港擬立法保障關鍵基礎設施電腦系統
涵蓋能源金融服務等 促營運者設安全計劃 違例最高罰款500萬
香港文匯報訊 國家主席習近平創造性提出的總體國家安全觀,就包括網絡安全。因應近年網絡攻擊增加,對關鍵基礎設施的網絡安全帶來重大挑戰,香港特區政府正式提出保障關鍵基礎設施電腦系統的立法框架,建議包括能源、資訊科技、 銀行和金融服務等各項基礎設施的營運者,需要承擔他們轄下電腦系統的法定安全責任,包括為核心電腦系統制定實施安全計劃,嚴重事故必須於兩小時內報告,等等,由保安局的新設專責辦公室負責監督。倘出現違規情況,營運者可被處以最高罰款港幣50萬元至500萬元不等,個別罪行更會就持續違法行為處以額外的每日罰款。
根據特區政府保安局向特區立法會保安事務委員會提交的文件,關鍵基礎設施是指一些維護社會運作及生活必須的設施,包括兩大類,一是「在香港提供必要服務的基礎設施」,即能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、 醫療保健,以及通訊和廣播8個界別,二是「其他維持重要的社會和經濟活動的基礎設施」,包括大型體育及表演場地、科研園區等。
特區政府將以負責營運上述設施的機構為單位,要求營運者承擔他們轄下電腦系統的法定安全責任,包括:特區政府設立關鍵基礎設施營運者名冊,營運者必須為核心電腦系統制定實施安全計劃,並向隸屬於保安局的專貴辦公室報告電腦系統保安計劃,及報告這些系統的重大變化。
營運者最少每年一次評估風險
同時,營運者最少每年要進行一次保安風險評估,最少每兩年一次進行獨立電腦系統保安審計,最少每兩年一次參加專責辦公室的電腦系統安全演習。
政府又要求營運者必須制訂處理突發事件的應急計劃,一旦出現保安事故,營運者須在得悉事件後24小時內通報,而嚴重影響正常功能的嚴重事件則須於得悉事件的兩小時內通報。
有關關鍵基礎設施將由新設、隸屬保安局的專責辦公室負責監督。辦公室將制定《實務守則》,就關鍵基礎設施營運者應採取的措施提供建議、監察針對關鍵基礎設施的電腦系統保安威脅、協助關鍵基礎設施營運者應對電腦系統保安事故、調查及跟進關鍵基礎設施營運者違規情況、協調不同政府部門及專家,包括政府資訊科技總監辦公室、警方網絡安全及科技罪案調查科及香港電腦保安事故協調中心等,以及向關鍵基礎設施營運者發出書面指示,以堵塞可能出現的保安漏洞。
文件建議,如關鍵基礎設施營運者不履行法定責任,關鍵基礎設施營運者不遵從專責辦公室發出的書面指示,不遵從專責辦公室按法定調查權力提出的要求, 以及不遵從專責辦公室就提供與關鍵基礎設施有關的資料的要求,可被處最高罰款港幣50萬元至500萬元不等,經法庭審訊而定,個別罪行也會就持續違法行為處以額外的每日罰款。 就算事件涉及第三方服務,營運者仍要為違法行為負責。
由於供水、渠務、緊急救援等系統已經有詳細指引,並參照國際標準檢討和更新,故特區政府認為無須納入新的條例中。
擬年底前將草案提交立會
特區政府將於7月2日就有關建議諮詢立法會保安事務委員會,其後開展為一個月諮詢,計劃於今年底前將草案提交立法會,目標在立法會通過條例草案後一年內成立專責辦公室,其後半年內條例正式生效。
文件強調,擬議的條例絕大部分受規管的是有規模的大機構,中小企及一般市民均不受影響;擬議條例只會要求關鍵基礎設施營運者承擔起保護其關鍵電腦系統的責任,絕不涉及系統內的個人資料和業務內容。 保安局局長鄧炳強在社交平台發帖強調,有關建議的條例並不針對個人,不會涉及個人私隱,不會影響市民大眾使用電腦及網絡的自由,保安局將會透過不同渠道向市民清楚解釋相關條例。
