港擬立法保障關鍵基礎設施電腦系統 鄧炳強:不涉及個人私隱

保安局向立法會提交文件,表示啟動《保障關鍵基礎設施(電腦系統)條例草案》立法。(點新聞資料圖)

【點新聞報道】本港近期公私營機構電腦系統接連被黑客入侵,如消費者委員會電腦系統、香港藝術發展局網絡系統、沙田仁安醫院電腦系統均遭到黑客入侵,各大院校如中大專業進修學院、兆基創意書院、香港專業進修學校也未能倖免。因應近年網絡攻擊增加,保安局昨日(25日)向立法會提交文件,表示啟動《保障關鍵基礎設施(電腦系統)條例草案》立法,訂明營運者有責任保障及通報事故,涵蓋能源等八大類基礎設施,只限機構負刑責,如果有關人士不履行法定責任,違者最高罰50萬至500萬元,持續違法行為則會處以額外的每日罰款。

保安局局長鄧炳強在Facebook專頁表示,關鍵基礎設施的安全運作對維持社會經濟、民生、公共安全及國家安全都相當重要,所以行政長官在2022年的施政報告中已經宣布會推動相關立法,保安局即將在7月就立法建議諮詢立法會。他特別強調,建議條例並不針對個人,只是規管大型機構,不涉及個人私隱,並不影響市民使用電腦及網絡自由,又強調關鍵基礎設施的安全運作,對於維持社會經濟、民生、公共安全及國家安全相當重要,保安局會透過不同渠道解釋相關條例。

根據特區政府保安局向特區立法會保安事務委員會提交的文件,關鍵基礎設施是指一些維護社會運作及生活必須的設施,包括兩大類,一是「在香港提供必要服務的基礎設施」,即能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健,以及通訊和廣播8個界別,二是「其他維持重要的社會和經濟活動的基礎設施」,包括大型體育及表演場地、科研園區等。

特區政府將以負責營運上述設施的機構為單位,要求營運者承擔他們轄下電腦系統的法定安全責任,包括:特區政府設立關鍵基礎設施營運者名冊,營運者必須為核心電腦系統制定實施安全計劃,並向隸屬於保安局的專貴辦公室報告電腦系統保安計劃,及報告這些系統的重大變化。

營運者最少每年一次評估風險

同時,營運者最少每年要進行一次保安風險評估,最少每兩年一次進行獨立電腦系統保安審計,最少每兩年一次參加專責辦公室的電腦系統安全演習。

政府又要求營運者必須制訂處理突發事件的應急計劃,一旦出現保安事故,營運者須在得悉事件後24小時內通報,而嚴重影響正常功能的嚴重事件則須於得悉事件的兩小時內通報。

有關關鍵基礎設施將由新設、隸屬保安局的專責辦公室負責監督。辦公室將制定《實務守則》,就關鍵基礎設施營運者應採取的措施提供建議、監察針對關鍵基礎設施的電腦系統保安威脅、協助關鍵基礎設施營運者應對電腦系統保安事故、調查及跟進關鍵基礎設施營運者違規情況、協調不同政府部門及專家,包括政府資訊科技總監辦公室、警方網絡安全及科技罪案調查科及香港電腦保安事故協調中心等,以及向關鍵基礎設施營運者發出書面指示,以堵塞可能出現的保安漏洞。

文件建議,如關鍵基礎設施營運者不履行法定責任,關鍵基礎設施營運者不遵從專責辦公室發出的書面指示,不遵從專責辦公室按法定調查權力提出的要求,以及不遵從專責辦公室就提供與關鍵基礎設施有關的資料的要求,可被處最高罰款港幣50萬元至500萬元不等,經法庭審訊而定,個別罪行也會就持續違法行為處以額外的每日罰款。就算事件涉及第三方服務,營運者仍要為違法行為負責。

由於供水、渠務、緊急救援等系統已經有詳細指引,並參照國際標準檢討和更新,故特區政府認為無須納入新的條例中。

擬年底前將草案提交立會

特區政府將於7月2日就有關建議諮詢立法會保安事務委員會,其後開展為一個月諮詢,計劃於今年底前將草案提交立法會,目標在立法會通過條例草案後一年內成立專責辦公室,其後半年內條例正式生效。

文件強調,擬議的條例絕大部分受規管的是有規模的大機構,中小企及一般市民均不受影響;擬議條例只會要求關鍵基礎設施營運者承擔起保護其關鍵電腦系統的責任,絕不涉及系統內的個人資料和業務內容。

相關閱讀:

仁安醫院電腦遭黑客入侵 暫未發現病人資料洩露

港專2月遭黑客入侵勒索 疑450GB文件被「撕票」洩露

消委會遭黑客入侵450人資料外洩 私隱署批5大缺失裁違私隱條例