【保護關鍵基礎/保安局】立法會今日(19日)復會,《保護關鍵基礎設施(電腦系統)條例草案》恢復二讀辯論。條例目的是加強「關鍵基礎設施」的電腦系統的保安能力,減低必要服務因網絡攻擊被擾亂或破壞的可能,提升香港整體的電腦系統安全。「關鍵基礎設施」包括兩類,第一類是提供必要服務的基礎設施,包括能源、交通、資訊科技、醫療、銀行等8個界別;第二類是維持重要社會和經濟活動的基礎設施,例如主要體育場地、表演場地、科技園區等。
這些機構的關鍵基礎設施營運者要遵守三大類法定責任,包括設立電腦系統安全部門、報告關鍵電腦系統的重大變化、制定保安管理計劃、至少每兩年參與一次保安演習,並需制定應急計劃。
簡慧敏:應以行政措施確保政府部門電腦系統安全
《保護關鍵基礎設施(電腦系統)條例草案》委員會主席簡慧敏表示,委員會歡迎草案賦權保安局局長可為更有效施行條例草案的條文而訂立規例,包括於憲報刊登公告以修訂附表,包括條例草案附表內所指名的指定當局及受規管機構。委員將要求政府當局確保專員及指定當局會各施其職,以免重覆規管。
簡慧敏指,在委員建議下政府當局稍後會動議修正案,在條例草案加入條文,以體現保安局局長對規管當局有整體監察的角色。在規管範圍方面,因應條例草案不適用於政府,委員認為應以行政措施確保各政策局及轄下部門,維持社會正常運作有關的電腦系統安全。
政府分階段實施 簡慧敏倡搜查需司法授權
簡慧敏指,就條例草案指規管營運者,政府當局表示因應業界意見,沒有要求就關鍵設施的擁有權變更作出通知。委員會注意到,如果擁有者看起來控制該設施的運作及管理,亦有可能被指定為營運者,需履行法定責任。政府當局表示會按風險評估及機構的準備情況,分階段確定關鍵設施及指定的行動。
簡慧敏指今次修例,如需要進入處所,不論對象是否營運者,均需要申請搜查令。根據政府提供資料,其他司法管轄區,如新加坡和澳洲相關法例的調查權力,不論針對的對象為何,都無須先取得司法的授權。
簡慧敏又指,條例草案建議由行政長官委任的一名關鍵基礎設施電腦系統安全專員,委員會同意將規管個別行業的架構和預防兩類責任交給法定行業監管機構,她指英國和澳洲亦有相關法例。她續指,國家早於2021年出台《關鍵信息基礎設施安全保護條例》,其他司法管轄區包括新加坡、英國、美國和澳洲等,亦已訂立類似法例,如果香港不立法,就會落後於國際趨勢。
網絡安全事故急升 林新強憂香港成國際黑客目標
法律界立法會議員林新強指,現時很多關鍵基礎設施的運作已高度依賴智能設備,強調屬系統性風險,如發生網絡攻擊或難以防禦,因此十分支持特區政府制定關鍵基礎設施電網系統。他指根據政府資料,香港網絡安全事故數字,在短時間內出現急升,由2023年超7700宗,升至2024年的11300宗,認為可留意背後原因,是否因香港已成為國際黑客攻擊的目標,或現有網絡安全措施已落後時代,強調相關問題需深思熟慮。
林新強續指,條例草案賦權專員要求關鍵基礎設施的營運者做出補救行為,惟草案條文內並無任何針對賦權專員接管受侵害系統之相關規定,當營運商受到攻擊,根據條例草案,營運商員需作出報告即可,即使政府有意伸出援手,但按條文營運商有權拒絕政府插手處理,政府亦無權接管營運商處理問題。他認為須盡快進行諮詢及完善法例,讓政府可盡早介入,將影響及損失降至最低。
林新強又舉智能汽車控制系統為例,指應視為「關鍵基礎設施」關鍵電腦系統,所有本地售出的智能汽車,應符合統一網絡安全標準,並定期檢查同更新系統,確保漏洞不愛黑客有機可乘。
議員支持網絡保安立法
選委界陳紹雄提到商界經營,不論是出於防止財務損失或維持客戶和投資者對機構的信心等理由,大型機構普遍為其資訊系統的管理和保安制定後續計劃。他相信條例通過後,不會大幅度增加有關機構巡查規定,反而條例所定要求可視作參考,評估機構現時投放在網絡保安方的資源是否足夠。
民建聯葛珮帆支持立法,指近年香港不時爆出網絡安全事故,包括公私營機構,充分曝露了香港關鍵基礎設施的脆弱性,加上地緣政治風險,反映立法必要性及迫切性。
金融界陳振英表示,現時任何金融機構如得悉發生事故,須立即通報金管局,而條例草案訂明,要向關鍵基礎設施電腦系統安全專員及金管局雙線匯報,業界擔心,如發生任何大小事故都需雙線通報,通報工作會較以往繁重和複雜,期望事故匯報工作要求與金管局大致相近,不會為金融機構增加額外壓力。
政府將成立專責辦公室
政府將成立專責辦公室,由一名隸屬保安局的專員帶領來自數字政策辦公室和警務處的專家,負責制定《實務守則》、監察針對「關鍵基礎設施」的電腦系統保安威脅、調查電腦系統保安事故等。立法建議刑罰以機構為單位,並按違規的種類處以各級罰款,由50萬元至500萬元不等。
記者:李健威
