【港府須立法加強保護關鍵基礎設施電腦系統安全 才可與國家社會接軌】

為了加強保護關鍵基礎設施電腦系統安全，香港特區政府建議訂立《保障關鍵基礎設施（電腦系統）條例草案》。較早前，保安局便曾於2024年7月2日就有關條例立法進行一個月的諮詢工作，諮詢期至 2024 年 8 月 1 日止。近日，保安局最亦向立法會提交了有關諮詢結果的文件。

《保障關鍵基礎設施(電腦系統)條例》之立法原意，是旨在保護「關鍵基礎設施營運者」的關鍵電腦系統， 以上《條例》通過後的實際操作絕不會涉及個人資料和業務內容。保安局局長鄧炳強亦於其社交媒體上發布帖文，旨在協助市民了解《條例》的內容；當中，局長以「關鍵基礎設施二三四」來闡述，包括了「兩大類別」、「三類責任」及「四項原則」。

「兩大類別」是關鍵基礎設施可分為兩類，即(i)生活日常必要設施(能源、資訊科技、銀行金融等)和(ii)社會/經濟活動重要設施(例大型體育/表演場地、科研園區)。

「三類責任」是指營運者三類責任，分別是(i)架構(設辦事處和專責部門)、(ii)預防(制定保安計劃和定期風險評估等)和(iii)事故通報及應對(定期演習等)。

最後，《法例》的「四項原則」包括：

(i)只涉及指定大型機構，不影響個人/中小企；

(ii)僅涵蓋香港設辦事處的營運作，無域外效力；

(iii)索取資料以評估及應對事故，不針對個人資料/商業機密；及

(iv)以機構為單位，無個人刑責或監禁。

為隆重其事，保安局特地舉辦了共五場諮詢會，去解說擬議條例的重點內容，期間共有近 200 名持份者出席。在諮詢期結束後，保安局一共收到53份書面意見書，而當中有52份(即佔總數98.1%)支持立法及草案框架內容或提出正面建議，而來自業界的47份意見則百分百支持立法或提出正面建議，唯一反對的意見是來自一個在英國註冊的所謂人權組織；對此，保安局已即時作出反駁，釐清謬誤。保安局預計今年底將條例草案提交上立法會，料若明年獲立法會通過後，一年內成立專責辦公室，估計條例於2026年初生效，初時會設適應期。

事實上，網絡基礎設施是現代社會運轉的神經中樞，包括金融系統、能源供給、交通運輸等關鍵領域都高度依賴網絡系統，一旦網絡遭到攻擊或故障，將會對社會運轉造成嚴重干擾。政府有必要盡快完善網絡安全立法，保障關鍵基礎設施的穩定運行，否則會對社會造成重大影響。正如今年7月微軟Windows系統出現故障，對全球經濟活動造成了巨大衝擊。香港國際機場亦未能倖免於難，大量航班被迫暫時改為人工辦理登機手續，造成不同程度的航班延誤甚至取消，而機場亦一度出現混亂。但礙於法例未完善，政府能在事件中發揮的角色受限，大大削弱政府維護社會穩定的能力，可見立法是有必要性。

另一方面，近年，保障關鍵基礎設施電腦系統安全的法規在其他司法管轄區越見普遍，中國內地、澳門特別行政區、澳洲、歐盟、新加坡、英國和美國等地都已訂立類似法例，加拿大國會亦正在審議相關法案，當中例子包括中國內地在2016年和2021年分別通過《中華人民共和國網絡安全法》及《關鍵信息基礎設施安全保護條例》；澳洲於2018年制定的《2018年關鍵基礎設施安全法》，和英國於2018年訂立的《2018年網絡與資訊系統規則》等。

從以上涉及多個不同國家的例子可見，要求關鍵基礎設施的營運者遵守一系列責任乃是國際慣例，是為了保護電腦系統措施，加強其應對網絡攻擊的能力，以及在發生電腦系統保安事故時向規管當局匯報，並盡快採取應對措施。特區政府作出相類似的立法，正是與國際社會接軌的做法。因此，港府必須盡早完善有關法例的立法；否則，將來一旦關鍵基礎設施的電腦系統受到擾亂或破壞，不能正常運作，便會頓時影響設施所提供的必要服務，甚或產生連鎖效應影響整個社會，嚴重危害社會經濟、民生、公共安全，以至國家安全。

（文章是作者的個人意見，不代表本報立場）