保安局局长在立法会保安事务委员会会议就加强保护关键基础设施电脑系统安全──建议立法框架开场发言(只有中文)
**************************************************
代主席、各位委员:
今日,我向各位简介加强保护「关键基础设施」电脑系统安全的建议立法框架。
立法背景及条例目的
「关键基础设施」是维持社会正常运作和市民正常生活必需的设施。一旦其电脑系统受干扰或破坏,会严重影响社会运作。事实上,全球的「关键基础设施」都有遭受恶意网络攻击的风险,近年亦发生过一些重大影响的事故。
所以,行政长官在二○二二年《施政报告》已宣布会推动相关立法。我们自去年起已开始谘询业界,大家一致认同维护电脑系统安全是社会各界的共同责任,原则上支持立法。今次的建议亦采纳了业界很多相关意见。
条例原则
首先,我想说说今次立法的四大原则:
第一,我们参考了其他司法管辖区的立法方向,去制订一套适合香港的监管模式。
第二,规管对象主要是维持香港社会必需服务的「关键基础设施营运者」;换言之,绝大部分会是大规模机构,中小企与一般市民均不受影响。
第三,条例绝不涉及系统内的个人资料和业务内容,与监察系统完全无关。
第四,条例之目的是促使营运者加强保障他们的电脑系统安全,而并非惩罚营运者。所以如有违法行为,只会向机构罚款。但如个人涉及触犯现行刑事法例,例如虚假陈述或行使假文件等,涉事人员可能要自己负上刑责。
条例涵盖范围
「关键基础设施」将分为两类:第一类是在香港提供必要服务的基础设施,涵盖八个界别,包括能源、资讯科技、银行和金融服务、陆上交通、航空交通、海运、医疗保健、通讯和广播;第二类是其他维持重要社会和经济活动的基础设施。只有被指明为「关键基础设施营运者」的机构以及其「关键电脑系统」才会受条例规管。
条例不会涵盖由政府提供的必要服务,因为政府内部已经有一套详尽的《政府资讯科技保安政策及指引》,要求的水平与条例相若,再加上政府人员会受到《公务员守则》规管,因此无须将政府部门纳入条例规管。
法定责任
条例列明「关键基础设施营运者」的责任,分别为架构、预防以及事故通报及应对三大类。
架构方面,营运者要在香港设有地址和办事处,报告拥有或营运权的变更,设立电脑系统安全管理部门并委任专责主管。
预防方面,营运者要报告「关键电脑系统」的重大变化,制订并实施电脑系统保安管理计划,定期进行风险评估和审计,以及确保即使聘用第三方服务提供者,其「关键电脑系统」仍符合法定要求。
至于事故通报及应对方面,营运者要定期参与电脑系统保安演习,订定应急计划,并在指定时间内报告有关「关键电脑系统」的保安事故。
专责办公室及指定监管机构
参考了其他司法管辖区的情况,为妥善执行条例,我们建议成立一个隶属保安局的专责办公室,由行政长官委任一名专员带领,主要职能包括指明「关键基础设施营运者」及「关键电脑系统」、制订《实务守则》及发出书面指示、监察针对「关键基础设施」的电脑系统保安威胁、协助营运者应对电脑系统保安事故、调查跟进违规情况,以及协调不同政府部门制订(政策)和处理事故等。
由于银行和金融服务以及通讯和广播这两个界别,已经分别受金融管理局和通讯事务管理局监管,我们建议把这两个机构作为「指定监管机构」,按照现时监管方式,规管其行业下部分「关键基础设施营运者」,去履行架构和预防两方面的责任,让营运者无须满足两套要求。不过由于「指定监管机构」并无应对的设置,所以相关营运者依然需要向专责办公室履行事故通报及应对的责任。
罪行及刑罚
条例所订定主要罪行包括不履行法定责任、不遵从专责办公室发出的书面指示及调查权力等。违者可判处最高罚款港币50万元至500万元不等,个别罪行亦会就持续违法行为处以额外的每日罚款。
《实务守则》
此外,除主体法例外,专责办公室亦可发出《实务守则》,在法例要求基础上作出建议标准,协助营运者满足法例要求。
下一步工作
我们会在今日会议后再次谘询业界,目标在二○二四年内向立法会提交立法草案。
结语
我们希望事务委员会支持立法建议,我和团队非常乐意回答委员提出的问题。多谢代主席。
完
2024年7月2日(星期二)
香港时间15时56分
香港时间15时56分