立法護基礎設施安全 料2026年生效

保安局早前就有關加強保護關鍵基礎設施電腦系統安全事宜進行諮詢，正考慮修訂立法框架部分內容，包括通報嚴重事故的時限由得悉事故後2小時，放寬至12小時內，至於其他事故則由24小時，放寬至48小時。保安局發言人表示，是理解到如出現事故，營運者已忙於處理；又重申受條例規管的大部分是大機構，中小企及一般市民不受影響，強調法案不涉及言論自由，條例亦不具域外效力。發言人續說，局方不針對系統內的個人資料和商業機密，只要求提供資料的營運者妥善履行保護其關鍵電腦系統的責任，並確保遇到事故時能作出有效評估，當局期望2025年上半年通過條例草案，條例2026年正式生效。

近年全球的關鍵基礎設施遭受惡意網絡攻擊的風險備受關注，一旦其電腦系統受干擾或破壞，會嚴重影響社會運作。行政長官李家超在2022年的《施政報告》宣布推動相關立法。保安局發言人表示，新法例建議涵蓋能源、銀行金融、醫療保健、資訊科技、通訊廣播，以及海陸空交通行業，大型體育或表演場地也包括在內。基建營運者要在港設立辦事處和電腦系統安全管理部門，定期評估風險，報告系統重大變化和參與電腦保安演習。
不涉言論自由不具域外效力

發言人表示，當局將設專責辦公室由一名隸屬保安局的專員，帶領來自數字政策辦公室和警務處的專家，指明「關鍵基礎設施營運者」及「關鍵電腦系統」，制訂《實務守則》，監察針對關鍵基礎設施的電腦系統保安威脅，協助營運者應對電腦系統保安事故及調查擬議條例下所訂定的罪行，以及調查電腦系統保安事故及擬議條例下所訂定的違規情況及罪行。

發言人指，在指明「關鍵電腦系統」時不會一併指明「關聯系統」，並予以刪除「關聯」一詞，因其未必精準反映定義「關鍵電腦系統」的考慮因素。就架構責任方面，發言人指移除營運者須報告變更關鍵基礎設施「擁有權」的規定。針對第三方服務供應商責任，發言人指在《實務守則》將提供完善履行「盡責查證」及「合理努力」的指引，為營運者在聘用服務提供者時訂定及履行合約提供參考。

就賦權在調查事故時可在關鍵電腦系統連接設備或安裝程式，局方發言人指，當局只會在營運者不願意或未能自行應對時，才會考慮向裁判官申請手令，因應必要性、適當性、相稱性及公眾利益，行使有關權力。
強調採取「機構為本」原則

當局7月展開為期一個月的諮詢工作，諮詢期至8月1日止，發言人指期間進行5場諮詢會，有近200名持份者出席，共收到53份意見書，其中52份支持立法。

另外，發言人表示條例只監管被指明的「關鍵基礎設施營運者」和「關鍵電腦系統」，強調會採取「機構為本」的原則，為了保安理由，當局將不公開「關鍵基礎設施營運者」名單，避免有「有心人」心術不正進行違法行為。
最高罰款50萬至500萬元

對於違例者可判處最高罰款50萬元至500萬元不等，個別罪行亦會就持續違法行為處以額外的每日罰款，最高可達10萬元。

局方發言人指，當局參考世界各國的經驗，指條例之目的初心是促使營運者加強保障他們的電腦系統安全，強調並非懲罰營運者，相信現時罰則已有阻嚇性。