參考英美等國,政府提出擬新法例,以保護關鍵基礎設施電腦系統安全,所涉基礎設施包括為香港提供必要服務,包括能源、交通等8個範疇,以及維持重要社會與經濟活動的基礎設施如大型場地。擬立條例訂明,基礎設施營運者有責任保障系統安全及通報事故,違者最高罰款50至500萬元不等。立法建議將於7月2日諮詢立法會保安事務委員會,及後諮詢業界一個月,於今年底前向立法會提交草案。

涵蓋兩2類基礎設施:8個必要服務及社經活動基建

目前,保安局、政府資訊科技總監辦公室(資科辦)及警務處已向立法會提交有關的立法建議文件,指出立法目的為加強關鍵基礎設施的電腦系統保安能力,減低本港的必要服務因網絡攻擊而被擾亂或破壞的可能,提升香港整體的電腦系統安全;立法內容參考英國、美國、澳洲及歐盟等地的做法及相關標準而定。

擬議條例下的關鍵基礎設施分兩類。第一類是在香港提供必要服務的基礎設施,涵蓋能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健及通訊和廣播共8個界別;第二類是維持重要的社會與經濟活動的基礎設施,例如大型體育或表演場地、科研園區等。

立法建議文件指出,條例的規管對象絕大部份是大機構,有關營運者負責維持社會的必要服務、或重要的社會與經濟活動,中小企及一般市民不受影響。

營運者須就架構、預防、事故通報及應對3方面負法定責任

文件建議,在「架構」、「預防」與「事故通報及應對」三方面,對關鍵基礎設施的營運者訂立法定責任,包括要求設立電腦系統安全管理部門,並由專責主管監管;至少每年一次進行電腦系統保安風險評估及;至少每兩年一次參與電腦系統安全演習,並須制定應急計劃;同時按事故嚴重性,在得悉事故發生的2小時或24小時內作出報告。文件說,擬議條例只要求營運者承擔保護關鍵電腦系統的責任,絕不涉及系統內的個人資料及業務內容,強調立法並非旨在懲罰營運者,罪行只針對機構,以罰款方式處理,不會在個人層面懲罰機構主管或員工。但如果涉及觸犯刑事法例,如虛假陳述、行使虛假文書或其他詐騙相關罪行,涉事者或要負上個人刑事責任。

部份行業由其業內的法定監管機構監管

政府建議成立一個隸屬保安局的專責辦公室負責執行法例。由特首委任一名專員帶領,辦公室成員來自警務處、資科辦等電腦安全專家,負責訂明誰為營運者及為關鍵電腦系統制定《實務守則》、有權進行調查及跟進違規情況等。

所涉行業方面,部份必要服務行業現時已受相關的法定行業監管機構全面規管,個別更有與電腦系統保安有關的指引;文件建議,這些監管機構可作為「指定監管機構」,在現有規管下,訂立最切合其行業的監管標準。

為確保政府的專責辦公室能掌握所有必要服務營運者的事故通報及應對情況,上述行業如若遇上電腦保安事故,除了向「指定監管機構」作出報告外,還必須向專責辦公室報告。專責辦公室也有權向這些行業營運者發出指示,以確保專責辦公室可全面監管香港整體關鍵基礎設施電腦系統的安全。

擬立法例的違例者可處最高罰款港幣50萬元至500萬元不等,個別罪行也會就持續違法行為而處以額外的每日罰款。條例有訂明上訴機制。

擬於今年底在立法會通過法案

有關立法建議將於7月2日諮詢立法會保安事務委員會,其後再諮詢業界一個月。保安局現已聯同律政司、資科辦及警務處進行條例草擬工作,擬於今年底前向立法會提交草案審議。政府計劃於條例通過後一年內成立專責辦公室,其後半年內讓法例正式生效。@

------------------

🏵️《九評》20周年
https://hk.epochtimes.com/category/專題/退黨大潮

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand