今年發生多宗大型機構和企業資料外洩事故。政府早前已表示有意就網絡安全立法,保安局向立法會提交了相關文件,建議條例暫名為《保障關鍵基礎設施(電腦系統)條例草案》,期望能加強保護關鍵基礎設施電腦系統安全。新立法框架底下基礎設施營運者須制定安全計劃,並在限時內通報任何保安事故。違規者最高可被罰款 500 萬元,持續違規者每日額外罰款 5 萬至 10 萬元。
草案提議的立法框架下「關鍵基礎設施」有 2 大類,分別是「在香港提供必要服務的基礎設施」,以及「其他維持重要的社會和經濟活動的基礎設施」。「在香港提供必要服務的基礎設施」涵蓋 8 個界別,包括能源、資訊科技、銀行及金融服務、交通、醫療保健、通訊及廣播,「其他維持重要的社會和經濟活動的基礎設施」則擴展至大型體育及表演場地和科研園區。
根據文件,營運者需遵守 3 大類法定責任,包括設立電腦系統安全部門、報告重大變化、制定保安管理計劃以及參與定期的保安演習。若未能履行這些責任,最高可被罰款 500 萬元,持續違規則每日額外罰款 5 萬至 10 萬元。
政府計劃年底將條例草案提交立法會審議。條例通過後 1 年內成立專責辦公室,由行政長官委任專員領導,協調警務處及資科辦專家進行調查,並跟進違規情況。金管局及通訊事務管理局也會規管相關行業。專責辦公室將負責監察和調查設施營運者的違規行為。保安局指出,條例的主要目標是加強關鍵基礎設施的電腦系統保安能力,減少因網絡攻擊而導致的服務中斷或破壞風險。專責辦公室也會與相關業界保持溝通,確保條例的實施不會對中小企業和市民產生不必要的影響。
據《信報》引述保安局局長鄧炳強在社交網站表示,草案僅針對機構,不涉及個人資料和業務內容。條例主要針對有規模的大機構,要求其在香港設有辦事處,並報告設施的擁有權和營運權變更。此外,營運者需制定電腦系統安全管理計劃,定期進行系統保安風險評估和審計,並參與保安演習。鄧炳強指,立法不會妨礙市民使用電腦及網絡自由。
政府將於下月展開為期 1 個月的業界諮詢,並計劃年底前將條例草案提交立法會審議。保安局、律政司、政府資訊科技總監辦公室及警務處已開展草擬工作。《商業電台》引述立法會議員葛珮帆表示,立法符合國際標準,並指出立法可讓營運者有法可依,減少推卸責任的可能性。葛珮帆強調,大部分受規管的機構都非常重視公司聲譽和誠信,相信罰款刑罰已具足夠阻嚇力。
圖片來源:RTHK