監察委員:張菊芳、賴鼎銘、王麗珍
111年國慶焰火無人機展演遭質疑使用中國製無人機,引發國安疑慮及無人機資安管理漏洞相關爭議,引起監察委員張菊芳、賴鼎銘、王麗珍之關注並立案調查,監察院交通及採購委員會於113年4月9日審議通過調查報告,指出無人機於資通安全管理等方面,確有管理盲點及權責不清,行政院允應督同相關部會檢討改進。
監察委員張菊芳、賴鼎銘、王麗珍指出,111年國慶活動傳出展演用無人機內含中國廠牌通訊晶片之爭議,經歸納相關證據顯示案內實際執飛之無人機關鍵零組件,如通訊、飛控及定位晶片尚無使用中國廠牌通訊模組之明確證據;惟數位部等機關透過行政訪查,卻發現其他型號無人機有使用中國廠牌通訊模組;根據本院諮詢專家學者意見,中國廠牌通訊晶片確實可能潛藏資安風險,然而資安風險不分國籍,故亟待建立並發布通用之資安驗證或規管措施等語,本案凸顯無人機蓬勃發展,並已陸續成為政府重大活動標案之標的,但資通安全方面之法遵,驗證及輔導機制闕如,政府採購規定未臻嚴謹完整,商品檢驗未納2公斤以下無人機、群飛活動場域管理鬆散、進口管理欠缺專屬貨品分類號列等問題,凸顯其管理盲點。
嗣111年11月起行政院密集召集會議因應時,相關機關始就法規授權、投標須知範本所列主管機關、檢測標準發布機關等議題進行釐清,並初步建置資安檢測機制及其他配套;此外,交通部及數位部針對法規授權、投標須知範本所列主管機關、檢測標準發布機關方式之立場及見解不一,當時尚待行政院介入協調,顯有權責不清問題,是以行政院允應督同相關部會持續檢討改進。
此外,監委表示,當時工程會所公告之採購招標規定已可規範至零組件層級,本案採購機關故宮若採前揭較嚴謹之採購條款,或可降低案內無人機使用中國製通訊模組之風險,然該院未能採取該招標規定,亦應檢討改進。本案亦凸顯產業面之供應鏈安全問題,自資通安全管理法108年施行以來,政府機關對於「危害國家資通安全產品」長期欠缺合理可行之認定機制,容易導致機關誤觸,應檢討改進,有賴行政院資通安全會報研謀合理可行之管理方式。
監委另指出,資安院111年第2季「資通安全技術報告」已指出無人載具全生命週期資通安全管理之重要性,行政院也曾指示「無人機產品登錄後,也要落實後市場的查驗」,可明全生命週期管理不容忽視,從系統的規劃、設計、實施到維護,每一個階段都需要嚴謹的安全控制,以確保系統的完整性、可用性和機密性,亦可防止資料洩露、篡改和破壞;然而調查發現,目前尚無具體之漏洞通報及後續更新或召回機制,包括機關分工模式亦未臻明朗,將使相關風險持續處於未受控管之狀態,應檢討改進,而民航局雖已承諾與數位部合作進行,後續仍待持續追蹤。
另外在射頻識別部分,由於射頻識別相當於無人機的身分證而可加以識別,對於飛航安全管理相當重要;行政院也曾請民航局研議要求無人機註冊登錄項目包含射頻識別,然而國內技術及政策均未臻成熟,行政院允應督同交通部民用航空局及數位發展部確實檢討改進。