保安局就加強保護關鍵基礎設施電腦系統安全　提出建議立法框架

行政長官在前年的施政報告提出，會立法提升關鍵基礎設施的網絡安全。保安局向立法會保安事務委員會，簡介建議立法框架，指參考多個司法管轄區的做法，擬議條例暫名為《保障關鍵基礎設施(電腦系統)條例草案》，並成立一個新的專責辦公室負責執行條例，涵蓋兩大類關鍵基礎設施，第一類是8個提供必要服務的界別，包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健，以及通訊和廣播。第二類是其他維持重要社會和經濟活動的基礎設施，例如大型體育及表演場地、科研園區等。

法例會要求這些設施的營運者承擔一些法定責任，在多方面採取適當措施，加強電腦系統的保安能力，減低必要服務因網絡攻擊被擾亂或破壞的可能，從而提升香港整體的電腦系統安全。絕大部分受規管的是有規模的大機構，中小企及一般市民不受影響，亦只會要求營運者承擔保護關鍵電腦系統的責任，絕不涉及系統內的個人資料及業務內容。

營運者必須向專責辦公室報告有關「關鍵電腦系統」的重大變化，包括設計、配置安全或運行的重大變化等，制定及實施電腦系統安全管理計劃；至少每年進行一次電腦系統風險評估；至少每兩年一次進行獨立電腦系統保安審計。亦要至少每兩年一次參與專責辦公室舉行的電腦系統安全演習。若出現嚴重電腦系統保安事故，例如對關鍵基礎設施的正常功能造成重大影響，或導致個人資料等數據大量外洩，要在得悉事件發生後2小時內，向專責辦公室通報。

刑罰以機構為單位 罰款最高500萬元

文件強調，立法原意並非懲罰營運者，但為確保條例能有效實施及執行，必須訂定相關的罪行及適當罰則。刑罰會以機構為單位，並以罰款方式處理，但若違規行為涉及觸犯現有的一些刑事法例，例如虛假陳述、行使虛假文件或其他詐騙相關罪行，涉事人員亦有機會要負上個人刑事責任。考慮到英國及歐盟的相關法例做法一致，建議擬議條例最高罰款港幣50萬至500萬元不等，經法庭審訊而定，個別罪行亦會就持續違法行為，處以額外的每日罰款。

局方會在下月2日諮詢保安事務委員會後，再次諮詢相關業界1個月。保安局、律政司、政府資訊科技總監辦公室及警務處已開展條例草擬工作，在考慮及吸納諮詢意見後，計劃今年底前將條例草案提交立法會審議。

議員：法例可讓營運者有法可依　不會推卸責任

當局建議，新的專責辦公室隸屬保安局，由行政長官委任一名專員帶領。當條例通過後，目標在一年內成立專責辦公室，以期條例可於其後半年內正式生效。保安事務委員會委員、民建聯葛珮帆認為，文件訂立的法定責任都合符國際標準，又指建議涵蓋的界別中，並不是每一間機構都有採取相關措施，今次立法可讓營運者有法可依。文件中亦提出營運者要確保第三方服務提供者，都要符合相關規定，亦可以保證營運者不會推卸責任。

葛珮帆又認為，建議涵蓋的界別中的機構，都會非常緊張公司聲譽和誠信，相信罰款刑罰已有足夠阻嚇力，大部分機構都會採取適當措施，加強電腦系統的保安。