立法会:保安局局长动议二读《保护关键基础设施(电脑系统)条例草案》发言全文(只有中文)
*******************************************
主席:
我动议二读《保护关键基础设施(电脑系统)条例草案》。
立法目的
关键基础设施是维持社会正常运作和市民正常生活必须的设施。事实上,全球的关键基础设施均有受到恶意网络攻击的风险,而保障关键基础设施电脑系统安全的法规在其他司法管辖区亦非常普遍。
行政长官在二○二二年十月发表的《施政报告》中宣布,会立法提升关键基础设施的网络安全。《条例草案》旨在向被指定的「关键基础设施营运者」施加法定要求,确保它们采取适当措施保护其电脑系统,减低因网络攻击导致必要服务被干扰或破坏的可能,从而维持香港社会的正常运作和市民的正常生活。
立法原则
受规管的「关键基础设施营运者」都是对在香港持续提供必要服务或维持关键的社会和经济活动属必要的,大部分都是大机构,中小型企业及一般市民不受规管。
施加法定责任的目的是要保障对关键基础设施核心功能至关重要的电脑系统安全,绝非针对个人资料或商业秘密,也与市民网上活动完全无关。
规管对象
《条例草案》订明,只有被指定的「关键基础设施营运者」及其被指定为「关键电脑系统」的电脑系统才会受规管。《条例草案》采取「机构为本」的方式,即以负责营运每个关键基础设施的机构为一个单位,必须履行保障其电脑系统安全的责任。
由于政府内部已经有相关政策及指引,确保政府营运的必要服务的电脑系统安全,因此我们认为适宜沿用现有的方法去规管政府营运的必要服务,无需纳入拟议条例。
法定责任
《条例草案》下的法定责任分三大类︰
第一类架构责任,包括营运者要向政府报告营运权的变更;设立电脑系统安全管理部门,并委任专责、有专业知识的主管等。
第二类预防责任,包括制定和实施电脑系统安全管理计划,并定期进行风险评估、审核和演练。
至于第三类事故通报及应对责任,当有电脑系统安全事故发生时,营运者须在指定时间内向政府报告,同时自行采取应对措施,还原系统。政府在有需要时可提供适时协助,采取补救措施,控制问题和减低影响其他关键基础设施的情况。
专责办公室及指定当局
我们建议成立一个隶属保安局的专责办公室,执行条例下的工作。
由于部分必要服务行业已经受其法定行业监管机构的全面监管,我们建议指定个别行业机构为「指定当局」,负责监察其规管界别内的「关键基础设施营运者」遵从我刚才所说的第一类责任(架构责任)和第二类责任(预防责任)。现阶段,我们建议指定香港金融管理局监管银行及金融服务相关的服务提供者,而通讯事务管理局则负责监管通讯及广播相关的服务提供者。专责办公室会掌握所有营运者的事故通报及应对情况,减低事故可能影响其他界别或造成广泛服务延误的可能。
罪行及刑罚
由于立法的原意并非旨在惩罚营运者,考虑到规管对「关键基础设施营运者」的影响,以及确保条例有足够的阻吓力这两方面之间取得平衡,刑罚方面我们建议只会以机构作为单位,违者可处最高罚款港币50万元至500万元不等,个别罪行亦会就持续违法行为处以额外的每日罚款,并无监禁式刑罚。
虽然条例只建议向机构罚款,但若相关的违规行为涉及触犯现有法例的刑事罪行,例如虚假陈述、行使虚假文书或其他诈骗相关罪行,涉事人员亦有机会要负上个人刑事责任。
主席,《条例草案》通过后,政府的目标是在一年内成立专责办公室,以期让拟议条例可于其后半年内正式生效,专责办公室会继续和持份者保持密切联系,因应不同关键基础设施的界别内可能被指定为营运者的机构的情况,逐步分阶段指定「关键基础设施营运者」及其「关键电脑系统」。
我希望各位议员支持《条例草案》。
主席,我谨此陈辞。
完
2024年12月11日(星期三)
香港时间15时16分
香港时间15时16分