政府提出保障關鍵基礎設施立法 機構營運者須制定安全計劃 違者最高罰款500萬

更新時間:19:37 2024-06-25
發佈時間:19:37 2024-06-25

近期公私營機構電腦系統接連被黑客入侵。為提升對關鍵基礎設施網絡安全的保護,保安局今天(25日)向立法會提交文件,表示計劃啟動《保障關鍵基礎設施(電腦系統)條例草案》立法,規管「關鍵基礎設施營運者」及「關鍵電腦系統」,如能源、資訊科技、 銀行和金融服務,相關機構營運者要制定安全計劃,堵塞可能出現的保安漏洞,如果有關人士不履行法定責任,最高刑罰為罰款500萬元,持續違法行為則會處以額外的每日罰款。 

涵蓋科技金融交通八界別

條例列出關鍵基礎設施,分為兩大類,分別為「在香港提供必要服務的基礎設施」,以及「其他維持重要的社會和經濟活動的基礎設施」。當中「在香港提供必要服務的基礎設施」,涵蓋八個提供必要服務的界別的基礎設施包括能源、資訊科技、 銀行和金融服務、陸上交通、 航空交通、海運、醫療保健以及通訊和廣播;「其他維持重要的社會和經濟活動的基礎設施」則包括大型體育及表演場地、科研園區等。 

持續違法將處以每日罰款 

有關關鍵基礎設施將由保安局的新設專責辦公室負責監督。該辦公室會制定《實務守則》,就「關鍵基礎設施營運者」 應採取的措施提供建議、監察針對關鍵基礎設施的電腦系統保安威脅、協助「關鍵基礎設施營運者」應對電腦系統保安事故、調查及跟進「關鍵基礎設施營運者」違規情況、協調不同政府部門及專家,例如政府資訊科技總監辦公室、警方網絡安全及科技罪案調查科 (網罪科)及香港電腦保安事故協調中心等, 在制定政策及指引和處理事故方面的工作,以及向「關鍵基礎設施營運者」發出書面指示,以堵塞可能出現的保安漏洞。不過,只有被明確指明的「關鍵基礎設施營運者」方需要履行法定責任,當局亦只會列出必要服務的界別名稱,而不公開「關鍵基礎設施營運者」 的名單。 

鄧炳強facebook圖片
鄧炳強facebook圖片

如「關鍵基礎設施營運者」不履行法定責任,「關鍵基礎設施營運者」不遵從專責辦公室發出的書面指示,不遵從專責辦公室按法定調查權力提出的要求, 以及不遵從專責辦公室就提供與關鍵基礎設施有關的資料的要求。 違者可處最高罰款港幣50萬元至500萬元不等,經法庭審訊而定,個別罪行也會就持續違法行為處以額外的每日罰款。 

鄧炳強:只規管大型機構

政府強調擬議條例絕大部分受規管的會是有規模的大機構,中小企及一般市民均不受影響,擬議條例只會要求「關鍵基礎設施營運者」承擔 起保護其「關鍵電腦系統」的責任,絕不涉及系統內的個人資料和業務內容;以及法定責任旨在設立基線要求,讓「關鍵基礎設施 營運者」可在此基礎上,根據各自的需要和特點, 建立和加強保障其電腦系統安全的能力。 

保安局局長鄧炳強亦在社交專頁強調,今次建議的條例並不針對個人,只規管大型機構,不會涉及個人私隱,所以並不影響市民大眾使用電腦及網絡的自由,保安局將會透過不及渠道向市民清楚解釋相關條例。

記者:林彥汛