保安局最快今年底,將保護關鍵基礎設施電腦系統安全條例提交立法會審議,負責執行條例的專責辦公室最快明年底成立,條例料最快後年生效。立法框架建議,一旦發生嚴重電腦系統保安事故,營運者需在得悉事故發生兩小時內通報,其他事故則需在24小時內。局方指理解實際困難,擬放寬通報嚴重事故時限至12小時,其他事故則放寬至48小時,料「不會太寬鬆」。
局方亦考慮賦權專辦,在關鍵電腦系統已經或可能受干擾或服務中斷時,主動向營運者調查事故原因,確定是否由攻擊引致。
保安局在今年7月至8月就立法工作諮詢,今(2日)舉行諮詢報告傳媒簡介會,透露共接獲53份意見書,涉及600多項意見或意見;當中52份支持立法或提出正面意見,另有1份在英國註冊的人權組織,以保障言論自由為由反對立法。
法例擬涵蓋八大界別關鍵基礎設施營運者採取措施加強電腦系統保安能力。被問到公營機構是否涵蓋規管範圍,局方發言人重申,會考慮某機構對關鍵基礎設施的控制程度等,若符合定義可能會受專辦規管。至於會否仿效私隱專員公署每年發表年報,發言人指法例暫無要求相關安排;基於安全理由不會公開受規管對象名單,惟法例無禁止營運者公開被規管,後者做法不涉及違規。
立法框架建議賦權專辦在調查事故時,可在關鍵電腦系統連接系統或安裝程式。美國商會早前呼籲政府考慮收窄部分執法權或涵蓋範圍,否則恐打擊在港投資或及推動創科的努力。局方發言人指,只會在營運者不願意或未能自行應對嚴重事故時,才會考慮向法庭申請手令,因應必要性、適當性、相稱性及公眾利益而行使權力,相信法庭有足夠的獨立監管權。
微軟視窗作業系統的設備今年7月大規模死機,影響多個行業運作。被問到法例不具域外效力會否影響執法成效,發言人指當時本港機場中「排長龍」,專辦日後遇到類似事故時,會主動向航空公司了解是否涉及刑事攻擊或技術故障;以微軟事故為例,若僅涉及技術故障,專辦會轉介至相關部門及專家跟進或支援。由於事件涉及第三方服務供應商,在條例生效後,專辦提醒關鍵基礎設施採購上有何注意事項,有助營運商日後跟進。
對於有業界稱,難以確保第三方服務提供者遵守協議和符合法規,或令營運者負上刑責,局方發言人稱,即使外判相關工作,亦不能外判責任,惟《實務守則》會提供履行「盡責查證」及「合理努力」指引,供營運者聘用第三方服務提供者時訂定及履行合約參考。
另有業界認為,難以就變更關鍵基礎設施擁有權經常報告。局方發言人指,政府理解相關實際困難,擬考慮移除相關要求,僅需就「營運權」向專辦報告。
相關字詞﹕編輯推介