近年全球的「關鍵基礎設施」遭受惡意網絡攻擊的風險,一旦其電腦系統受干擾或破壞,會嚴重影響社會運作。行政長官李家超在2022年的《施政報告》已宣布推動相關立法。保安局今日(2日)在政府總部舉行背景簡介會,局方發言人表示,因應諮詢期間的主要意見,積極考慮多項優化措施,包括通報嚴重事故的時限由得悉事故後2小時內放寬至12小時內,其他事故由24小時內放寬至48小時內,條例預料今年年底提交立法會審議,期望2025年上半年通過條例草案,當局會在草案通過後一年內將成立專責辦公室,料2026年條例會正式生效,並分階段指明營運者。
通報嚴重事故時限由得悉事故後2小時內 放寬至12小時內
保安局發言人表示,當局7月展開為期一個月的諮詢工作,諮詢期至8月1日止,發言人指期間進行5場諮詢會,近200名持分者出席,共收到53份意見書,其中52份支持立法,唯一反對來自英國人權組織以保障言論自由為名反對,政府已隨即作出反駁。另外,發言人表示,條例只監管被指明的「關鍵基礎設施營運者」和「關鍵電腦系統」,強調會採取「機構為本」的原則,為了保安理由,當局將不公開「關鍵基礎設施營運者」的名單。
發言人表示,當局將設專責辦公室,由一名隸屬保安局的專員帶領來自數字政策辦公室和警務處的專家,指明「關鍵基礎設施營運者」及「關鍵電腦系統」,制定《實務守則》,監察針對關鍵基礎設施的電腦系統保安威脅,協助營運者應對電腦系統保安事故及調查擬議條例下所訂定的罪行,以及調查電腦系統保安事故及擬議條例下所訂定的違規情況及罪行。
發言人強調法案不涉及言論自由,重申條例不具城外效力,認為要求關鍵基礎設施營運者提交的資料都是在香港設有辦公室的營運者可以取得。發言人續說,局方不針對系統內的個人資料和商業機密,只會要求提供資料是要營運者妥善履行保護其關鍵電腦系統的責任,並確保遇到事故時,能作出有效評估。
就賦權在調查事故時可在關鍵電腦系統連接設備或安裝程式,局方發言人指,當局只會在營運者不願意或未能自行應對時,才會考慮向裁判官申請手令,因應必要性、適當性、相稱性及公眾利益,行使有關權力。
另外,發言人表示,在指明「關鍵電腦系統」時,不會一併指明「關聯系統」,並予以刪除「關聯」(interconnected)一詞,因其未必精準反映定義「關鍵電腦系統」的考慮因素。就架構責任方面,發言人指移除營運者須報告變更關鍵基礎設施「擁有權」的規定。針對第三方服務供應商責任,發言人指在《實務守則》將提供完善履行「盡責查證」及「合理努力」的指引,為營運者在聘用服務提供者時訂定及履行合約提供參考。
被問及通報嚴重事故的時限由得悉事故後2小時內放寬至12小時內,時間上會否太遲?局方發言人,有業界人士反映2小時內通報有相確空間,指大部分機構仍處理事情,故放寬至12小時內決定合適,又認為亦可以口頭、電郵方式通報。
對於違者可判處最高罰款港幣50萬元至500萬元不等,個別罪行亦會就持續違法行為處以額外的每日罰款,最高可達10萬元。被問及罰則是否合適。局方發言人指,當局參考世界各國的經驗,指條例之目的初心是促使營運者加強保障他們的電腦系統安全,強調並非懲罰營運者,相信現時罰則已有阻嚇性。
記者:黃子龍
