东网电视
更多新闻短片
网络安全事故急增。
立法会今日(19日)三读通过《保护关键基础设施(电脑系统)条例草案》。法律界议员林新强指关键基础设施的运作,高度依赖互联网、电脑系统同智慧设备,系统性风险不容忽视,指草案仍有改进空间,又关注攻击网络安全的涉案人士会否被定性为恐怖分子。
条例草案列出8个规管界别,包括资讯科技、能源、银行和金融服务、交通、医护服务、电讯及广播等,以及维持关键的社会和经济活动的设施,例如大型体育表演场地、科研园区等。这些机构的关键基础设施营运者,要遵守三类法定责任,包括要设立电脑系统安全管理部门;定期进行风险评估、审核和演练;当有电脑系统安全事故发生时,营运者须在指定时间内向政府报告。
草案亦都订明,如果营运者没有履行法定责任,最高可罚款500万港元;如果是持续罪行,每日额外罚款5万至10万港元。
林引述政府资料,香港网络安全事故数字急剧上升,由2023年的7,752宗,2024年则是11,330宗,增幅接近五成,情况值得警惕。他忧虑网络安全事故一旦成为常态,到底当局有否足够的应对预案?虽然条例草案赋权专员要求关键基础设施的营运者做出补救行为,但草案条文内并无任何针对赋权专员直接接管受侵害系统的规定,当营运商受到关键电脑系统攻击,根据条例草案,只需营运商作出报告,即使政府有意伸出援手,但依草案条文,营运商作出报告之后亦有权拒绝政府插手处理,就算政府见到有问题,亦无权接管营运商去处理问题。他认为需尽快谘询及完善法例,让政府可以尽早介入,将影响同损失降到最低。
他又指智能汽车的控制系统,应该要被视为“关键基础设施”的关键电脑系统,所有在本地销售的智能汽车,都应该符合统一嘅网络安全标准,并且要定期检查同更新系统,确保漏洞不会让黑客有机可乘。政府应主动同制造商合作,建立资讯共享同应急处理嘅机制,确保出问题时可以即时应对。
法案委员会主席简慧敏指条例草案向被指定的关键基础设施营办者施加法定要求,确保其采取适当措施保护其关键电脑系统,减低因网络攻击等手段,导致必要服务或关键社会经济活动被干扰或破坏的可能性。
议员葛珮帆支持条例草案,指出网络安全性是国家安全的要素,又引述执法部门数据指,2023年的科技罪案组先58亿港元,近年政府部门和公私营机构亦有被攻击情况。她表示,地缘政治风险及国际案例亦是令人警惕,显示关键基础设施是国家安全的新战场。她建议实务守则的应急标准要符合“ISO22301国制标准”,亦要参照“NIST Cybersecurity Framework”风险评估机制。她建议强制关键岗位人员每年接受一定时数培训,建立基于“NICE框架”的能力矩阵,以及做演练。她又说“瞬间信息记录”对搜证重要,但以往或有员工急于重启系统令记录被消除,令搜证变得困难。她又说要参考“GDPR第28条”,制定安全评估指引。
议员邓飞认为虽然教育并非受规管界别,但保护基础建设与打造国际教育枢纽直接相关,教育数字化转型及资料、基建依靠基础设施及其安全性。他说不少教育或研究机构需要依靠安全网络环境,本港要吸引全球学者、学生、教育机构进驻香港,因此教育界对网络安全的需求愈来愈高。他又认为近年电骗猖獗,部分针对大学生,因此教授、学生的个人资料也是敏感信息,认为做好保障也有好处。
商界议员廖长江表示,网络安全是国家安全的一个重要领域,无论是国家安全或香港作为一个国际城市,条例草案都是不可或缺,而保护关键基础设施的电脑系统安全,可以增强香港的安全性和韧性,有助提升香港的国际形象,建设成为国际创科中心。
当局指持份者和社会对条例草案反应正面,而31项修正案吸纳法案委员会意见,提升条文清晰度。当局重申立法原则,不是针对个人资料和商业机密,亦有严格规管基于条例特色的事宜是必须保密。当局又指条例草案没有域外效力,但如营运者能有香港直达境外系统,而该系统对核心功能有必要,该系统亦受规管。
