關於 資安設備名稱 ，我們在網路上蒐集到這些相關的討論、資訊與評價

運動手錶隨身裝置資料直通雲端　資安及法規遵循不容輕忽

穿戴科技實現智慧健身　連網隱私供應鏈皆須安全

2021-05-25陳宏志

企業或組織內部對於連網裝置有較嚴謹規範，如自攜裝置（BYOD）相關規定，一般多會注意NB或智慧型手機。然就穿戴式裝置或相關設備，有鑑於其功能及能蒐集之資訊等日新月異，企業經營者或管理者規劃蒐集資料、擴大商機之外，在內部管理亦不可不注意。

約三五好友下班後或假日去練空中瑜珈、TRX，或到健身房內使用跑步機、飛輪，這樣的場景處處可見。而運動的過程不僅搭配音樂、錄音／影或社交軟體，以及各類健康管理APP，以便隨時直播、貼文、上傳相片，更會拿起智慧型手機計算消耗之卡路里等，健身時結合穿戴式裝置或軟體，幾乎已經成為全民運動。

由於國人健康意識抬頭，運動產業之盛行也是有目共睹。以民營健身中心為例，依教育部體育署2020年的統計，2019年全臺高達620間，銷售額更已突破新臺幣100億元。當臺灣正掀起一股健身熱潮下，運動結合科技打造新型態智慧健身已成為發展趨勢，各部會也投入相關資源，如經濟部技術處與資策會成立運動科技大聯盟以服務產學研界，宣示帶動運動產業轉型發展決心。且積極健身的同時，民眾常搭配穿戴式裝置（Wearable Devices），如智慧手環或手錶，以掌握心跳、血壓等生理資訊，作為私人教練或自我鍛鍊時規劃運動處方之參考。

二類生理數據／資訊法規各自適用

然而上開情境涉及生理數據或相關資訊，且可能被設備製造商或其他服務業者所蒐集、處理或利用，有關穿戴式裝置蒐集所得資訊是否符合個人資料保護法（簡稱個資法）之敏感或特種個資，以及適用該法規範，曾引起不少爭議。為解決爭議，個資法令主管機關－國家發展委員會（簡稱國發會）於2018年11月，就「業者蒐集、處理、利用民眾自行操作器材所得之生理數據資訊，是否屬醫療或健康檢查之特種個人資料範疇」已有函釋，將這些裝置蒐集所得資訊依對象、目的等分為二大類，並說明各自適用規範。

依國發會函釋重點，若屬受醫療院所委託，為供醫師或其他醫事人員以醫學目的所為之診察治療或基於醫療行為檢查，取得民眾自行操作器材所測量之生理數據資訊，符合個資法對醫療或健康檢查個人資料（簡稱個資）之定義者，這些穿戴式裝置、設備、器材或軟體所蒐集、處理或利用之資訊，不僅符合敏感或特種個資，更應依個資法相關規定辦理，如書面同意等。

但如果不是醫療院所委託，而屬於民眾自行操作器材所蒐集之資訊，因未涉及醫事人員診察（診斷）、治療，或以醫療行為施以檢查等，並不屬於敏感或特種個資。不過由於相關資訊仍會符合個資法對個資之定義，且可能提供給業者進行蒐集、處理、利用之行為，故應依循個資法規範，如履行告知、符合法定情形並於特定目的內利用等，不可不慎。

穿戴式裝置是否符合醫療器材

除了健身器材如為醫療器材應符合法規外，民眾所使用之穿戴式裝置若屬供醫師或其他醫事人員，以醫學目的所為之診察治療或基於醫療行為檢查的用途，其所蒐集資訊除須符合個資法外，因涉及疾病診斷及治療等醫療目的，尚須依循醫療器材相關規範。因醫療器材管理法已於2020年1月公布，將於2021年5月1日施行。但在新法暫未施行前，就醫療器材之管理主要係依藥事法及醫療器材管理辦法為主。如運動時搭配之穿戴式裝置或軟體，先依醫療器材管理辦法附件一所列品項作為判斷依據，再搭配是否具診斷、治療功能或協助診斷、治療等綜合評估。

不管是穿戴式裝置內建，或自行下載之健康管理軟體，是否須納入醫療器材之管理，前提是要先符合法規定義。依衛生福利部食品藥物管理署（衛福部食藥署）於2020年12月修訂「醫用軟體分級分類參考指引」觀之，所謂醫用軟體泛指蒐集、儲存、分析、顯示、轉換人體健康狀態、生理參數、醫療相關紀錄等處理軟體。其使用場所更涵蓋醫療院所、個人居家使用或遠距醫療照顧。

爰民眾搭配健身所使用之穿戴式裝置或APP等，無論是內建或自行下載，依食藥署對外說明，倘該軟體僅為協助掌握日常生活或健康管理需求，如計算休閒或運動時之心率及血氧值，或鼓勵、監控飲食或運動之作息管理，不涉及特定疾病診斷及治療等醫療目的者，暫不涉及醫療器材之管理。反之，已列入前述法令之適用範圍（如附件所列品項），或經綜合評估屬於醫療器材之範疇，則須依循現行管理法規，包含但不限於如遵守產品開發、申請查驗登記相關規範，並清楚刊登廠商名稱、地址、品名及許可證字號等完整內容。

萬物聯（連）網、安全第一

不僅上開個資與醫療之法令遵循需求，穿戴式裝置等連網裝置之安全，也非新興議題。如自2015年起美國聯邦貿易委員會（FTC）及歐盟網路與資訊安全局（ENISA）等主管機關，已陸續提供物聯網（IoT）指引或參考資訊，並推動認／驗證。以FTC為例，像是設計此類產品時，需要考慮身分驗證、以保護產品與其他設備或服務間接觸的端點。連網後如何控管權限、利用現成的軟體工具保障安全，或在啟動產品或服務前進行安全測試，甚至預設安全選項供做出廠設定等，都是其建議廠商應注意的安全防護要項。

此外，除前述對IoT之安全考量或建議，如果企業或組織內部對於連網裝置有較嚴謹規範，如自攜裝置（BYOD）相關規定，一般多會注意NB或智慧型手機。然就穿戴式裝置或相關設備，有鑑於其功能及能蒐集之資訊等日新月異，企業經營者或管理者規劃蒐集資料、擴大商機之外，在內部管理亦不可不注意。

另因現代產業因專業分工甚細，生產、製造、銷售或後續服務可能分由不同廠商提供，或採用特定零組件再行組裝，且2019年隨著5G相關產品與服務逐漸興起，運用科技方便迅速之餘，也不能忽略對委／受託業務的監管，以減少或避免風險。這從2020年震驚全球的美國Solarwinds案件就可瞭解發展趨勢，駭客透過供應鏈內的平台，進行竊取其他成員資料之行為，更讓許多企業或組織意識到內部與委外管理一樣重要。基此，穿戴式裝置連網後，不僅在資安管理或隱私保護，確保供應鏈安全亦將是未來應持續關注之重點。

資料來源：https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/566EFC7BB1384CDB913F5B2D90FC8E0D

【下架兩處區間測速
交通領域資安疑慮仍未明】

⚠️ 公總錯將重點擺在產地，反落入「洗產地」圈套之中

區間測速疑涉及使用中國品牌產品一案，今年從一月底被踢爆至今即將滿月，於近日終於傳出，公路總局負責建置的台61線西濱快區間測速系統，在台中路段以及苗栗路段，因為廠商無法提供海關報關單證明產地非中國，確定要拆除下架。

據媒體報導，公路總局稱廠商「可能是因為年代久遠無保留」，所以沒有報關單，但此兩處區間測速系統的建置案是在108年5月招標、決標，並分別在108年12月以及109年1月啟用，至今相隔不過一年多，何來年代久遠之說？再者，嘉瑜在1月底時的發文已經強調過，區間測速系統被爆出有資安疑慮，原因就在於廠商使用的可能是「洗過產地」的中國品牌產品，公路總局的調查重點始終放在「設備產地」以及「海關報關單」，若「洗產地」一事屬實，公路總局不就落入了中國新式資安戰的圈套之中！？

⚠️ 下架路段皆採用LTS攝影機，海關報關單卻恰巧無法提出？

整起事件的核心，指向的就是和海康威視有密切合作關係的美商LTS，LTS在美國被視為是海康威視規避法令、貼牌銷售用的代工廠商，而公路總局早就知道東山科技使用的設備購自LTS，為甚麼一直迴避LTS「貼牌代工」的行為所帶來的資安疑慮，而不去做調查？以今天被宣布要拆除下架的台中路段以及苗栗路段區間測速系統為例，車輛識別以及路況偵測監控用的攝影機就都購自LTS，卻這麼恰巧無法提出海關報關單？會不會這些設備就是由海康威視生產、以LTS品牌名稱貼牌銷售，所以根本不能提出相關證明？

⚠️ 未來仍可能再出現類似案件，交通部應加強採購程序審查機制

嘉瑜先前已經呼籲過相關部門， 如今中國想方設法要侵入我國公務系統、竊取公務資料及國人個資，面對新式的資安戰手法，除了要求廠商在投標時「聲明」所採用的設備不具資安疑慮外，公部門是不是應該更主動積極地去查證設備供應鏈有無涉及中國品牌？

目前嘉瑜只看到公路總局稱會委託「第三公正單位」來驗證「區間測速系統」有無不當傳輸或零件，依舊是把這個案件當成個案在處理，但只有區間測速系統有使用到攝影機嗎？資安疑慮只會出現在區間測速系統中嗎？我國交通執法系統多如牛毛，包括雷達測速器、闖紅燈照相機、地磅系統、交控設備……等等，要一一追查過往建置的案件，是否涉及採用中國品牌設備確實難如登天，但未來新建置的交通執法系統，在招標、採購程序上勢必需要建立更嚴謹的審查機制。

🔥 區間測速建置費用落差大，計算基準為何不說清楚？

此外，嘉瑜以萬里隧道（監測距離1.11公里/建置費用230萬元）及台61線台中南下路段（監測距離8.3公里/建置費用250萬元）為例，此兩處監測距離相差達7.2公里，建置經費卻只相差20萬元，要求公路總局說明區間測速系統建置費用的計算基準，公路總局以台61線台中南下路段的後端伺服器主機及系統平台由台中市警局另案建置為由，稱該建置案費用相對節省，但依舊未說明各建置案費用的計算基準為何。

嘉瑜調閱台61線區間測速系統建置案（台中、苗栗路段一同招標）的招標文件，在標單中依舊可見後端伺服器主機及系統，若如公路總局所稱，標單中的後端伺服器主機及系統應是建置於苗栗路段？那麼為何台61線苗栗路段，無論是北上或南下的區間測速系統（監測距離分別為7公里、8公里），建置費用也都是250萬元？再者，為何台61線彰化路段（監測距離8.9公里）建置費用為449萬元？而苗栗台13甲造橋路段（監測距離2.7公里）建置費用卻為1100萬元？

早在去年五月，嘉瑜就曾在交通委員會質詢，要求交通部了解區間測速系統建置費用落差的原因，過了大半年，公路總局卻還是無法向嘉瑜清楚說明，為何各個區間測速系統建置費用落差如此之大，上述提到的這些路段有位處深山或者路線複雜、地理環境險惡，導致現場施作不易嗎？還是各建置案採用的設備有優劣等級之分，才導致監測距離與建置費用不成正比？若不是這些原因，那麼建置費用顯然大有問題！

嘉瑜除了希望交通部能盡快提出此次區間測速系統資安疑慮事件的調查報告之外，也呼籲交通部盡速研擬未來如何完善交通執法系統的招標採購程序，以防範國家在交通領域的資通安全不受侵害，並且針對區間測速系統建置費用的計算基準提出完整的書面報告，不要再以處理個案的方式來回應，否則永遠無法解決區間測速系統弊病叢生的問題！

👉🏻相關報導：
蘋果日報：https://tw.appledaily.com/life/20210224/NOS7ABQ5BZCBVEV3YC3AW3DCMU/

【 資安戰新手法? 海康威視疑「洗產地」再度入侵臺灣! 】

🔥 區間測速遭踢爆採用海康威視產品，嘉瑜要求相關單位全面徹查！
1月20日臉書粉專「Leo, that Taiwanese. 理觀點. 」發文指出，承包我國多處區間測速系統建置案的「東山科技有限公司」，所採用之主機疑似是將中國製低價品貼牌後偽裝成台灣品牌，而攝影機與補光燈則極可能是採用「海康威視」產品，若此事屬實，東山科技不僅是低價買入中國品牌產品從政府標案中牟取暴利，更進一步造成我國公務資料及國民個資，可能遭不當竊取甚至回傳中國，嚴重侵害我國國家資通安全！

由於區間測速系統與國家資通安全兩者皆是嘉瑜長期關注的議題，在得知東山科技涉及使用中國品牌產品後，嘉瑜立即行文至交通部公路總局以及內政部警政署，要求徹查轄下建置的區間測速系統，是否有涉及採用中國製設備的情事，並且要請廠商出示設備製造、進口來源地的相關證明！

🔥 一反常態迅速回覆公文，是事關緊要還是為了護航廠商？

平時嘉瑜調閱部會資料總要花上數日才會收到回覆，公路總局卻罕見地在短短一天之內回文，然而卻只提及公路總局第一區養護工程處與東山科技在萬里隧道的區間測速系統，並且出示該處所採用之攝影機與補光燈採購自台廠的證明，然而嘉瑜比對去年5月所調閱的全台各地建置之區間測速系統資料，赫然發現由公路總局負責建置的尚有：桃園市台61線47K-53K(雙向)、苗栗縣台61線122.6K-115.6K(北上)、苗栗縣台61線122.2K-130.2K(南下)以及台中市台61線148.1K-156.4K（南下）等四處，更巧合的是，這四處的區間測速系統建置廠商，全都是東山科技！

由於公路總局上週受訪時稱：「東山科技所使用的設備分別是向國內廠商以及LTS (美商)採購，並且強調是臺灣商品」，與嘉瑜收到的回文及掌握的資料有相當落差，辦公室同仁便致電公路總局再次確認，沒想到承辦人員僅答覆未於回文中提及的各建置路段，是由公路總局第二區養護工程處所發包採購，卻未能解釋這四處區間測速系統，為何會在公路總局的回文中消失？

同仁再追問公路總局受訪時曾提及LTS(美商)亦是東山科技之設備供應商，而LTS與海康威視有合作關係，區間測速系統是否可能因此使用海康威視設備？承辦人員竟稱他們招標時已要求廠商【聲明】不具資安疑慮，且東山科技確實是向台灣廠商購入設備，但該台廠據傳是向LTS購入設備後再貼牌「洗產地」一事，公路總局在招標過程中並無法查證到那麼詳細，且公路總局今日已經派員到現場確認設備上的廠商名稱均為台廠。

⚠️ LTS與海康威視密切合作，公部門應詳實查證區間測速系統設備供應鏈

行政院早在2019年4月就發布「各機關對危害國家資通安全產品限制使用原則」，要求各機關落實盤點、隔離及汰換有危害資安疑慮之產品，且不僅限於中國製產品，原因就在於中國近年來透過各種方式想滲透我國政府機關及關鍵基礎建設，廠商固然可以主張是在不知情的情況下誤用中國品牌產品，但公路總局作為政府部門，如果連廠商採購、提供的設備是否涉及拿中國產品貼牌偽裝國產品都無法詳實查證，那作為八大關鍵基礎設施之一的交通領域，在資安聯防這塊難道是準備要全面棄守嗎？

而為甚麼東山科技在區間測速系統可能使用LTS生產的設備會引起軒然大波？因為LTS原先就是海康威視在美國的主要代工廠商！到了2017年更是搖身一變成為海康威視在美國的代理商，除了LTS官網上( http://www.ltsecurityinc.com/hikspecial )大辣辣列出海康威視產品外，美國監視器論壇IPVM也有網友爆料近9成的LTS產品都是海康威視製造，並藉由貼牌來規避美國政府將海康威視列入經濟黑名單的禁令，從上述訊息可看出LTS與海康威視有密切合作關係！縱使東山科技採購的並非海康威視產品，只要東山科技所採購的產品來自LTS，就無法排除其對我國所帶來的資安疑慮！

⚠️ 東山科技承包全台近三成交通執法系統標案，相關單位應盡快做出調查報告！

此外，東山科技在人力網站的自介中自稱以取得政府標案工程為導向，並在我國各縣市警察局及政府機關中有3成市占率，服務項目除了區間測速系統外，在雷達測速器、闖紅燈照相機、地磅系統、交控設備等均有涉略，承包了我國政府大量交通執法系統建置案，歷年得標金額均高達數千萬元甚至上億元！

東山科技自述產品原件大多由國外進口，而交通執法系統大量使用攝影機，若區間測速系統使用海康威視產品情事屬實，那麼就是交通部及各縣市警察局失職，在歷年審視投標廠商資格與設備來源地時都沒有善盡調查責任，才會讓中國品牌產品得以伺機進入我國公務機關！進一步考慮到東山科技承包我國交通執法系統建置案件之多，對於我國公務、機敏資料與國人個資影響範圍之廣恐怕無法估計，請公路總局和各縣市警察局不要再推諉塞責，盡快做出調查報告，給予國人一個清楚的說明！嘉瑜後續會繼續跟進此案，若發現有涉及瀆職或官商利益輸送的情事，絕對不會縱放相關人員逍遙法外！