保護關鍵基礎設施草案年內提交立會　賦權專責辦公室主動調查

近期不少公營機構電腦系統被入侵及攻擊子，政府擬為加強保護關鍵基礎設施電腦系統立法。政府計劃放寬機構營運者得悉事嚴重故後12小時內通報；其他事故48小時內通報。假如營運者在未作「盡責查證」或「合理努力」下未履行法定責任、未遵從專責辦公室指示或要求、未確保第三方服務提供者履行法律責任即屬違法。政府亦指基於保安理由，不會公開相關名單。

新法例建議涵蓋能源、銀行金融、資訊科技、醫療保健、海陸空交通行業、通訊廣播行業，大型體育或表演場地、科研園區等基建亦括在內。當局指相關條例草案將在今年內提交立法會審議，目標是在條例通過後1年內，成立專責辦公室，預計2026年初正式生效。在條例生效前，當局會繼續與各界別持份者保持聯繫，與有機會被指明的營運者緊密溝通，專責辦公室未來會共同制定界別適用的《實務守則》。

根據當局向立法會提交的最新文件，當局計劃賦權專責辦公室在有關係統已經或可能受干擾服務中斷時，可主動向營運者調查原因，以確定是否由攻擊引致。當局解釋相關機構被攻擊時或忙於處理、無暇同步，因此會主動了解是否涉及非法入侵或攻擊，即使只是技術問題，亦可轉介有關政府部門跟進。

政府解釋，調查不針對系統內的個人資料和商業機密，必需直接與直接必要的核心系統有關，舉例招聘系統被入侵不屬涵蓋範圍。至於條例賦權在調查事故時可在關鍵電腦系統連接設備或安裝程式，當局解釋只會營運者不願或無力自行應對事故時，才會考慮向裁判官申請手令。

相關關鍵基礎設施營運者在「架構」、「預防」和「事故通報及應對」有法定責任，經法庭審訊違法可被判罰50萬至500萬港元、持續犯罪每日可判罰5萬至10萬港元。當局又指可按照需要補充、更新或修改設定監管機構名單及責任細節。被問到不公開名單會否影響透明度、只判處罰款會否令阻嚇力不足，當局解釋雖然名單不公開，但被告上法庭時便是透明公開，即使只判罰款亦會影響聲譽，相信阻嚇作用足夠。當局又補充，雖然名單不公開、辦公室亦沒有向傳媒或公眾公開事故的責任，但相關機構營運者自行承認是受監管機構則不會違法。

當局在7月2日至8月1日期間就加強保護關鍵基礎設施電腦系統安全作諮詢，當中包括600多項意見或建議，收到53份意見書，52份支持，唯一反對意見來自一個英國註冊的人權組織，以保障言論自由等為由提出反對，局方已反駁並釐清謬誤；至於其餘52份支持立法或提出正面建議的意見書，有47份來自業界。