简体版 英文版 寄给朋友 政府新闻网
立法会二题:资讯保安
**********

  以下为保安局局长黎栋国今日(六月二十六日)在立法会会议上就莫乃光议员的提问的答覆:

问题:

  据报,美国国家安全局自二○○九年起入侵多个内地及香港电脑网络的主干。有香港市民表示,鉴于他们曾使用该等电脑网络的服务,他们担心其通讯资料或已被美国政府取得。关于香港的资讯保安,政府可否告知本会:

(一) 有否评估,香港政府内部是否拥有足够的专业技术或能力,侦测到外国(例如美国)的政府及机构试图入侵香港的政府或私人电脑系统的活动;若评估结果为是,详情为何;若评估结果为否,有关当局会否就本港的资讯保安水平进行检讨;鉴于有大量香港市民使用伺服器设于美国的互联网服务(例如社交网站),有关当局会否跟进美国政府有否取得该等用户的资料;

(二) 政府部门过往曾否要求本地或外地的互联网服务供应商准许其直接从它们的伺服器、系统或网络提取资料,以及曾否自行或与本港以外(例如美国)的政府及机构合作,取得香港市民在互联网上的资讯(例如照片、音讯、视讯、电邮、语音、档案、登入帐号等);若有,原因及详情为何;若否,政府能否保证日后不会以任何形式收集该等资料;及

(三) 鉴于有市民指出,现时《截取通讯及监察条例》从未作出修订,而且漏洞处处(例如公共安全的定义太阔、对违规截取通讯的公职人员没有罚则等),令人对个人私隐感到忧虑,政府就修订此条例订定的时间表为何;若没有时间表,原因为何;政府有否评估,现行法例是否足以监管非政府组织或个人的窃取通讯行为(例如商业间谍行为等);若评估结果为否,政府有否计划修订现行法例或订立新法例予以规管;若有,详情为何;若否,原因为何?

答覆:

主席:

  议员的问题关注到几方面,包括政府部门在资讯保安方面的专业技术和能力、打击科技罪行的能力,以及会否就非公职人员进行的截取通讯行为进行规管等。以上的关注涉及保安局、商务及经济发展局和政制及内地事务局的政策范畴,以下是我们的综合回覆:

(一) 政府十分重视资讯系统及数据的安全,在政府内部和私人电脑系统保安以及打击科技罪行采取不同的措施。

  政府资讯科技总监办公室已实施下列措施去维护政府的网络安全和抵御网络入侵和攻击:

(i) 各局及部门已参照国际标准和业界的良好作业模式,制定及推行部门的资讯保安政策,严格执行系统保安管理的程序,并定期进行保安风险评估和第三方审查,持续改进其保安管理系统和设施。

(ii) 政府的中央互联网系统,采用业界先进资讯保安技术,及执行严谨的保安管制、监察和侦测程序及措施,以确保系统正常运作,严防网络攻击及入侵。政府资讯科技总监办公室亦定期进行系统事故应变及复修演习,以确保有关系统及工作人员能有效处理包括网络攻击等保安及服务事故的即时应变。一旦侦测到试图入侵行为,该办公室会立刻进行调查,以及采取行动去抵御攻击。

(iii) 政府重视持续加其专业人员的知识和技能,以便有效执行他们的工作。目前,在各局及部门工作的相关专业人员已取得国际认可的资讯安全专业证书(例如国际资讯系统保安认证协会的资讯系安全师专业认证及国际电脑稽核协会的电脑稽核师专业认证)。

(iv) 政府资讯科技总监办公室积极参与国际组织,包括亚太经合组织、国际标准组织,以及全球保安事故协调中心组织,以掌握有关国际资讯保安的消息和防御方案的最新趋势及最佳作业模式。

  至于私人电脑系统保安方面,政府资讯科技总监办公室积极与业界及持份者合作,向工商界及市民宣传并推广保护电脑系统及网络安全的重要性,提高公众对保护电脑系统和资讯的认知和知识。透过香港电脑保安事故协调中心为本地互联网社群提供电脑保安事故相关的服务,包括回应电脑保安事故及利用不同渠道,包括网站、电邮及手机应用程式等,发布最新的资讯保安消息及警报,提高公众的互联网保安意识。

  在打击科技罪行方面,警务处具备达国际水平的专业的技术和能力。

  为进一步加强本港对各种网络威胁的防御能力,警务处于二○一二年十二月成立了「网络安全中心」。「网络安全中心」的主要工作是针对重要基础设施的资讯系统网络保安,加强警队和相关持份者的沟通和协调工作及进行专题研究和网络安全审定,以预防及更有效应付可能发生的攻击事故。我们相信「网络安全中心」的工作能够提高本港对网络攻击事故的应变和防御能力。

  和社会大众一样,我们十分关注有关本地的电脑系统被入侵的广泛报道。就有报道指香港有电脑系统被美国政府机构入侵,特区政府已向美方致函正式要求解释,并会继续积极跟进任何香港机构或者个人的权利被侵犯的事件。

(二) 政府部门并没有要求本地或外地的互联网服务供应商准许其直接从它们的伺服器、系统或网络提取资料。各政府部门在执行职务时,如须要求相关人士或机构(包括互联网服务供应商)提供资料或作出配合,会按照相关的法例、既定的程序或守则进行。

(三) 是项质询是关注到本地资讯保安及电脑系统被海外黑客入侵的问题,以及保障个人私隐及监管非政府组织或个人的截取通讯行为。

  香港目前主要用于打击黑客非法入侵电脑系统的法例有《刑事罪行条例》(第200章)第161条(有犯罪或不诚实意图使用电脑)及《电讯条例》(第106章)第27A条(藉电讯而在未获授权下使用电脑)。

  《截取通讯及监察条例》和这项质询的关注的事宜并没有关系。该《条例》的目的和指定范围,是规管香港的执法机关进行合法的截取通讯,以防止及侦测严重罪行和保障公共安全。《条例》就复杂而精密的机制作出严谨的规定,执法机关按照严谨的程序和规定填写文件,向小组法官提交申请和依据所批出的授权进行。《条例》并不适用于非公职人员。

  如有非公职人员所进行截取通讯,有关行为可能干犯《电讯条例》第24条(就电讯人员故意截取讯息)、或第27条(任何人蓄意损坏电讯装置)。若有关行为涉及搜集个人资料,则受《个人资料(私隐)条例》规管。

  就监管非政府组织或个人的截取通讯行为,特区政府相关政策局会考虑是否需要在现行法律基础上进一步加保障,同时要顾及其他政策考虑,包括维护新闻自由等。



2013年6月26日(星期三)
香港时间15时33分

列印此页