政府擬立法要求關鍵基礎設施的營運者採取適當措施加強電腦系統保安能力。
立法會保安事務委員會今日(2日)開會,其中討論到加強保護關鍵基礎設施電腦系統安全的建議立法框架。保安局局長鄧炳強交代立法四大原則,包括參考其他司法管轄區去制訂適合香港的監管模式;規管對象大部分是大規模機構;條例與監察系統無關;目的是促使營運者加強保障他們的電腦系統安全。違者可判處最高罰款港幣50萬元至500萬元不等。局方會繼續諮詢業界,目標在今內向立法會提交立法草案。
鄧炳強表示,近年網絡安全事故的數目連年上升,政府建議立法要求基礎設施營運者承擔法定責任,要求其加強關鍵基礎設施的電腦系統的保安能力,減低必要服務因網絡攻擊被擾亂或破壞的可能。
鄧炳強介紹,「關鍵基礎設施」是維持社會正常運作和市民正常生活必需的設施,一旦其電腦系統受干擾或破壞,會嚴重影響社會運作。局方自去年起已開始諮詢業界,大家一致認同維護電腦系統安全是社會各界的共同責任,原則上支持立法。今次的建議亦採納了業界很多相關意見。
他交代今次立法的四大原則:第一,局方參考了其他司法管轄區的立法方向,去制訂一套適合香港的監管模式。第二,規管對象主要是維持香港社會必需服務的「關鍵基礎設施營運者」,換言之,絕大部分會是大規模機構,中小企與一般市民均不受影響。第三,條例絕不涉及系統內的個人資料和業務內容,與監察系統完全無關。第四,條例之目的是促使營運者加強保障他們的電腦系統安全,而並非懲罰營運者。所以如有違法行為,只會向機構罰款。但如個人涉及觸犯現行刑事法例,例如虛假陳述或行使假文件等,涉事人員可能要自己負上刑責。
「關鍵基礎設施」將分為兩類,第一類是在香港提供必要服務的基礎設施,涵蓋8個界別,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播;第二類是其他維持重要社會和經濟活動的基礎設施。只有被指明為「關鍵基礎設施營運者」的機構以及其「關鍵電腦系統」才會受條例規管。
條例不會涵蓋由政府提供的必要服務,因為政府內部已經有一套詳盡的政府資訊科技保安政策及指引,要求的水平與條例相若,再加上政府人員會受到公務員守則規管,因此無須將政府部門納入條例規管。
鄧炳強說,局方參考了其他司法管轄區的情況,為妥善執行條例,建議成立一個隸屬保安局的專責辦公室,由行政長官委任一名專員帶領,主要職能包括指明「關鍵基礎設施營運者」及「關鍵電腦系統」、制訂實務守則及發出書面指示、監察針對「關鍵基礎設施」的電腦系統保安威脅、協助營運者應對電腦系統保安事故、調查跟進違規情況,以及協調不同政府部門制訂政策和處理事故等。
條例所訂定主要罪行包括不履行法定責任、不遵從專責辦公室發出的書面指示及調查權力等。違者可判處最高罰款港幣50萬元至500萬元不等,個別罪行亦會就持續違法行為處以額外的每日罰款。此外,除主體法例外,專責辦公室亦可發出實務守則,在法例要求基礎上作出建議標準,協助營運者滿足法例要求。
選委界立法會議員陳紹雄關注,擬訂罰則的阻嚇力度是否足夠,又追問如果營運者違反刑法,會否受到雙重懲罰。鄧炳強表示,擬訂罰款為50萬至500萬元,對比其他地方同類條例的罰款後,如內地最高110萬元、澳門最高為490萬元、新加坡最高為58萬等,認為現擬定的罰款適當。鄧炳強又指,金融及通訊機構等受金管局、通訊事務局監管,指不會出現雙重懲罰的情況。
選委界立法會議員陸瀚民提到罰款僅針對機構,而非針對操作關鍵基礎設施的人員,擔心會令人員出現「事不關己」的情況,詢問政府會否設指引守則,建議機構於內部設問責制度。鄧炳強表示,公營機構中的公務員有問責制、非公營機構則有實務手則,又指若相關違規行為涉及觸犯現有刑事法例,例如虛假陳述、行使虛假文書或其他詐騙相關罪行,涉事人員亦有機會負上個人刑事責任。(記者 林駿強 圖片:崔俊良 攝)