U-Bike的然後系統就關了
[02:11:44.000 --> 02:11:50.000] 所以類似這個東西看起來是小事卻是影響非常非常多的人民
[02:11:50.000 --> 02:11:51.000] 完全同意
[02:11:51.000 --> 02:11:55.000] 所以這個部分就是說要怎麼樣來遏止
[02:11:55.000 --> 02:11:58.000] 希望說剛布檔也有提到個資法通過對不對
[02:11:58.000 --> 02:12:06.000] 那我們希望說這個案件發生的比例次數都可以趕快降低
[02:12:06.000 --> 02:12:07.000] 對而且要迅速的處理
[02:12:07.000 --> 02:12:11.000] 那按照個資法其實不是只有中央主管機關
[02:12:11.000 --> 02:12:16.000] 甚至地方就是縣市政府也可以主動提出行政調查
[02:12:16.000 --> 02:12:19.000] 那這部分我也責成我們資安院
[02:12:19.000 --> 02:12:21.000] 如果是有地方政府提出的話
[02:12:21.000 --> 02:12:24.000] 就比照中央部會的重大矚目事件我們資安院也會來協助
[02:12:24.000 --> 02:12:31.000] 所以就是說在這個駭客他竊取個資大部分就是交通跟網購方面會最多
[02:12:31.000 --> 02:12:37.000] 那是不是這些數位部可以主動就是說這個已經通過個資法主動跟這些
[02:12:37.000 --> 02:12:43.000] 比較大宗的交通跟網購的公司私人公司也可以跟他們提醒
[02:12:43.000 --> 02:12:46.000] 好這個當然我想話被動為主動
[02:12:46.000 --> 02:12:48.000] 是我每次都遇到事情才來處理
[02:12:48.000 --> 02:12:51.000] 我想無店面零售這邊因為是我們是主管
[02:12:51.000 --> 02:12:53.000] 我們絕對會很主動來處理
[02:12:53.000 --> 02:12:55.000] 包含剛剛提到黃鐙眼鏈等等
[02:12:55.000 --> 02:12:58.000] 那委員提醒的交通這一部分我會跟交通部來聯訪
[02:12:58.000 --> 02:13:00.000] 希望說這個能夠儘速
[02:13:00.000 --> 02:13:04.000] 真的是駭客入侵除了網購跟交通之外這是個資
[02:13:04.000 --> 02:13:06.000] 那對國家的話就是國安嘛
[02:13:06.000 --> 02:13:10.000] 所以這個無人機的部分之前也發生過
[02:13:10.000 --> 02:13:15.000] 那有很多的就是說我們國家有關於晶片的
[02:13:15.000 --> 02:13:20.000] 任何有晶片來自大陸的來自中國的都有可能危險
[02:13:20.000 --> 02:13:26.000] 所以之前那個去年國慶煙火表演也是那個無人機也是大部分的零件
[02:13:26.000 --> 02:13:28.000] 很多零件都來自中國大陸
[02:13:28.000 --> 02:13:32.000] 所以這個部分當然去年有及時的處理
[02:13:32.000 --> 02:13:38.000] 那像我們今年我們鳳山還好除能設施後來不設了
[02:13:38.000 --> 02:13:41.000] 那我們會要求經濟部要審核更嚴格
[02:13:41.000 --> 02:13:44.000] 在設置的時候這個是其一的考量
[02:13:44.000 --> 02:13:50.000] 那其二的考量就是說據說聽說有很多中國的設備零件
[02:13:50.000 --> 02:13:53.000] 這個部分不知道部長知不知道
[02:13:53.000 --> 02:13:57.000] 這個當然我們在分級管理上面
[02:13:57.000 --> 02:14:00.000] 如果它本身不是核心的計算或通訊的功能
[02:14:00.000 --> 02:14:04.000] 只是旁邊的就是一些像就是螺絲釘啊
[02:14:04.000 --> 02:14:06.000] 或者是零組件啊等等的話
[02:14:06.000 --> 02:14:10.000] 那這個當然還是要把它當作是有可能有危害
[02:14:10.000 --> 02:14:14.000] 但是可能就是透過像零星元網路這樣的方式來處理
[02:14:14.000 --> 02:14:15.000] 那是晶片啦
[02:14:15.000 --> 02:14:17.000] 那如果是核心元件的話
[02:14:17.000 --> 02:14:21.000] 那可能就要就是真的導入像零星元這樣的方式
[02:14:21.000 --> 02:14:26.000] 確保說它不能夠在沒有人在旁邊自己去聯網
[02:14:26.000 --> 02:14:30.000] 萬一被害的話它一下子把你通通斷電你用電的用不完
[02:14:30.000 --> 02:14:32.000] 當然這個如果是關於基礎設施
[02:14:32.000 --> 02:14:34.000] 當然就是屬於資安署的選擇範圍
[02:14:34.000 --> 02:14:36.000] 也會請資安署來督促
[02:14:36.000 --> 02:14:40.000] 所以我是希望說其實我舉的這些例子
[02:14:40.000 --> 02:14:45.000] 就是不管是各自的交通類網購類
[02:14:45.000 --> 02:14:50.000] 不管是國安的無人機儲能設備等等的
[02:14:50.000 --> 02:14:52.000] 這些都有可能被中國入侵
[02:14:52.000 --> 02:14:56.000] 所以我是覺得就是說數位部很辛苦啦
[02:14:56.000 --> 02:14:59.000] 但是化被動為主動如何這些比較重要的
[02:14:59.000 --> 02:15:02.000] 變成我們主動去提醒私人公司也好
[02:15:02.000 --> 02:15:06.000] 主動去提醒我們的國家相關的單位也好
[02:15:06.000 --> 02:15:07.000] 這個部分其實真的很重要
[02:15:07.000 --> 02:15:12.000] 我們很擔心說被中國入侵萬一什麼東西就不能用了
[02:15:12.000 --> 02:15:15.000] 或者是危害到我們國家安全那更嚴重
[02:15:15.000 --> 02:15:21.000] 所以希望說第一個儘速讓人民看到數位部的效率
[02:15:21.000 --> 02:15:23.000] 讓人民有感受
[02:15:23.000 --> 02:15:28.000] 第二個對於國家安全的防範也能夠更謹慎
[02:15:28.000 --> 02:15:32.000] 那這兩個部分就是希望數位部可以化被動為主動
[02:15:32.000 --> 02:15:34.000] 簡單的概念是這個東西
[02:15:34.000 --> 02:15:36.000] 能夠變成主動出擊
[02:15:36.000 --> 02:15:39.000] 去防範我們的國家安全跟個人個資的安全
[02:15:39.000 --> 02:15:43.000] 我覺得這個部分數位部可能是不是有個整體的思考
[02:15:43.000 --> 02:15:47.000] 那將來可以讓我們知道數位部到底是怎麼在處理這樣子的事情
[02:15:47.000 --> 02:15:49.000] 那我們才能夠防範
[02:15:49.000 --> 02:15:53.000] 人民在抗議的時候在反應的時候我們才有機會
[02:15:53.000 --> 02:15:57.000] 才能夠跟他講說我們數位部將來的方向是如何的防範
[02:15:57.000 --> 02:16:00.000] 也讓人民有資的權利確實能夠防範
[02:16:00.000 --> 02:16:02.000] 沒有問題我們會加強這方面的論述
[02:16:02.000 --> 02:16:05.000] 我想全民數位韌性全民的自然意識
[02:16:05.000 --> 02:16:09.000] 這個是數位部就是以及自然院掛牌以來最重要的事情
[02:16:09.000 --> 02:16:13.000] 我們會持續往這個方向確保說民眾了解到說
[02:16:13.000 --> 02:16:16.000] 我們零信任所謂永不信任持續驗證
[02:16:16.000 --> 02:16:20.000] 落實到生活上以及委員提到產業跟政府上是怎麼做
[02:16:20.000 --> 02:16:24.000] OK可不可以請數位部寫一個報告
[02:16:24.000 --> 02:16:29.000] 就簡單的說題這樣 針對這樣子的事情要怎麼去防範
[02:16:29.000 --> 02:16:34.000] 然後我們這個完成的報告也可以讓我們所有的委員會所有的委員知道
[02:16:34.000 --> 02:16:40.000] 那將來要去跟民眾再講解或者是要注意的事項的時候他們也比較能夠注意
[02:16:40.000 --> 02:16:43.000] 沒問題我想我們給我們兩個月我們盡量詳細的來盤整
[02:16:43.000 --> 02:16:45.000] 好那就兩個月給我報告
[02:16:45.000 --> 02:16:47.000] 好謝謝
[02:16:47.000 --> 02:16:52.000] 好謝謝我們許智傑招委
[02:16:52.000 --> 02:16:54.000] 招委抱歉啦
[02:16:54.000 --> 02:16:57.000] 由一蘭委員講完再給你五分鐘講
[02:16:57.000 --> 02:16:59.000] 不用啦
[02:16:59.000 --> 02:17:01.000] 好請由一蘭委員發言
[02:17:01.000 --> 02:17:03.000] 中委
[02:17:03.000 --> 02:17:05.000] 探完畢休息十分鐘好不好
[02:17:05.000 --> 02:17:07.000] 沒問題
[02:17:07.000 --> 02:17:09.000] 基於人道
[02:17:09.000 --> 02:17:11.000] 謝謝
[02:17:11.000 --> 02:17:13.000] 好謝謝
[02:17:13.000 --> 02:17:15.000] 謝謝招委
[02:17:15.000 --> 02:17:17.000] 主席我要請唐部長
[02:17:17.000 --> 02:17:19.000] 部長請
[02:17:21.000 --> 02:17:22.000] 部長好
[02:17:22.000 --> 02:17:28.000] 部長好今天有很多委員都在問有關於這個14日這個成品
[02:17:28.000 --> 02:17:33.000] 爆出有疑似個資外洩事件之後這個民眾購買書籍後
[02:17:33.000 --> 02:17:36.000] 接到疑似鬼訪的詐騙電話
[02:17:36.000 --> 02:17:42.000] 那因為第二天你們立刻就對成品進行實地的行政檢查
[02:17:42.000 --> 02:17:48.000] 然後也按照十天會做成調查報告兩週內就會做行政處分
[02:17:48.000 --> 02:17:51.000] 部長其實上個星期
[02:17:51.000 --> 02:17:57.000] 這個本席有向速發部去詢問包括成品等民間單位
[02:17:57.000 --> 02:18:00.000] 資安還有個資外洩的問題
[02:18:00.000 --> 02:18:05.000] 我收到的資料說這個案子是因為是重大矚目事件
[02:18:05.000 --> 02:18:13.000] 所以才會依打詐行動剛領一點五板的強化監督流程規定辦理
[02:18:13.000 --> 02:18:16.000] 其實本席再去看了一下
[02:18:16.000 --> 02:18:23.000] 這個重大矚目案件的說法在去年的打詐一點零板就已經出現了
[02:18:23.000 --> 02:18:26.000] 對右邊這三個都是重大矚目案件
[02:18:26.000 --> 02:18:33.000] 都是嘛但是他們各自的目的事業主管機關也都有裁罰了
[02:18:33.000 --> 02:18:39.000] 但是我們看到速發部在這一部分
[02:18:39.000 --> 02:18:47.000] 你們會對這個成品這個案子這次立刻去做行政調查等等的
[02:18:47.000 --> 02:18:52.000] 但是成品過去一直都有類似的案件你們不做
[02:18:52.000 --> 02:18:57.000] 但是因為他是因為涉及統戰言論呢還是不知道
[02:18:57.000 --> 02:18:59.000] 跟這個關係不大
[02:18:59.000 --> 02:19:03.000] 我想委員右邊這幾個算是其他的部會作為目的事業主管機關
[02:19:03.000 --> 02:19:08.000] 但是我們資安院也好我們TWCCC也好也都第一時間有協助
[02:19:08.000 --> 02:19:10.000] 這個並沒有任何差別的
[02:19:10.000 --> 02:19:16.000] 所以不會因為他是涉及統戰的阿強才動起來
[02:19:16.000 --> 02:19:22.000] 唯一的差別就是無店面零售院我們是主管機關所以是我們帶隊
[02:19:22.000 --> 02:19:24.000] 其他的可能是交通部或是經濟部帶隊
[02:19:24.000 --> 02:19:28.000] 談到你們主管機關的話本席就有一些問題了
[02:19:28.000 --> 02:19:33.000] 因為如果這樣子的話刑事局從去年的6月開始
[02:19:33.000 --> 02:19:37.000] 就依各司法陸續函送了104家業者
[02:19:37.000 --> 02:19:45.000] 光工蝦皮就有74件蝦皮今年3月也纏連5週的網路風險賣場的第一名
[02:19:45.000 --> 02:19:50.000] 所以刑事局也呼籲說書發部是不是應該進行裁罰
[02:19:50.000 --> 02:19:57.000] 那你們是書發部既然是這個電商這個零售平台的主管機關
[02:19:57.000 --> 02:20:02.000] 請問刑事局去年移送的業者書發部行政調查了幾家
[02:20:02.000 --> 02:20:06.000] 結果是什麼又裁罰了幾家業者又裁罰什麼
[02:20:06.000 --> 02:20:10.000] 這是舊版個資法的結果新版的個資法剛三讀通過的
[02:20:10.000 --> 02:20:16.000] 就一定是調查署是舊會裁罰然後事先起改善不改善罰更重
[02:20:16.000 --> 02:20:20.000] 所以以前在新版舊法通過之前
[02:20:20.000 --> 02:20:24.000] 我們依法他只要有改善我們就不能罰
[02:20:24.000 --> 02:20:30.000] 他們都有改善的那為什麼會被移送這個蝦皮就74件
[02:20:30.000 --> 02:20:33.000] 而且還有就是說縱使法他那個金額是比較少的
[02:20:33.000 --> 02:20:36.000] 所以我想這是新版個資法修法確實是有必要
[02:20:36.000 --> 02:20:41.000] 那我們現在在做的事情就是如同剛才陳彥淑也有講的
[02:20:41.000 --> 02:20:44.000] 就是去確保在新版個資法底下
[02:20:44.000 --> 02:20:48.000] 我們會快速的調查出一個根本原因來舊法
[02:20:48.000 --> 02:20:50.000] 舊法之後他如果不改善再罰更多
[02:20:50.000 --> 02:20:56.000] 所以有這個新版的法我們就資安以及個資保護就有希望了
[02:20:56.000 --> 02:21:02.000] 對不對我想就是就電商來講他就比較有誘因來投資到這些改善商
[02:21:02.000 --> 02:21:07.000] 但是部長我也要幫這個商這個我們現在是
[02:21:07.000 --> 02:21:11.000] 好像我們裁罰的是只有非公務機關
[02:21:11.000 --> 02:21:15.000] 可是公務機關這個泄密的問題也很嚴重
[02:21:15.000 --> 02:21:20.000] 這個內政部內政部他去年底
[02:21:20.000 --> 02:21:25.000] 我們看到內政部有2300萬人的各自護政各支外洩
[02:21:25.000 --> 02:21:29.000] 到今年3月還有華航的各自外洩事件
[02:21:29.000 --> 02:21:35.000] 當時護政資料外洩內政部否認資料是從護政司洩漏
[02:21:35.000 --> 02:21:42.000] 速發部也說相關的資料都妥善保存於這個內網之中
[02:21:42.000 --> 02:21:47.000] 真正的這個調查報告也只有5頁
[02:21:47.000 --> 02:21:51.000] 請問部長對於內政部各自外洩事件調查結果是什麼
[02:21:51.000 --> 02:21:53.000] 資料到底是怎麼外流出去
[02:21:53.000 --> 02:22:00.000] 如果都很好的為什麼還會我們現在看到在美國的法院裡面就在處理這個案子
[02:22:00.000 --> 02:22:04.000] 是我想這是跟剛剛就是委員提到的陳品的案件
[02:22:04.000 --> 02:22:07.000] 我們有一個類似的結構
[02:22:07.000 --> 02:22:11.000] 所以讓我有一點時間講一下就是說可能就是內政部
[02:22:11.000 --> 02:22:18.000] 他看到的就是這個洩漏出來的格式包含裡面有些欄位是內政部系統裡所沒有的
[02:22:18.000 --> 02:22:21.000] 所以他認為說不是他自己的系統洩漏出去
[02:22:21.000 --> 02:22:25.000] 那我們經過就是政府服務王等等的調查也包含檢調調查
[02:22:25.000 --> 02:22:28.000] 也確實應該不是從內政部的系統直接洩漏
[02:22:28.000 --> 02:22:32.000] 但是也不排除是有可能是有其他的單位
[02:22:32.000 --> 02:22:37.000] 接取了內政部的資料然後他加工等等之後是在那個地方洩漏
[02:22:37.000 --> 02:22:39.000] 因為時間的關係
[02:22:39.000 --> 02:22:42.000] 部長本席還是要誠懇的建議
[02:22:42.000 --> 02:22:46.000] 因為速發部已經成立了268天
[02:22:46.000 --> 02:22:49.000] 我們不是只針對非公務機關
[02:22:49.000 --> 02:22:51.000] 對於公務機關要如何就責
[02:22:51.000 --> 02:22:55.000] 如何要求每一個人要做好個資的保護
[02:22:55.000 --> 02:22:57.000] 我覺得這是非常重要
[02:22:57.000 --> 02:23:00.000] 所以要請速發部在一個月內
[02:23:00.000 --> 02:23:06.000] 針對105年到今年4月底之前公務機關所發生
[02:23:06.000 --> 02:23:08.000] 公務機關我希望是包括部會
[02:23:08.000 --> 02:23:14.000] 包括我們不久前還發生什麼說健保資料也外洩等等
[02:23:14.000 --> 02:23:19.000] 以及這個類似像國營事業的
[02:23:19.000 --> 02:23:22.000] 他所發生的歷次的資安事件
[02:23:22.000 --> 02:23:24.000] 要提供給本席
[02:23:24.000 --> 02:23:27.000] 包括事件調查處理跟改善的報告
[02:23:27.000 --> 02:23:28.000] 可不可以做得到
[02:23:28.000 --> 02:23:31.000] 我想只要有資安通報的資安署這邊都有掌握
[02:23:31.000 --> 02:23:33.000] 所以我們以這個作為範圍
[02:23:33.000 --> 02:23:35.000] 我想資安署可以整理出報告給你
[02:23:35.000 --> 02:23:36.000] 那一個月之內可以給我嗎
[02:23:36.000 --> 02:23:38.000] 一個月之內應該可以
[02:23:38.000 --> 02:23:39.000] 可以嗎
[02:23:39.000 --> 02:23:40.000] 還是要兩個月
[02:23:40.000 --> 02:23:42.000] 資安署說可能要兩個月
[02:23:42.000 --> 02:23:43.000] 兩個月就兩個月
[02:23:43.000 --> 02:23:45.000] 好 謝謝 謝謝部長
[02:23:45.000 --> 02:23:49.000] 好 謝謝游一蘭委員
[02:23:49.000 --> 02:23:52.000] 休息10分鐘
[02:23:52.000 --> 02:24:19.000] (音樂)
[02:24:19.000 --> 02:24:35.000] (音樂)
[02:24:35.000 --> 02:24:47.000] (音樂)
[02:24:47.000 --> 02:24:56.000] (音樂)
[02:24:56.000 --> 02:24:57.000] (音樂)
[02:24:57.000 --> 02:24:59.000] (音樂)
[02:24:59.000 --> 02:25:26.000] (音樂)
[02:25:26.000 --> 02:25:43.000] (音樂)
[02:25:43.000 --> 02:25:44.000] 這放在前面
[02:25:44.000 --> 02:25:46.000] 沒有 沒有 那是出行的
[02:25:46.000 --> 02:26:15.000] (音樂)
[02:26:15.000 --> 02:26:42.000] (音樂)
[02:26:42.000 --> 02:27:07.000] (音樂)
[02:27:07.000 --> 02:27:14.000] (音樂)
[02:27:14.000 --> 02:27:15.000] 像不像
[02:27:15.000 --> 02:27:17.000] 造型
[02:27:17.000 --> 02:27:18.000] 翻版
[02:27:18.000 --> 02:27:45.000] (音樂)
[02:27:45.000 --> 02:28:07.000] (音樂)
[02:28:07.000 --> 02:28:08.000] 我不放間
[02:28:08.000 --> 02:28:37.000] (音樂)
[02:28:37.000 --> 02:29:02.000] (音樂)
[02:29:02.000 --> 02:29:30.000] (音樂)
[02:29:30.000 --> 02:29:57.000] (音樂)
[02:29:57.000 --> 02:30:24.000] (音樂)
[02:30:24.000 --> 02:30:52.000] (音樂)
[02:30:52.000 --> 02:31:16.000] (音樂)
[02:31:16.000 --> 02:31:40.000] (音樂)
[02:31:40.000 --> 02:32:01.000] (音樂)
[02:32:01.000 --> 02:32:22.000] (音樂)
[02:32:22.000 --> 02:32:37.000] (音樂)
[02:32:37.000 --> 02:33:03.000] (音樂)
[02:33:03.000 --> 02:33:17.000] (音樂)
[02:33:17.000 --> 02:33:38.000] (音樂)
[02:33:38.000 --> 02:33:52.000] (音樂)
[02:33:52.000 --> 02:34:07.000] (音樂)
[02:34:07.000 --> 02:34:28.000] (音樂)
[02:34:28.000 --> 02:34:49.000] (音樂)
[02:34:49.000 --> 02:35:10.000] (音樂)
[02:35:10.000 --> 02:35:31.000] (音樂)
[02:35:31.000 --> 02:35:52.000] (音樂)
[02:35:52.000 --> 02:36:13.000] (音樂)
[02:36:13.000 --> 02:36:34.000] (音樂)
[02:36:34.000 --> 02:36:55.000] (音樂)
[02:36:55.000 --> 02:37:24.000] (音樂)
[02:37:24.000 --> 02:37:45.000] (音樂)
[02:37:45.000 --> 02:38:06.000] (音樂)
[02:38:06.000 --> 02:38:27.000] (音樂)
[02:38:27.000 --> 02:38:41.000] (音樂)
[02:38:41.000 --> 02:39:02.000] (音樂)
[02:39:02.000 --> 02:39:23.000] (音樂)
[02:39:23.000 --> 02:39:37.000] (音樂)
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment