跳到主要內容區
  1. 首頁
  2. 資訊安全
  3. 禁止使用及採購「大陸廠牌資通訊產品」(包含軟體、硬體及服務)相關規定

禁止使用及採購「大陸廠牌資通訊產品」(包含軟體、硬體及服務)相關規定

依據

  1. 數位發展部「各機關對危害國家資通安全產品限制使用原則」。
  2. 教育部109年12月31日台教資(四)字第1090184423號函,函轉行政院秘書長109年12月18日院臺護長字第1090201804A號函。禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務)。
  3. 111年9月5日「111年全國大專校院資安長會議紀錄」。
  4. 行政院112年6月20日院授數資安字第1121000202號函 及 行政院113年12月31日院授數資安字第1131000727號函。

危害國家資通安全產品限制使用原則

(一)若因業務需求且無其他替代方案,仍需使用危害國家資通安全產品時,應具體敘明理由,並經機關資通安全長及其上級機關資通安全長逐級核可,函報資通安全管理法主管機關(數位發展部)核定

(二)就各機關所盤點之危害國家資通安全產品,相關因應措施摘要如下:

  • 行政院於110年5月5日中央及地方政府資通安全長暨行政院國家資通安全會報第37次委員會已向各機關宣達,針對未達使用年限之財物如須報廢時,於相關文件中註明報廢原因,可專案報廢處理。
  • 於汰換前則應有適當之配套措施或相應作為:
  1. 停用(封存)。
  2. 使用但不與公務網路介接,或擬訂其他適當配套管制措施。
  3. 將使用情形列入年度稽核時之檢視項目。
  4. 產品使用屆期後不得再購買危害國家資通安全產品。

(三)辦理採購案時,得依個案特性及實際需要於採購文件中循以下方式辦理

  1. 參考行政院公共工程委員會(下稱工程會)採購範本投標須知範本第16點,廠商所供應標的(含工程、財物及勞務)之原產地不允許大陸地區,以及資訊服務採購契約範本第8條第24款,如採購案內涉資通訊軟體、硬體或服務等相關事務,機關可要求廠商執行本案之團隊成員不得為陸籍人士,並不得提供及使用大陸廠牌資通訊產品。
  2. 倘涉雲端服務者,可另參考工程會資訊雲端服務採購契約範本第17條,廠商履約有下列情形之一者,機關得以書面通知廠商終止契約或解除契約之部分或全部,且不補償廠商因此所生之損失:16.經查廠商提供大陸廠牌、 資通訊產品(含硬體、軟體及服務)、雲端服務之所屬 一切資料存取、備份及備援之實體所在地位於大陸地區 (含香港、澳門),或跨該等境內傳輸相關資料。
  3. 自行或委外營運,提供公眾活動或使用之場地,不得使用危害國家資通安全產品,且應將相關限制式樣納入委外契約或場地使用規定中,以避免後續履約爭議,並將契約訂定相關文字列入年度稽核時之檢視項目。
  4. 依工程會113年8月13日工程企字第11300155871號函,機關辦理採購涉及物聯網設備技術規格之訂定,請各機關於採購物聯網設備時依該函說明事項辦理。
  5. 可參考數位發展部數位產業署之能量登錄機制資訊,揀擇適當之標的、廠商或於契約中載明須提出相關能量登錄證書等。

(四)本校採購與使用注意事項

  1. 本校資通訊產品(含軟、硬體及服務)之採購與使用均不得採購與使用「涉及危害國家資通安全產品」。
  2. 現有已使用之資通訊產品(含軟體、硬體及服務),如有「涉及危害國家資通安全產品」,相關處理原則如下:
    1. ) 已使用「涉及危害國家資通安全產品」者,需進行列冊管理,且停止與公務網路環境介接,如因故需介接於校園網路,須辦理申請核可及強化存取管理。
    2. ) 如已達可狀換年限者,請速辦理狀換更新作業。
  3. 各項資通訊產品請務必定期變更設備上所有使用者的密碼,並嚴禁使用「預設密碼」。
  4. 與外單位合作辦理活動,或本校出租場域(場所使用作業規範)亦不得使用「涉及危害國家資通安全產品」。
  5. 新購資通產品時,如對「涉及危害國家資通安全產品」有疑義,應於採購時請廠商出具相關佐證資料,以利日後備查。
  6. 請各單位於辦理採購時,務必依「大陸廠牌資通訊產品及委外經營公眾場域盤點原則」查證,勿採購大陸廠牌資通訊產品。
  7. 建議多利用共同供應契約採購相關設備,避免採購大陸廠牌資通訊產品。

 

常見大陸廠牌

行政院未提供相關設備清單(詳如下方常見問答),以下廠牌僅供參考,包括但不限於:杭州海康威視(Hikvision)、華為(Huawei)、深圳大疆創新科技公司(DJI)、普聯技術公司(TP-Link)、廣東歐加控股公司/廣東行動通訊公司(OPPO)、小米集團(MI)、浙江大華技術公司(Dahua)等。

 

「陸資廠商」是否禁止使用?

依據行政院秘書長110年8月11日院臺護長字第1100181360A號函說明,第三地區含陸資成分廠商及在臺陸資廠商,原則不列入盤點及汰換範圍;惟請各機關於辦理採購案時,如屬經濟部投資審議委員會公告之「具敏感性或國安(含資安)疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。

 

已知涉及危害國家資通安全產品

  1. 大陸廠牌認定方式:從嚴認定,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等

  2. 應用範圍:個人電腦、筆記型電腦、伺服器主機 、攝影機、網路攝影機、監視器主機、智慧型手機、平板電腦、網路分享器、路由器、無人機、空拍機、智慧家電、軟體
  3. 數發部判定不應採購與使用之廠牌清單:包括但不限於下列清單:
    硬體 軟體
    Boox、CREALITY、CRF PLASMA、CZUR、Dahua(浙江大華技術公司)、Dimension、DJI(深圳大疆創新科技公司)、DLAB、FOCUCY、Foscam、FOXTECH、HARMANKARDON、Hikvision(海康威視)、Hisense(海信)、Huawei(華為)、Hunan Kecheng Instrument and equipment、HYREAD、INNO3D、Insta360、Korno、Livox、LREALITY(創想)、MEIZU(魅族)、MI(小米集團)、Micsig、Mind Sensor(意念精靈)、Nanhua、Nubia(努比亞)、OBSBOT、OPPO(廣東歐加控股公司/廣東行動通訊公司)、OPT Machine Vision Tech、Partulab(百力博)、QTS、REALME(真我)、RIGOL、RisingCam、RMY、Royal(賓利皇家)、Seeed Studio、SEGWAY、Snapmaker、Sugar、Tenda、TLC、TOTOLINK、TP-Link(普聯技術公司)、vivo、YUDIAN、ZOTAC(索泰)、中興通訊、嘉兆、映眾、步進電機、石頭科技、螞蟻源科學儀器、銳太、騰達...等廠牌。 Huawei:HiSuite
    huduntech 上海互盾信息科技有限公司:
    ImageConverter
    meitu:美图秀秀
    Shenzhen Lianmeng Technology:剪映专业版
    北大方正电子有限公司:字加字体管理工具
    北京度友科技有限公司:百度网盘
    迅雷网络技术有限公司:光影魔术手、光影看图
    阿里巴巴:阿里旺旺、Alipay 支付寶
    秦皇岛易数科技有限公司:易数一键还原
    腾讯科技(深圳)有限公司:WeChat、微信
    零与壹软件:影音先锋
    双飞燕:辦公飛梭高效軟體

     以上資訊滾動修正,請依最新發布內容為準。(112.11.15更新)

 

大陸廠牌資通訊產品盤點原則

一、盤點範圍:全機關,非僅機關內部資訊單位或特定單位。

二、「大陸廠牌認定方式」及「資通訊產品定義」:

  1. 大陸廠牌認定方式:由填報機關「從嚴認定」,所有屬大陸廠牌者,無論其原產地於我國、大陸地區或第三地區等,渠等產品均須納入。
  2. 資通訊產品定義:參考資通安全管理法第3條用詞定義,包含軟體、硬體及服務等,另具連網能力、資料處理或控制功能者皆屬廣義之資通訊產品,如無人機、網路攝影機、印表機等
  3. 各機關若無法於期限內完成汰換或有窒礙難行之處,須填報正當理由,後續由資通安全署協助評估其妥適性或其他可行作法。

三、盤點標的參考原則:

盤點對象

盤點範圍

盤點標的

判斷是否納入盤點及汰換作業

公務機關、委外廠商
(含分包廠商)

硬體

  • 無論是否具有連網能力、資料處理或控制功能之資通訊設備皆屬盤點及汰換範圍。

  • 如:個人電腦、伺服器、無人機、印表機、網路通訊設備、可攜式設備及物聯網設備等。
  1. 如硬體設備係透過共同供應契約採購者,原則不列入盤點及汰換範圍。
  2. 辦理採購:
    1. 請原廠/代理商提供廠牌證明文件。
    2. 透過網路或相關可行管道查證其是否為大陸廠牌。

軟體及服務
  • 非客製化軟體/系統:如原廠(官方)提供之套裝軟體、開發工具或作業系統等。
  • 客製化軟體/系統:如自行或委外開發之應用軟體、系統軟體或APP等。
  • 人力資源
  • 網站及APP所提供的服務
  • 雲端服務
  • 電話諮詢
  • 其他類型服務
  1. 自行下載:
    應確保軟體或元件確實由原廠(官方)網站下載,如原廠(官方)為大陸廠牌者,應納入盤點及汰換。
  2. 自行開發:
    應確保開發環境、工具及套件等係由原廠(官方)網站下載,或是透過採購取得,並分別依第一項及第三項辦理盤點及汰換作業。
  3. 辦理採購:
    1. 透過共同供應契約採購者,原則無須盤點及汰換。
    2. 機關自行辦理採購非客製化軟體/系統者,請原廠/代理商提供廠牌證明文件。
  4. 委外開發:
    1. 如使用原廠(官方)網站下載之軟體或元件,請委外廠商辦理前揭第一項作業,並提供說明及切結文件。
    2. 如使用非客製化軟體/系統者,委外廠商應提供原廠/代理商之廠牌證明文件。

 

限制對外出租場域使用大陸廠牌資通訊產品

一、於學校 委外契約 或 場地租借使用規定,應明訂不得使用大陸廠牌資通訊產品。

二、針對現有委外契約,應協調廠商配合辦理或修正契約規定。

 

廠商切結書

機關對於可能選任之受託者及其所供應之財物 (軟體設備) 或勞務之資料存取、儲存、備份及備援等作業,其實體設備所在地及資料傳輸是否跨境等相關議題,得要求其以書面方式揭露,並納入選任評估參考 。

 

常見問題

Q:有關「限制使用危害國家資通安全產品」是否會提供相關清單?此外,在未公布清單前是否有相關參考作法 ?

A:

一、考量危害國家資通安全產品由主管機關核定廠商清單效益有限,後續將由主管機關透過跨部會協調平臺與各機關溝通,推動危害國家資通安全產品之限制使用事宜 。

二、現階段係請各公務機關依本院秘書長109年12月18日院臺護長字第1090201804A號函,禁止使用及採購大陸廠牌資通訊產品(含軟體、硬體及服務),其相關注意事項如下:

大陸廠牌:指本院公共工程委員會 107年 12月 20日工程企字第 1070050131號函所稱「大陸地區廠商」,至於「第三地區含陸資成分廠商」及「在臺陸資廠商」原則非屬上述範圍,惟各機關於辦理採購案時,如屬經濟部投資審議委員會公告「具敏感性或國安含資安疑慮之業務範疇」,應確實於招標文件中載明不允許經濟部投資審議委員會公告之陸資資訊服務業者參與。 陸籍人士:指委外廠商執行標案之團隊成員,其現行國籍不得為中國大陸國籍 。另,針對多重國籍部分,如其一國籍屬中國大陸國籍亦屬限制範圍 ;此外,針對香港國籍及澳門國籍人士非屬上述限制範圍 。 考量實務執行問題,現行僅限制其最終資通訊產品不可為大陸廠牌,暫未限制大陸廠牌零組件。 各機關辦理資通訊相關採購,得依個案特性及實際需要於採購文件中評估限制委外廠商及其分包廠商不得提供大陸地區廠商所生產或製造零組件。

 

注意事項

己使用涉及危害國家資通安全產品者,需主動向資訊中心通報造冊列管,且應停止與公務網路連接,如因故需介接於校園網路,須辦理申請核可及強化存取管理。 如己達可汰換年限者,單位須儘速辦理汰換更新作業。 各項資通訊產品請務必定期變更設備上所有使用者的密碼,並符合密碼長度八碼要求,並嚴禁使用預設密碼。 與外單位合作辦理活動,或本校出租場域亦不得使用涉及危害國家資通安全產品。 新購資通訊產品,如對涉及危害國家資通安全產品有疑義時,應於採購時請廠商出具相關佐證資料,以利日後備查。

 

相關資料

各機關對危害國家資通安全產品限制使用原則

大陸廠牌資通訊產品及委外經營公眾場域盤點原則

行政院數位發展部資通安全署-常見問題

數位發展部「各機關對危害國家資通安全產品限制使用原則」

經濟部投審會核准之「陸資投資資訊產業事業清冊