保障關鍵基礎設施條例擬放寬通報時限 最快2026年生效將設適應期

撰文:馮子健
出版:更新:

保障關鍵基礎設施立法諮詢期結束,保安局今日(2日)總結收到53份意見書,唯一提出反對的是英國人權組織,理由是希望保障言論自由。局方正考慮放寬通報嚴重事故的規定,由原本建議的事故後的2小時,改為12小時;其他事故由24小時放寬至48小時,違者可罰款50萬元至500萬元不等。

草案原本規定當關鍵電腦系統「擁有權」和「營運權」變更時,必須向專責辦公室報告,當局正考慮只要求營運者報告「營運權」變更。局方預計今年底將條例草案提交上立法會,料明年獲立法會通過後,一年內成立專責辦公室,估計條例2026年初生效,初時設適應期,希望不用罰款。

事故通報及應對責任方面,通報嚴重事故的時限由得悉事故後的2小時,放寬至12小時。(資料圖片)

英國人權組織成唯一反對意見

保安局今天向立法會提交文件,總結保障關鍵設施條例草案一個月諮詢期內接獲53份意見書,其中47份來自業界,均支持立法或提出正面建議,英國一個人權組織以保障言論自由為由反對立法,成為唯一反對意見。

關鍵基礎設施條例納入8個界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、 醫療保健,以及通訊和廣播。此外,亦建議將大型體育及表演場地、科研園區等納入規管範圍,確保這些地點的電腦系統安全運作。

擬放寬嚴重事故報告時限

有意見指出,要在發生嚴重事故後兩小時內報告十分困難。保安局發言人指,參考英國、歐盟等做法後,決定放寬報告時限,由2小時寬限至12小時;其他事故由24小時放寬至48小時。事故發生後2周,亦需要提交較為詳細的報告。條例通過一年內成立專責辦公室,半年後條例生效,將積極考慮賦權專責辦公室,在系統可能受干擾、服務中斷時,可主動向營運者調查原因,確定是否由攻擊所致。

被問到如何判斷屬於事故,保安局發言人表示,即得悉、相當掌握到有人惡意進入系統及攻擊,嚴重事故即連續營運功能受影響等。發言人指,事故發生時,機構可能已經忙於釐清原因及搶救系統,故專責辦公室都會主動了解及提供協助。

至於微軟上次全球死機,如以後法例生效,是否因為沒有域外效力而無法規管,發言人表示微軟已經釐清是技術故障並非網絡攻擊,本法例只是針對非法入侵及刑事攻擊。(REUTERS/Kacper Pempel/Illustration/File Photo)

表明初心不是罰人 刑罰參考英國

發言人指,專責辦公室職能是調查事故,是針對電腦系統的攻擊,想知道的只是攻擊的手法、受影響的程度、有甚麼服務被中斷,過程中作出調查需要營運者合作,包括提供系統密碼、用戶名。至於微軟上次全球死機,如以後法例生效,是否因為沒有域外效力而無法規管,發言人表示微軟已經釐清是技術故障並非網絡攻擊,本法例只是針對非法入侵及刑事攻擊。

至於為何刑罰只是罰款而並非刑事責任。發言人指刑罰參考英國,初心亦不是罰人,同時大機構如果上庭都會曝露身份,認為聲譽方面對大機構都十分重要,故相信有足夠誘因讓其配合法例要求。至於不幸發生事故後,會否公佈營運者身份,發言人指專責辦公室負責調查,如果機構受到攻擊,相信在公眾層面已經暴露。

保安局發言人指,外判工作不能外判責任。屆時《實務守則》會提供指引,讓營運者聘用第三方服務提供者時作參考,去釐定及履行合約。(Getty)

若外判商違法營運者也須負責

不過,部分機構將電腦系統等關鍵基礎設施外判交由第三方處理,有意見指出如果外判商未能符合法例規定,營運者是否都要負責,保安局發言人指,外判工作不能外判責任。屆時《實務守則》會提供指引,讓營運者聘用第三方服務提供者時作參考,去釐定及履行合約。

對於《實務守則》要求營運者盡責查證、要付合理努力,這個標準可能太主觀,發言人指查證工作包括定期的保安審計,發現事故時要求配合提供資料,亦會有《指引》提醒營運者,如外判予第三方服務提供者時要注意的事項。

加強保護關鍵基礎設施電腦系統安全的立法框架,將包括鐵路的電腦系統。(資料圖片/夏家朗攝)

擬放寬至系統「營運權」有變更才須報告

考慮修訂的還有規管對象,根據當局7月2日提交的文件,提到考慮某電腦系統是否屬「關鍵電腦系統」時,會參考系統的關聯性。但有意見指電腦系統之間一般會關聯,可能涉獵範圍太廣泛,保安局發言人指考慮到「關聯」一詞未必準確反映關鍵電腦系統的要素,積極考慮刪除「關聯」字眼。

另外,草案原本規定關鍵電腦系統營運者,當設施「擁有權」和「營運權」變更,必須向專責辦公室報告。保安局發言人表示積極考慮只要求營運者報告「營運權」變更。

對於有意見認為關鍵基礎設施營運者名單要公開,發言人指涉及保安問題,政府不會公開名單 (Sean Gallup/Getty Images)

不公開關鍵基礎設施營運者名單 已接觸受規管者

對於有意見認為關鍵基礎設施營運者名單要公開,發言人指涉及保安問題,政府不會公開名單;又說今次規管對象不包括政府,因為內部有準則。被問到除了政府,無人可接觸到關鍵基礎設施營運者名單,是否透明度不足。發言人重申不會公開名單,表示保密工作很嚴謹,如果名單公開外界就會知道何謂指明營運者,將涉及安全問題。

對於八大受規管的界別包括通訊及廣播,廣播機構是否需要額外成本配合,發言人指電台都是與市民息息相關的行業,通訊事務管理局都有電腦安全要求,通訊及廣播界別都由通訊局管理,重申不會公佈名單。

發言人重申,受條例規管的大部分是大機構,中小企及一般市民不受影響,亦不針對個人資料及業務內容,個人不受刑責,罰款對象也是機構。(視覺中國)

條例最快2026年初生效 將設適應期望免罰款

被問到有否評估法例何時生效,保安局發言人預計立法會2025年上半年通過條例,隨即成立預備辦公室及專責辦公室,希望條例2026年初生效,生效初期設適應期,希望毋須向營運者提出罰款。

發言人重申,受條例規管的大部分是大機構,中小企及一般市民不受影響,亦不針對個人資料及業務內容,個人不受刑責,罰款對象也是機構。發言人又說,納入關鍵基礎設施的考慮因素,包括系統遭破壞、喪失功能、數據洩露時對社會的影響,釐定法定責任都是為了增加營運者抵禦電腦攻擊的韌性,已經與可能受規管的營運者溝通。

航拍檢查戶外供電設施(資料圖片)

關鍵基礎設施是指一些維護社會運作及生活必需的設施,例如銀行、金融機構、通訊網絡、供電設施和鐵路系統等,立法是為了加強這些設施的網絡安全。政府計劃條例納入8個界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、 醫療保健,以及通訊和廣播。此外,亦建議將大型體育及表演場地、科研園區等納入規管範圍,確保這些地點的電腦系統安全運作。