政府立法保护「关键基础设施电脑系统」 通报严重事故放宽至12小时 料年底交立会审议

近年全球的「关键基础设施」遭受恶意网络攻击的风险，一旦其电脑系统受干扰或破坏，会严重影响社会运作。行政长官李家超在2022年的《施政报告》已宣布推动相关立法。保安局今日（2日）在政府总部举行背景简介会，局方发言人表示，因应谘询期间的主要意见，积极考虑多项优化措施，包括通报严重事故的时限由得悉事故后2小时内放宽至12小时内，其他事故由24小时内放宽至48小时内，条例预料今年年底提交立法会审议，期望2025年上半年通过条例草案，当局会在草案通过后一年内将成立专责办公室，料2026年条例会正式生效，并分阶段指明营运者。

通报严重事故时限由得悉事故后2小时内  放宽至12小时

保安局发言人表示，当局7月展开为期一个月的谘询工作，谘询期至8月1日止，发言人指期间进行5场谘询会，近200名持分者出席，共收到53份意见书，其中52份支持立法，唯一反对来自英国人权组织以保障言论自由为名反对，政府已随即作出反驳。另外，发言人表示，条例只监管被指明的「关键基础设施营运者」和「关键电脑系统」，强调会采取「机构为本」的原则，为了保安理由，当局将不公开「关键基础设施营运者」的名单。

保安局局长邓炳强早前表示，政府将立法保护关键基础设施电脑系统安全。叶伟豪摄

邓炳强早前表示，政府将立法保护关键基础设施电脑系统安全。叶伟豪摄

保安局就议题进行5场谘询会，共收到53份意见书，其中52份支持立法。资料图片

保安局将设专责办公室处理。资料图片

保安局优化措施，通报严重事故的时限由得悉事故后2小时内放宽至12小时内。资料图片

重申条例不具域外效力

发言人表示，当局将设专责办公室，由一名隶属保安局的专员带领来自数字政策办公室和警务处的专家，指明「关键基础设施营运者」及「关键电脑系统」，制定《实务守则》，监察针对关键基础设施的电脑系统保安威胁，协助营运者应对电脑系统保安事故及调查拟议条例下所订定的罪行，以及调查电脑系统保安事故及拟议条例下所订定的违规情况及罪行。

发言人强调法案不涉及言论自由，重申条例不具域外效力，认为要求关键基础设施营运者提交的资料都是在香港设有办公室的营运者可以取得。发言人续说，局方不针对系统内的个人资料和商业机密，只会要求提供资料是要营运者妥善履行保护其关键电脑系统的责任，并确保遇到事故时，能作出有效评估。

就赋权在调查事故时可在关键电脑系统连接设备或安装程式，局方发言人指，当局只会在营运者不愿意或未能自行应对时，才会考虑向裁判官申请手令，因应必要性、适当性、相称性及公众利益，行使有关权力。

另外，发言人表示，在指明「关键电脑系统」时，不会一并指明「关联系统」，并予以删除「关联」（interconnected）一词，因其未必精准反映定义「关键电脑系统」的考虑因素。就架构责任方面，发言人指移除营运者须报告变更关键基础设施「拥有权」的规定。针对第三方服务供应商责任，发言人指在《实务守则》将提供完善履行「尽责查证」及「合理努力」的指引，为营运者在聘用服务提供者时订定及履行合约提供参考。

局方：机构反映2小时内仍在处理事情

被问及通报严重事故的时限由得悉事故后2小时内放宽至12小时内，时间上会否太迟？局方发言人，有业界人士反映2小时内通报有商榷空间，指大部分机构仍处理事情，故放宽至12小时内决定合适，又认为亦可以口头、电邮方式通报。

对于违者可判处最高罚款港币50万元至500万元不等，个别罪行亦会就持续违法行为处以额外的每日罚款，最高可达10万元。被问及罚则是否合适。局方发言人指，当局参考世界各国的经验，指条例之目的初心是促使营运者加强保障他们的电脑系统安全，强调并非惩罚营运者，相信现时罚则已有阻吓性。

记者：黄子龙