立法會今日恢復二讀辦論《保護關鍵基礎設施(電腦系統)條例草案》,會上多名議員發言支持草案,認為可增強香港的安全性和韌性、提升國際形象。不過,法律界林新強認為草案仍有進步空間,例如當局是否能調查及應付網絡攻擊者、能否將其定性為「恐怖分子」;選委界陳紹雄建議政府就第三方網絡保安服務供應商,以至軟件供應商等,設立白名單制度。
條例草案列出8個規管界別,包括資訊科技、能源、銀行和金融服務、交通、醫護服務、電訊及廣播等,以及維持關鍵的社會和經濟活動的設施,例如大型體育表演場地、科研園區等。這些機構的關鍵基礎設施營運者,要遵守三類法定責任,包括要設立電腦系統安全管理部門;定期進行風險評估、審核和演練;當有電腦系統安全事故發生時,營運者須在指定時間內向政府報告。
法案委員會主席、選委界議員簡慧敏表示,法案委員會與政府舉行了4次會議,進行了約17小時的討論,收到18份建議書。提到實務守則方面,她表示委員認為當局應參照最新的科技及國際標準,因應個別行業情況及需要,制訂針對特定界別的實務守則,亦應充分諮詢持分者。
簡慧敏又提到,香港作為國際金融中心,截至今年2月,共有175間應可機構可以在香港穩健營運,全有賴金融基建正常運作,包括每日成交量達300億元的債務工具中央結算系統 (CMU)、日均交易達195萬筆、涉1600萬用戶的轉數快(FPS),以及涉全港市民信貸平台信貸資料平台(CRP)等。
她強調金融系統安全是香港穩健發展的基石,因此促請政府當局在條例草案通過後,以風險為本為準則,指定相關系統為關鍵電腦系統,並適當指定其營運者接受專員或指定當局的規管。
對於政府部門不納入規管的安排,簡慧敏表示起初對此有意見,不過政府當局在法案委員會上解釋,數字政策辦公室已就政府部門的規管制訂政策、規例,以及指引,惟政府過去曾出現大大小小的資訊事故,包括機電工程處、投資推廣署過去都有出現資料外洩的情況,故提醒政府部門要保護好自己的資料,亦須要求營運者保護好資料、迅速應對。
簡慧敏又指,英國、美國、歐盟等地都訂立了類似法例,擔心如果香港不立法,就會落後國際趨勢,在競爭中處於劣勢;而且近年電腦系統事故層出不窮,如果涉及能源、通訊、海陸空運輸或金融基建,所產生的嚴重後果不言而喻。
陳紹雄:設立白名單制度
法律界林新強表示,現時很多關鍵基礎設施的運作高度依賴互聯網、電腦、以智慧設備,系統性風險就愈來愈大,「如果電訊網絡遭到攻擊,大家上唔到網、電郵出咗問題、電話打唔到、股票買唔到、錢又轉唔到,香港整個商業運作都會停頓」,所以他支持政府制訂該條例草案。
不過,他認為該條例仍有很大的進步空間,包括當局是否有辦法調查及對付攻擊者。他又指,本港關鍵基礎設施涉及社會的整體安全穩定,是否能將攻擊者定性為「恐怖分子」。他表示,根據政府數據顯示,香港的網絡安全事故數字在短期內急劇上升,由2023年的7752宗,上升至2024年的11333宗,增幅達五成,認為情況值得社會警剔,關注背後的原因,反問香港是否已成為國際黑客的攻擊目標,或現有網絡安全措施已落後於時代呢?
商界的廖長江說,網絡安全是國家安全的一個重要領域,認為條例草案可以保設關鍵基礎設施的電腦系統安全,可以增強香港的安全性和韌性,有助提升香港的國際形象,建設成為國際創科中心。
選委界陳紹雄建議,政府就第三方網絡保安服務供應商,以至軟件供應商等,設立白名單制度。他說,網絡安全不能只着眼於網絡防火牆,而是講求網絡供應鏈的管理;政府亦應就第三方網絡保安供應商等作出規範,識別是否達到基線要求所需的專業及能力。
