立法会:保安局局长动议恢复二读辩论《保护关键基础设施(电脑系统)条例草案》发言全文(只有中文)
********************************************
主席:
首先,多谢各位议员在刚才的二读辩论中,给了很多宝贵意见和支持《保护关键基础设施(电脑系统)条例草案》(《条例草案》)。
立法目的
关键基础设施是维持社会正常运作和市民日常生活的必需设施。《条例草案》的目的是向被指定为「关键基础设施营运者」的机构,订立法定要求,确保他们采取适当措施保护自己的电脑系统,减低网络攻击导致必要服务受影响或被破坏的机会,从而维持香港社会正常运作和市民正常生活,帮助香港整体电脑系统安全提升。《条例草案》建议成立一个隶属保安局的专责办公室,负责执行新法例。
谘询及立法会工作
就今次的立法建议,我们早于二○二三年已开始第一阶段的谘询工作,举办了超过15场谘询会,听取不同持份者的意见,包括可能被指定为「关键基础设施营运者」的机构、电脑系统安全服务供应商、商会和专业组织。去年七月,我们谘询了立法会保安事务委员会,同时展开第二阶段为期一个月的谘询,立法建议获得广泛支持。我们在去年十月将谘询结果向立法会保安事务委员会汇报。
在正式向立法会提交《条例草案》前,我们亦为包括海外与本港的主要商会和业界持份者举行简介会,向他们简介谘询报告。在法案委员会审议期间,除了和议员在会上的深入讨论外,我们团队亦同时展开第三阶段的业界谘询,与可能被指定为「关键基础设施营运者」的机构进一步交流,开始讨论《实务守则》的框架。整体而言,我们乐见持份者和社会对立法反应正面,大家都支持和认同有需要立法。
自从我们在去年十二月十一日将《条例草案》于立法会首读以来,法案委员会于今年一至二月期间举行了四次会议,用了近17小时审议《条例草案》,从政策原意、业界意见、法律草拟等多角度展开深入讨论,并提出了多项有建设性的建议,并且在二月二十一日向内务委员会报告,表示支持恢复《条例草案》的二读辩论。在此,我特别要衷心感谢法案委员会主席简慧敏议员和委员会各位委员的支持,亦要感谢立法会秘书处和法律顾问的努力和辛劳,让《条例草案》的审议工作得以高效、顺利进行。我亦感谢不同团体和人士向法案委员会提交书面意见。如果稍后《条例草案》的二读获各位议员通过,我将会提出31项修正案,这些修正案吸纳了法案委员会的宝贵意见,目的是完善条例草拟,提升条文的清晰度。详情会在全体委员会阶段再作详细说明。
立法原则
我想藉此机会,再次重申《条例草案》的立法原则。正如我们在法案委员会的讨论中多次说明,施加法定责任的目的,是保障对关键基础设施核心功能至关重要的电脑系统安全,绝非针对个人资料或商业秘密。规管当局在执行条例时,若要向营运者及相关机构索取资料,必须合理行使《条例草案》中索取资料的权力,同时符合相关条文所订明的条件及程序,并且只可以索取符合相关条文目的的资料。另外,《条例草案》下有条文严格规管所有在条例下有职能的人,在执行条例过程中所得悉的事宜必须保密。
此外,受规管的「关键基础设施营运者」都是对香港持续提供必要服务,或维持关键的社会和经济活动属必要的,大部分是大型机构,中小型企业和一般市民不受规管及不受影响。
我想再次强调,《条例草案》并无域外效力。规管当局不可以在香港境外执行相关条文。但在现今科技下,网络资讯无国界,事实上不少位处香港的机构亦经常使用位于香港以外的伺服器储存资料或支援「关键基础设施」的核心功能。换言之,一个处于海外的系统,如果营运者能够由香港境内接达、而又对它的核心功能有必要的,可以受《条例草案》规管,但并不等于条例具有域外效力。对位处香港的关键基础设施营运者作出规管和施加责任,完全符合「属地原则」。
《条例草案》的主要建议
《条例草案》订明,只有被指定为「关键基础设施营运者」及他们被指定为「关键电脑系统」的电脑系统才会受规管。《条例草案》采取「机构为本」的方式,即以负责营运每个关键基础设施的机构为一个单位,必须履行保障其自己的电脑系统安全的责任。营运者被正式指定后,需要符合《条例草案》下的三大类法定责任,即第一类架构责任、第二类预防责任和第三类事故通报及应对责任。
为执行条例下的工作,我们将会成立一个隶属保安局的专责办公室,与条例下的两个指定当局一起监管不同「关键基础设施营运者」遵从责任的情况。现阶段,我们建议指定金融管理局负责监管银行和金融服务相关的营运者遵行第一及第二类责任,而通讯事务管理局则负责监管通讯和广播相关的营运者遵行第一及第二类责任。
条例生效后,专责办公室和指定当局会按「关键基础设施」的定义,确定不同界别的相关设施是否对香港持续提供必要服务或维持关键的社会和经济活动属必要,然后深入了解可能被指定为营运者的机构的业务运作,并了解他们赖以提供服务的电脑系统,以确定符合条例的相关定义与否,才会决定是否指定该机构为营运者及决定指定哪些电脑系统为「关键电脑系统」。
《实务守则》
为了协助营运者符合法例要求,规管当局将会发出《实务守则》,列出在法例要求基础上的建议标准,包括电脑系统安全管理单位主管的专业资格;需要报告的「重大变化」的例子;安全管理计划、风险评估和审查的内容和标准;职员培训;如何判断是否有事故发生等。《实务守则》并非法例,可以更灵活适时参照最新科技及国际标准作更新。规管当局亦会和不同界别的营运者沟通,有需要时在《实务守则》加入针对特定界别的指引。
在刚才的辩论中,有议员提议政府考虑指定其他法定行业监管机构为「指定当局」,负责监察和监管受其规管的营运者履行第一类责任和第二类责任的情况。我们已经向法案委员会解释,在决定某界别的监管机构会否被指明为「指定当局」时,会考虑一系列因素,包括:
第一,该监管机构现时的主要职能、规管对象(包括潜在的营运者数量)、监管权力和范畴;
第二,该监管机构现时有否向其规管对象发出与电脑系统安全有关的指引,以及该等指引的内容;及
第三,指明该监管机构为「指定当局」,整体而言能否更有效达致条例的目的。
我们已充分考虑上述因素,在《条例草案》中指明金融管理专员和通讯事务管理局为「指定当局」,现阶段不会考虑指明其他法定行业监管机构。政府会不时检视「指定当局」名单。如有需要,我们将来可透过附属法例修订《条例草案》附表2,指明适当的法定行业监管机构成为「指定当局」。
另外,刚才亦有议员提到,是否可以考虑加入新的必要服务的界别,例如高等教育。我们会适时审视相关情况,亦会在有需要时,可透过附属法例修订附表必要服务的界别。
就议员关注如何确保营运者聘用的第三方服务提供者遵从各项规定,以及如果营运者因为服务提供者位处海外,而因与其他地方有法例上的冲突而不能遵守《条例草案》的要求,应该如何处理。
聘用第三方服务协助机构日常运作非常普遍,但我们必须要强调,即使外判工作,亦不能外判责任。就算聘用了第三方服务提供者,营运者仍然需要负起履行条例下的相关法定责任,例如通过合约条款确保即使聘用了第三方服务提供者,他们本身受条例规管的方面仍能达到合规要求。这样跟跨国大机构必须确保他们在所有经营服务的地方合规的做法一致。
规管当局会在《实务守则》提供指引和合约范本,列明第三方服务提供者的责任和角色,供营运者在聘用该等服务提供者时参考,协助营运者在聘用第三方时依然能够依法履行法定责任。
至于刚才有议员提到,网络服务供应商白名单的问题。《实务守则》会就选择第三方服务提供者时需要考虑的因素提供指引,在此阶段我们暂不会考虑设立白名单。但当日后我们累积足够经验,或很多不同公司累积了经验的话,我们会再作检视。
有议员提议,若「关键基础设施」遭受攻击,赋权政府接管「关键基础设施」的营运。我在此重申,本《条例草案》的政策目的,是透过向「关键基础设施营运者」施加责任,保障「关键基础设施」的电脑系统安全。发生事故时,专员会要求营运者作出适当应对事故的措施,有需要时更可以介入协助复原。但是,《条例草案》并不涵盖任何在发生事故时接管整个「关键基础设施」营运的权力,这亦并非我们的政策目的。
就议员对资讯科技人才短缺方面的关注,粗略估算,现时大专院校与资讯科技相关的各类型课程每年毕业生人数约有三千多人。政府将继续致力推动香港电脑系统安全行业的发展和人才培训,包括透过「优秀人才入境计划」吸引更多内地和世界各地人才来港,及鼓励大专院校在资讯科技相关学科提供更多资讯保安的相关课程。
结语
主席,《条例草案》通过后,我们的目标是在二○二六年一月一日将条例正式生效,同时成立专责办公室。专责办公室会继续和持份者保持密切联系,因应不同关键基础设施界别内可能被指定为营运者的机构情况,期望在其后半年内,即约二○二六年年中,开始逐步分阶段指定「关键基础设施营运者」及其「关键电脑系统」。
主席,我动议恢复二读,希望议员支持《保护关键基础设施(电脑系统)条例草案》,并通过二读《条例草案》以及我稍后动议的修正案,以保障香港关键基础设施的电脑系统安全。
我谨此陈辞,多谢主席。
完
2025年3月19日(星期三)
香港时间19时40分
香港时间19时40分