清單尚未成功,政院仍須努力,資安就是國安,這是大家耳熟能詳的。毫無原則的國安,大家當然恐慌,但只有原則而無具體施行措施的國安,同樣令人不安。行政院這次提出概括性的、原則性的規範,並「發函要求全國公務機關在今年底前要全面禁用中國資通訊產品(含軟體、硬體及服務)」,表面上看起來是正氣凜然、雷厲風行、大小通吃,事實上還是原地踏步,下級單位實際執行時,需要的是「實體清單」(所謂的「黑名單」);原則性的規範,留下太大的解釋空間:何謂資通、又何謂中國?
硬體實體清單並不太難,報章雜誌上已經提出很多,如智慧手機、平板電腦、監視器、無人機、影像攝錄設備、路由器、交換器、伺服器等等。尤其重要的,現在的「中國產品」應該包括港澳地區,就是華為外,OPPO、VIVO、小米等等,也都應該入列。軟體及服務實體清單,事實上比硬體更是容易些,一般都需連上網路,如微信(WeChat)、微博、百度、支付寶等等,都是顯而易見的。
中共在很多年前就已完成了「軟體、服務」的黑名單實體清單,包括谷歌搜尋、YouTube、臉書、推特、LINE等等,毫不含糊!美國川普前總統發動的硬體制裁實體清單,也是清清楚楚,拜登總統接棒更擴充之。高科技產品經常推陳出新,這清單每隔一段時間就更新,本就是應該的,不能以此為藉口,而裹足不前。
在軟硬體上植入病毒、木馬等間諜軟體,只是顯而易見的初階資安問題,更重要的是,平台提供者及國家法律對個資的絕對尊重。在台灣大家放心用LINE,因為其平台受日本法律規範;大家放心用iPhone,因為蘋果曾經對抗美國政府,連恐怖份子的密碼,都拒絕交出。WeChat呢?不好意思,連大家平常的一言一行都隨時隨地受到中共的嚴格監控。
去年六月中共推出的《網路安全審查辦法》,賦予中國網路信息辦公室(簡稱網信辦)無上的權利,可以隨意對業者扣上「國家安全」大帽子,要求中國公司,不論在國內外,隨時要接受審查和控制;今年七月再修正,明確加入網安審查與企業經濟活動間的關聯:「掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查」,騰訊、阿里巴巴、美團、滴滴等多間科技巨頭碰到網信辦,都不得不低頭。
可以簡單推論說,台灣人所用的中國硬體、軟體、服務,只要中共網信辦一聲令下,所有個資「全都露」,通通進入如來佛掌中。所以行政院「全面禁用中國資通訊產品」的原則性規範,具有百分百正當性,是正確的一步。
可惜的是,面對著中共強大的防火長城(Great Firewall),毫無懸念的、全面性圍堵的軟體、服務實體清單,再與最近網信辦推動的《網路安全審查辦法》相比較,台灣行政院實在太客氣了!已經過了兩年,連實體清單都難產,台灣真的需要加油了!
(作者為資深資訊業者,台北市民)
Source: 自由時報/自由廣場
