保障关键基础设施条例拟放宽通报时限 最快2026年生效将设适应期

撰文: 冯子健
出版:更新:

保障关键基础设施立法咨询期结束,保安局今日(2日)总结收到53份意见书,唯一提出反对的是英国人权组织,理由是希望保障言论自由。局方正考虑放宽通报严重事故的规定,由原本建议的事故后的2小时,改为12小时;其他事故由24小时放宽至48小时,违者可罚款50万元至500万元不等。

草案原本规定当关键电脑系统“拥有权”和“营运权”变更时,必须向专责办公室报告,当局正考虑只要求营运者报告“营运权”变更。局方预计今年底将条例草案提交上立法会,料明年获立法会通过后,一年内成立专责办公室,估计条例2026年初生效,初时设适应期,希望不用罚款。

事故通报及应对责任方面,通报严重事故的时限由得悉事故后的2小时,放宽至12小时。(资料图片)

英国人权组织成唯一反对意见

保安局今天向立法会提交文件,总结保障关键设施条例草案一个月咨询期内接获53份意见书,其中47份来自业界,均支持立法或提出正面建议,英国一个人权组织以保障言论自由为由反对立法,成为唯一反对意见。

关键基础设施条例纳入8个界别的基础设施,包括能源、资讯科技、银行和金融服务、陆上交通、航空交通、海运、 医疗保健,以及通讯和广播。此外,亦建议将大型体育及表演场地、科研园区等纳入规管范围,确保这些地点的电脑系统安全运作。

拟放宽严重事故报告时限

有意见指出,要在发生严重事故后两小时内报告十分困难。保安局发言人指,参考英国、欧盟等做法后,决定放宽报告时限,由2小时宽限至12小时;其他事故由24小时放宽至48小时。事故发生后2周,亦需要提交较为详细的报告。条例通过一年内成立专责办公室,半年后条例生效,将积极考虑赋权专责办公室,在系统可能受干扰、服务中断时,可主动向营运者调查原因,确定是否由攻击所致。

被问到如何判断属于事故,保安局发言人表示,即得悉、相当掌握到有人恶意进入系统及攻击,严重事故即连续营运功能受影响等。发言人指,事故发生时,机构可能已经忙于厘清原因及抢救系统,故专责办公室都会主动了解及提供协助。

至于微软上次全球死机,如以后法例生效,是否因为没有域外效力而无法规管,发言人表示微软已经厘清是技术故障并非网络攻击,本法例只是针对非法入侵及刑事攻击。(REUTERS/Kacper Pempel/Illustration/File Photo)

表明初心不是罚人 刑罚参考英国

发言人指,专责办公室职能是调查事故,是针对电脑系统的攻击,想知道的只是攻击的手法、受影响的程度、有甚么服务被中断,过程中作出调查需要营运者合作,包括提供系统密码、用户名。至于微软上次全球死机,如以后法例生效,是否因为没有域外效力而无法规管,发言人表示微软已经厘清是技术故障并非网络攻击,本法例只是针对非法入侵及刑事攻击。

至于为何刑罚只是罚款而并非刑事责任。发言人指刑罚参考英国,初心亦不是罚人,同时大机构如果上庭都会曝露身份,认为声誉方面对大机构都十分重要,故相信有足够诱因让其配合法例要求。至于不幸发生事故后,会否公布营运者身份,发言人指专责办公室负责调查,如果机构受到攻击,相信在公众层面已经暴露。

保安局发言人指,外判工作不能外判责任。届时《实务守则》会提供指引,让营运者聘用第三方服务提供者时作参考,去厘定及履行合约。(Getty)

若外判商违法营运者也须负责

不过,部分机构将电脑系统等关键基础设施外判交由第三方处理,有意见指出如果外判商未能符合法例规定,营运者是否都要负责,保安局发言人指,外判工作不能外判责任。届时《实务守则》会提供指引,让营运者聘用第三方服务提供者时作参考,去厘定及履行合约。

对于《实务守则》要求营运者尽责查证、要付合理努力,这个标准可能太主观,发言人指查证工作包括定期的保安审计,发现事故时要求配合提供资料,亦会有《指引》提醒营运者,如外判予第三方服务提供者时要注意的事项。

加强保护关键基础设施电脑系统安全的立法框架,将包括铁路的电脑系统。(资料图片/夏家朗摄)

拟放宽至系统“营运权”有变更才须报告

考虑修订的还有规管对象,根据当局7月2日提交的文件,提到考虑某电脑系统是否属“关键电脑系统”时,会参考系统的关联性。但有意见指电脑系统之间一般会关联,可能涉猎范围太广泛,保安局发言人指考虑到“关联”一词未必准确反映关键电脑系统的要素,积极考虑删除“关联”字眼。

另外,草案原本规定关键电脑系统营运者,当设施“拥有权”和“营运权”变更,必须向专责办公室报告。保安局发言人表示积极考虑只要求营运者报告“营运权”变更。

对于有意见认为关键基础设施营运者名单要公开,发言人指涉及保安问题,政府不会公开名单 (Sean Gallup/Getty Images)

不公开关键基础设施营运者名单 已接触受规管者

对于有意见认为关键基础设施营运者名单要公开,发言人指涉及保安问题,政府不会公开名单;又说今次规管对象不包括政府,因为内部有准则。被问到除了政府,无人可接触到关键基础设施营运者名单,是否透明度不足。发言人重申不会公开名单,表示保密工作很严谨,如果名单公开外界就会知道何谓指明营运者,将涉及安全问题。

对于八大受规管的界别包括通讯及广播,广播机构是否需要额外成本配合,发言人指电台都是与市民息息相关的行业,通讯事务管理局都有电脑安全要求,通讯及广播界别都由通讯局管理,重申不会公布名单。

发言人重申,受条例规管的大部分是大机构,中小企及一般市民不受影响,亦不针对个人资料及业务内容,个人不受刑责,罚款对象也是机构。(视觉中国)

条例最快2026年初生效 将设适应期望免罚款

被问到有否评估法例何时生效,保安局发言人预计立法会2025年上半年通过条例,随即成立预备办公室及专责办公室,希望条例2026年初生效,生效初期设适应期,希望毋须向营运者提出罚款。

发言人重申,受条例规管的大部分是大机构,中小企及一般市民不受影响,亦不针对个人资料及业务内容,个人不受刑责,罚款对象也是机构。发言人又说,纳入关键基础设施的考虑因素,包括系统遭破坏、丧失功能、数据泄露时对社会的影响,厘定法定责任都是为了增加营运者抵御电脑攻击的韧性,已经与可能受规管的营运者沟通。

航拍检查户外供电设施(资料图片)

关键基础设施是指一些维护社会运作及生活必需的设施,例如银行、金融机构、通讯网络、供电设施和铁路系统等,立法是为了加强这些设施的网络安全。政府计划条例纳入8个界别的基础设施,包括能源、资讯科技、银行和金融服务、陆上交通、航空交通、海运、 医疗保健,以及通讯和广播。此外,亦建议将大型体育及表演场地、科研园区等纳入规管范围,确保这些地点的电脑系统安全运作。

立法保障关键基建 邓炳强反驳被指属监控 政府对营运资料无兴趣关键基建电脑系统安全立法7月咨询 违者最高罚款500万