《保护关键基础设施(计算机系统)条例草案》本周三在立法会获得三读通过,并计划于明年1月正式生效。 保安局表示,有关《条例》并非“兵捉贼”的条例,而是列明规管要求,与关键基础设施营运者保持伙伴关系,目的是确保香港关键基础设施的计算机系统具有韧性,能抵御黑客进行的网络攻击,并能尽快恢复正常运作。
▲李百全指《条例》确保香港关键基础设施电脑系统具有韧性,能抵御网络攻击并尽快恢复正常运作。
保安局常任秘书长李百全接受《星岛》访问时表示,政府订立有关条例,是因应全球不同地区的关键基础设施计算机系统近年受到网络攻击的问题,若香港关键基础设施的电脑系统受到网络攻击,随时会瘫痪相关服务,影响市民的日常生活及经济活动,对整个社会带来巨大影响。
只关注系统不涉私隐或商业机密
李百全强调,政府只会针对关键基础设施计算机系统的安全问题,绝对不会针对个人资料或商业机密,而保安局局长邓炳强本周三在立法会,并多次在不同场合及透过政策文件都反复强调,政府的立法目的十分清晰,就是针对关键基础设施,主要是香港的大型企业及机构,故不会影响中小企及一般市民,相反,只会令市民日常使用的服务更加稳定。
李百全续谓,《条例》不会令大型企业及机构于维护其提供核心服务的电脑系统安全大幅增加合规成本,“之前亦同佢哋沟通过,其实为确保服务提供正常,机构自己最紧张佢哋电脑系统嘅安全,因一旦系统遭受网络攻击被扰乱或破坏,佢哋嘅核心服务会受到影响”,因此它们本身已经采取相当措施确保自己的电脑系统安全,政府现在只是将一些务实的要求透过《条例》定出来,确保不同设施的营运者遵守,提升香港整体关键基础设施计算机系统安全,同时确保其韧性,一旦遇到攻击,亦有能力尽快将系统恢复正常运作。
条例罚则仅针对机构非个人刑责
李百全重申,在此《条例》下政府当局与营运者是伙伴关系,“呢条唔系兵捉贼嘅条例,营运者是政府当局嘅伙伴,共同维持计算机系统安全”,立法目的不在惩罚营运者,但是为了确保条例能有效实施及执行,《条例》亦订明相关的罪行及适当的罚则,专责办公室亦有调查权力,目的是希望协助营运者提升其计算机系统安全,“我们认为大部分营运者都能遵守要求, 但如果真系有营运者跟不上法例上嘅要求,罚则只会系针对机构罚款,而不是个人的刑责“。
李百全表示,保安局在计划订立有关法例前,早于2023年已开始与业界沟通,并将收集的意见适当地纳入立法框架,至2024年展开公众谘询,期间亦与业界进行了多次沟通和简介会议,目的是希望有关建议最后是他们做得到、帮得到、强化得到香港整体关键基础设施的计算机系统安全,“呢个系伙伴关系,唔系法例通过咗就完,而系现在进行式,会同业界持续沟通”, 当日后成立专责办公室后,便会制订实务守则,协助营运者达致有关要求。
保安工作可外判 惟责任不能外判
对于有些营运者的电脑系统保安工作外判予第三方服务提供商,李百全表示,已从沟通过程中充分理解业界的运作,并强调工作可以外判,但责任不能外判,故《条例》要求营运者必须设立计算机安全部门,虽然这部门的工作可以外判,但是有关主管必须由该营运者聘用,这个安排一方面可照顾业界运作的需要,另一方面亦可确保责任要到位。
李百全又指,于订立法例时已参考不同地方的法例要求,包括内地、澳门、新加坡,美国、澳洲、加拿大及英国,“最后放落法例嘅要求,全部都是适合香港嘅实际情况,这些要求,在其他司法管辖区亦十分普遍”。
就《条例》的罚则而言,最高罚款为500万港元,李百全说:“罚款必须具阻吓力。 其实欧盟的最高罚款为8000万港元,英国的最高罚款更超过一亿港元。 我哋唔系要施加好重嘅刑罚,而是要确保有足够的阻吓力。”
以上内容归星岛新闻集团所有,未经许可不得擅自转载引用。
平台声明:该文观点仅代表作者本人,佐伊科技仅提供信息存储空间服务。发布者:rmltwz,转转请注明出处:https://www.rmltwz.com/shehui/35643.html
