立法會三讀通過保護關鍵基建設施草案　明年生效違例者可罰500萬

《保護關鍵基礎設施(電腦系統)條例草案》今日（19日）獲立法會三讀通過，保安局局長鄧炳強預告條例目標2026年1月1日生效，期間會成立專責辦公室，半年內開始分階段指定營運者及系統。

條例旨在加強關鍵基礎設施的電腦系統保安能力，設施營運者要通報電腦系統重大變化、參加保安演習等，違者會被罰款50萬元至500萬元。法律界立法會議員林新強指，條例並無賦權因應新例而新設的專員接手受侵害系統的權力，質疑當營運商被攻擊，政府或難以補救。

林新強：駭客可遙控無人駕駛車輛　促政府做好風險管理

當條例草案通過後，政府將成立專責辦公室，由隸屬保安局的專員與數字政策辦公室和警務處的專家負責制定《實務守則》，監察針對「關鍵基礎設施」的電腦系統保安威脅，調查電腦系統保安事故等。

法律界立法會議員林新強發言時表示，條例草案有進步空間，例如可否有辦法主動調查攻擊關鍵基礎設施的相關人士、可否將其定性為恐怖分子。他續稱，如果網絡攻擊成為常態，質疑政府有否足夠的預算方案，指條例賦權專員要求關鍵基礎設施營運者作出補救行為，但無針對賦予專員接管侵害系統的權力，即營運商只是報告，但如果政府想補救，營運商都有權不讓政府插手處理，隨時「小事變大事、大事變災難」。

林新強又以無人駕駛車輛為例，指現時車輛是高度智能化設備，很多具備自動駕駛功能，駭客可影響車輛駕駛，甚至遙距引致嚴重交通意外。他認為關鍵基礎設施高度依靠網絡化、智能化，促特區政府要訂立應急機制，做好風險管理。

邱達根：不少機構未知會否被納入規管

科技創新界立法會議員邱達根表示，網絡安全輕則令電腦系統被破壞、重則會影響國家安全，本港面對網絡安全風險偏高，創科界希望進一步保障數據及網絡。他提出，希望政府考慮平台的實際營運情況，避免業界誤墮法網，不少機構未知自己會否成為關鍵基礎設施營運者，希望當局確定及指定營運者有清晰指引，讓有機會成為關鍵基礎設施的營運者提早作出準備。他指指引未有時間表、清晰度會讓行業有關注，未能全面釋除疑慮。

鄧炳強：明年生效　半年內分階段指定營運者

保安局局長鄧炳強指，關鍵基礎設施是維持市民日常生活的必要設施，條例建議成立專責辦公室執行法例，當局已經聽取不同意見，包括去年7月諮詢立法會，並設公眾諮詢及向立法會匯報工作，亦有簡介會。他重申條例原則施加的法定責任是旨在保障電腦系統安全，絕非針對個人資料及商業秘密，同時條例無域外效力。

他表示，會適時審視法例，可通過修改附屬法例增設受規管的營運界別。此外，營運商即使聘用第三方服務，都要負上責任，「工作外判、責任不可外判」。他又表示，暫時不會考慮設立白名單，但日後累積經驗之後可以檢視。

對於賦權政府接管關鍵基礎設施，他指發出事故後專員會向營運者作出建議及協助，可以介入但不可接管整個系統，認為非政策目的。他指目標是2026年1月1日生效，以及成立專責辦公室，期望半年內開始分階段指定營運者及系統。

關鍵基礎設施營運者具三大責任　違者罰款最高500萬元

條例旨在加強關鍵基礎設施的電腦系統保安能力，政府就關鍵基礎設施分兩大類，第一是提供必要服務的基礎設施，包括能源、交通、資訊科技、醫療、銀行等八個界別；第二是維持重要社會和經濟活動的基礎設施，包括大型體育場地、表演場地、科技園區等等。

條例列明，關鍵基礎設施營運者要遵守三類責任，包括設立電腦系統安全部門、報告關鍵電腦系統的重大變化、制定保安管理計劃、至少每兩年參與一次保安演習，並需制定應急計劃。刑罰以機構為單位，並按違規的種類處以由50萬元至500萬元罰款不等。

中國移動香港董事兼行政副總裁李昕回應立法會三讀通過保護關鍵基建設施草案，他表示集團非常支持草案，加強「關鍵基礎設施」的電腦系統的保安能力，降低關鍵服務被網路攻擊破壞的機會，提升香港整體的電腦系統安全，有助建立良好的防範管理體系，確保電腦系統安全運作，鞏固香港良好的營商環境及國際金融中心地位。