警隊專家小組倡盡快立法規管

當香港人正習慣一機在手，過着指尖上的智慧城市生活時，內地和多國已推行或試行無人駕駛的士、無人機送外賣、全實名電子支付、智能城市管理等。當各國近年致力發展智慧城市以提升大眾生活質素、推動經濟發展、優化城市管理的時候，香港距離另一層次的智慧城市生活有多遠？智慧城市的建設又會帶來甚麼網絡安全威脅？ 
就此，香港警務處與十二位來自不同界別的專家及領袖成立的科技罪案警政顧問小組（「顧問小組」）於六月下旬舉行了第三次會議，探討如何就智慧城市相關的網絡安全挑戰做好準備。
智慧城市何以「智慧」?

智慧城市的「智慧」在於透過資訊及通訊科技（ICT）（例如物聯網、人工智能、大數據、5G流動網絡、雲計算及區塊鏈技術等）連接各種系統及服務，收集大量數據進行分析，以尋找合適方案以提升城市營運效率及即時回應市民的需要，從而改善生活質素。舉例說，透過互聯網連接人車流量監測系統和交通燈，並按照道路使用量調節行人過路時間，可減低停車等候時間和節省能源，亦有助於處理塞車問題及改善市區空氣質素、規劃街道及車位等；工廠內控制生產設備的操作技術（OT）設備（例如感應器、控制器等）連接至雲端，讓管理員實時遙距監控設備運作情況，既能增加營運效益，亦可減省人手，應對人口老化及勞動人口不足的問題。
香港發展智慧城市近況

本港政府早於2017年公布《香港智慧城市藍圖》，就「智慧出行」、「智慧生活」、「智慧環境」、「智慧市民」、「智慧政府」及「智慧經濟」六個範疇提出多項措施，當中的數碼基建項目包括「轉數快」系統、「智方便」數碼服務平台及增加公共Wi-Fi熱點等。至2020年政府公布《香港智慧城市藍圖2.0》，提出130項措施，繼續優化及擴大現行城市管理工作及服務。
三大網絡安全挑戰

顧問小組認為智慧城市把不同公共服務和基礎設施整合，當中涉及收集、傳輸、處理、儲存海量數據，這些智慧基建設施的資訊科技（IT）和操作技術（OT）系統往往會吸引來自全球各地的黑客和不法分子覬覦，發動網絡攻擊，包括盜取敏感資料、惡意破壞，嚴重甚至影響國家安全。顧問小組總結了以下三大網絡安全威脅：
一．洩露個人資料

智慧城市的智能系統可透過物聯網裝置、手機應用程式等收集數據，例如市民出行習慣、消費記錄、身體情況、醫療記錄等敏感資料，儲存在電腦系統進行分析並有機會透過共享數據及應用程序接口（API）與其他系統交換數據。有部分收集到的資料會經過匿名化處理，但有部分仍屬敏感資料。敏感資料一旦被黑客盜取、人為洩漏，或因系統漏洞、錯誤設置等導致意外流出，便有可能被不法分子用作非法用途，包括詐騙、勒索、身份盜用、盜竊財產。試想像一下，今天黑客入侵一般市民家中的IP鏡頭窺視用戶一舉一動，並收集人臉和聲紋，透過深偽技術進行換臉換聲視頻詐騙已非天方夜譚，黑客未來還可如何進一步利用公眾的敏感資料？
二．癱瘓基建設施

智慧城市把基建設施與資訊系統深度融合，透過互聯網連成一體。當原本獨立運行的設備連接上網，便有機會被黑客入侵。黑客輕則操控或干擾智能公共系統（例如交通管理系統），導致交通混亂，影響市民出行；重則攻擊重要基礎設施（例如發電廠、水務系統、數碼貨幣系統等），直接癱瘓城市。
三．威脅國家安全

近年全球政治局勢動盪，應對網絡戰爭和資訊戰爭成為國家安全戰略的議題。除了傳統的網絡間諜活動（經典例子是近年為港人所知的斯諾登事件），近年相繼湧現各種國家級網絡攻擊，例如透過惡意軟件入侵和分散式阻斷服務 （DDoS） 攻擊，威脅各國政府的運作。香港在2014年非法佔中和2019年黑暴中，亦曾經有黑客組織號召攻擊香港政府的資訊系統，企圖癱瘓政府運作。

顧問小組認為智慧城市走向萬物聯網（Internet of Everything）屬大勢所趨。但面對日新月異的網絡威脅，本港需要訂立多方位網絡安全策略以面對轉型為智慧城市的挑戰，當中完善網絡安全法制及相關電腦罪行、研究數據共享機制等實屬逼在眉睫。
制定網絡安全法 保護基礎設施

智慧城市必須依靠網絡支持系統及訊息的互通，故此提升本港關鍵基礎設施的網絡安全是確保社會日常運作正常的重要一環。本港如要建設智慧城市，首先需要盡快制定網絡安全法，釐訂關鍵設施營運者（如交通、能源、通訊、金融行業等）的網絡安全責任，例如規定營運者採取保安措施以偵測、堵截和抵禦各種網絡安全威脅、提升企業網絡安全管治水平作為發牌條件等。試想像今年初及去年有電力公司因失火事故而導致多區大停電、交通燈失靈等，假如黑客入侵電力系統影響供電，足以癱瘓本港經濟活動。
加強保護個人及敏感資料

對於涉及敏感資料收集、儲存、處理的系統，政府可考慮訂立類似內地《網絡安全等級保護》制度，按照系統若果受破壞，對公眾、社會秩序、國家安全可能構成的損害程度，制定不同等級的保護要求。

顧問小組亦建議立法對違規或洩露敏感資料的企業採取強而有力的罰則。私隱專員去年就審視有企業互相使用旗下品牌客戶的個人資料，以及數據庫遭勒索軟件攻擊事件時亦坦言，現時《個人資料（私隱）條例》（「私隱條例」）的相關罰則阻嚇力不足，例如就違反專員發出的執行通知，最高只可被判罰款五萬元港幣及監禁兩年。相比違反歐盟《通用資料保護規則》，違者可判高達全球年營業額4%的罰款、違反內地《個人信息保護法》規定者最高可被罰款人民幣五千萬元，或上一年度營業額的5%，並可被責令停業整頓、吊銷相關業務許可或營業執照等，私隱條例的罰則或有檢視的空間。
訂立網絡罪行法例

本港現時針對網絡罪行的法例主要是實施多年的《刑事罪行條例》的「有犯罪或不誠實意圖而取用電腦」、「摧毀或損壞財產」及《電訊條例》的「藉電訊而在未獲授權下取用電腦資料」。然而，有關法例並不能針對打擊新型的網絡犯罪活動，例如管有網絡攻擊工具或惡意軟件等。雖然法律改革委員會電腦網絡罪行小組委員會正就「依賴電腦網絡的罪行及司法管轄權事宜」制定新法例，覆蓋（一）依賴電腦網絡的罪行及司法管轄權事宜、（二）借助電腦網絡的罪行及（三）處理證據事宜及執法（程序）事宜，整個立法程序仍需時甚長。顧問小組建議政府加快立法，有效規管網上平台的犯罪活動，例如規定平台必須保存數據不少於指定期限，賦予執法機構權力要求網絡服務供應商提交記錄、移除非法內容等，以便執法機構進行蒐證。
優化數據共享平台

完善數據共享機制是打通智慧城市「任督二脈」的關鍵，當中政府需要主導訂立法規、標準化數據制式和建構數據共享生態，企業和民間組織方能從中製造價值。以新加坡為例子，當地的「可信任資料框架」設有沙盒機制讓企業在有條件下豁免法規限制使用及分享資料，政府亦有詳細指引列明企業在甚麼情況下能共享數據、如何制定數據格式便利使用、與其他企業訂立數據共享協議時的考慮等。

此外，當地政府亦為整個城市在虛擬空間建立「數碼分身」，讓公眾參與城市規劃和管理。顧問小組建議政府借鏡以上措施，為共享數據製造便利和合規的空間。

在全球數碼轉型的趨勢下，香港正按照藍圖發展成為智慧城市。維護網絡安全可謂發展智慧城市的「定海神針」，本港應以完善法制和規範智能裝置作為首要任務。

除此以外，本港亦應循多方位培育和留住網絡安全人才，並提升大眾的數碼素養及網絡安全意識，並在規劃智慧城市發展時，要同時考慮相關的基建配套及數據中心的保護，方能充分把握智慧城市帶來的機遇和為香港締造可持續發展的未來。