台灣資安產業發展，應從需求面CIA走向供給面TPP

近日不論是新政府團隊的通訊群組建置，還是資安中心設置存廢爭議，以及搭載中國北斗衛星定位系統的智慧型手機引發的疑慮，都是圍繞著資通安全與資安產業發展議題。新政府將資安產業的發展，置於五大創新產業裡的國防產業創新研發計畫底下，希望憑藉在地資通訊產業能量優勢，進一步依託國軍第四軍種的建立，衝高資安軟硬結合服務需求，帶動資安產業未來的發展。不過，截至目前為止的諸多討論，似乎仍把資安中心改制與國防資安產業發展視為兩個獨立的需求議題，尚未將資安產業的整體發展，置於資安治理的供給面脈絡裡進行政策探討。

現狀：以CIA心態看資安需求

單從需求面來看，台灣面臨來自對岸的網軍侵擾，承受的資安風險居全球之首，資通安全確實存在內部市場需求。目前的行動方案包括：國安局充實中的網安處彙整分析暨即時分享情治體系蒐集網路軍事威脅情報，國防部預計三年後成軍的資通電軍種遂行網路軍事防禦／進攻，以及行政院資安會報轄下資安中心（目前尚屬科技部所轄）未來朝向統理督導網路威脅情報平台，以達到情報分享、預警通報、事件反應與修復，以這三個主要機構暨其推動的相關資訊基礎設施安全保障措施，所能帶動的政府與民間各機關採購需求，的確是相當可觀，對於扶持本土資安產業新創公司，預料應有相當的助益。

然而，新政府希望創新產業要達成的，不僅止於連結在地與連結未來，還要能夠連結國際，方能促進產業的持續發展。然而，資安著重在保密、完整、可用（confidentiality, integrity, availability, CIA），許多政府與企業的政策態度上，對資安服務也存有CIA中情局式的監控與反滲透思維，即使簽訂了自由貿易協定，往往設立諸如投資限制、專利審查、產業標準、加密限制、隱私保護、資料流通與在地保存等重重技術或非貿易性障礙。

即使是號稱最高標準的跨太平洋夥伴協定（TPP），旗下各會員國在輸入或採購資安軟硬體時，仍可引用國家安全條款，既能排除外國競爭，扶持本國資安產業，又能兼顧安全考量，阻絕惡意滲透。因此，資安產業連結國際面臨的挑戰，在於輸出資安服務時，要如何成功克服當地國技術障礙，輸入資安服務時，能兼顧安全需求與健全國內產業生態。

資安人力的瓶頸：師法以色列的解決方案

只是，目前國人對於資安產業發展的討論，多仍集中因應威脅創造需求，例如：建立網安處及第四軍種對抗中國網軍、捨外商Line改用本土揪科。新政府將資安產業置於國防產業計畫，是希望以國防資安需求，培植科技人才，將來發揮外溢效果，人才與技術都可轉移至民間業界。易言之，是以需求滋養並健全供給面，奠定未來持續發展的雄厚根基。

但成立資通電軍種與國安局網安處，都立即面臨資安人力短缺的結構性障礙。癥結在於，台灣資通訊產業民間部門蓬勃發展，競相吸引各大專院校資通畢業生，連工研院與資策會多年來都面臨資通人才不足的挑戰，願意考公職的資通人更加稀少，遑論要他們投身進入限制重重的軍情部門。

在人力供給方面，已有多篇報導指出，或可效法以色列與美國的國防部，成立高級科技學院，自行訓練網軍。但如果連美軍都要花七年（2009～2016年）光景，才將網路司令部網路部隊人數逐步擴增至6000人，對於八年後（2024年）就要有6000員額形成戰力的國軍第四軍種而言，勢必要趕快推出誘人的行動計劃。

以色列將資安人才訓用與鼓勵新創做無縫連結的經驗，就十分值得參考。在國際資安產業富有盛名的以色列，許多資安公司創辦人，就曾在服役時受過完整的資通安全訓練，並擁有網路實戰經驗。由於資安防禦的侵入測試與監控，技術與手法均與駭客攻擊相當，加上以色列大力扶持新創育成，讓退伍網軍紛紛投入資安產業，根據以色列官方資料，目前以色列有超過250家資安公司，多為新創企業，每年出口總值超過25億美金，全球資安市佔率更高達10%。

供給面建立資安TPP，連結國際

要厚植資安產業的供給面，並不僅止於人力資源，諸如政府採購、測試認證、加密規範、產業標準等相關政策配套，均須與國際接軌，這裡頭有許多議題都還在討論成形中，諸如台灣、愛沙尼亞、芬蘭、以色列等小國，也有相當機會參與、甚至領頭形成全球產業標準。

以規範資安服務出口管制的瓦聖納安排（Wassenaar Arrangement）為例 ，相對於資安產業第一把手的美國，要求將侵入性軟體與網路監控系統，自限制表單中排除，以色列雖未加入該安排協議，對資安服務出口，卻採取比該協議更嚴格、更大範圍的審查管制，以避免資安服務輸出淪為極權政府迫害人權的幫兇。

台灣扶植資安產業，應效法以色列資安新創公司積極連結國際，在產業與政府心態上，必須超越CIA式的技術性與威脅性思維，並改從供給面大力加碼。新政府團隊執政後對於資安中心的改制，應超越外包政府資安監控中心（SOC）層次，改變從上而下（Top-Down）的管制心態，積極穩妥地建立一套涵蓋人力訓用、創投研發資金、技術/服務實驗場域的技術、程序與政策（technique, process, policy, TPP），在不過度介入主導的低度管制下，讓民間業者可持續投入完善這套TPP，從而落實政府-民間協作式（PPP）的資安治理，如此方能建構出符合、甚至引領全球規範的資安治理模式。

資安TPP，帶台灣走向TPP

環顧全球，目前連身為資安產業最大國的美國，從白宮、商務部到國土安全部，也都還在摸索統籌資安治理的TPP，去年二月甫在白宮建立的網安情報整合中心，還僅是從各相關資安機關派人進駐的60員小規模編組，希望藉此加強情資分享與協調整合。此外，對於瓦聖納安排的資安軟體審查新制，商務部足足公告了近一年才提出回覆。在此同時，歐盟雖與美國達成取代安全港的隱私盾協議，但美國國土安全部及其他情治單位屢屢要求業者配合解密與置入後門遂行監控，讓歐盟對於美國個資保護的承諾十分不安，只要一有狀況，歐美間資料傳輸將生波瀾，美商發展大數據商業情報的前景，因而埋下陰影。

其實，台灣在個資保護領域，已經領先全球，發展出在大數據分析下，足以確保個資去識別化的驗證標準，提供產業界未來發展資料經濟產業的資安治理後盾。可見，台灣只要肯在這一塊領域，從供給面下扎實功夫，未來在國際連結上，對台灣日後加入類似跨太平洋夥伴協定（TPP）的區域數位經濟連結或國際網路治理組織，將添增許多有利的談判籌碼。