保障關鍵基礎設施條例擬放寬通報時限 最快2026年生效將設適應期
保障關鍵基礎設施立法諮詢期結束,保安局今日(2日)總結收到53份意見書,唯一提出反對的是英國人權組織,理由是希望保障言論自由。局方正考慮放寬通報嚴重事故的規定,由原本建議的事故後的2小時,改為12小時;其他事故由24小時放寬至48小時,違者可罰款50萬元至500萬元不等。
草案原本規定當關鍵電腦系統「擁有權」和「營運權」變更時,必須向專責辦公室報告,當局正考慮只要求營運者報告「營運權」變更。局方預計今年底將條例草案提交上立法會,料明年獲立法會通過後,一年內成立專責辦公室,估計條例2026年初生效,初時設適應期,希望不用罰款。
英國人權組織成唯一反對意見
保安局今天向立法會提交文件,總結保障關鍵設施條例草案一個月諮詢期內接獲53份意見書,其中47份來自業界,均支持立法或提出正面建議,英國一個人權組織以保障言論自由為由反對立法,成為唯一反對意見。
關鍵基礎設施條例納入8個界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、 醫療保健,以及通訊和廣播。此外,亦建議將大型體育及表演場地、科研園區等納入規管範圍,確保這些地點的電腦系統安全運作。
擬放寬嚴重事故報告時限
有意見指出,要在發生嚴重事故後兩小時內報告十分困難。保安局發言人指,參考英國、歐盟等做法後,決定放寬報告時限,由2小時寬限至12小時;其他事故由24小時放寬至48小時。事故發生後2周,亦需要提交較為詳細的報告。條例通過一年內成立專責辦公室,半年後條例生效,將積極考慮賦權專責辦公室,在系統可能受干擾、服務中斷時,可主動向營運者調查原因,確定是否由攻擊所致。
被問到如何判斷屬於事故,保安局發言人表示,即得悉、相當掌握到有人惡意進入系統及攻擊,嚴重事故即連續營運功能受影響等。發言人指,事故發生時,機構可能已經忙於釐清原因及搶救系統,故專責辦公室都會主動了解及提供協助。
表明初心不是罰人 刑罰參考英國
發言人指,專責辦公室職能是調查事故,是針對電腦系統的攻擊,想知道的只是攻擊的手法、受影響的程度、有甚麼服務被中斷,過程中作出調查需要營運者合作,包括提供系統密碼、用戶名。至於微軟上次全球死機,如以後法例生效,是否因為沒有域外效力而無法規管,發言人表示微軟已經釐清是技術故障並非網絡攻擊,本法例只是針對非法入侵及刑事攻擊。
至於為何刑罰只是罰款而並非刑事責任。發言人指刑罰參考英國,初心亦不是罰人,同時大機構如果上庭都會曝露身份,認為聲譽方面對大機構都十分重要,故相信有足夠誘因讓其配合法例要求。至於不幸發生事故後,會否公佈營運者身份,發言人指專責辦公室負責調查,如果機構受到攻擊,相信在公眾層面已經暴露。
若外判商違法營運者也須負責
不過,部分機構將電腦系統等關鍵基礎設施外判交由第三方處理,有意見指出如果外判商未能符合法例規定,營運者是否都要負責,保安局發言人指,外判工作不能外判責任。屆時《實務守則》會提供指引,讓營運者聘用第三方服務提供者時作參考,去釐定及履行合約。
對於《實務守則》要求營運者盡責查證、要付合理努力,這個標準可能太主觀,發言人指查證工作包括定期的保安審計,發現事故時要求配合提供資料,亦會有《指引》提醒營運者,如外判予第三方服務提供者時要注意的事項。
擬放寬至系統「營運權」有變更才須報告
考慮修訂的還有規管對象,根據當局7月2日提交的文件,提到考慮某電腦系統是否屬「關鍵電腦系統」時,會參考系統的關聯性。但有意見指電腦系統之間一般會關聯,可能涉獵範圍太廣泛,保安局發言人指考慮到「關聯」一詞未必準確反映關鍵電腦系統的要素,積極考慮刪除「關聯」字眼。
另外,草案原本規定關鍵電腦系統營運者,當設施「擁有權」和「營運權」變更,必須向專責辦公室報告。保安局發言人表示積極考慮只要求營運者報告「營運權」變更。
不公開關鍵基礎設施營運者名單 已接觸受規管者
對於有意見認為關鍵基礎設施營運者名單要公開,發言人指涉及保安問題,政府不會公開名單;又說今次規管對象不包括政府,因為內部有準則。被問到除了政府,無人可接觸到關鍵基礎設施營運者名單,是否透明度不足。發言人重申不會公開名單,表示保密工作很嚴謹,如果名單公開外界就會知道何謂指明營運者,將涉及安全問題。
對於八大受規管的界別包括通訊及廣播,廣播機構是否需要額外成本配合,發言人指電台都是與市民息息相關的行業,通訊事務管理局都有電腦安全要求,通訊及廣播界別都由通訊局管理,重申不會公佈名單。
條例最快2026年初生效 將設適應期望免罰款
被問到有否評估法例何時生效,保安局發言人預計立法會2025年上半年通過條例,隨即成立預備辦公室及專責辦公室,希望條例2026年初生效,生效初期設適應期,希望毋須向營運者提出罰款。
發言人重申,受條例規管的大部分是大機構,中小企及一般市民不受影響,亦不針對個人資料及業務內容,個人不受刑責,罰款對象也是機構。發言人又說,納入關鍵基礎設施的考慮因素,包括系統遭破壞、喪失功能、數據洩露時對社會的影響,釐定法定責任都是為了增加營運者抵禦電腦攻擊的韌性,已經與可能受規管的營運者溝通。
關鍵基礎設施是指一些維護社會運作及生活必需的設施,例如銀行、金融機構、通訊網絡、供電設施和鐵路系統等,立法是為了加強這些設施的網絡安全。政府計劃條例納入8個界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、 醫療保健,以及通訊和廣播。此外,亦建議將大型體育及表演場地、科研園區等納入規管範圍,確保這些地點的電腦系統安全運作。