圖:全球範圍內針對關鍵基礎設施的網絡攻擊日益頻繁,影響越來越嚴重,香港推動網絡安全生態圈及產業發展確有迫切性。
為保障維持社會正常運作,加強關鍵基礎設施的電腦系統安全,減低必要服務因網絡攻擊被擾亂或破壞的可能,提升香港整體的電腦系統安全,保安局早前提議訂立一條全新的法例,並成立一個新的專責辦公室負責執行該條例。
就擬議條例《保障關鍵基礎設施(電腦系統)條例草案》,保安局發言人昨日強調,擬議條例只規管機構,不影響一般市民,不規管內容,亦不涉及人權、私隱等問題。諮詢期間,建議立法框架獲得業界和公眾的普遍支持,保安局亦會就收到的主要意見積極考慮修訂和優化草案。\大公報記者 黃釔淼
7月,保安局就「加強保護關鍵基礎設施電腦系統安全──建議立法框架」展開為期一個月的諮詢。諮詢期內,共收到53份意見書,其中52份支持立法並提出正面建議,包括來自亞洲互聯網聯盟、香港美國商會及香港總商會的意見書。唯一反對意見來自一個英國註冊的人權組織,以保障言論自由為名提出反對,政府隨即作出反駁。保安局發言人強調,擬議條例並不涉及人權、私隱,亦不對內容作規管。
就一些意見被個別媒體斷章取義、企圖抹黑,保安局發言人澄清,擬議條例不具域外效力,不針對系統內的個人資料和商業機密,把「資訊科技」列為關鍵設施界別之一與其他司法管轄區的做法一致,以及賦權在調查事故時可在關鍵電腦系統連接設備或安裝程式只會在營運者不願意或未能自行應對時,才會考慮向裁判官申請手令。
擬議條例下的關鍵基礎設施涵蓋在香港提供必要服務的基礎設施,和其他維持重要的社會和經濟活動的基礎設施。只有被明確指明的「關鍵基礎設施營運者」方需要履行法定責任。政府將不會公開被指明為關鍵基礎設施營運者的名單。
懲罰機構 不涉主管或員工
保安局發言人強調,擬議條例下的罪行及罰則只會針對機構,並不會在個人層面懲罰機構的主管或員工,所訂罪行也只會以罰款處理。除非若相關的違規行為涉及觸犯現有的刑事法例,如虛假陳述、行使虛假文書或其他詐騙相關罪行等,涉事人員才有機會要負上個人刑事責任。
擬議條例下,若關鍵基礎設施營運者未有作出「盡責查證」或「合理努力」下,不履行法定責任,不遵從專責辦公室發出的書面指示,不遵從專責辦公室按法定調查權力提出的要求,不遵從專責辦公室就提供與關鍵基礎設施有關的資料的要求,或外判第三方服務提供者而沒有確報其完善履行合約或責任,即屬違法。違者最高罰款港幣50萬元至500萬元。
保安局發言人表示,注意到部分司法管轄區的罰款很重,但是次立法的初心並不是懲罰營運者,而是幫助營運者合規,因此罰款額度不高,與澳門特區類似立法的罰款金額相若。政府屆時也會編寫非強制性的《實務守則》,列出各項法定責任的建議標準及涵蓋範圍,供關鍵基礎設施營運者參考。
發言人又說,因應諮詢期間的主要意見,保安局會積極考慮將通報嚴重事故的時限由得悉事故後2小時內放寬至12小時內。發言人以早前美國網絡安全公司更新軟件導致微軟系統故障,影響本港機場和航空公司為例,認為同類情況若不屬網絡攻擊,而屬技術問題,則不受條例規管,但當局可就技術層面提供協助。
立法會保安事務委員會本月8日將討論有關諮詢報告。就立法進展,保安局發言人表示,預計今年年底可將條例草案交立法會審議。若立法會2025年上半年通過條例,政府可隨即成立預備辦公室及專責辦公室,希望條例2026年初生效。