危害國家資通安全產品審查辦法

本辦法依資通安全管理法（以下簡稱本法）第十一條第三項規定訂定之。

公務機關及特定非公務機關對於資通系統、服務或產品，認有危害國家資通安全之疑慮時，依下列規定填具提報表並檢附相關文件送交主管機關審查： 一、總統府、國家安全會議、五院及其直屬公務機關，由各該機關提報。 二、中央二級機關所屬或所監督之公務機關，由各該中央二級機關提報。 三、直轄市政府、直轄市議會、縣（市）政府及縣（市）議會，由各該機關提報。 四、直轄市、縣（市）政府所屬、所監督之公務機關，與所轄鄉（鎮、市）公所、直轄市山地原住民區公所、鄉（鎮、市）民代表會及直轄市山地原住民區民代表會及其所屬或所監督之公務機關，由各該直轄市、縣（市）政府提報。 五、特定非公務機關，由其中央目的事業主管機關提報。

主管機關辦理前條審查時，應考量使用該資通系統、服務或產品，對國家資通安全產生之衝擊，以風險為基礎，評估對國家利益、政府運作或社會安定可能造成之影響，認定是否為危害國家資通安全產品。

危害國家資通安全產品之審查程序如下： 一、提報表不合程式、內容不完備或有其他應補正事項者，主管機關得通知限期補正；無法補正或屆期未補正、補正未完全者，得逕為結案。同一資通系統、服務或產品業經主管機關審查，且無其他新事實或新證據者，亦得逕為結案。 二、提報之資通系統、服務或產品為大陸廠牌者，主管機關得逕依第五條規定進行情資分享。 三、無前款情形者，主管機關應依提報機關檢附之物料清單或軟體物料清單予以審查。 四、主管機關得視需要徵詢相關機關、團體、業者或專家學者之意見；必要時，得召開會議討論。 五、前二款之審查結果認定為危害國家資通安全產品者，主管機關應依第五條規定進行情資分享。 前項第四款會議由主管機關首長或其指派人員擔任主席，邀請國家安全會議、國家安全局、內政部、法務部、經濟部及大陸委員會出席，並得視需要邀請其他機關或專家學者列席諮詢。

危害國家資通安全產品情資分享之對象為公務機關。但有特殊情形時，不在此限。 中央目的事業主管機關接收危害國家資通安全產品情資後，應依本法第二十七條所定之管控措施辦理。

前條第一項公務機關接收危害國家資通安全產品情資後，應採取下列措施： 一、盤點其資通系統、服務、產品及發配供業務使用之資通訊設備，以確認是否有下載、安裝或使用該危害國家資通安全產品。 二、有下載、安裝或使用該危害國家資通安全產品者，應立即移除、解除安裝或停止使用。但因業務需求且無其他替代方案者，依本法第十一條第一項但書規定辦理。

公務機關依本法第十一條第一項但書規定以專案方式使用危害國家資通安全產品者，應採取下列措施： 一、指定特定區域及特定人員使用，且不得傳播影像或聲音，供不特定人士直接收視或收聽。 二、定期確認有無其他替代方案。 三、其他經主管機關指定事項。 公務機關對於使用危害國家資通安全產品已無業務需求或有其他替代方案時，應立即銷毀或封存之。

參與本辦法審查之人員，對於因此所知悉之營業秘密或其他依法應保密之事項，應負保密義務。

本辦法施行前，公務機關業以專案方式使用危害國家資通安全產品者，於本辦法施行後，得繼續使用，並應依第七條規定辦理。

主管機關辦理本辦法之審查，發現有資通安全情資分享辦法所定資通安全情資，依該辦法之規定辦理。

本辦法自中華民國一百十四年十二月一日施行。