《保護關鍵基礎設施(電腦系統)條例草案》三讀通過,明確「關鍵基礎設施運營者」需採取適當防護措施,降低因網絡攻擊導致必要服務被干擾或破壞的風險,同時強調與運營者的夥伴關係,而非單純懲罰性監管。
高人話,網絡威脅日益複雜,例如上年微軟全球大冧機就正正體現了電腦系統連接全世界、牽一髮而動全身的重要性和風險所在,今次條例草案的通過,標誌香港在加強關鍵基礎設施保護和整體電腦系統安全方面踏出重要一步。
就住條例草案,高人提醒有幾個重點值得關注。
首先,只有指定的關鍵基礎設施營運者,以及被指定為關鍵電腦系統的電腦系統,才會受到規管。
條例草案的規管對象是維持香港社會必要服務攸關或重要的社會和經濟活動的「關鍵基礎設施營運者」,違者可處以罰款50萬至500萬港元不等,沒有監禁式的刑罰。
根據政府提交立法會的文件,條例草案涵蓋兩大類基礎設施,包括在香港持續提供必要服務的基礎設施,如能源、資訊科技、銀行和金融服務、電訊和廣播服務、交通等。另一類是維持社會和經濟活動的基礎設施,例如大型體育及表演場地、主要科技園等。
若關鍵基礎設施營運者未有作出「盡責查證」或「合理努力」下,不履行法定責任,不遵從專責辦公室發出的書面指示,不遵從專責辦公室按法定調查權力提出的要求,不遵從專責辦公室就提供與關鍵基礎設施有關的資料的要求,或外判第三方服務提供者而沒有確報其完善履行合約或責任,即屬違法。違者最高罰款港幣50萬元至500萬元。個別罪行亦會就持續的違法行為,處以額外的每日罰款,並沒有監禁式的刑罰。雖然草案只是建議向機構罰款,但如果相關的違規行為涉及觸犯虛假陳述、行使虛假文書或其他詐騙相關的罪行,涉事人員有機會要負上個人的刑事責任。
當中值得留意的是,如第三方服務提供者未能遵守協議和符合法規,營運者或需負上刑責,因為「即使外判了工作,亦不能外判責任」。日後,會透過《實務守則》提供合約範本,供營運者參考,在外判服務時需注意的事項及如何保障自己的權益。
政府強調,一直與業界及持份者保持密切溝通,立法並非旨在懲罰營運者,與營運者是夥伴關係,共同維持電腦系統安全。
第二,條例草案並不針對個人資料和商業機密,與市民網上活動完全無關。
由於只有被明確指定的營運者及關鍵電腦系統才受規管,所以規管的絕大部分為大機構,中小企及一般市民不受影響。
至於施加法定責任的目的,是要保障對關鍵基礎設施核心功能至關重要的電腦系統安全,要求提供資料是要營運者妥善保護系統,並確保遇到事故時專責辦公室能作出有效評估,絕非針對個人資料或商業秘密,亦跟普通市民的網上活動完全無關。
第三,條例不具備域外效力,僅會向身處香港的服務營運者要求提供資料。
草案雖未完全排除境外數據調取,但嚴格限制範圍:資料都是在香港設有辦公室的營運者能夠取得的(即營運者可以從香港接達而獲取的)。
簡言之,這一設計明確了條例草案不具有域外效力,既維護國家安全,又降低了跨國企業合規負擔。
最後,保護關鍵基礎設施立法相當有必要,不少地區都已經有相關法規,香港的條例草案亦參考了其他司法管轄區的立法方向。
當今科技發展日新月異、國際形勢複雜多變,一旦關鍵基礎設施的運作因其電腦系統受到網絡攻擊而被干擾,極可能產生連鎖效應,嚴重危害經濟、民生和公共安全。因此,不少地區都已經有相關法規去保護關鍵基礎設施。
例如美國,早在2015年就已經通過《網絡安全信息共享法》(Cybersecurity Information Sharing Act,CISA)。CISA允許美國政府、科技公司與製造公司分享個人資訊,特別是與網絡安全威脅有關的案件,替聯邦機構建立一個系統以從民營企業接收威脅資訊,且可免除這些企業在隱私與反壟斷法的法律責任。2022年,參議院又通過了新的網絡安全法案,法案修改了機構向國會報告網絡事件的門檻,並賦予美國網絡安全和基礎設施安全局更多權力,確保美國能夠反擊網絡犯罪分子和外國對手,令該局成為關鍵基礎設施營運商和民間機構的溝通渠道,回應並負責協助他們恢復重大網絡漏洞且減輕黑客攻擊對營運的影響。
香港的條例草案參考了其他司法管轄區的立法方向,包括中國內地、澳門特區、澳洲、歐盟、新加坡、英國和美國,由此制定一套適合香港的監管模式,兼具強制性與靈活性。
總括而言,條例草案通過施加法定要求,明確「關鍵基礎設施運營者」需採取適當防護措施,將會大大降低因網絡攻擊導致必要服務被干擾或破壞的風險。
Ariel
** 博客文章文責自負,不代表本公司立場 **
