立法會昨日(19日)三讀通過《保護關鍵基礎設施(電腦系統)條例草案》。條例的目的是加強「關鍵基礎設施」的電腦系統的保安能力,減低必要服務因網絡攻擊被擾亂或破壞的可能,提升香港整體的電腦系統安全,確保社會正常運作和市民正常生活,設施營運者要通報電腦系統重大變化、參加保安演習等,違者會被罰款50萬元至500萬元。保安局局長鄧炳強重申,條例沒有域外效力,對大部分中小型企業和一般市民都沒有影響。
多名議員都表示支持條例草案。其中法案委員會主席簡慧敏指,國家早於2021年出台《關鍵信息基礎設施安全保護條例》,其他司法管轄區包括新加坡、英國、美國和澳洲等, 亦已訂立類似法例,如果香港不立法,就會落後於國際趨勢。她又指,近年來電腦系統事故層出不窮,關鍵基礎設施出現事故後果不言而喻,認同有立法需要。
金融界立法會議員陳振英指,條例草案訂明,要就同一事故,向關鍵基礎設施電腦系統安全專員,及金管局雙線匯報,業界擔心通報工作會比以往繁重和複雜,期望當局對匯報要求與金管局大致相近,不會為金融機構增添壓力。
商界立法會議員廖長江則指,現今電腦系統面對的威脅不容忽視,去年仁安醫院被黑客惡意攻擊,部分運作須改由人手協調,另外澳門保安司司長辦公室去年受到來自海外的網絡攻擊,導致多個政府部門服務受阻,證明網絡攻擊會阻礙社會和經濟活動,以至香港整體運作,更甚會破壞投資信心。
鄧炳強指出,關鍵基礎設施是維持社會正常運作和市民日常生活的必須設施。《條例草案》的目的是向被指定為「關鍵基礎設施營運者」的機構,訂立法定要求,確保他們採取適當措施保護自己的電腦系統,減低網絡攻擊導致必要服務受影響或被破壞的機會,從而維持香港社會正常運作和市民正常生活,幫助香港整體電腦系統安全提升。他說,電腦科技日新月異,維護電腦系統安全只有進行時,沒有完結時。
「關鍵基礎設施」包括兩類,第一類是提供必要服務的基礎設施,包括能源、交通、資訊科技、醫療、銀行等8個界別;第二類是維持重要社會和經濟活動的基礎設施,例如主要體育場地、表演場地、科技園區等。這些機構的關鍵基礎設施營運者要遵守三大類法定責任,包括設立電腦系統安全部門、報告關鍵電腦系統的重大變化、制定保安管理計劃、至少每兩年參與一次保安演習,並需制定應急計劃。刑罰以機構為單位,並按違規的種類處以由50萬元至500萬元罰款不等。
《條例草案》通過後,當局目標是在2026年1月1日將條例正式生效,同時成立一個隸屬保安局的專責辦公室,負責執行新法例。專責辦公室會繼續和持份者保持密切聯繫,因應不同關鍵基礎設施界別內可能被指定為營運者的機構情況,期望在其後半年內,即約2026年年中,開始逐步分階段指定「關鍵基礎設施營運者」及其「關鍵電腦系統」。
