政府建議立法加強保護關鍵基礎設施電腦系統安全,保安局經一個月諮詢後,提出積極考慮提出數項修訂及優化,有電腦保安業者稱能釋除業界憂慮。
今年6月,保安局局長鄧炳強在FB介紹有關條例草案。FB圖片
修訂及優化包括於指明「關鍵電腦系統」時,不會一併指明「關聯系統」,並刪除「關聯」一詞;移除營運者須報告變更關鍵基礎設施「擁有權」的規定;以及將通報嚴重事故的時限,由得悉事故後2小時內,放寬至12小時內。
電腦保安研究員賴灼東認為,當局表明立法建議不會一併指明「關聯系統」,能釋除業界憂慮,因為業界會擔憂,會否與自己公司無關的會納入監察範圍,是否需要提升級數去保護系統,今次能釐清相關範圍,讓業界更清楚所需要投放的資源。但他認為,在判斷及調查嚴重事故時,由於有時會涉及長假期或非辦公時間,甚至涉及第三方服務供應商,在12小時的時限內,有機會作出誤判,認為如果能夠進一步放寬至24小時會更好。
政府建議立法加強保護關鍵基礎設施電腦系統安全。FB圖片
當局計劃今年底將條例提交立法會審議,25年上半年獲通過,期望專責辦公室在2026年初成立。立法會工商及創新科技事務委員會副主席吳傑莊認為,因應現時地緣政治等因素,很多國際大型事故都與應用程式和操作系統問題有關,認為當局立法時機合適。
保安局今日(2日)舉行背景簡介會,介紹加強保護關鍵基礎設施電腦系統安全建議立法框架的諮詢報告。
保安局發言人表示,因應諮詢期間的主要意見,保安局正積極考慮部分修訂項目、優化措施,目標年底交立法會,通過後1年內成立專責辦公室。
首先是針對規管對象的修訂優化,在指明「關鍵電腦系統」時,不會一併指明「關聯系統」,並予以刪除「關聯」(interconnected)一詞,因其未必精準反映定義「關鍵電腦系統」的考慮因素。
政府提出保護關鍵基礎設施電腦系統安全立法,目標年底把草案交立法會審議。資料圖片
至於架構責任,將移除營運者須報告變更關鍵基礎設施「擁有權」的規定。而事故通報及應對責任,通報嚴重事故的時限由得悉事故後2小時內,放寬至12小時內(12小時是初步要求,預期2個星期內補充詳盡報告),而其他事故則由24小時內放寬至48小時內。同時,賦權專責辦公室在有關系統已經/可能受干擾服務中斷時,可主動向營運者調查原因,以確定是否由攻擊引致(參考新加坡和澳洲做法)。
就第三方服務供應商責任,在《實務守則》提供完善履行「盡責查證」及「合理努力」的指引,為營運者在聘用服務提供者時訂定及履行合約提供參考。
保安局發言人表示,目標是今年底條例交立法會審議,草案通過後成立預備辦公室,通過1年內成立專責辦公室;專責辦公室將由一名隸屬保安局的專員帶領來自數字政策辦公室和警務處的專家組成。在專責辦公室成立半年內,條例正式生效,並分階段指明營運者。
今年6月,保安局局長鄧炳強在FB介紹有關條例草案。FB圖片
據稱,在7月2日至8月1日諮詢期間,當局共收到53份意見書,當中52份支持立法或提出正面建議,其中47份來自業界。唯一反對意見來自英國人權組織以保障言論自由為名反對,政府已隨即反駁,指條例完全不涉及言論自由,只是針對電腦系統安全。
因應一些意見被個別媒體斷章取義、企圖抹黑,保安局已即時反駁和釐清,包括條例不具域外效力,要求關鍵基礎設施營運者提交的資料都是在香港設有辦公室的營運者可以取得的(雖然相關資料或位於境外),並會給予合理時間準備。
條例亦不針對系統內的個人資料和商業機密。要求提供資料是要營運者妥善履行保護其關鍵電腦系統的責任,並確保遇到事故時,能作出有效評估。
保安局。資料圖片
至於把「資訊科技」列為關鍵基礎設施界別之一,與其他司法管轄區的做法一致,包括美國和澳洲。就個別機構是否會納入此界別,會按擬議條例的準則及考慮因素,與機構溝通後方決定。
而賦權在調査事故時可在關鍵電腦系統連接設備或安裝程式,只會在營運者不願意或未能自行應對時,才會考慮向裁判官申請手令,因應必要性、適當性、相稱性及公眾利益,行使有關權力,相關內容參考澳洲和新加坡的做法。