警队专家小组倡尽快立法规管

当香港人正习惯一机在手，过着指尖上的智慧城市生活时，内地和多国已推行或试行无人驾驶的士、无人机送外卖、全实名电子支付、智能城市管理等。当各国近年致力发展智慧城市以提升大众生活质素、推动经济发展、优化城市管理的时候，香港距离另一层次的智慧城市生活有多远？智慧城市的建设又会带来甚么网络安全威胁？ 
就此，香港警务处与十二位来自不同界别的专家及领袖成立的科技罪案警政顾问小组（「顾问小组」）于六月下旬举行了第三次会议，探讨如何就智慧城市相关的网络安全挑战做好准备。
智慧城市何以「智慧」?

智慧城市的「智慧」在于透过资讯及通讯科技（ICT）（例如物联网、人工智能、大数据、5G流动网络、云计算及区块链技术等）连接各种系统及服务，收集大量数据进行分析，以寻找合适方案以提升城市营运效率及即时回应市民的需要，从而改善生活质素。举例说，透过互联网连接人车流量监测系统和交通灯，并按照道路使用量调节行人过路时间，可减低停车等候时间和节省能源，亦有助于处理塞车问题及改善市区空气质素、规划街道及车位等；工厂内控制生产设备的操作技术（OT）设备（例如感应器、控制器等）连接至云端，让管理员实时遥距监控设备运作情况，既能增加营运效益，亦可减省人手，应对人口老化及劳动人口不足的问题。
香港发展智慧城市近况

本港政府早于2017年公布《香港智慧城市蓝图》，就「智慧出行」、「智慧生活」、「智慧环境」、「智慧市民」、「智慧政府」及「智慧经济」六个范畴提出多项措施，当中的数码基建项目包括「转数快」系统、「智方便」数码服务平台及增加公共Wi-Fi热点等。至2020年政府公布《香港智慧城市蓝图2.0》，提出130项措施，继续优化及扩大现行城市管理工作及服务。
三大网络安全挑战

顾问小组认为智慧城市把不同公共服务和基础设施整合，当中涉及收集、传输、处理、储存海量数据，这些智慧基建设施的资讯科技（IT）和操作技术（OT）系统往往会吸引来自全球各地的黑客和不法分子觊觎，发动网络攻击，包括盗取敏感资料、恶意破坏，严重甚至影响国家安全。顾问小组总结了以下三大网络安全威胁：
一．泄露个人资料

智慧城市的智能系统可透过物联网装置、手机应用程式等收集数据，例如市民出行习惯、消费记录、身体情况、医疗记录等敏感资料，储存在电脑系统进行分析并有机会透过共享数据及应用程序接口（API）与其他系统交换数据。有部分收集到的资料会经过匿名化处理，但有部分仍属敏感资料。敏感资料一旦被黑客盗取、人为泄漏，或因系统漏洞、错误设置等导致意外流出，便有可能被不法分子用作非法用途，包括诈骗、勒索、身份盗用、盗窃财产。试想像一下，今天黑客入侵一般市民家中的IP镜头窥视用户一举一动，并收集人脸和声纹，透过深伪技术进行换脸换声视频诈骗已非天方夜谭，黑客未来还可如何进一步利用公众的敏感资料？
二．瘫痪基建设施

智慧城市把基建设施与资讯系统深度融合，透过互联网连成一体。当原本独立运行的设备连接上网，便有机会被黑客入侵。黑客轻则操控或干扰智能公共系统（例如交通管理系统），导致交通混乱，影响市民出行；重则攻击重要基础设施（例如发电厂、水务系统、数码货币系统等），直接瘫痪城市。
三．威胁国家安全

近年全球政治局势动荡，应对网络战争和资讯战争成为国家安全战略的议题。除了传统的网络间谍活动（经典例子是近年为港人所知的斯诺登事件），近年相继涌现各种国家级网络攻击，例如透过恶意软件入侵和分散式阻断服务 （DDoS） 攻击，威胁各国政府的运作。香港在2014年非法占中和2019年黑暴中，亦曾经有黑客组织号召攻击香港政府的资讯系统，企图瘫痪政府运作。

顾问小组认为智慧城市走向万物联网（Internet of Everything）属大势所趋。但面对日新月异的网络威胁，本港需要订立多方位网络安全策略以面对转型为智慧城市的挑战，当中完善网络安全法制及相关电脑罪行、研究数据共享机制等实属逼在眉睫。
制定网络安全法 保护基础设施

智慧城市必须依靠网络支持系统及讯息的互通，故此提升本港关键基础设施的网络安全是确保社会日常运作正常的重要一环。本港如要建设智慧城市，首先需要尽快制定网络安全法，厘订关键设施营运者（如交通、能源、通讯、金融行业等）的网络安全责任，例如规定营运者采取保安措施以侦测、堵截和抵御各种网络安全威胁、提升企业网络安全管治水平作为发牌条件等。试想像今年初及去年有电力公司因失火事故而导致多区大停电、交通灯失灵等，假如黑客入侵电力系统影响供电，足以瘫痪本港经济活动。
加强保护个人及敏感资料

对于涉及敏感资料收集、储存、处理的系统，政府可考虑订立类似内地《网络安全等级保护》制度，按照系统若果受破坏，对公众、社会秩序、国家安全可能构成的损害程度，制定不同等级的保护要求。

顾问小组亦建议立法对违规或泄露敏感资料的企业采取强而有力的罚则。私隐专员去年就审视有企业互相使用旗下品牌客户的个人资料，以及数据库遭勒索软件攻击事件时亦坦言，现时《个人资料（私隐）条例》（「私隐条例」）的相关罚则阻吓力不足，例如就违反专员发出的执行通知，最高只可被判罚款五万元港币及监禁两年。相比违反欧盟《通用资料保护规则》，违者可判高达全球年营业额4%的罚款、违反内地《个人信息保护法》规定者最高可被罚款人民币五千万元，或上一年度营业额的5%，并可被责令停业整顿、吊销相关业务许可或营业执照等，私隐条例的罚则或有检视的空间。
订立网络罪行法例

本港现时针对网络罪行的法例主要是实施多年的《刑事罪行条例》的「有犯罪或不诚实意图而取用电脑」、「摧毁或损坏财产」及《电讯条例》的「藉电讯而在未获授权下取用电脑资料」。然而，有关法例并不能针对打击新型的网络犯罪活动，例如管有网络攻击工具或恶意软件等。虽然法律改革委员会电脑网络罪行小组委员会正就「依赖电脑网络的罪行及司法管辖权事宜」制定新法例，覆盖（一）依赖电脑网络的罪行及司法管辖权事宜、（二）借助电脑网络的罪行及（三）处理证据事宜及执法（程序）事宜，整个立法程序仍需时甚长。顾问小组建议政府加快立法，有效规管网上平台的犯罪活动，例如规定平台必须保存数据不少于指定期限，赋予执法机构权力要求网络服务供应商提交记录、移除非法内容等，以便执法机构进行蒐证。
优化数据共享平台

完善数据共享机制是打通智慧城市「任督二脉」的关键，当中政府需要主导订立法规、标准化数据制式和建构数据共享生态，企业和民间组织方能从中制造价值。以新加坡为例子，当地的「可信任资料框架」设有沙盒机制让企业在有条件下豁免法规限制使用及分享资料，政府亦有详细指引列明企业在甚么情况下能共享数据、如何制定数据格式便利使用、与其他企业订立数据共享协议时的考虑等。

此外，当地政府亦为整个城市在虚拟空间建立「数码分身」，让公众参与城市规划和管理。顾问小组建议政府借镜以上措施，为共享数据制造便利和合规的空间。

在全球数码转型的趋势下，香港正按照蓝图发展成为智慧城市。维护网络安全可谓发展智慧城市的「定海神针」，本港应以完善法制和规范智能装置作为首要任务。

除此以外，本港亦应循多方位培育和留住网络安全人才，并提升大众的数码素养及网络安全意识，并在规划智慧城市发展时，要同时考虑相关的基建配套及数据中心的保护，方能充分把握智慧城市带来的机遇和为香港缔造可持续发展的未来。