港府須立法加強保護關鍵基礎設施電腦系統安全 才可與國家社會接軌

· 龔靜儀大律師專欄
broken image

 

為了加強保護關鍵基礎設施電腦系統安全,香港特區政府建議訂立《保障關鍵基礎設施(電腦系統)條例草案》。較早前,保安局便曾於2024年7月2日就有關條例立法進行一個月的諮詢工作,諮詢期至 2024 年 8 月 1 日止。近日,保安局最亦向立法會提交了有關諮詢結果的文件。

《保障關鍵基礎設施(電腦系統)條例》之立法原意,是旨在保護「關鍵基礎設施營運者」的關鍵電腦系統, 以上《條例》通過後的實際操作絕不會涉及個人資料和業務內容。保安局局長鄧炳強亦於其社交媒體上發布帖文,旨在協助市民了解《條例》的內容;當中,局長以「關鍵基礎設施二三四」來闡述,包括了「兩大類別」、「三類責任」及「四項原則」。

「兩大類別」是關鍵基礎設施可分為兩類,即(i)生活日常必要設施(能源、資訊科技、銀行金融等)和(ii)社會/經濟活動重要設施(例大型體育/表演場地、科研園區)。

「三類責任」是指營運者三類責任,分別是(i)架構(設辦事處和專責部門)、(ii)預防(制定保安計劃和定期風險評估等)和(iii)事故通報及應對(定期演習等)。

最後,《法例》的「四項原則」包括:

(i)只涉及指定大型機構,不影響個人/中小企;

(ii)僅涵蓋香港設辦事處的營運作,無域外效力;

(iii)索取資料以評估及應對事故,不針對個人資料/商業機密;及

(iv)以機構為單位,無個人刑責或監禁。

為隆重其事,保安局特地舉辦了共五場諮詢會,去解說擬議條例的重點內容,期間共有近 200 名持份者出席。在諮詢期結束後,保安局一共收到53份書面意見書,而當中有52份(即佔總數98.1%)支持立法及草案框架內容或提出正面建議,而來自業界的47份意見則百分百支持立法或提出正面建議,唯一反對的意見是來自一個在英國註冊的所謂人權組織;對此,保安局已即時作出反駁,釐清謬誤。保安局預計今年底將條例草案提交上立法會,料若明年獲立法會通過後,一年內成立專責辦公室,估計條例於2026年初生效,初時會設適應期。

事實上,網絡基礎設施是現代社會運轉的神經中樞,包括金融系統、能源供給、交通運輸等關鍵領域都高度依賴網絡系統,一旦網絡遭到攻擊或故障,將會對社會運轉造成嚴重干擾。政府有必要盡快完善網絡安全立法,保障關鍵基礎設施的穩定運行,否則會對社會造成重大影響。正如今年7月微軟Windows系統出現故障,對全球經濟活動造成了巨大衝擊。香港國際機場亦未能倖免於難,大量航班被迫暫時改為人工辦理登機手續,造成不同程度的航班延誤甚至取消,而機場亦一度出現混亂。但礙於法例未完善,政府能在事件中發揮的角色受限,大大削弱政府維護社會穩定的能力,可見立法是有必要性。

另一方面,近年,保障關鍵基礎設施電腦系統安全的法規在其他司法管轄區越見普遍,中國內地、澳門特別行政區、澳洲、歐盟、新加坡、英國和美國等地都已訂立類似法例,加拿大國會亦正在審議相關法案,當中例子包括中國內地在2016年和2021年分別通過《中華人民共和國網絡安全法》及《關鍵信息基礎設施安全保護條例》;澳洲於2018年制定的《2018年關鍵基礎設施安全法》,和英國於2018年訂立的《2018年網絡與資訊系統規則》等。

從以上涉及多個不同國家的例子可見,要求關鍵基礎設施的營運者遵守一系列責任乃是國際慣例,是為了保護電腦系統措施,加強其應對網絡攻擊的能力,以及在發生電腦系統保安事故時向規管當局匯報,並盡快採取應對措施。特區政府作出相類似的立法,正是與國際社會接軌的做法。因此,港府必須盡早完善有關法例的立法;否則,將來一旦關鍵基礎設施的電腦系統受到擾亂或破壞,不能正常運作,便會頓時影響設施所提供的必要服務,甚或產生連鎖效應影響整個社會,嚴重危害社會經濟、民生、公共安全,以至國家安全。

 

(文章是作者的個人意見,不代表本報立場)

web page counter