加强网络安全立法 须厘清营运者疑虑
2024-10-03 00:00 
草案提出成立专责办公室,负责监察8个界别的基础设施,包括能源、银行金融、资讯科技、医疗保险、海陆空交通、通讯广播、大型体育及表演场地、科研园区等,确保这些地点的电脑系统安全运作;其营运者要承担法律责任,包括每年进行一次电脑系统保安风险评估、发生事故后须通报,违者可被判罚款50万至500万元,个别罪行亦会就持续违法行为处以额外的每日罚款5万至10万元。
以罚则提高防范意识
当局推动关键基础设施网络安全立法,皆因近年电脑黑客恶意攻击肆虐,香港今年发生多宗大型公营机构和企业资料外泄并遭勒索事件,当中不少中招者均是没有遵守网络安全守则,例如容许员工将客户资料储存在云端上,或可随意将客户资料下载至随身装置,亦有公司的电脑系统没有足够的安全设施,也没定期更新系统,令当局认为有必要尽快立法规管关键基础设施营运者和关键电脑系统,通过巨额罚款逼使业界做好网络安全防护工作,并提高防范意识,避免资料外泄事件重演。
保安局收到53份意见书,绝大部分支持立法,只有一份来自英国人权组织以保障言论自由为由反对立法。当局强调,草案规管的是大机构,中小企和一般市民并不受影响,亦不针对个人资料和业务内容,个人不受刑责,罚款对象也是机构,因若关键基础设施电脑系统遭破坏,丧失功能,数据泄露,会对社会造成重大影响,厘定营运者法定责任,旨在让其尽责承担保护网络安全,减低影响民生机会。
尽管业界大多支持立法,但有意见指在发生严重事故后两小时内通报有困难,因营运者可能正忙于抢救,根本无暇通报。当局接纳相关意见,同意积极考虑将严重事故通报时限由2小时宽限至12小时,其他事故则由24小时放宽至48小时,让营运者有更多时间和空间处理,找出事故肇因是技术故障抑或网络攻击,才决定应否通报,而本法例只针对非法入侵。
为外判制订标准指引
至于当局考虑赋权专责办公室在关键电脑系统连接设备或安装程式,业界对此有所疑虑,担心专责办公室权力范围过大。当局澄清专责办公室的职能只是调查事故,只会在营运者不愿意或未能应对事故时,才会向法庭申请手令动用新法例赋予连接设备或安装程式的权力。当局厘清在甚么情况下才运用权力,有助释除业界疑虑。
很多大机构将电脑系统外判给第三方处理,以为外判工作便可外判责任,但保安局指出,假如外判商没履行法例规定即属违法,当发生事故时,营运商也需要负上刑责,难免令营运商忐忑不安。要消除业界疑虑,当局宜在制订实务守则时,与业界共同制订相关指引,让营运者聘用外判商时作参考,并根据指引去厘定和履行合约,有客观标准查证工作包括定期保安审计,发现事故时要求配合提供资料,免堕法网。
同时,很多大型公营机构本身已受相关法例监管,未来又多了专责办公室规管,出现双重监管之嫌。尽管当局表明不会公开受规管机构名单,但港铁作为主要铁路公司,相信是受规管之列。港铁列车现时延误31分钟须罚款100万元,并按累进方式罚款,上限为2500万元,将来若电脑系统受攻击而影响到列车运行,是否须同时两边受罚?当局宜与相关受规管机构磋商,厘清问题,让其知道是否需要增拨资源配合。
關鍵字
最新回应