-
今天部務會議,依照慣例先報告出席人數:闕次另有公務,所以沒有辦法參加;數位產業署的呂署長、數位政府司王司長都有公務,所以由胡副署長、楊副司長代表參加。
-
另外,資安院的何院長前面有一個行程,沒有辦法即時趕回來,今天他有一個報告案,請示主席,是不是可以把那個報告案移到後面?
-
沒有問題。
-
開始今天的議程。同樣的,上一次會議紀錄已經在網站上公開了,再請主管確認。
-
報告事項案由一,本部的重要會議指示與裁示事項的追蹤列管情形,請策略司報告。
-
看葉次或者是署長有沒有補充?
-
吳政委已經開過會議,原則上有一些文字是不是需要修正,需要我們跟國土辦談,目前法制處資安署同仁先綜整、先談過之後,如果沒有爭議的話,政委就會排案。
-
排標準的協調會議?
-
法案審查會。
-
好,這樣時程看起來還不錯。看有沒有要補充的?
-
部長、次長,針對新聞業與大型平臺共榮的問題,上次在業務會議有一個決議,要研析是否可以信託基金方式運作,因為這個部分基本上還是要有業務單位來處理相關的問題,才有後面信託基金的相關問題,所以紀錄是不是要做一下調整?
-
好,協同或者是會同數產署一起規劃,我們就改為「協同」。還有沒有其他的部分要更新?
-
(與會者皆無意見)
-
如果沒有的話,我們追蹤狀態就如擬。接著往下。
-
公告車聯網頻率之特定實驗場域及限制規劃草案,請資源管理司報告。
-
謝謝。剛剛講 60%節省,那個是申請時間,也就是大概幾天變幾天,也就是 5 天變 2 天的意思?
-
是的,大約由 84 天縮減為 31 天。在數位部核發頻率後,通傳會做實驗網路審查與電臺審驗,有減化程序及書面審查的空間,可以加快行政程序。
-
如果可以省 50 幾天,算是滿有感的。
-
對,不過這個是理想上的情況。
-
原來是要個案申請,公告之後就會變成通案性,審查程序會比較簡便。
-
最早條例在科辦的時候,我們都有討論,大概瞭解。看大家有沒有想要詢問或者是補充的部分?
-
(與會者皆無意見)
-
如果沒有的話,這個部分就洽悉。這部分滿不錯的,無論是具體節省審驗時間或者降低成本,現在本部有例行記者會了,隨時可以跟外界說明,謝謝。
-
因為何院長已經趕到,我們接下來報告案由三,數位訊息防護技術說明,請資通安全研究院說明。
-
看有沒有補充?
-
部長、次長、主秘及各位主管再作幾個補充,資安院成立以後,董事會通過本院章程,我們一直把數位訊息技術研發當作是一個非常重要的任務,外界非常關心我們在數位訊息防護技研工作是否有繼續注入資源,我想利用這個機會再次說明。
-
部長也是我們資安院的董事長,對於數位訊息防護也是全力支持,而且也給予很多指導,所以院內對於數位訊息分析組亦給予最好的資源,包含人力及預算,大力支持工程師不斷推動技術研發。第二,就研發的成果,我們把用在資安防護的技術用在爭議訊息與詐騙的訊息處理,希望我們可以扮演技術服務的平台,提供執法單位相關技術以提升處理的效益,這部分我們也按照指示,與國內執法單位如調查局、刑事警察進行合作。
-
我們在去年也辦了技術研討會,建立了聯絡的窗口,經過這樣的技術交流,我們院裡面自己內部獨立自主所開發的技術與功能,如果要做維護或者是客製化其實是有相當的挑戰。當然除了執法單位以外,我們也跟幾個民間的單位,例如事實查核中心,我們也提供很多的協助。
-
在這樣資安防護既有基礎之上,整個打詐的技術研發也是我們依據數位產業署政策進行技術研發,所以我們也積極來做相關的研究跟開發。部長也給我們很多的指導與建議,過去我們比較注重在所謂的執法單位,優先把我們的技術移轉給他們使用,在目前階段除了執法機關以外,資安院配合行政院的政策,以及數位部與數位產業署的政策,擴大與無店面商業同業公會合作,來跟他們做更好的互動及技術協助。
-
跟部長報告一下我們去年提前部署,我們國合治理中心有一個自行研究,已經跟無店面商業同業公會的會員進行座談及訪問,了解他們在資安上碰到什麼問題以及需要政府提供什麼樣的協助,所以有這樣的基礎來支持我們往下走。
-
利用這個機會跟部長、次長報告一下,我上個月親自召開會議邀請無店面商業公會參與,一方面分享我們對於無店面商業公會資安防護的需求成果,同時江經理也報告對於打詐技術各個不同的階段及可以提供什麼服務,那一天無店面商業公會的許秘書長親自到會,我們建立了非常好的聯絡管道,也特別轉達部長對這項工作期許資安院可以跟他們做更好的結合。此外,也跟部長報告,許秘書長近期就會來拜會我們,我們會有第二次的接觸,他們很積極回應,而且我們同時也建立了群組,希望將來資安院配合部裡面的政策,優先把這樣的技術,除了提供給執法單位以外,也規劃逐步提供給無店面商業公會的會員使用。
-
我們也會依據部長給我們的提示,把技術移轉的範圍訂出來,部長上次提示或許可以考慮像 Public Code 的觀念免費提供,如果有需要的話,後面酌收一點諮詢費用,這樣的雙方互動關係我們已經建立起來,後續馬上會有第二次洽談。
-
我會把這個工作結合 TWCERT/CC 的運作,我們期望相關單位全部加入 TWCERT/CC 成為會員,希望可以透過 TWCERT/CC 的平台,分享相關資安訊息,並視需求提供相關打詐防治的技術,這樣一方面我們研發的成果可以到第一線部署,也可以從部署的過程中把實際需求再回饋給我們,讓技術不斷地精進。同時,今年也謝謝多元司的抬愛,把隱私強化保護的技術研發及應用工作委託我們辦理,我們會把院內這幾個資源統合出來,資安院各個中心優先的目標就是支持、支援部裡面及數位產業署優先協助無店面商業同業公會或者是數位平台,有效處理打詐相關訊息。
-
再加上部長強力支持電簽法修正案的這項技術運用,可以更有效率的協處打詐問題,非常感謝呂署長給我們大力的支持,也有支持一些小小的經費來提供我們做這樣的技術研究,所以部裡面跟數位發展署、資安署裡面,還有包含多元司的 PETs 技術,我們都會統合運用。然後再加上剛剛所說的 TWCERT/CC,我們希望鏈結更多的公私單位,像無店面商業同業公會或者是供應商的整個生態系,我們都規劃納入到資安院服務的範圍,還是要再次謝謝部長大力支持我們對於數位訊息相關技術研發的支持。
-
除了國內以外,同仁跟國際在爭議訊息與打詐方面,我們也積極參與,進行一些國際的訊息技術交流,我想這樣的技術可以逐步落地使用,除了協助民間的單位以外,也協助無店面商業同業公會與我們的執法單位,因此未來透過各個司與兩個署在這方面的技術研究,我們也會全力配合,以上補充。
-
謝謝。所以簡報的「CERT」,未來就會是「TWCERT/CC」嗎?如果我們「TWCERT/CC」除了做資通安全攻擊的通報外,也做訊息攻擊的通報,這跟我們的科技計畫範圍是否符合?
-
目前希望先逐步來,也就是除了資安通報外,我們也希望逐步往剛剛部長所說的方向推動。還有,我們對於 TWCERT/CC 會員的部分,預定先從諮詢的角度來推動,提供線上諮詢是第一步,但是將來是重大案件,像個資外洩一樣,我們就會參考這樣的專案協處模式,由資安院的團隊來協助,我想經由這樣的方式提供企業及組織,因為現在民間的並沒有法源依據要求通報資安事件,將來我們有擴大服務民間企業及組織量能的計畫,希望可以爭取國科會的支持,因為這邊也不斷需要做一些技術的研發。
-
甚至,如果國內中小企業沒有這樣的技術與能力以外,我那天也有跟部長報告我們會主動察覺他們的需求,運用一些 Public Code 對於網站、雲端服務的曝險分析,提供給他們建議的解決方式,這部分會持續整合逐年推動。
-
我剛剛的意思是,如果我們是一家大的電商或者是線上廣告平台,又或者是像 Infodemic.cc 做分析,我現在想要跟這邊做一些技術上的彼此分享,我第一步先加入 TWCERT/CC,可以這樣理解嗎?
-
是的,要先成為會員。
-
瞭解。目前 TWCERT/CC 定位上並沒有《資安法》的通報義務,所以我們要鼓勵民間會員加入。在 TWCERT/CC 裡面來實驗這樣的做法,也是滿好的。
-
我再補充一下,我記得部長上次跟我有一些任務提示的時候,您用一個字眼來期許我們,部長說「你們資安院現在做的是廣義資安」,這個是廣義的資安,除了確保臺灣的系統安全以外,還有訊息防護。
-
跟部長說明一下,國內某重大領導公司跟我們這邊有很好的聯絡管道,所以我會安排一個窗口跟他們對接,雙方初步交換情資。該公司也願意分享他們建立整個供應鏈廠商資安防護的相關經驗,他們希望可以有機會回饋給臺灣的社會,讓資安院可以扮演這樣的平台,今後我們就可以慢慢在廣義的資安上做聯防,這樣一步步往前推動。
-
謝謝。我當時會用這些字眼,主要是因為我們能夠做的比較是行動者(actor)、不當行為(behavior)的政策,至於內容本身,自然有檢警調跟事實查核機構來判斷。
-
這也就是為什麼我們要回應使用者的需求很重要。有相關權責來使用的,自然會建立一套使用的方法,我們也不適合去干預。
-
我們資安院的職責就是針對技術研發,我們不對內容來做價值判斷,這一點我們一定會遵守、信守,也會要求研發團隊持續觀測。
-
這部分有沒有要補充的?
-
我聽到一個說法,其實我們會專注在電商或數位經濟相關產業,似乎還沒有全面的做法,我們應該有辦法綜整對外論述,致力於數位訊息防護技術研發。
-
看李次覺得?
-
可以。
-
好,那就直接加進去。我是覺得這個防護生態在概念上,並沒有特別挑上面到底是電商、遊戲或者是第三方支付,又或者是網路廣告平台,事實上只要加入這個 TWCERT/CC 的會員,本來情資間的 IOC 不分業別都可以分享。
-
之前的差別,是因為我們作為目的事業主管機關的那些地方,就有個資法、消保法跟有的、沒有的政策工具,但是如果在目的事業主管機關以外的,我們就只能靠資安院來形成調查,也就是比較旁敲側擊的方法協助。
-
但是一年下來,大家都信任資安院了,應該目前沒有哪個目的事業主管機關在重大調查個資事件的時候,說不要資安院進來,應該是不可能的。所以有這個互信的話,確實中間的界限就不一定要劃得這麼硬,也就是不一定是目的事業機關的產業,但是還是碰到這類訊息的攻勢,反正加入到 TWCERT/CC 之後,就還是一視同仁。
-
我跟部長補充,部長去年承接個資的行政調查業務,我們也會會同主管部會協助處理了一些案件,我們充分地跟個資會籌備處有非常好的溝通,雖然個資會籌備處有一個技術單位,但是那個技術單位的能量還沒有全部到位,所以在個資會還沒有成立之前,我們已經把我們在《資安法》這邊累積資安防護的經驗、基準,適合用《個資法》方式的標準及規範,提供給個資會籌備處參考,所以我們會密切地跟個資會籌備處、未來的個資委員會保持非常好的溝通。
-
所以,即使我們私人企業沒有在《資安法》的管制範圍內,但是如果是《個資法》的適用對象,到時我們會提供技術上的協助,讓個資會籌備處及日後的個資會透過法律跟法規授權命令與規範,可以逐步把這樣的技術防護推動,到將來保有個資的企業,資安院裡會持續跟個資會籌備處與日後的個資會合作提供相關的協助,並鼓勵更多的企業加入 TWCERT/CC 的會員。
-
個資會的修法會有一個個資管理的體系,也還會有法規與授權命令配套的部分,我們資安院可以辦理技術、顧問跟諮詢的角色,還有一些工具的開發。
-
這個部分相當好,剛剛有提到會員來的話,我們技術轉移不收錢,但諮詢的費用我說不是收一點,而是說比照 IBM,他們是可以收很多錢(笑)。
-
因為這些技術的特性,是要有整個行業大部分的人加入才可以產生效果,這種不是傳統上一分錢、一分貨,而是要整個行業買單才產生效果,所以不可能一開始用智財權的方式去收錢,那樣事實上是有一點殺雞取卵的感覺。一旦整個行業使用,也就是成為實質上的標準,那樣才有後續的效益。
-
看有沒有其他的補充?
-
這個報告案我覺得提供給民間使用部分可以說明,主要是這個部分。
-
當時部長有給我們很好的提示,我們是技術研發單位,不涉及價值判斷。不管用容器化或者是什麼方式來處理,我們會一直謹守這樣的原則。
-
那就麻煩用剛剛的原則,按照我們已經跟 TFCC 合作的部分來描述。
-
還有沒有其他要提出或者是分享的?
-
(與會者皆無意見)
-
如果沒有的話,這部分就洽悉。
-
報告事項案由四,本部各單位的業務報告,已經提供書面資料,不知道各主管是不是有需要補充?
-
如果沒有的話,我們就洽悉。
-
臨時動議。我有幾個臨時動議在這邊跟各位長官報告:
-
第一,今天早上本部發生突發事件,我們也擔心會產生模仿效應,所以這一段時間請各主管務必回去跟同仁提醒,注意身邊環境走動的陌生人等等。另外,也要麻煩秘書處跟新光那邊通知一下,對新光的一樓、十六樓也要加強防護。
-
第二,有關於本部回覆立法院的文書格式及內容,再請各個主管或授權副主管督導一下,特別是有關於回覆時所對應的條次,在出單位之前要確實檢核。也拜託策略司這邊,因為最後會到策略司,請策略司把該注意的地方在公文發出前做最後的覆查。
-
就請大家持續堅持本部的政策和立場,感謝。