政府將立法保障關鍵設施　失責營運者最高可罰500萬元

本港對網絡安全及「關鍵基礎設施」保障不足，為免「關鍵基礎設施」及其電腦系統成為網絡攻擊的目標，政府建議訂立一條全新的法例，暫名為《保障關鍵基礎設施（電腦系統）條例草案》（下稱「擬議條例」)，並會成立一個全新的專責辦公室負責執行法例。條例規定，失責的關鍵設施營運者可被處最高罰款港幣20萬元至500萬元不等。政府於下月2日諮詢立法會，然後展開一個月業界諮詢，目標在年底前提交立法草案，並於條例通過後一年內成立專責辦公室。

據當局提交立法會的文件顯示，擬議條例的規管對象是維持香港社會必要服務攸關，或重要的社會和經濟活動的「關鍵基礎設施營運者」。暫建議涵蓋8個界別，包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健及通訊和廣播。

當局建議，規管對象包括「關鍵基礎設施營運者」，條例採取「機構為本」的原則要求承擔法定責任，為免相關設施成為網絡攻擊的目標，條例只會列出必要服務的界別名稱，而不公開「關鍵基礎設施營運者」的名單。相關營運者須至少每年進行一次電腦系統保安風險評估，至少每兩年一次進行獨立電腦系統保安審計，均需向專責辦公室提交報告。當局強調，規管只涉重大機構，不影響中小企及一般市民，也不會影響市民使用網絡及電腦的自由。

政府將新設專責辦公室負責監督關鍵基礎設施，該辦公室會制定《實務守則》，就「關鍵基礎設施營運者」 應採取的措施提供建議、監察針對關鍵基礎設施的電腦系統保安威脅，協助其應對電腦系統保安事故、調查及跟進其違規情況等。

文件又提到，如「關鍵基礎設施營運者」不履行法定責任、不遵從專責辦公室發出的書面指示、按法定調查權力提出的要求，以及就提供與關鍵基礎設施有關的資料要求，違者可處最高罰款港幣50萬元至500萬元不等，經法庭審訊而定，個別罪行也會就持續違法行為處以額外的每日罰款。