https://sites.google.com/a/hsnet.ee.ncku.edu.tw/noopenict/ 這是今天新聞電機教授的聯署書裡的Q&A 因為可能很少人會去找來點進去我就貼到PTT上來了 對資通訊產業部分有興趣的版友看看吧 -- Q1：何謂第一類電信？ A：第一類電信事業是指業者親自設置電信的基礎設備，包含發信端及授信端及 其連接的網路傳輸設備，例如建置實體基地台、實體線路固網等網路基礎建設， 以提供民眾電信服務。依《電信法》規定，第一類電信事業採特許制，此類電信 業者須經由主管機關特許，並發給特許執照。包括擁有固網的中華電信、台灣固 網、亞太電信等，行動電信業者的中華電信、台灣大哥大、遠傳、亞太、威寶等。 Q2：何謂第二類電信？ A：業者本身沒有架設實體線路固網或實體無線基地台，直接向第一類電信業者 承租固網或無線基地台一定數量的門號或頻寬，以經營第二類業者自身的電話或 網際網路業務。依《電信法》規定，第二類電信事業採登記許可制。如統一企業 沒有架設自己的固網，而是向遠傳電信承租固網頻寬來經營自己的網際網路業務 即屬於此類業者。包括統一超商電信服務、全虹通信、震旦通信、家樂福電信等。 Q3：此次服貿開放的第二類電信特殊業務為何？ A：第一項「存轉網路服務」係利用第二類電信業者之伺服系統，供用戶將資料 或資訊送達系統，再由第二類電信業者將資料或資訊轉換並送至目的地。第2項 「存取網路服務」係利用第二類電信業者之伺服系統，讓用戶將資料或資訊送至 系統，由第二類電信事業將資料或資訊轉換後，供用戶取用；第3項「數據交換 通信服務」則是第二類電信業者設置網路設備(如X.25、Frame Relay、ATM或 Ethernet Switch)，提供用戶數據資料交換之通訊服務。此三項原為第二類電信之 一般業務，但經由第二類電信事業管理規則第二條第四款中之經主管機關公告而 成為特殊業務而開放。 第二類電信服務在許多歐美先進國家中被納為關鍵基礎建設的高度資安防護範 圍，可算是極其關鍵的設施，若開放，除用戶資料的安全與隱私權之資安疑慮外， 甚者危及社會與國家安全。 Q4：此次服貿開放的第二類電信特殊業務法源為何？ A：根據《第二類電信事業管理規則第二條第四款》，第二類電信事業特殊業務： 指經營語音單純轉售服務、E.164 用戶號碼網路電話服務、非 E.164 用戶號碼 網路電話服務、租用國際電路提供不特定用戶國際間之通信服務或其他經主管機 關公告之營業項目者。 服貿中所提到的第二類電信事業特殊業務 《二、通訊服務業 C.電信服務業 第二類電信事業特殊業務》 (1) 存轉網路服務 (Store & Forward Network) 如傳真存轉、交易服務、數據網路服務 (2) 存取網路服務 (Store and Retrieve Network) 如電話秘書、線上資訊接取、電子佈告欄(BBS)、電子資料交換、統合訊息服 務(Unified Message Service)、電子文件服務、語音訊息、語音信箱服務 (3) 數據交換通信服務 如 X.25 分封交換、數據通信(Frame Relay)、寬頻數據交換通信(ATM)、乙太網 路交換(Ethernet Switching) 此次開放的三項業務原屬於第二類電信的一般營業項目，並非屬於《第二類電信 事業管理規則第二條第四款》中載明的特殊業務。 NCC 乃是根據《第二類電信 事業管理規則第二條第四款》中的” 其他經主管機關公告之營業項目者 “ 公告 開放此三項原本是一般營業項目的業務開放。 Q5：何謂特定用戶？ A：特定用戶(電信業中的企業客戶)，在電信產業用語中意指任何非個人之機構 與單位，也可以包括基礎建設中之物流、金流業者、資訊網路業者(ISP)甚至醫療 體系。此企業網路可能承載國內用戶或使用者的重要資訊，且未必能有效提供資 料安全與隱私權保護之必要防護措施（例如認證、加密）。維運全國民眾戶政系 統的廠商、代收國道電子收費的廠商、社區住戶等一般民眾，皆屬特定用戶。 Q6：此次開放的三項電信服務是否屬於封閉型網路？ A：基本上, 第二類電信絕對不可能是封閉型網路, 因為沒有自己建置的實體網路 (Physical Network), 即使是使用加密技術建置的虛擬私人網路(VPN), 因為傳送和 轉發路由都一定和其他的網路流量混合在一起, 如果在特定時刻發動洪水攻擊 (flooding attack), 大量的流量可以癱瘓整個基礎網路建設, 理論上封閉型網路的 觀念是要保護自己, 如果他有可能去攻擊別人, 此次開放的三項電信服務向第一 類申請線路時, 第一類電信應該不能提供這個服務, 因為它有可能會去攻擊別人, 造成資安事件。 Q7：第一類電信業者營運項目並無開放，是否民眾隱私個資安全無 虞？ A：雖然第一類電信業務並無開放，但是服貿開放的項目包含第一類電信的網路 建設(開放於營造及相關工程服務業)，及電腦及相關服務業。所開放的範圍包括 (a)電腦硬體(b)軟體執行(c)資料處理(d)資料庫服務(e)其他。第一類電信的客戶資 料例如客戶之電話通聯記錄，網路流量之數據通信紀錄等可能涉及用戶個人資料、 隱私之資料皆儲存於資料庫或是儲存設備裡例如於網路交換器或是路由設備所 收集之資料可資進行對特定對象的網路通訊活動之監控與分析。民眾儲存於資料 庫或是檔案儲存系統的資料皆需資料處理。現代電信業務日益複雜，皆藉助大量 資訊設備及軟體來施行網路流量監控、壅塞管理、資安監測與防禦管理等維運網 路正常運行之業務。處理這些資訊/資料的電腦軟硬體皆在開放的項目中。且與 民眾隱私及個資相關的資訊/資料並不只存於電信業者處，此外如民眾報稅資料 儲存於國稅局的資料庫、民眾就醫資料儲存於健保局的資料庫，高速公路的通行 明細儲存於電子通行收費服務業者的資料庫，銀行的往來資料儲存於銀行的資料 庫，學生選課資料及修課成績儲存於學校的資料庫。這些皆在此次開放範圍中。 Q8：這三項業務是否如「是 20 幾年前的技術」？ A：NCC 開放的是「存轉網路服務」、「存取網路服務」及「數據交換通信服務」 三項第二類電信特殊業務。並無就達成這三項業務的「技術」做任何限制。 這三項基本上是數據通信(Data Communication)的三個服務的基本運作概念模式。 「存轉網路服務」概念上指的是網路裡的交換機、路由器會將網路封包一站一站 地往目的地傳送，今日的網際網路肇始於 1970 年代就是根基於此概念模式所建 立的，二十世紀的網際網路之規模及其與對人類生活、社會的影響已非當日可比 擬，但也仍然是基於此「存轉網路服務」的概念模式，尤其是在網路傳輸、控制、 管理以及資料處理的技術」。就如同電腦提供的上網功能而言，20 幾年前是透過 10Mbps 的乙太網路，再來使用 100Mbps 的乙太網路，目前則都配備 1Gbps 乙太 網路。不管是使用何者技術，皆能提供數據通信服務，另外，如屬於以 Ethernet Switch技術為各企業或ISP提供全國性1Gbps-10 Gbps等級之數據交換通信服務， 則為近年來才有的最新技術，明顯絕非數十年前的技術。 Q9：電信業者皆積極建立資安管理機制努力取得 ISO/IEC 27001 及 27011 驗證，是否能確保民眾個資隱私？ A：資安管理機制例如 ISO/IEC 27001 及 27011 驗證主要是要業者擬定合理可行之 資訊安全政策, 進行風險評估和審查, 制定資訊處理流程之文件、員工教育訓練 以及 驗證事件處理機制, 利用重複這些流程, 不斷改進執行資訊安全的風險威 脅, 最後再加以稽核驗證, 所訂定的資訊安全政策是否合理。但是以上所有的項 目之執行都涉及人的介入，任何制度的擬定，都存在執行面可能的弱點與安全威 脅， 27001 只是政策、與一堆對人的文件規範，但是在實際的實行面，都是人 在做，即便有制度仍然有相當大的漏洞與威脅，就像是我國有制訂各種法律，還 不是有不肖警察、公務員等知法犯法，整個體制仍是漏洞相當多。 NCC 認為陸 資不能進入電信機房, 陸資是敵人不能讓陸資經營這些服務, 排除陸資服務的流 量, NCC 如何請業者積極建立資訊安全管理機制, 資訊安全政策中的陸資威脅, 要不要排除? 如果威脅(threat) 是下大雨淹水, 反制手段 (countermeasure), 機 房就不能設在一樓或地下室, NCC 要先說明陸資人員是不是威脅, 陸資服務所產 生的流量是不是威脅, 這樣才能夠有建立合理的資訊安全政策, NCC 或行政院應 該發表國家的資訊安全政策, 所有陸資人員和陸資服務, 是不是資訊安全具體威 脅? 如果是, 就不能開放這些服務, 如果不是, 就不能限制陸資人員進入電信機 房。 Q10：企業及民眾對這三項服務的需求是否「大幅萎縮」？ A：二類電信所開放的服務項目也就是大家每日上網所需的數據通信(data communication)。這個問題的答案非常清楚，大家只要比較個人與工作上每日上 網活動與三年前相比，是否「大幅萎縮」？相反地，世界各國對於頻寬的需求都 是呈現「爆炸性的成長」，隨著全球每一社會、政治產業與經濟活動日益依賴資 訊系統及數位匯流技術的進步，民眾對此需求是「大幅成長」。 Q11：若第二類電信被低價搶標將會給國內帶來什麼影響？ A：若中資投資二類電信特殊事業後低價競爭，可能會吸引小的企業網路、社群 網站或其他規模較小的資訊網路業者(ISP)向其靠攏，成為特定用戶間的交換網路 中心，當規模擴大，即使此類企業沒有第一類電信或第二類電信執照，仍能完全 監控、收集、掌握網路中的傳輸的資料或取得使用者的網路行為及資訊，對民眾 隱私、企業資安與國家安全都可能會帶來極大的隱憂與傷害。 Q12：我國的電信機房，大陸人士可以進入嗎? A：NCC 於 26 日宣稱「我國早已禁止大陸人士進入電信機房」。事實如此嗎?根據 NCC「通傳企字第 09740009170 號」函給各家電信業者的文件，此文件主要是針 對邀請「大陸人士進入機房之處理原則」，也就是說，根據 NCC 內部管理規則來 說，是可以進入電信機房。 Q13：禁止陸資投資的電腦維修事業提供我方電信業者電腦維修服務， 民眾個資隱私與國家安全是否無虞？ A：NCC 所禁止的乃是電腦維修，但是這一次開放的電腦服務有(a)電腦硬體(b)軟 體(c)資料處理(d)資料庫(e)其他。且換另一個角度來看，如果政府認為此次服貿 協議資通訊產業的開放對於國家安全是無損的，NCC 何必另行規定「大陸人士禁 止進入電信機房」、「禁止提供電信業者電腦維修服務」？況且民眾的個資隱私也 儲存於戶政系統的資料庫、銀行業者的資料庫、高速公路電子收費的資料庫、國 稅局的資料庫中，這已經是屬於所開放的軟體、資料處理與資料庫的服務項目範 疇，熟悉資安運作的人士都知道這幾項服務的可能資安漏洞與埋藏後門程式是輕 而易舉的，而國人的資料安全與隱私及個資乃至於國家安全都可能暴露在這樣的 風險與威脅下，豈能不審慎。 Q14：國內電信業者不得把機房外包給陸資經營民眾個資隱私與國家 安全是否無虞？ A：雖然國家通訊傳播委員會已發函至國內電信業者不得把機房外包給陸資經營， 且適用於封閉型網路，但因為服貿在《電腦及其相關服務業》中開放軟體及電腦 設備的維護，其中設備的維護便已提供一個資安的破綻給中資的電腦維護業者， 使其能夠對於國內使用者之個人資料、企業、甚至是國家單位的資訊進行監聽與 收集，帶來相當大的威脅。 Q15：我國針對陸資與接受投資得我方企業限制，是否能確保民眾個 資隱私、資訊安全與國家安全無虞？ A：NCC 針對陸資投資我方企業的限制，無法達成上述保證。舉例而言，NCC 所 做的相關限制中有一項為「陸資總持股比例不得超過 50%」。舉國內例子來說， 中華電信原為交通部 100%持股之國營企業，後轉型民營化，如今交通部對於中 華電信持股約 35.29%(2014.3.27)，但卻仍能充分主導中華電信之董事會，中華電 信目前置董事 7 至 15 席，董事選舉方式採候選人提名制度，但需持有 1%股份以 上之股東才有提出候選人名單之資格。且持股比例接近 50%已屬相當大之持股股 份，對於公司的影響力非常巨大。NCC 所做的相關限制是具有「吹哨壯膽」的效 果，但是這一次資通訊產業開放項目牽涉的主管機關有經濟部，NCC 及內政部。 開放的項目既廣又深，對於民眾個資、隱私及我國社會、經濟關鍵之資通訊網路 的資訊安全及網路安全的衝擊與影響非常巨大。對於「土木工程的一般建築工作」， 內容涵蓋鐵公路、機場跑道、海港水壩、電纜線路、基地台等牽涉到國家關鍵基 礎建設，掌握我國命脈，監控網路。21 世紀乃是資訊科技的時代，網路系統如 同人的神經系統，網路安全即是國家安全，對於我國國安帶來的衝擊是「立即而 明顯」。 Q16：美國、印度、日本與歐盟是否有開放中資投資電信服務業？ A：NCC 指稱中資有進入各國投資電信事業，但所舉案例均只限連回中國的國際 電信業務，而不包含國內電信業務之經營。事實上連回中國的國際電信業務之開 放與否並不改變對資安之影響，因為即使不開放，中方仍可在於中國落地的國際 連線上監聽，因此開放中資投資連回中國之國際電信業務並沒有加深資安問題， 所以各國才會開放，但各國並未像台灣的服貿協議一樣開放經營國內電信業務， 此舉將嚴重影響台灣的資安甚至國安。美國連採用華為等中國電信設備業者之交 換器設備均透過國安審查機制限制，甚至阻止韓國等盟邦採用中國業者之設備， 斷不可能讓中資電信服務商經營其本國電信業務，也就是連電信貨物貿易都限制 了更不可能開放電信服務貿易。 Q17. 目前開放的三項特殊業務項目是否與 Internet 無關? A: 目前民眾上網都須透過 ISP 來提供上網服務。提供上網服務的業者可以是第一 類電信業者(如中華電信、遠傳等)或第二類電信業者 (如統一超商電信)。這一次 開放可以提供特定用戶的三項特殊業務項目可以成為提供 ISP 業者的數據交換 服務，成為 ISP 的 ISP (也就是 ISP 業者的頻寬批發商) 。並進一步成為台灣 ISP 或金流、物流體系、甚至數位內容體系的交換網路中心之一。截取網路中傳遞的 資訊、或分析使用者行為將十分容易 對我國的國家安全、企業資安與民眾個人 隱私，則都是全新的重大威脅。 ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 編輯: TheJustice (140.112.25.105), 04/08/2014 20:00:09 ※ 編輯: TheJustice (140.112.25.105), 04/08/2014 20:01:07