政府會在本周五就《保護關鍵基礎設施 (電腦系統) 條例草案》刊憲,並在下星期三提交立法會首讀及二讀。
資料圖片
根據政府提交立法會的文件,條例草案涵蓋兩大類基礎設施,包括在香港持續提供必要服務的基礎設施,如能源、資訊科技、銀行和金融服務、電訊和廣播服務、交通等。另一類是維持社會和經濟活動的基礎設施,例如大型體育及表演場地、主要科技園等。
條例草案不適用政府,而由於關鍵基礎設施大多由機機構營運,經參考外國做法,草案採取「機構為本」方式,即以負責營運每個關鍵基礎設施的機構為一個單位。當局在考慮是否指定某電腦系統為「關鍵電腦系統」時,會考慮不同因素,例如該電腦系統就某關鍵基礎設施核心功能所擔任的角色等。
立法會。 立法會圖片
條例草案列出「關鍵基礎設施營運者」的責任,包括必須在香港持續設有辦事處;如電腦系統有重大變化,必須通知當局;至少每年做一次電腦系統安全風險評估、至少每兩年做一次獨立電腦系統安全審核,並向政府提交報告,以及參與當局安排的安全演習等。如涉及「關鍵電腦系統」的電腦系統安全事故,已干擾或相當可能干擾關鍵基礎設施的核心功能,相關營運者必須在得悉事故後的12小時內作出通報。如屬其他事故,要在48小時內通報。
保安局轄下設有專責辦公室,負責推行法定制度,並由行政長官委任的一名專員帶領。條例草案的罰則只包含罰款,最高罰款額為50萬元至500萬元不等,如屬持續罪行,每日額外罰款最高5萬至10萬元不等。不遵從條例草案下的責任和規定所引致的罪行和罰則,只會在機構層面施加於「關鍵基礎設施營運者」,不會在個人層面針對營運者的員工。
