行政長官在前年的施政報告提出,會立法提升關鍵基礎設施的網絡安全。保安局向立法會保安事務委員會,簡介建議立法框架,指參考多個司法管轄區的做法,擬議條例暫名為《保障關鍵基礎設施(電腦系統)條例草案》,並成立一個新的專責辦公室負責執行條例,涵蓋兩大類關鍵基礎設施,第一類是8個提供必要服務的界別,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健,以及通訊和廣播。第二類是其他維持重要社會和經濟活動的基礎設施,例如大型體育及表演場地、科研園區等。
法例會要求這些設施的營運者承擔一些法定責任,在多方面採取適當措施,加強電腦系統的保安能力,減低必要服務因網絡攻擊被擾亂或破壞的可能,從而提升香港整體的電腦系統安全。絕大部分受規管的是有規模的大機構,中小企及一般市民不受影響,亦只會要求營運者承擔保護關鍵電腦系統的責任,絕不涉及系統內的個人資料及業務內容。
營運者必須向專責辦公室報告有關「關鍵電腦系統」的重大變化,包括設計、配置安全或運行的重大變化等,制定及實施電腦系統安全管理計劃;至少每年進行一次電腦系統風險評估;至少每兩年一次進行獨立電腦系統保安審計。亦要至少每兩年一次參與專責辦公室舉行的電腦系統安全演習。若出現嚴重電腦系統保安事故,例如對關鍵基礎設施的正常功能造成重大影響,或導致個人資料等數據大量外洩,要在得悉事件發生後2小時內,向專責辦公室通報。
刑罰以機構為單位 罰款最高500萬元
文件強調,立法原意並非懲罰營運者,但為確保條例能有效實施及執行,必須訂定相關的罪行及適當罰則。刑罰會以機構為單位,並以罰款方式處理,但若違規行為涉及觸犯現有的一些刑事法例,例如虛假陳述、行使虛假文件或其他詐騙相關罪行,涉事人員亦有機會要負上個人刑事責任。考慮到英國及歐盟的相關法例做法一致,建議擬議條例最高罰款港幣50萬至500萬元不等,經法庭審訊而定,個別罪行亦會就持續違法行為,處以額外的每日罰款。
局方會在下月2日諮詢保安事務委員會後,再次諮詢相關業界1個月。保安局、律政司、政府資訊科技總監辦公室及警務處已開展條例草擬工作,在考慮及吸納諮詢意見後,計劃今年底前將條例草案提交立法會審議。
議員:法例可讓營運者有法可依 不會推卸責任
當局建議,新的專責辦公室隸屬保安局,由行政長官委任一名專員帶領。當條例通過後,目標在一年內成立專責辦公室,以期條例可於其後半年內正式生效。保安事務委員會委員、民建聯葛珮帆認為,文件訂立的法定責任都合符國際標準,又指建議涵蓋的界別中,並不是每一間機構都有採取相關措施,今次立法可讓營運者有法可依。文件中亦提出營運者要確保第三方服務提供者,都要符合相關規定,亦可以保證營運者不會推卸責任。
葛珮帆又認為,建議涵蓋的界別中的機構,都會非常緊張公司聲譽和誠信,相信罰款刑罰已有足夠阻嚇力,大部分機構都會採取適當措施,加強電腦系統的保安。
留言 2
yagyob
捉唔到又防唔到,加大刑罰做樣好,
順手塞罪拉學生,一班廢柴離晒譜。
06月25日22:28
reLax♀♂DonTdo_it
廢。
06月25日15:56
顯示全部