政府拟立法规管机构 保障网络安全

为提升对关键基础设施网络安全的保护，政府提出《保障关键基础设施（电脑系统）条例草案》，建议立法规管「关键基础设施营运者」及「关键电脑系统」，被指明的能源、资讯科技、 银行等机构营运者要承担法定责任，包括每年进行一次电脑系统保安风险评估、发生事故后需通报等，违者最高可被罚款500万元，条例将于下月谘询立法会，并于年底前提交立法会审议。政府强调，只有被指明的「关键基础设施营运者」方要履行法定责任，中小企及一般市民不受影响。
保安局向立法会保安事务委员会提交的文件指，政府拟增设专责办公室处理关键基础设施，包括指明和监督关键基础设施营运者及关键电脑系统。办公室同时会制订《实务守则》、调查及跟进违规情况、协助关键基础设施营运者应对电脑系统保安事故、以及向关键基础设施营运者发出书面指示，以堵塞可能出现的保安漏洞等。当局又建议指定金融管理局以及通讯事务管理局作为「指定监管机构」，分别负责监管银行和金融服务，以及通讯和广播业。
只针对指定机构

条例草案建议，将关键基础设施分为「在香港提供必要服务的基础设施」，以及「其他维持重要的社会和经济活动的基础设施」。当中「在香港提供必要服务的基础设施」，涵盖8个界别包括能源、资讯科技、 银行和金融服务、陆上交通、 航空交通、海运、医疗保健以及通讯和广播；「其他维持重要的社会和经济活动的基础设施」则包括大型体育及表演场地、科研园区等。

被列为关键基础设施营运者须承担法定责任，例如须设立电脑系统安全管理部门、报告关键电脑系统重大变化、每年至少进行一次电脑系统保安风险评估、每两年至少进行一次电脑系统保安审计、在指定时间内报告保安事故，如发生严重事故要在得悉事件发生后2小时内通报，其他事故则在得悉事件24小时内通报。

如「关键基础设施营运者」不履行法定责任、不遵从专责办公室发出的书面指示、不遵从专责办公室按法定调查权力提出的要求，以及不遵从专责办公室就提供与关键基础设施资料的要求，最高可被罚款50万至500万元，个别罪行持续，可每日罚款最高5万至10万元。
不涉个资及业务内容

政府重申，条例绝大部分规管的只是大型机构，中小企及一般市民均不受影响，条例亦不涉系统内的个人资料和业务内容。当局同时建议设立上诉机制，当营运者不同意专责办公室有关「关键基础设施营运者」或 「关键电脑系统」的指明、或其发出的书面指示时，可透过独立渠道提出上诉。