【保护关键基础/保安局】立法会今日(19日)复会,《保护关键基础设施(电脑系统)条例草案》恢复二读辩论。条例目的是加强“关键基础设施”的电脑系统的保安能力,减低必要服务因网络攻击被扰乱或破坏的可能,提升香港整体的电脑系统安全。“关键基础设施”包括两类,第一类是提供必要服务的基础设施,包括能源、交通、资讯科技、医疗、银行等8个界别;第二类是维持重要社会和经济活动的基础设施,例如主要体育场地、表演场地、科技园区等。《保护关键基础设施(电脑系统)条例草案》获在席过半数立法会议员赞成,草案三读通过。邓炳强指期望草案可于2026年1月1日生效,成立专职办公室,6月中起逐步分阶段指定关键基础设施及关键电脑系统。
这些机构的关键基础设施营运者要遵守三大类法定责任,包括设立电脑系统安全部门、报告关键电脑系统的重大变化、制定保安管理计划、至少每两年参与一次保安演习,并需制定应急计划。
邓炳强:期望草案通过后可于明年元旦生效
保安局局长邓炳强指网络攻击将导致必要服务受影响,而条例草案可维持香港社会正常运作及市民正常生活,帮助香港整体电脑系统安全提升。他指,条例草案是成立隶属保安局的专责办公室,负责执行新的法例,就著今次立法建议,他指早在2023年已开始首阶段的谘询工作,举办超过15场谘询会,听取不同持份者意见。
邓炳强指,今次草案核心功能,为至关重要的电脑系统安全,绝非针对个人资料或者相关秘密,执行条例时,如要向营运者和相关机构索取资料必须要合理行使条例草案中索取资料的权利,符合相关条文所定义的条件和程序,只可索取符合相关条文目的的资料。他续指,受条例规管的关键基础指示营运者,都对香港持续提供必要服务,或维持关键的社会和经济活动,大部分均为大型机构,中小型企业和一般市民是不受规管和影响。并强调条例草案并无域外效力。他亦表示,如草案通过,期望草案可于2026年1月1日生效,6月起逐步指定关键基础设施及关键电脑系统。
简慧敏:应以行政措施确保政府部门电脑系统安全
《保护关键基础设施(电脑系统)条例草案》委员会主席简慧敏表示,委员会欢迎草案赋权保安局局长可为更有效施行条例草案的条文而订立规例,包括于宪报刊登公告以修订附表,包括条例草案附表内所指名的指定当局及受规管机构。委员将要求政府当局确保专员及指定当局会各施其职,以免重覆规管。
简慧敏指,在委员建议下政府当局稍后会动议修正案,在条例草案加入条文,以体现保安局局长对规管当局有整体监察的角色。在规管范围方面,因应条例草案不适用于政府,委员认为应以行政措施确保各政策局及辖下部门,维持社会正常运作有关的电脑系统安全。
政府分阶段实施 简慧敏倡搜查需司法授权
简慧敏指,就条例草案指规管营运者,政府当局表示因应业界意见,没有要求就关键设施的拥有权变更作出通知。委员会注意到,如果拥有者看起来控制该设施的运作及管理,亦有可能被指定为营运者,需履行法定责任。政府当局表示会按风险评估及机构的准备情况,分阶段确定关键设施及指定的行动。
简慧敏指今次修例,如需要进入处所,不论对象是否营运者,均需要申请搜查令。根据政府提供资料,其他司法管辖区,如新加坡和澳洲相关法例的调查权力,不论针对的对象为何,都无须先取得司法的授权。
简慧敏又指,条例草案建议由行政长官委任的一名关键基础设施电脑系统安全专员,委员会同意将规管个别行业的架构和预防两类责任交给法定行业监管机构,她指英国和澳洲亦有相关法例。她续指,国家早于2021年出台《关键信息基础设施安全保护条例》,其他司法管辖区包括新加坡、英国、美国和澳洲等,亦已订立类似法例,如果香港不立法,就会落后于国际趋势。
网络安全事故急升 林新强忧香港成国际黑客目标
法律界立法会议员林新强指,现时很多关键基础设施的运作已高度依赖智能设备,强调属系统性风险,如发生网络攻击或难以防御,因此十分支持特区政府制定关键基础设施电网系统。他指根据政府资料,香港网络安全事故数字,在短时间内出现急升,由2023年超7700宗,升至2024年的11300宗,认为可留意背后原因,是否因香港已成为国际黑客攻击的目标,或现有网络安全措施已落后时代,强调相关问题需深思熟虑。
林新强续指,条例草案赋权专员要求关键基础设施的营运者做出补救行为,惟草案条文内并无任何针对赋权专员接管受侵害系统之相关规定,当营运商受到攻击,根据条例草案,营运商员需作出报告即可,即使政府有意伸出援手,但按条文营运商有权拒绝政府插手处理,政府亦无权接管营运商处理问题。他认为须尽快进行谘询及完善法例,让政府可尽早介入,将影响及损失降至最低。
林新强又举智能汽车控制系统为例,指应视为“关键基础设施”关键电脑系统,所有本地售出的智能汽车,应符合统一网络安全标准,并定期检查同更新系统,确保漏洞不爱黑客有机可乘。
议员支持网络保安立法
选委界陈绍雄提到商界经营,不论是出于防止财务损失或维持客户和投资者对机构的信心等理由,大型机构普遍为其资讯系统的管理和保安制定后续计划。他相信条例通过后,不会大幅度增加有关机构巡查规定,反而条例所定要求可视作参考,评估机构现时投放在网络保安方的资源是否足够。
民建联葛珮帆支持立法,指近年香港不时爆出网络安全事故,包括公私营机构,充分曝露了香港关键基础设施的脆弱性,加上地缘政治风险,反映立法必要性及迫切性。
金融界陈振英表示,现时任何金融机构如得悉发生事故,须立即通报金管局,而条例草案订明,要向关键基础设施电脑系统安全专员及金管局双线汇报,业界担心,如发生任何大小事故都需双线通报,通报工作会较以往繁重和複杂,期望事故汇报工作要求与金管局大致相近,不会为金融机构增加额外压力。
政府将成立专责办公室
政府将成立专责办公室,由一名隶属保安局的专员带领来自数字政策办公室和警务处的专家,负责制定《实务守则》、监察针对“关键基础设施”的电脑系统保安威胁、调查电脑系统保安事故等。立法建议刑罚以机构为单位,并按违规的种类处以各级罚款,由50万元至500万元不等。
以上内容归星岛新闻集团所有,未经许可不得擅自转载引用。
平台声明:该文观点仅代表作者本人,佐伊科技仅提供信息存储空间服务。发布者:rmltwz,转转请注明出处:https://www.rmltwz.com/shehui/35214.html
