A13 03.21.2025 星期五 港聞 ■李百全指《條例》確保香港關鍵基礎設施電腦系統具有韌性,能抵禦網絡攻擊並盡快恢 復正常運作。 蘇正謙攝 架構責任 在香港設有地址和辦事處 報告關鍵基礎設施營運權的變更 設立電腦系統安全管理部門(可外判),並委 任專責主管負責監管 預防責任 報告有關關鍵電腦系統的重大變化(如設計、 配置、安全或運行) 制訂 / 實施電腦系統安全管理計劃 進行電腦系統安全風險評估(至少每年一次) 進行電腦系統安全審核(至少每兩年一次) 事故通報及應對責任 參與電腦系統安全演習 制訂應急計劃 在指定時間內報告有關關鍵電腦系統的安全事 故;嚴重事故須在得悉事件發生後12小時內通 報,其他事故須在得悉事件發生後48小時內通報 第一類 在香港提供必要服務的基礎設施 涵蓋 8 個界別:(1)能源(2)資訊科技(3)銀行 和金融服務(4)航空運輸(5)陸路運輸(6)海上 運輸(7)醫護服務(8)電訊及廣播服務 第二類 其他維持重要的社會和經濟活動的基礎設施 例如大型體育 / 表演場地、主要科技園區等 2025年3月19日 《 條例草案》在立法會恢復二讀辯論及三讀通過 2026年1月1日 條例正式生效及成立專責辦公室 2026年6月 即專責辦公室成立半年後,分階段指定營運者 美國燃油運輸管道停擺 瑞典政府機構運作陷困 大量醫保客戶私隱被竊 2021年美國燃油運輸管 道 Colonial Pipeline( 殖 民管道)管理系統遭到網 絡襲擊,令系統不能正 常計算費用。該公司決 定停止輸油,令美國多 州進入緊急狀態。 2024年1月瑞典數據中心受 勒索軟件攻擊,影響瑞典大 部分大學和170多間政府機 構。攻擊事件導致這些組織 的員工無法提交事假申請或 報銷申請,以及令薪酬管理 系統暫停運作。 2 024年2月UnitedHealth(美 國醫療保險公司)遭受黑客 集團AlphV(又名BlackCat) 勒索軟件攻擊,入侵其公司 系統,並可能盜取高達全美 三分一國民的個人資料及醫 療資訊。 保安局常任秘書長李百全接受《星島》訪問 時表示,政府訂立有關條例,是因應全 球不同地區的關鍵基礎設施電腦系統近年受 到網絡攻擊的問題,若香港關鍵基礎設施的 電腦系統受到網絡攻擊,隨時會癱瘓相關服 務,影響市民的日常生活及經濟活動,對整 個社會帶來巨大影響。 只關注系統 不涉私隱或商業機密 李百全強調,政府只會針對關鍵基礎設 施電腦系統的安全問題,絕對不會針對個人 資料或商業機密,而保安局局長鄧炳強本周 三在立法會,並多次在不同場合及透過政策 文件都反覆強調,政府的立法目的十分清 晰,就是針對關鍵基礎設施,主要是香港的 大型企業及機構,故不會影響中小企及一般 市民,相反,只會令市民日常使用的服務更 加穩定。 李百全續謂,《條例》不會令大型企業及 機構於維護其提供核心服務的電腦系統安全 大幅增加合規成本,「之前亦同佢哋溝通過, 其實為確保服務提供正常,機構自己最緊張 佢哋電腦系統嘅安全,因一旦系統遭受網絡 攻擊被擾亂或破壞,佢哋嘅核心服務會受到 影響」,因此它們本身已經採取相當措施確保 自己的電腦系統安全,政府現在只是將一些 務實的要求透過《條例》定出來,確保不同設 施的營運者遵守,提升香港整體關鍵基礎設 施電腦系統安全,同時確保其韌性,一旦遇 到攻擊,亦有能力盡快將系統恢復正常運作。 條例罰則僅針對機構 非個人刑責 李百全重申,在此《條例》下政府當局與 營運者是夥伴關係,「呢條唔係兵捉賊嘅條 例,營運者是政府當局嘅夥伴,共同維持電 腦系統安全」,立法目的不在懲罰營運者,但 是為了確保條例能有效實施及執行,《條例》 亦訂明相關的罪行及適當的罰則,專責辦公 室亦有調查權力,目的是希望協助營運者提 升其電腦系統安全,「我們認為大部分營運者 都能遵守要求,但如果真係有營運者跟不上 法例上嘅要求,罰則只會係針對機構罰款, 而不是個人的刑責」。 李百全表示,保安局在計劃訂立有關法 例前,早於2023年已開始與業界溝通,並將 收集的意見適當地納入立法框架,至2024年 展開公眾諮詢,期間亦與業界進行了多次溝 通和簡介會議,目的是希望有關建議最後是 他們做得到、幫得到、強化得到香港整體關 鍵基礎設施的電腦系統安全,「呢個係夥伴 關係,唔係法例通過咗就完,而係現在進行 式,會同業界持續溝通」,當日後成立專責辦 公室後,便會制訂實務守則,協助營運者達 致有關要求。 保安工作可外判 唯責任不能外判 對於有些營運者的電腦系統保安工作外 判予第三方服務提供者,李百全表示,已從 溝通過程中充分理解業界的運作,並強調工 作可以外判,但責任不能外判,故《條例》要 求營運者必須設立電腦安全部門,雖然這部 門的工作可以外判,但是有關主管必須由該 營運者聘用,這個安排一方面可照顧業界運 作的需要,另一方面亦可確保責任要到位。 李百全又指,於訂立法例時已參考不同地 方的法例要求,包括內地、澳門、新加坡,美 國、澳洲、加拿大及英國,「最後放落法例嘅 要求,全部都是適合香港嘅實際情況,這些要 求,在其他司法管轄區亦十分普遍」。 就《條例》的罰則而言,最高罰款為500萬 港元,李百全說:「罰款必須具阻嚇力。其實 歐盟的最高罰款為8000萬港元,英國的最高 罰款更超過一億港元。我哋唔係要施加好重 嘅刑罰,而是要確保有足夠的阻嚇力。」 設專責辦公室調查及跟進違規 隨著《保護關鍵基礎設施(電腦系統)條 例》通過,政府計劃於2026年1月將《條例》 正式生效,並將成立專責辦公室,隸屬保安 局,由一名行政長官委任的「關鍵基礎設施 (電腦系統安全)專員」帶領,職位屬首長級公 務員第三級(D3),成員來自包括警務處和數 字政策辦公室負責電腦系統安全的專家,負 責指定營運者及關鍵電腦系統、制訂《實務守 則》、調查及跟進違規情況、協助營運者應對 電腦系統安全事故等,編制人數約30人,大 部分同事用現有資源配合。 《實務守則》將列出法定責任的目標及建 議標準,靈活參照最新科技及國際標準更 新,例如電腦系統安全審核師應具備的相關 專業資格、審核涵蓋範圍、可參考的國際認 可標準等。 至於《條例》所訂的主要罪行包括:關鍵 基礎設施營運者不履行法定責任;不遵從專 責辦公室發出的書面指示;不遵從專責辦公 室按法定調查權力提出的要求;以及不遵從 專責辦公室要求提供與關鍵基礎設施有關的 資料。 罰則方面,最高罰款由50萬元至500萬 元;個別罪行持續可每日罰款最高5萬元至10 萬元。若違規行為涉及觸犯現有刑事法例, 例如虛假陳述、行使虛假文書或其他詐騙相 關罪行,則一如現時的情況,涉事人員亦有 機會要負上個人刑事責任。 政府立例確保香港關鍵基礎設施的電腦 系統安全,保安局表示,受監管的企業或機 構約百多個,但有關名單不會公開,此做法 與其他司法管轄區一致,以防止有黑客針對 關鍵基礎設施作出挑釁攻擊。相關企業及機 構的營運者須負上三大類法定責任,包括第 一類架構責任,例如設立電腦系統安全管理 部門;第二類預防責任,例如制訂並實施電 腦系統安全管理計劃、定期進行風險評估和 審核;以及第三類事故通報及應對責任,例 如定期參與安全演習,遇到事故要盡快通報 等,確保電腦系統保安的城牆安全及門鎖更 加穩固。 保安局常任秘書長李百全表示,《條例》 監管兩大類別的企業或機構,第一類涉及在 香港提供必要服務的基礎設施,涵蓋8大界 別,分別是(1)能源、(2)資訊科技、(3)銀行 和金融服務、(4)航空運輸、(5)陸路運輸、 (6)海上運輸、(7)醫護服務及(8)電訊及廣播 服務。第二類是其他維持重要社會和經濟活 動的基礎設施,例如大型體育或表演場地、 主要科技園區等。 李百全續謂,只有被指定為「關鍵基礎設 施營運者」及「關鍵電腦系統」,即直接與提供 必要服務有關或關乎關鍵基礎設施核心功能 的電腦系統,以及如受到干擾或破壞會嚴重 影響設施正常運作的系統才受規管。 至於誰是受監管的營運者,李百全表 示,主要看其提供的核心服務對電腦系統 的依賴程度,舉例如巴士公司提供的核心服 務,對電腦系統的依賴程度未必很高,所以 未必屬於這個類別;而當找到誰是營運者 後,當局就要確定其哪些關鍵電腦系統與核 心功能有關,然後規管這些關鍵電腦系統, 「應管就管,那些不需要管的,就不會刻意去 管」,舉例如能源公司監控供油設備的電腦系 統,當然會受到監管,至於能源公司處理員 工放假安排的系統,按理不影響核心功能, 則不屬此限。 李百全指,營運者具有應負的架構責 任,第一必須要在香港設有辦事處,不能只 有信箱,因為必須要跟進得到,確保「責任到 人」;第二必須設有電腦系統安全管理部門, 主管必須是營運者的員工;第三是如果營運 者有變更,必須向專責辦公室通報。 營運者亦須肩負預防責任,李百全指, 營運者必須定期將電腦安全計劃交予專責辦 公室,確保有足夠及專業的能力保護電腦系 統的安全,同時要配合電腦系統日新月異的 發展;此外,營運者亦須在不同時段進行風 險評估,遇到事故要如何應對及通報,須提 供應變計劃。 在事故通報和應對方面,營運者須定期 參與演習。李百全又表示,當一個機構受黑 客攻擊時,亦可能會蔓延至其他機構,故業 界必須同心協力,遇到事故要立即通報,嚴 重事故須於得悉事件發生後12小時內通報, 其他事故須於48小時內通報,確保專責辦公 室可以盡早介入協助應對,防止事故惡化或 蔓延。 《保護關鍵基礎設施(電腦系統)條例 草案》19日在立法會獲得三讀通過,並 計劃於2026年1月正式生效。保安局表 示,有關《條例》並非「兵捉賊」的條例, 而是列明規管要求,與關鍵基礎設施營 運者保持夥伴關係,目的是確保香港關 鍵基礎設施的電腦系統具有韌性,能抵 禦黑客進行的網絡攻擊,並能盡快恢復 正常運作。 ■李百全指,已從溝通過程中充分理解業界 的運作,並強調工作可以外判,但責任不能 外判。 ▍本報記者鄭華坤香港報道 ▍ 逾百企業機構受監管 名單保密防黑客挑釁 ■《保護關鍵基礎設施(電腦系統)條例草案》本 周三在立法會獲得三讀通過,涵蓋多個界別。 ■受監管的企業或機構約百多個,但有關名單不會公 開,以防止有黑客針對關鍵基礎設施作出挑釁攻擊。 呢條唔係兵捉賊嘅條例,營運 者是政府當局嘅夥伴,共同維持電 腦系統安全。 保安局常任秘書長 李百全 保護關鍵基礎設施條例明年1月生效 李百全:確保電腦系統具韌性 抵禦黑客並快速復常 ■政府訂立有關條例,是因應全球不同地區的關鍵 基礎設施電腦系統近年受到網絡攻擊的問題。
RkJQdWJsaXNoZXIy MTIyMjc2OQ==