聯合國開發計劃署提出通用安全框架 提供完善的數位建設風險檢視

(中央社訊息服務20251226 14:45:43)在數位時代，數位公共基礎建設（Digital Public Infrastructure，以下通稱數位建設）不僅如同傳統基礎建設般推動經濟成長，更被視為提升國家競爭力的戰略支柱，各國政府已將推動數位建設視為產業發展及產業轉型的重要政策指標。

為確保各國的數位建設具備安全性與涵容性，聯合國開發計劃署（United Nations Development Programme, UNDP）於2024年9月發布了《通用數位公共基礎建設安全框架》（The Universal Digital Public Infrastructure Safeguards Framework, 下稱數位建設安全框架），以作為國際性的通用指導準則。

此框架定義數位建設為一套構成現代社會支柱的基礎數位系統，其功能在於實現個人、企業與政府之間安全且緊密的連結與互動。該框架以4大核心要素構建系統化治理架構：

•　系統化風險類型（Risks to be mitigated）：框架將風險區分為個體之安全性風險與涵容風險、以及社會之結構性脆弱風險，涵蓋3大類共13種風險。

•　協調與治理原則（Principles）：區分為「基礎性原則」與「營運層級原則」2大類，共18項原則。

•　全社會責任主體（Responsible authorities）：涵蓋「政府」、「監管者」、「資助者」、「科技供應者」與「倡議者」共5大責任主體。

•　生命週期管理（Life cycle stages）：從「構想與範疇界定」、「策略與設計」、「開發」、「部署」到「營運與維護」共5個階段。

為了引導各國更安全的建置及運作數位建設，數位建設安全框架以前述風險類型、治理原則和責任主體，搭配生命週期的時間序，協助政府、服務提供者以及其他關係人在不同階段中了解其應遵從之治理原則和應負擔的責任，該框架亦針對包含建置、規劃及運作等諸多情境提供約300條具體作法之實務建議，以作為各國完善規劃數位建設治理之參考。

資策會科技法律研究所觀察指出，當前我國政府已啟動「兆元投資國家發展方案」（114-117年），希望透過該計畫來增加公共建設的數量及規模，並且建立更多的公司協力模式。適逢全球數位經濟產業的高度競爭的此刻，數位建設作為公共建設類型之一，其規劃動能與產業需求亦將隨著國際局勢及國內政策而成長，以滿足國內社會及產業對於數位時代的整體需求。隨著各機關部門及地方政府嘗試探尋數位建設的具體可能性，我國對於數位建設的維護及管理需求勢必持續增長。但目前我國對於數位建設之風險管控並未有具體之指引，雖然部分數位設施可能依據《資通安全管理法》經指定而成為關鍵基礎設施（Critical Infrastructure，簡稱CI）後，CI提供者需向中央目的事業主管機關提出資通安全維護計畫實施情形，以符合相關之資安法遵標準，惟數位建設之風險除了資安之外，應有其他不同角度之風險需要一併被關注。

資策會科技法律研究所認為，隨著我國數位建設的數量和需求增加，以及未來社會對於數位建設的重視及仰賴，可能需要一個更適合數位建設各類型安全風險評估以及治理原則的指引準則。而數位建設安全框架中對於數位建設各類型共通性風險的標註以及治理原則的闡明，有望對於我國數位建設規劃及治理提供更多可借鏡的標準及參考依據，並協助我國數位建設在「安全」、「涵容」及「營運」等各個面向進行提升，以達成我國數位建設之政策及公共服務目的。