政府擬立法規管機構 保障網絡安全

為提升對關鍵基礎設施網絡安全的保護，政府提出《保障關鍵基礎設施（電腦系統）條例草案》，建議立法規管「關鍵基礎設施營運者」及「關鍵電腦系統」，被指明的能源、資訊科技、 銀行等機構營運者要承擔法定責任，包括每年進行一次電腦系統保安風險評估、發生事故後需通報等，違者最高可被罰款500萬元，條例將於下月諮詢立法會，並於年底前提交立法會審議。政府強調，只有被指明的「關鍵基礎設施營運者」方要履行法定責任，中小企及一般市民不受影響。
保安局向立法會保安事務委員會提交的文件指，政府擬增設專責辦公室處理關鍵基礎設施，包括指明和監督關鍵基礎設施營運者及關鍵電腦系統。辦公室同時會制訂《實務守則》、調查及跟進違規情況、協助關鍵基礎設施營運者應對電腦系統保安事故、以及向關鍵基礎設施營運者發出書面指示，以堵塞可能出現的保安漏洞等。當局又建議指定金融管理局以及通訊事務管理局作為「指定監管機構」，分別負責監管銀行和金融服務，以及通訊和廣播業。
只針對指定機構

條例草案建議，將關鍵基礎設施分為「在香港提供必要服務的基礎設施」，以及「其他維持重要的社會和經濟活動的基礎設施」。當中「在香港提供必要服務的基礎設施」，涵蓋8個界別包括能源、資訊科技、 銀行和金融服務、陸上交通、 航空交通、海運、醫療保健以及通訊和廣播；「其他維持重要的社會和經濟活動的基礎設施」則包括大型體育及表演場地、科研園區等。

被列為關鍵基礎設施營運者須承擔法定責任，例如須設立電腦系統安全管理部門、報告關鍵電腦系統重大變化、每年至少進行一次電腦系統保安風險評估、每兩年至少進行一次電腦系統保安審計、在指定時間內報告保安事故，如發生嚴重事故要在得悉事件發生後2小時內通報，其他事故則在得悉事件24小時內通報。

如「關鍵基礎設施營運者」不履行法定責任、不遵從專責辦公室發出的書面指示、不遵從專責辦公室按法定調查權力提出的要求，以及不遵從專責辦公室就提供與關鍵基礎設施資料的要求，最高可被罰款50萬至500萬元，個別罪行持續，可每日罰款最高5萬至10萬元。
不涉個資及業務內容

政府重申，條例絕大部分規管的只是大型機構，中小企及一般市民均不受影響，條例亦不涉系統內的個人資料和業務內容。當局同時建議設立上訴機制，當營運者不同意專責辦公室有關「關鍵基礎設施營運者」或 「關鍵電腦系統」的指明、或其發出的書面指示時，可透過獨立渠道提出上訴。