保安局局長在立法會保安事務委員會會議就加強保護關鍵基礎設施電腦系統安全──建議立法框架開場發言(只有中文)
**************************************************
代主席、各位委員:
今日,我向各位簡介加強保護「關鍵基礎設施」電腦系統安全的建議立法框架。
立法背景及條例目的
「關鍵基礎設施」是維持社會正常運作和市民正常生活必需的設施。一旦其電腦系統受干擾或破壞,會嚴重影響社會運作。事實上,全球的「關鍵基礎設施」都有遭受惡意網絡攻擊的風險,近年亦發生過一些重大影響的事故。
所以,行政長官在二○二二年《施政報告》已宣布會推動相關立法。我們自去年起已開始諮詢業界,大家一致認同維護電腦系統安全是社會各界的共同責任,原則上支持立法。今次的建議亦採納了業界很多相關意見。
條例原則
首先,我想說說今次立法的四大原則:
第一,我們參考了其他司法管轄區的立法方向,去制訂一套適合香港的監管模式。
第二,規管對象主要是維持香港社會必需服務的「關鍵基礎設施營運者」;換言之,絕大部分會是大規模機構,中小企與一般市民均不受影響。
第三,條例絕不涉及系統內的個人資料和業務內容,與監察系統完全無關。
第四,條例之目的是促使營運者加強保障他們的電腦系統安全,而並非懲罰營運者。所以如有違法行為,只會向機構罰款。但如個人涉及觸犯現行刑事法例,例如虛假陳述或行使假文件等,涉事人員可能要自己負上刑責。
條例涵蓋範圍
「關鍵基礎設施」將分為兩類:第一類是在香港提供必要服務的基礎設施,涵蓋八個界別,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播;第二類是其他維持重要社會和經濟活動的基礎設施。只有被指明為「關鍵基礎設施營運者」的機構以及其「關鍵電腦系統」才會受條例規管。
條例不會涵蓋由政府提供的必要服務,因為政府內部已經有一套詳盡的《政府資訊科技保安政策及指引》,要求的水平與條例相若,再加上政府人員會受到《公務員守則》規管,因此無須將政府部門納入條例規管。
法定責任
條例列明「關鍵基礎設施營運者」的責任,分別為架構、預防以及事故通報及應對三大類。
架構方面,營運者要在香港設有地址和辦事處,報告擁有或營運權的變更,設立電腦系統安全管理部門並委任專責主管。
預防方面,營運者要報告「關鍵電腦系統」的重大變化,制訂並實施電腦系統保安管理計劃,定期進行風險評估和審計,以及確保即使聘用第三方服務提供者,其「關鍵電腦系統」仍符合法定要求。
至於事故通報及應對方面,營運者要定期參與電腦系統保安演習,訂定應急計劃,並在指定時間內報告有關「關鍵電腦系統」的保安事故。
專責辦公室及指定監管機構
參考了其他司法管轄區的情況,為妥善執行條例,我們建議成立一個隸屬保安局的專責辦公室,由行政長官委任一名專員帶領,主要職能包括指明「關鍵基礎設施營運者」及「關鍵電腦系統」、制訂《實務守則》及發出書面指示、監察針對「關鍵基礎設施」的電腦系統保安威脅、協助營運者應對電腦系統保安事故、調查跟進違規情況,以及協調不同政府部門制訂(政策)和處理事故等。
由於銀行和金融服務以及通訊和廣播這兩個界別,已經分別受金融管理局和通訊事務管理局監管,我們建議把這兩個機構作為「指定監管機構」,按照現時監管方式,規管其行業下部分「關鍵基礎設施營運者」,去履行架構和預防兩方面的責任,讓營運者無須滿足兩套要求。不過由於「指定監管機構」並無應對的設置,所以相關營運者依然需要向專責辦公室履行事故通報及應對的責任。
罪行及刑罰
條例所訂定主要罪行包括不履行法定責任、不遵從專責辦公室發出的書面指示及調查權力等。違者可判處最高罰款港幣50萬元至500萬元不等,個別罪行亦會就持續違法行為處以額外的每日罰款。
《實務守則》
此外,除主體法例外,專責辦公室亦可發出《實務守則》,在法例要求基礎上作出建議標準,協助營運者滿足法例要求。
下一步工作
我們會在今日會議後再次諮詢業界,目標在二○二四年內向立法會提交立法草案。
結語
我們希望事務委員會支持立法建議,我和團隊非常樂意回答委員提出的問題。多謝代主席。
完
2024年7月2日(星期二)
香港時間15時56分
香港時間15時56分