保安局今年7月初向立法會提呈文件,建議訂立《保障關鍵基礎設施(電腦系統)條例草案》,聲稱是為了加強保護關鍵基礎設施電腦系統安全。前資訊科技界立法會議員莫乃光上周三(10日)於美國雜誌《外交家》(The Diplomat)撰文,質疑港府對營運商的定義含糊,會讓中小企擔心須承擔法律責任,擔心須與政府分享商業機密是否安全。
保安局建議立法要求指定界別和大型設施加強保護核心電腦系統,包括實施系統安全計劃,違例機構最高可判罰港幣50萬元至500萬元。當局聲稱受規管的是大機構,中小企和一般市民不會受影響。當局由7月2日起展開一個月公眾諮詢,目標今年底前將草案提交立法會。
目前是史丹福大學網絡政策中心研究學者的莫乃光首先在文章中表示,香港其實一直也沒有忽視關鍵基礎設施的網絡安全,早在2005年3月,政府資訊科技總監辦公室成立了「網絡基礎設施聯絡小組」,旨在協調網絡基礎設施利害關係人分享威脅資訊、協調快速回應並執行緊急應變計劃;香港警務處網絡安全及科技罪行調查科轄下的網絡安全中心則負責對政府、銀行、金融、交通、通訊和公用事業等關鍵基礎設施,進行網絡威脅分析,預防和偵查網絡攻擊和犯罪。
莫乃光引述保安局文件指,《保障關鍵基礎設施(電腦系統)條例草案》聲稱要規管「持續提供基本服務」和「維持重要社會及經濟活動」的「關鍵基礎設施營運商」(CIO),要求他們確保對其「關鍵電腦系統」(CCS)安全承擔責任。保安局將設立專責辦公室,負責執行新法。
文章質疑保安局對「資訊科技」的定義模糊,「第一類」營運商(能源、資訊科技、銀行和金融服務、陸路運輸、航空運輸、海運、醫療保健服務以及通訊和廣播等部門)、「第二類」營運商(大型體育及表演場地、科研園區等)、甚至社交媒體或通訊軟件(Facebook、YouTube、WhatsApp、微信等)是否都會受新法例監管。莫乃光批評,這種模糊的法例會讓中小企擔心是否突然要承擔法例規定的責任和義務,不利香港營運環境。
其次,政府部門不受新法例規管,例如涉及供水、註冊、出入境、稅務等服務的部門,只繼續依靠現時的政府內部指引。莫乃光質疑即使政府有內部指引,也未能完全避免網絡安全事件,為何嚴格監管的邏輯不適用於政府部門;尤其是當發生嚴重網絡安全事件時,受監管的私營公司會感到受到不公平對待甚至雙重標準,公眾會質疑為甚麼政府不對自身實行嚴格監管,並採用同樣的處罰標準。
此外,莫乃光質疑保安局新設立的專責辦公室的調查權力範圍模糊,進行某些調查時是否需要法庭手令;調查時可能涉及公司的重要機密商業資料,與政府分享那些高度敏感資訊和商業秘密是否會安全。@
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
