保護關鍵基礎設施草案下周三交立會　最高罰款500萬

《保護關鍵基礎設施 (電腦系統) 條例草案》本周五刊憲，並於下星期三提交立法會首讀及二讀。該草案要求「關鍵基礎設施營運者」，採取適當措施保護電腦系統，避免因網絡攻擊導致必要服務受到干擾或破壞，罰則只包含罰款，最高罰款額為50萬至500萬港元不等，如屬持續罪行，每日額外罰款最高5萬至10萬港元不等。

根據政府提交立法會的文件，條例草案涵蓋兩大類基礎設施，包括在香港持續提供必要服務的基礎設施，如能源、資訊科技、銀行和金融服務、電訊和廣播服務、交通等。另一類是維持社會和經濟活動的基礎設施，例如大型體育及表演場地、主要科技園等。

條例草案不適用政府，而由於關鍵基礎設施大多由機機構營運，經參考外國做法，草案採取「機構為本」方式，即以負責營運每個關鍵基礎設施的機構為一個單位。當局在考慮是否指定某電腦系統為「關鍵電腦系統」時，會考慮不同因素，例如該電腦系統就某關鍵基礎設施核心功能所擔任的角色等。

草案列出「關鍵基礎設施營運者」的責任，包括必須在香港持續設有辦事處；如電腦系統有重大變化，必須通知當局；至少每年做一次電腦系統安全風險評估、至少每兩年做一次獨立電腦系統安全審核，並向政府提交報告，以及參與當局安排的安全演習等。如涉及「關鍵電腦系統」的電腦系統安全事故，已干擾或相當可能干擾關鍵基礎設施的核心功能，相關營運者必須在得悉事故後的12小時內作出通報。如屬其他事故，要在48小時內通報。

罰則只包含罰款，最高罰款額為50萬至500萬港元不等，如屬持續罪行，每日額外罰款最高5萬至10萬港元不等。不遵從條例草案下的責任和規定所引致的罪行和罰則，只會在機構層面施加於「關鍵基礎設施營運者」，不會在個人層面針對營運者的員工。

當局會設有專責辦公室，負責推行法定制度，並由行政長官委任的一名專員帶領，監察相關營運者遵從法定責任。

草案訂明上訴機制，若營運者不同意專員或當局指示，可提出上訴。 8個受規管界別包括能源、資訊科技、銀行和金融服務、醫護服務，及電訊和廣播服務等，另外維持關鍵社會和經濟活動的基礎設施，例如大型體育及表演場地、主要科技園等，同樣受規管。條例草案不適用於政府，但政策局和部門須嚴格遵守《保安規例》及《政府資訊科技保安政策及指引》。