文/嚴剛
立法會大會今天(19日)三讀通過《保護關鍵基礎設施(電腦系統)條例草案》,該條例草案對於香港的安全發展具有重大意義。香港作為國際金融與商業中心,關鍵基礎設施的電腦系統安全直接關乎社會穩定與經濟命脈。然而,近年電腦系統安全威脅相當嚴峻,例如去年6月香港機場航班顯示系統因故障被迫使用白板手寫航班資訊,不僅嚴重影響機場運作,更對香港的國際聲譽造成影響。根據香港網絡安全事故協調中心的數據,過去兩年接獲的事故報告月均超過200宗,且近期呈上升趨勢,其中不乏黑客惡意攻擊。這些事故凸顯現行制度存在隱患,包括法定責任缺失導致執行力度不足、跨境與第三方風險監管薄弱,以及事故應對效率有待提升等。
《條例草案》的提出,正正針對上述漏洞。草案參考中國內地、歐盟、新加坡等司法管轄區的成熟經驗,結合香港實際情況,確立清晰的法定框架,填補法律空白。其核心是以「機構為本」,針對能源、金融、交通、資訊等八大必要服務界別,以及維持關鍵社會經濟活動的基礎設施,要求營運者承擔架構、預防、及事故通報應對等三類法定責任。此舉不僅可以推動香港與國際網絡安全標準接軌,更能系統性地提升關鍵系統的抗風險能力,維護公共利益,及應對嚴峻的地緣政治局勢。為確保條例有效落實,建議政府在以下幾個方面加強資源投入:
首先,要擴大作為營運者企業的技術支援。雖然條例主要規管具規模的大型機構,但部分規模較小的企業(如小型的數據中心等)都有可能被指定為營運者,這些機構就需要進一步提升技術配置,以符合條例要求。就此,建議政府提供適當的資金、技術及人才培訓等方面支援,以減輕這些企業的負擔。
其次,政府應該強化《實務守則》的動態更新。《實務守則》雖然並非附屬法例,但都是落實責任的關鍵指引。建議定期全面檢討,並成立跨業界諮詢小組,吸納創科界、學術機構及企業的代表,確保指引涵蓋人工智能、低空經濟等新興技術的風險管理,保持與時並進。
同時,政府都應該進一步優化電腦系統的安全審核機制,並培養專業的審核人才。針對至少每兩年進行獨立安全審核的要求,企業要承擔較高的審核成本。加之本港電腦系統安全人員短缺,建議優化審核要求,例如對於部分行業,可以放寬審核期限並簡化流程;同時,推動院校開設電腦系統安全認證課程,吸引更多從業人才,以減輕企業審核負擔並提升審核效率。
另外,應該提升上訴機制的透明度與公眾參與。條例草案訂明上訴委員會以法律及資訊科技的專業人士為主。建議增設一兩名公眾代表(如消費者委員會成員),並定期公布相關裁決摘要,既保障專業性,亦增強社會對於監管公正性的信心。
電腦系統安全是數字化時代的「城市防波堤」,也是總體國家安全觀的重要體現。期待在各界支持之下,通過持續吸納業界意見,不斷完善執行細節,加快香港構建更加安全的智慧城市,為香港實現由治及興保駕護航!
