發佈時間:13:15 2024-06-26
近期連續發生多宗公私營機構電腦系統被黑客入侵的事件。為了提高關鍵基礎設施網絡安全的保護水平,保安局昨天向立法會提交了文件,計劃啟動《保障關鍵基礎設施(電腦系統)條例草案》的立法。該草案旨在規管涉及能源、資訊科技、銀行和金融服務等領域的「關鍵基礎設施營運者」和「關鍵電腦系統」。相關機構的營運者將需要制定安全計劃,堵塞可能存在的安全漏洞。如果有關人士不履行法定責任,最高罰款可達500萬元,並可能面臨額外的每日罰款。
草案列出了兩大類關鍵基礎設施,分別是「在香港提供必要服務的基礎設施」和「其他維持重要的社會和經濟活動的基礎設施」。其中「在香港提供必要服務的基礎設施」包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健以及通訊和廣播等八個領域;而「其他維持重要的社會和經濟活動的基礎設施」則包括大型體育和表演場地、科研園區等。
保安局將設立專責辦公室來監督這些關鍵基礎設施。該辦公室將制定《實務守則》,提供建議,監察關鍵基礎設施的電腦系統安全威脅,協助處理保安事故,調查和跟進營運者的違規情況,並在政策制定和事故處理方面與政府資訊科技總監辦公室、警方網絡安全及科技罪案調查科(網罪科)以及香港電腦保安事故協調中心等不同政府部門和專家協調合作。此外,專責辦公室還可以向關鍵基礎設施營運者發出書面指示,以堵塞可能存在的安全漏洞。然而,只有明確列出的關鍵基礎設施營運者需要履行法定責任,而且當局將僅公開必要服務的領域名稱,而非關鍵基礎設施營運者的具體名單。
對於不履行法定責任的關鍵基礎設施營運者,包括不遵從專責辦公室的書面指示、法定調查權力的要求,以及不遵從專責辦公室關於提供與關鍵基礎設施安全相關的資訊和報告的要求,將面臨最高罰款可達500萬元。此外,他們還可能面臨每日罰款,直到他們遵守法定責任為止。
政府強調擬議條例的主要範圍將集中在大型機構,不會對中小企業和一般市民產生影響。擬議條例僅要求「關鍵基礎設施營運者」承擔保護其「關鍵電腦系統」的責任,不涉及個人資料和業務內容的規管。法定責任的目的是建立基本要求,使「關鍵基礎設施營運者」能夠根據其需求和特點,建立和增強保護其電腦系統安全能力的措施。
保安局局長鄧炳強在社交媒體上也強調,這項提議的條例並不針對個人,而是針對大型機構,不會侵犯個人隱私權,因此不會影響市民在使用電腦和網絡方面的自由。保安局將透過不同的渠道向市民清楚解釋有關條例的內容。
