政府擬立法保護關鍵基礎設施電腦系統

參考英美等國，政府提出擬新法例，以保護關鍵基礎設施電腦系統安全，所涉基礎設施包括為香港提供必要服務，包括能源、交通等8個範疇，以及維持重要社會與經濟活動的基礎設施如大型場地。擬立條例訂明，基礎設施營運者有責任保障系統安全及通報事故，違者最高罰款50至500萬元不等。立法建議將於7月2日諮詢立法會保安事務委員會，及後諮詢業界一個月，於今年底前向立法會提交草案。

涵蓋兩2類基礎設施：8個必要服務及社經活動基建

目前，保安局、政府資訊科技總監辦公室（資科辦）及警務處已向立法會提交有關的立法建議文件，指出立法目的為加強關鍵基礎設施的電腦系統保安能力，減低本港的必要服務因網絡攻擊而被擾亂或破壞的可能，提升香港整體的電腦系統安全；立法內容參考英國、美國、澳洲及歐盟等地的做法及相關標準而定。

擬議條例下的關鍵基礎設施分兩類。第一類是在香港提供必要服務的基礎設施，涵蓋能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健及通訊和廣播共8個界別；第二類是維持重要的社會與經濟活動的基礎設施，例如大型體育或表演場地、科研園區等。

立法建議文件指出，條例的規管對象絕大部份是大機構，有關營運者負責維持社會的必要服務、或重要的社會與經濟活動，中小企及一般市民不受影響。

營運者須就架構、預防、事故通報及應對3方面負法定責任

文件建議，在「架構」、「預防」與「事故通報及應對」三方面，對關鍵基礎設施的營運者訂立法定責任，包括要求設立電腦系統安全管理部門，並由專責主管監管；至少每年一次進行電腦系統保安風險評估及；至少每兩年一次參與電腦系統安全演習，並須制定應急計劃；同時按事故嚴重性，在得悉事故發生的2小時或24小時內作出報告。文件說，擬議條例只要求營運者承擔保護關鍵電腦系統的責任，絕不涉及系統內的個人資料及業務內容，強調立法並非旨在懲罰營運者，罪行只針對機構，以罰款方式處理，不會在個人層面懲罰機構主管或員工。但如果涉及觸犯刑事法例，如虛假陳述、行使虛假文書或其他詐騙相關罪行，涉事者或要負上個人刑事責任。