立法會三讀通過《保護關鍵基礎設施(電腦系統)條例草案》,保安局局長鄧炳強表示,期望草案可於2026年1月1日生效,6月起逐步分階段指定關鍵基礎設施及關鍵電腦系統。
鄧炳強稱,條例草案目的是向被指定為關鍵基礎設施營運者的機構,訂立法定的要求,確保他們採取適當措施保護自己的電腦系統,減低網絡攻擊導致必要服務受影響或破壞的機會,從而維持香港社會正常運作和市民正常生活,他樂見持份者和社會對立法建議反應正面。
鄧炳強又說,條例草案對大部分中小型企業和一般市民,都不受影響,並重申條例草案並沒有域外效力,當局不可在香港境外執行相關條文,但強調現今科技無國界,不少位處香港的機構都經常使用位於香港以外的伺服器來儲存資料或支援核心功能,換言之處於海外的系統,若營運者能夠由香港境內接達,則可受條例草案規管,但這不等於有域外效力,對本港關鍵基礎設施營運者作出規管和施加責任,完全符合屬地原則。
他又說,保障鍵基礎設施及核心功能至關重要,條例草案絕非針對個人資料或商業秘密。
條例草案列出8個規管界別,包括資訊科技、能源、銀行和金融服務、交通、醫護服務、電訊及廣播等,以及維持關鍵的社會和經濟活動的設施,例如大型體育表演場地、科研園區等。這些機構的關鍵基礎設施營運者,要遵守三類法定責任,包括要設立電腦系統安全管理部門;定期進行風險評估、審核和演練;當有電腦系統安全事故發生時,營運者須在指定時間內向政府報告。
