(香港文匯報 記者 黃子龍)旨在全面提升和加強香港整體電腦系統安全的《保護關鍵基礎設施(電腦系統)條例草案》昨日獲立法會三讀通過。條例旨在保障香港關鍵基礎設施的電腦系統的保安能力,減低必要服務因網絡攻擊被擾亂或破壞的可能,提升香港整體的電腦系統安全;規管該等基礎設施的營運者;就調查和應對該等電腦系統的電腦系統安全威脅及事故訂定條文。香港特區政府保安局局長鄧炳強表示,目標是該條例於2026年1月1日正式生效,特區政府同時成立專責辦公室,繼續同持份者保持聯繫。他期望在條例生效後半年內,即2026年中開始逐步分階段指定關鍵基礎設施營運者以及他們的關鍵電腦系統。
根據條例,「關鍵基礎設施」的定義包括兩類,第一類是能源、交通、資訊科技、醫療、銀行等提供必要服務;第二類則是維持香港關鍵社會和經濟活動的基礎設施,例如主要體育場地、表演場地、科技園區等。這些機構的關鍵基礎設施營運者要遵守三大類法定責任,包括設立電腦系統安全部門、報告關鍵電腦系統的重大變化,制定保安管理計劃、至少每兩年參與一次保安演習,並需制定應急計劃。
須設部通報變化 制定計劃參演習等
鄧炳強昨日在立法會動議《保護關鍵基礎設施(電腦系統)條例草案》二讀時表示,條例草案目的是向被指定為關鍵基礎設施營運者的機構,訂立法定的要求,確保他們採取適當措施保護自己的電腦系統,減低網絡攻擊導致必要服務受影響或破壞的機會,從而維持香港社會正常運作和市民正常生活,他樂見持份者和社會對立法建議反應正面。
「保障關鍵基礎設施及核心功能至關重要,條例絕非針對個人資料或商業秘密。」鄧炳強表示,大部分中小型企業和一般市民都不會受到條例影響,也沒有域外效力,政府不可在香港境外執行相關條文,但對本港關鍵基礎設施營運者作出規管和施加責任,完全符合屬地原則。
規管所有經港境內接達情況
「現今科技無國界,不少位處香港的機構經常使用位於香港以外的伺服器來儲存資料或支援核心功能,即處於海外的系統,若營運者能夠由香港境內接達,則可受條例規管。」
《保護關鍵基礎設施(電腦系統)條例草案》委員會主席簡慧敏在匯報委員會的商議工作時表示,法案委員會與政府舉行了4次會議,共進行了接近17小時的討論,並收到18份各界就《條例草案》提交意見書。
法案委員會委員支持《條例草案》以機構為本的方式,向根據《條例草案》被指定的關鍵基礎設施營運者,施加關於架構、預防威脅及事故,以及事故通報及應對的責任,以保障對關鍵基礎設施核心功能至關重要的電腦系統安全,減低該等電腦系統因網絡攻擊導致必要服務被干擾或破壞的可能性,從而維持香港社會的正常運作和市民的正常生活。
條例釋疑概要
○疑慮 ●釋除
○是否參考了其他司法管轄區相關條例?
●條例參考了包括中國內地、澳門特別行政區、澳洲、歐盟、新加坡、英國和美國的立法方向去制定一套適合香港的監管模式。
○立法是否對個人資料或商業秘密造成影響?
●施加法定責任的目的,是保障對關鍵基礎設施核心功能至關重要的電腦系統安全,絕非針對個人資料或商業秘密。規管當局在執行條例時,若要向營運者及相關機構索取資料,必須合理行使《條例草案》中索取資料的權力,同時符合相關條文所訂明的條件及程序,並且只可以索取符合相關條文目的資料。另外,《條例草案》下有條文嚴格規管所有在條例下有職能的人,在執行條例過程中所得悉的事宜必須保密。
○立法後影響範圍是否很大?
●受規管的「關鍵基礎設施營運者」都是對香港持續提供必要服務,或維持關鍵的社會和經濟活動屬必要的,大部分是大型機構,中小型企業和一般市民不受規管及不受影響。
○營運者是否容易違法?
●立法的原意並非懲罰「關鍵基礎設施營運者」,訂立罪行和罰則旨在確保條例能有效實施及執行。政府與營運者是夥伴關係,共同維持電腦系統安全。
○條例不具域外效力,是否可能出現漏洞?
●在現今科技下,網絡資訊無國界,事實上不少位處香港的機構亦經常使用位於香港以外的伺服器儲存資料或支援「關鍵基礎設施」的核心功能。換言之,一個處於海外的系統,如果營運者能夠由香港境內接達、而又對它的核心功能有必要的,可以受《條例草案》規管。對位處香港的關鍵基礎設施營運者作出規管和施加責任,完全符合「屬地原則」。
○若「關鍵基礎設施」遭受攻擊,是否可賦權政府接管「關鍵基礎設施」的營運?
●發生事故時,專員會要求營運者作出適當應對事故的措施,有需要時更可以介入協助復原。但是,《條例草案》並不涵蓋任何在發生事故時接管整個「關鍵基礎設施」營運的權力。
整理:香港文匯報記者 黃子龍
資料來源:立法會相關文件、立法會大會
議員:電腦系統更安全 冀研更全面保障
(記者 黃子龍)在昨日的立法會大會上,28位發言的議員均表示支持《保護關鍵基礎設施(電腦系統)條例草案》,認同條例可以保障關鍵基礎設施的電腦系統安全,可以增強香港的安全性和韌性,更有助提升香港的國際形象,建設成為國際創科中心。他們同時指出,科技發展一日千里,因此就算《條例草案》獲通過,未來還會有安全漏洞,希望特區政府加強研究和諮詢,以提供更全面的保障。
議員林新強表示,很多關鍵基礎設施的運作均高度依賴智能設備,一旦發生網絡攻擊或難以防禦,因此十分支持特區政府制定保障關鍵基礎設施電腦系統。他列舉數字指,擔心香港已成為國際黑客攻擊的目標,或現有網絡安全措施已落後於時代,相關問題需深思熟慮。
議員陳振英提到,《條例草案》第二十五條提及,需要安排進行電腦系統安全審核。金融業界一直有類似的系統安全審核要求,亦習慣將這些獨立審核交由專業機構進行。業界希望政府對這個審核的要求能遵循金管局及現有法規的一貫做法,減少金融機構的額外合規負擔。
議員梁子穎表示,工聯會原則上支持《條例草案》的立法方向,同時強調必須建立「三維平衡機制」,即在安全防護與經濟成本之間取得平衡,在監管要求與行業承受力之間建立緩衝,在技術標準與現實條件之間初期留有彈性空間。他提出4點建議,包括建立行業差異化監管框架、構建政府主導的技術支援體系、完善事故應急的社會協同機制、設立常態化溝通平台。
議員葛珮帆提到,以往在不少網絡攻擊事故發生後,有員工因為未曾接受培訓,或機構指引不夠清晰,誤以為重新啟動系統就可以馬上救回系統,以至錯誤清洗了「瞬間信息」的紀錄,令搜證工作變得非常困難,這些情況必須要避免,建議日後企業人員培訓制度化,強制關鍵崗位人員每年接受一定時數的認證培訓,以及定期進行模擬攻擊演練。
機管局證監會等納協作機制
議員顏汶羽說,未來的專責辦公室人手編制約為三四十人,而條例的成功落實有賴於專責辦公室的專業能力和資源配置,因此特區政府應定期檢討辦公室的資源需求,並在必要時適當增加人手和技術支援。同時,條例的監管範圍應逐步擴大,將其他相關監管機構如機管局、證監會等納入協作機制,進一步提升監管的全面性和效率。
議員吳傑莊認為條例性質十分溫和,只針對機構層面,不會在個人層面追究個別員工,違例的最高罰款50萬元至500萬元,對大型機構可說是九牛一毛。特區政府未來應該視乎條例的實施情況,適時檢討及調整罰則,甚或進一步訂立機制,要求機構向受網絡保安事故影響的市民賠償。
業界冀明確通報應變責任 官商組「安全夥伴」
(記者 黃子晉、黃子龍)《保護關鍵基礎設施(電腦系統)條例草案》昨日在立法會三讀通過。多位創科界人士接受香港文匯報訪問時表示,條例採取「風險為本」原則,賦予業界執行彈性,明確事故通報及應變責任,透過官商協作與安排定期演習,建立「非問責性」安全夥伴關係,既鞏固提升香港對關鍵基礎設施的保護,也增強社會各界網絡安全意識,期望特區政府積極培育、引進數字領域相關人才。
盼賦予業界執行彈性
立法會科技創新界議員邱達根表示,不少能源、資訊科技、銀行及金融服務、航空運輸、陸路運輸、海上運輸、醫護服務和電訊及廣播服務等八大界別機構都已預計自己將受《條例》規管,期望特區政府給予業界充足時間作準備功夫,並為關鍵基礎設施營運者在預防、事故通報及應對等整個程序提供清晰指引,譬如讓大家可以根據指引在指定時限內完成每一個程序。
條例規定關鍵基礎設施營運者必須設立和持續設有電腦系統安全管理單位,負責管理其關鍵電腦系統安全,並委任1名人員監管電腦系統安全管理單位,邱達根表示,條例並沒有對有關管理單位的規模及監管人員的資歷作出硬性規定,保留有足夠彈性,是件好事,建議特區政府日後可在《實務守則》詳盡提供相關指引。
「中港網絡安全協會」創會主席葉青陽表示,網絡攻擊很多時都是來自境外,執法困難,所以內地、澳門、很多其他國家或鄰近地區,都很早便制訂了保護關鍵基礎設施的相關法例。今次條例參考了其他司法管轄區的立法方向,相信條例能透過施加法定要求,確保關鍵基礎設施營運者已採取適當措施保護其電腦系統,將香港水、電、媒供應系統、航空交通受到網絡攻擊而癱瘓的可能性降低。
他直言,香港社會各界的保護網絡安全意識一直有待加強,很多機構寧願將預算花光在市場推廣、品牌宣傳,都不想做網絡安全,希望條例也可作為提升社會網絡安全意識的契機。
智慧城市聯盟會長楊文銳表示,在國際地緣政治關係複雜多變的環境下,世界很多地方的關鍵基礎設施都受到攻擊,香港所面對的有關風險都有所提高,重則甚至可讓整個社會陷入癱瘓,所以世界各地都相繼完善了相關法律保障和措施。條例旨在讓特區政府與關鍵基礎設施營運者建立夥伴關係,共同維護其電腦系統安全。
防營運者外判責任
全民健康協會資訊科技總監崔添偉指,即使營運者將保護關鍵基礎設施的工作外判,也不能外判責任,確保營運者在外判有關工作時也要盡力監督外判單位能符合法規要求,而條例不具域外效力,專責辦公室雖可要求營運者提交位於境外的資料,但資料都是在香港設有辦公室的營運者能夠取得的。
評論