加強網絡安全立法 須釐清營運者疑慮

保安局向立法會提交文件，對早前就《保障關鍵基礎設施（電腦系統）條例草案》的諮詢結果作出總結，並考慮修訂立法框架部分內容，確保草案能在年底前提交立法會，明年上半年獲通過。然而，在立法過程中，當局不但需要優化草案內容，還須與營運者溝通，釐清一些問題，以便草案能順利通過和落實。

草案提出成立專責辦公室，負責監察8個界別的基礎設施，包括能源、銀行金融、資訊科技、醫療保險、海陸空交通、通訊廣播、大型體育及表演場地、科研園區等，確保這些地點的電腦系統安全運作；其營運者要承擔法律責任，包括每年進行一次電腦系統保安風險評估、發生事故後須通報，違者可被判罰款50萬至500萬元，個別罪行亦會就持續違法行為處以額外的每日罰款5萬至10萬元。
以罰則提高防範意識

當局推動關鍵基礎設施網絡安全立法，皆因近年電腦黑客惡意攻擊肆虐，香港今年發生多宗大型公營機構和企業資料外洩並遭勒索事件，當中不少中招者均是沒有遵守網絡安全守則，例如容許員工將客戶資料儲存在雲端上，或可隨意將客戶資料下載至隨身裝置，亦有公司的電腦系統沒有足夠的安全設施，也沒定期更新系統，令當局認為有必要盡快立法規管關鍵基礎設施營運者和關鍵電腦系統，通過巨額罰款逼使業界做好網絡安全防護工作，並提高防範意識，避免資料外洩事件重演。

保安局收到53份意見書，絕大部分支持立法，只有一份來自英國人權組織以保障言論自由為由反對立法。當局強調，草案規管的是大機構，中小企和一般市民並不受影響，亦不針對個人資料和業務內容，個人不受刑責，罰款對象也是機構，因若關鍵基礎設施電腦系統遭破壞，喪失功能，數據洩露，會對社會造成重大影響，釐定營運者法定責任，旨在讓其盡責承擔保護網絡安全，減低影響民生機會。

儘管業界大多支持立法，但有意見指在發生嚴重事故後兩小時內通報有困難，因營運者可能正忙於搶救，根本無暇通報。當局接納相關意見，同意積極考慮將嚴重事故通報時限由2小時寬限至12小時，其他事故則由24小時放寬至48小時，讓營運者有更多時間和空間處理，找出事故肇因是技術故障抑或網絡攻擊，才決定應否通報，而本法例只針對非法入侵。
為外判制訂標準指引

至於當局考慮賦權專責辦公室在關鍵電腦系統連接設備或安裝程式，業界對此有所疑慮，擔心專責辦公室權力範圍過大。當局澄清專責辦公室的職能只是調查事故，只會在營運者不願意或未能應對事故時，才會向法庭申請手令動用新法例賦予連接設備或安裝程式的權力。當局釐清在甚麼情況下才運用權力，有助釋除業界疑慮。

很多大機構將電腦系統外判給第三方處理，以為外判工作便可外判責任，但保安局指出，假如外判商沒履行法例規定即屬違法，當發生事故時，營運商也需要負上刑責，難免令營運商忐忑不安。要消除業界疑慮，當局宜在制訂實務守則時，與業界共同制訂相關指引，讓營運者聘用外判商時作參考，並根據指引去釐定和履行合約，有客觀標準查證工作包括定期保安審計，發現事故時要求配合提供資料，免墮法網。

同時，很多大型公營機構本身已受相關法例監管，未來又多了專責辦公室規管，出現雙重監管之嫌。儘管當局表明不會公開受規管機構名單，但港鐵作為主要鐵路公司，相信是受規管之列。港鐵列車現時延誤31分鐘須罰款100萬元，並按累進方式罰款，上限為2500萬元，將來若電腦系統受攻擊而影響到列車運行，是否須同時兩邊受罰？當局宜與相關受規管機構磋商，釐清問題，讓其知道是否需要增撥資源配合。