政府拟立法保护关键基础设施 邱达根:电子支付也应考虑纳入规管
2024-06-27 11:01 
政府拟立法保护关键基础设施电脑系统,有关机构不履行法定责任,最高刑罚为罚款500万元。科技创新界立法会议员邱达根表示,电子支付应考虑包含在规管范围内。
2小时内通报做法合理
对于关键基础设施的定义是否清晰,邱达根今早(27日)在电台节目表示,相信如医院、公共交通及银行等大机构,若电脑系统停顿或受攻击会对社会、经济及民生有较大影响及损失,立法规管范围应该涉及较大的公共机构。至于范围有多大,稍后在立法会再讨论8个界别具体涵盖哪些机构,据其理解对一般中小企应该不会有影响。
他又称,相对而言银行一般在网络安全及数据保护上,已做了很多这方面工作,金管局都有相关金融业指引。但其他机构如通讯,海事、海运及航空等机构,就可能需要再定下规则,清楚定下边界哪些需要做或不需做,如有否经常找第三方进行测试系统等。
被问及电子支付需否涵盖在内,邱达根指,电子支付已成为生活中一部分,他个人认为应考虑包含在内。至于海运,或通讯业亦关连到很多的使用者,但本身规模并非庞大,或只属中型机构,但亦会牵涉到民生使用者时,政府或者可以提供资助或技术协助等。
法例政府建议若出现严重电脑系统保安事故,例如对关键基础设施的正常功能造成重大影响,或导致个人资料等数据大量外泄,要在得悉事件发生后2小时内,向专责办公室通报,或在得悉其他电脑系统保安事故发生后24小时内通报等。邱达根认为,做法合理,认同要尽快通报,尤其涉及大型基础设施,他举例内地类似法例亦有相同要求,甚至要求在1小时内通报,而美国亦有直接通报机制。
方保侨关注通报过程透明度及实际运作情况
香港资讯科技商会荣誉会长方保侨在同一节目表示,支持立法。但他更关注,若立法后这些机构用什么手法处理,通报过程的透明度及实际运作情况等。
方保侨表示关注哪些机构会纳入范围,而这些公司是否有能力去配合。他认为立法原则上无问题,但机构在执行时,有可能为配合法例「做多了」,反而侵犯了市民私隐,所以设施的负责人在执行法例时,要很小心,以免为合符法例而凌驾了其他法例或侵犯了个人私隐。
在预防事故方面,政府建议要求营运者至少每年一次进行电脑系统保安风险评估;至少每两年一次参与电脑系统安全演习,并须制定应急计划。方保侨认为,这要求机构应不难达到,只是成本问题,正如保安审计及检查,如验身般验得越密当然越好,至少每年做一次保安风险评估,每两年做一次核实是最基本要求。
最新回应