立法护基础设施安全 料2026年生效
2024-10-03 00:00保安局早前就有关加强保护关键基础设施电脑系统安全事宜进行谘询,正考虑修订立法框架部分内容,包括通报严重事故的时限由得悉事故后2小时,放宽至12小时内,至于其他事故则由24小时,放宽至48小时。保安局发言人表示,是理解到如出现事故,营运者已忙于处理;又重申受条例规管的大部分是大机构,中小企及一般市民不受影响,强调法案不涉及言论自由,条例亦不具域外效力。发言人续说,局方不针对系统内的个人资料和商业机密,只要求提供资料的营运者妥善履行保护其关键电脑系统的责任,并确保遇到事故时能作出有效评估,当局期望2025年上半年通过条例草案,条例2026年正式生效。
近年全球的关键基础设施遭受恶意网络攻击的风险备受关注,一旦其电脑系统受干扰或破坏,会严重影响社会运作。行政长官李家超在2022年的《施政报告》宣布推动相关立法。保安局发言人表示,新法例建议涵盖能源、银行金融、医疗保健、资讯科技、通讯广播,以及海陆空交通行业,大型体育或表演场地也包括在内。基建营运者要在港设立办事处和电脑系统安全管理部门,定期评估风险,报告系统重大变化和参与电脑保安演习。
不涉言论自由不具域外效力
发言人指,在指明「关键电脑系统」时不会一并指明「关联系统」,并予以删除「关联」一词,因其未必精准反映定义「关键电脑系统」的考虑因素。就架构责任方面,发言人指移除营运者须报告变更关键基础设施「拥有权」的规定。针对第三方服务供应商责任,发言人指在《实务守则》将提供完善履行「尽责查证」及「合理努力」的指引,为营运者在聘用服务提供者时订定及履行合约提供参考。
就赋权在调查事故时可在关键电脑系统连接设备或安装程式,局方发言人指,当局只会在营运者不愿意或未能自行应对时,才会考虑向裁判官申请手令,因应必要性、适当性、相称性及公众利益,行使有关权力。
强调采取「机构为本」原则
当局7月展开为期一个月的谘询工作,谘询期至8月1日止,发言人指期间进行5场谘询会,有近200名持份者出席,共收到53份意见书,其中52份支持立法。
另外,发言人表示条例只监管被指明的「关键基础设施营运者」和「关键电脑系统」,强调会采取「机构为本」的原则,为了保安理由,当局将不公开「关键基础设施营运者」名单,避免有「有心人」心术不正进行违法行为。
最高罚款50万至500万元
对于违例者可判处最高罚款50万元至500万元不等,个别罪行亦会就持续违法行为处以额外的每日罚款,最高可达10万元。
局方发言人指,当局参考世界各国的经验,指条例之目的初心是促使营运者加强保障他们的电脑系统安全,强调并非惩罚营运者,相信现时罚则已有阻吓性。
關鍵字
最新回应