政府提出保障關鍵基礎設施立法 機構營運者須制定安全計劃 違者最高罰款500萬

近期公私營機構電腦系統接連被黑客入侵。為提升對關鍵基礎設施網絡安全的保護，保安局今天（25日）向立法會提交文件，表示計劃啟動《保障關鍵基礎設施（電腦系統）條例草案》立法，規管「關鍵基礎設施營運者」及「關鍵電腦系統」，如能源、資訊科技、 銀行和金融服務，相關機構營運者要制定安全計劃，堵塞可能出現的保安漏洞，如果有關人士不履行法定責任，最高刑罰為罰款500萬元，持續違法行為則會處以額外的每日罰款。 

涵蓋科技金融交通八界別

條例列出關鍵基礎設施，分為兩大類，分別為「在香港提供必要服務的基礎設施」，以及「其他維持重要的社會和經濟活動的基礎設施」。當中「在香港提供必要服務的基礎設施」，涵蓋八個提供必要服務的界別的基礎設施包括能源、資訊科技、 銀行和金融服務、陸上交通、 航空交通、海運、醫療保健以及通訊和廣播；「其他維持重要的社會和經濟活動的基礎設施」則包括大型體育及表演場地、科研園區等。 

持續違法將處以每日罰款 

有關關鍵基礎設施將由保安局的新設專責辦公室負責監督。該辦公室會制定《實務守則》，就「關鍵基礎設施營運者」 應採取的措施提供建議、監察針對關鍵基礎設施的電腦系統保安威脅、協助「關鍵基礎設施營運者」應對電腦系統保安事故、調查及跟進「關鍵基礎設施營運者」違規情況、協調不同政府部門及專家，例如政府資訊科技總監辦公室、警方網絡安全及科技罪案調查科 （網罪科）及香港電腦保安事故協調中心等， 在制定政策及指引和處理事故方面的工作，以及向「關鍵基礎設施營運者」發出書面指示，以堵塞可能出現的保安漏洞。不過，只有被明確指明的「關鍵基礎設施營運者」方需要履行法定責任，當局亦只會列出必要服務的界別名稱，而不公開「關鍵基礎設施營運者」 的名單。 

鄧炳強facebook圖片

如「關鍵基礎設施營運者」不履行法定責任，「關鍵基礎設施營運者」不遵從專責辦公室發出的書面指示，不遵從專責辦公室按法定調查權力提出的要求， 以及不遵從專責辦公室就提供與關鍵基礎設施有關的資料的要求。 違者可處最高罰款港幣50萬元至500萬元不等，經法庭審訊而定，個別罪行也會就持續違法行為處以額外的每日罰款。 

鄧炳強：只規管大型機構

政府強調擬議條例絕大部分受規管的會是有規模的大機構，中小企及一般市民均不受影響，擬議條例只會要求「關鍵基礎設施營運者」承擔 起保護其「關鍵電腦系統」的責任，絕不涉及系統內的個人資料和業務內容；以及法定責任旨在設立基線要求，讓「關鍵基礎設施 營運者」可在此基礎上，根據各自的需要和特點， 建立和加強保障其電腦系統安全的能力。 

保安局局長鄧炳強亦在社交專頁強調，今次建議的條例並不針對個人，只規管大型機構，不會涉及個人私隱，所以並不影響市民大眾使用電腦及網絡的自由，保安局將會透過不及渠道向市民清楚解釋相關條例。

記者:林彥汛