獨家｜港研「網絡安全法」 訂數據保障準則

網絡「襲擊」發生，隨時震動經濟、金融市場，甚至國家安全。本報獲悉，港府正研究是否訂立「網絡安全法」，加強保障本港網絡資訊系統及重要基礎設施資訊系統運作安全。據了解，研究方向包括考慮要求營運者或供應商等制定網絡訊息數據資料保障準則，防範網絡受襲或資料外泄，配合應變計畫、事故呈報機制，並應確保設施不會受到其他干擾或破壞等；根據內地相關法例，則要求重要資訊基礎設施的營運者，在國內營運所收集的訊息和數據資料，應當在境內存儲，香港方面未知會否考慮採納。據知，政府會參考不同國家相關網絡安全法例，仔細研究，在未來如有定案，擬再安排諮詢。

在現今科技世界，網絡一旦受黑客入侵攻擊，甚至有外部勢力干預，去針對政府機構、重要基礎建設，後果嚴重。美國、新加坡等海外國家，早已訂立相關網絡安全法例；全國人大常委會亦在二○一六年十一月，表決通過《中華人民共和國網絡安全法》，於一七年六月起正式實施，而澳門的《網絡安全法》則自一九年十二月下旬生效。

本報獲悉，政府正研究需否訂立「網絡安全法」助穩定社會，由跨政策局負責，旨在從宏觀層面保障本港網絡資訊系統安全，包括一些重要基礎設施，例如政府機構、金融機構、電訊設施、水電煤及公共交通設施等，確保其資訊系統運作安全，非只著眼於個人行為。

據了解，政府會循多方面進行研究，先行檢視現行保障網絡安全工作，再探討如何作出規範填補不足，消除網絡安全隱患。例如，電訊商或服務供應商、提供者等，需要處理大量訊息和資料數據，如在本地立法加強規範，研究方向擬考慮要求制定保護準則，保密訊息數據，防止外泄，或給其他人或其他國家竊取這些資料作非法用途。同時，按風險評估，可研究要求應制定應變計畫，一旦遇事能及時作出補救，以及設立呈報機制，遇事後必須通報當局，替代自願申報。日後上述各類應對方案制定後，需否預先提交政府檢視效用，政府亦會進行研究。

有鑑於重要基礎建設包括電訊網絡基礎設施等，是香港經濟及社會命脈，料政府將研究考慮是否要求持有人需確保設施不受干擾或破壞等。

目前，不少在香港運作的網站，其伺服器及資料儲存一般在外地，如果涉及罪行發生，警方申請搜查令後，電訊商、服務供應商或提供者可藉有關資料不受他們管理為由而拒絕提供。

本報翻查《中華人民共和國網絡安全法》，其中第三十七條列明：「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。」據悉，現階段政府研究中，未知會否考慮要求電訊商服務供應商等在香港營運涉及和取得的訊息、資料數據，需儲存在本地。

據知，政府進行立法研究時，將探討罰則安排。

據了解，政府正參考外國相關網絡安全法例，亦明白一旦本地立法影響巨大，故會仔細研究處理，計畫在未來做諮詢，初步預期最快在明年中以後才進行，意味今屆政府任期內難以完成處理工作。