保護關鍵基礎設施草案年內提交立會 賦權專責辦公室主動調查
2024年10月02日 16:24
東網電視
更多新聞短片
本港屢現機構電腦系統被入侵事故。
近期不少公營機構電腦系統被入侵及攻擊子,政府擬為加強保護關鍵基礎設施電腦系統立法。政府計劃放寬機構營運者得悉事嚴重故後12小時內通報;其他事故48小時內通報。假如營運者在未作「盡責查證」或「合理努力」下未履行法定責任、未遵從專責辦公室指示或要求、未確保第三方服務提供者履行法律責任即屬違法。政府亦指基於保安理由,不會公開相關名單。
新法例建議涵蓋能源、銀行金融、資訊科技、醫療保健、海陸空交通行業、通訊廣播行業,大型體育或表演場地、科研園區等基建亦括在內。當局指相關條例草案將在今年內提交立法會審議,目標是在條例通過後1年內,成立專責辦公室,預計2026年初正式生效。在條例生效前,當局會繼續與各界別持份者保持聯繫,與有機會被指明的營運者緊密溝通,專責辦公室未來會共同制定界別適用的《實務守則》。
根據當局向立法會提交的最新文件,當局計劃賦權專責辦公室在有關係統已經或可能受干擾服務中斷時,可主動向營運者調查原因,以確定是否由攻擊引致。當局解釋相關機構被攻擊時或忙於處理、無暇同步,因此會主動了解是否涉及非法入侵或攻擊,即使只是技術問題,亦可轉介有關政府部門跟進。
政府解釋,調查不針對系統內的個人資料和商業機密,必需直接與直接必要的核心系統有關,舉例招聘系統被入侵不屬涵蓋範圍。至於條例賦權在調查事故時可在關鍵電腦系統連接設備或安裝程式,當局解釋只會營運者不願或無力自行應對事故時,才會考慮向裁判官申請手令。
相關關鍵基礎設施營運者在「架構」、「預防」和「事故通報及應對」有法定責任,經法庭審訊違法可被判罰50萬至500萬港元、持續犯罪每日可判罰5萬至10萬港元。當局又指可按照需要補充、更新或修改設定監管機構名單及責任細節。被問到不公開名單會否影響透明度、只判處罰款會否令阻嚇力不足,當局解釋雖然名單不公開,但被告上法庭時便是透明公開,即使只判罰款亦會影響聲譽,相信阻嚇作用足夠。當局又補充,雖然名單不公開、辦公室亦沒有向傳媒或公眾公開事故的責任,但相關機構營運者自行承認是受監管機構則不會違法。
當局在7月2日至8月1日期間就加強保護關鍵基礎設施電腦系統安全作諮詢,當中包括600多項意見或建議,收到53份意見書,52份支持,唯一反對意見來自一個英國註冊的人權組織,以保障言論自由等為由提出反對,局方已反駁並釐清謬誤;至於其餘52份支持立法或提出正面建議的意見書,有47份來自業界。