海納百川》Google撤銷中華電信憑證的制度盲區（陳擷安）

Google宣佈自7月31日起，Chrome瀏覽器將撤銷對中華電信憑證信任。（圖／本報資料照片）

在數位治理日益複雜的今日，信任機制的穩定性不僅關係企業聲譽，更直接牽動政府數位服務的安全與可靠度。Google宣佈自2025年8月1日起，將停止信任中華電信與NetLock簽發的TLS憑證，引發一波關注。然而，數發部長黃彥男卻以冷靜專業的語氣指出，這次事件並非牽涉資安技術或標準本身的缺陷，而是中華電信在管理與作業面的復原機制未臻完善，才導致Google決定撤除信任。此番說法既表達政府對技術標準仍具信心，也點出我國在數位基礎設施維運體系上，仍有制度層面的漏洞值得深思。

更值得注意的是，數位發展部並非臨渴掘井。在年初即已得知相關訊息的前提下，早在3月便推動「雙憑證備援機制」，改採其他臺灣本土憑證機構發出的憑證，以確保政府各大網站在主流瀏覽器中維持連線安全與正常運作。這不僅展現出危機管理的前瞻視野，也是一種體制內穩健應變的示範。

而依數發部說法，目前原由政府TLS憑證中心（GTLSCA）簽發、仍在一年效期內的憑證依然有效，民衆透過Chrome存取政府網站仍不會遇到連線警示問題。這種在民衆無感的情況下，完成關鍵轉換的能力，正是數位政府信賴的基礎。

然而，這起事件的背後，反映的卻不只是技術或應變能力的問題，而是「制度責任歸屬」的模糊地帶。根據數發部說明，中華電信與政府之間僅屬於「委外契約」關係，而非指導與監督的從屬架構。這也意味着，一旦出現如Google此次情形的決策時，政府能做的反應其實相當有限，需仰賴中華電信自行修復與Google之間的信任關係。這樣的委外製度設計，在外界看來，恐怕難以滿足當前社會對政府數位治理的高度期待。

畢竟，當民衆在使用政府網站時遇到安全警示，第一時間質疑的往往是政府，而非幕後的憑證簽發商。這正顯示，數位信任的風險管理，早已不再僅是技術議題，而是公共治理責任的延伸。

從公共治理的觀點來看，此事件也提供一個明確的提醒：在數位時代，政府與民間業者之間的角色界線已不再絕對。當公共服務委託外部單位執行時，政府的責任不應僅止於簽訂契約，更應包含對服務品質、風險控管與資安制度的持續監督。這不只是技術治理的問題，更是整體治理結構的重新設計。有效的公共治理必須迴應現代社會對「透明」、「問責」與「韌性」的期待，而非僅以行政契約爲盾。否則，面對全球平臺企業如Google一旦做出決策，政府若無制度性監管與調適機制，只能被動因應，終究無法主動維護公衆信任。

此外，此事件也凸顯政府在數位治理上的多重角色矛盾：一方面是數位轉型的推動者，另一方面卻在治理細節中仰賴既有電信巨擘提供服務。中華電信既是國營出身，又身處市場競爭，政府與其關係介於合作與監督之間，容易造成責任不清的灰色地帶。在真正實現數位主權與資安韌性的路上，政府不能只是政策設計者，更應扮演制度把關者，確保所有牽涉公衆利益的數位基礎設施皆在其治理視野與責任範疇之內。

總而言之，Google不再信任中華電信憑證一事，雖然在技術面上已有因應措施，但從治理面來看，這是一場值得警醒的信任危機。它提醒我們，在數位時代，信任不僅是一道加密協定，更是一項制度設計的挑戰。唯有從公共治理出發，建構出一套清晰透明的責任體系、風險監控機制與持續改進架構，政府才能真正穩固數位服務的可信度與永續性，也才能在面對下一次挑戰時，早已具備完善制度因應。

（作者爲科技集團法務）

※以上言論不代表旺中媒體集團立場※