政府準備立法加強保護關鍵基礎設施電腦系統安全。保安局表示,會爭取盡快將相關條例草案定稿,今年內提交立法會審議,目標是在條例通過後1年內,成立專責辦公室,預計2026年初正式生效。在條例生效前,當局會繼續與各界別持分者保持聯繫,共同制定界別適用的《實務守則》,並與有機會被指明的營運者緊密溝通,以敲定他們是否符合相關考慮因素,確定用以提供必要服務的關鍵電腦系統,並因應系統對社會的影響和準備程度等,分階段作出指明,以提升香港整體電腦系統安全。

政府擬修訂規管對象 或不會一併指明「關聯系統」

政府早前已就立法進行1個月諮詢,保安局指,正考慮修訂條例的規管對象,在指明「關鍵電腦系統」時,不會一併指明「關聯系統」,又指「關聯」一詞未必精準反映定義「關鍵電腦系統」的考慮因素,因此會予以刪除。局方又提出,將於條例草案中,移除營運者須報告變更關鍵基礎設施「擁有權」的規定。

事故通報及應對責任方面,政府在諮詢期後,考慮將通報嚴重事故的時限,由得悉事故後2小時內放寬至12小時內;其他事故的通報時限,則由24小時內放寬至48小時內。當局亦考慮,賦權專責辦公室,在有關系統已經或可能受干擾、服務中斷時,可主動向營運者調查原因,確定是否由攻擊引致。至於第三方服務供應商的責任,保安局提出,在《實務守則》提供完善履行「盡責查證」及「合理努力」的指引,讓營運者聘用服務提供者、訂定及履行合約時參考。

保安局:特定情況才會申請手令 在系統連接設備或安裝程式

政府在7月就立法進行1個月諮詢,共接獲53份意見書,當中包括600多項意見或建議。其中有意見關注,條例賦權專責辦公室,在「關鍵電腦系統」連接設備或安裝程式,擔心會影響系統正常運作,亦憂慮會被執法部門獲取資料。保安局發言人解釋,只會在嚴重事故發生、而營運者不願意或未能自行應對事故時,才會考慮向裁判官申請手令,強調其他司法管轄區,包括澳洲和新加坡,都有相同做法。

至於保安局會否公開受規管機構名單,發言人表示,基於保安理由不宜對外公布,以防不法之徒直接攻擊有關機構。對於條例罰則只牽涉罰款,當局強調,制訂條例的初心並非懲罰營運者,指一旦機構違法會被告上法庭,相信罰則已有足夠影響力。

保安局又提及,諮詢期內收到的唯一一份反對意見,來自一個英國註冊的人權組織,是以保障言論自由等為由提出反對,局方已反駁並釐清謬誤;而其餘52份支持立法或提出正面建議的意見書,有47份來自業界。