港聞

港聞二

關鍵設施立法 保安局:無計劃分級 澳洲設兩級制 議員稱可參考

【明報專訊】保安局擬就保障關鍵基礎設施電腦系統立法,議員關注保障關鍵基礎設施定義及中小企資金不夠滿足法定要求。現時澳洲分兩級規管設施,第一級法定責任較小,具「國家重要性」的第二級則需負較大責任,包括網安演習等。有議員認為可參考,讓規模較小的營運者遵從合理法定責任。保安局回覆稱,現階段無計劃就法定責任分級,擬議條例旨在設立基線要求,讓營運者在相關基礎上根據需要和特點,建立和加強保障電腦系統安全能力。

明報記者 施晉宇

根據保安局文件,擬議條例參考其他司法管轄區立法方向制定適合本港的監管模式。其中澳洲2018年實施《關鍵基礎設施安全法》,涵蓋具國防國安風險,以及對經濟和社會活動穩定有影響的設施,並設立兩級制:第一級涵蓋11範疇,主要4項規定,包括提交營運者資料及通報事故等;第二級是對澳洲最關鍵、與多個界別互相依賴的設施,多4項規定,包括制定事故應變計劃,以及緊急時可被要求安裝軟件以提供系統資訊等。

議員關注中小企不夠資源履責

立法框架指受規管大多大機構

實政圓桌田北辰認為,其他地區法例已實施一段時間,值得特區參考,尤其將來或有規模較小機構納入規管,相信有助營運者更易遵從法定責任,「由零開始立法,猶如摸着石頭過河」。他贊成立法改善網安,稱「並非負責人道歉,或受影響者民事訴訟便了事」。立法框架提及,受規管者絕大部分是有規模的大機構,中小企及一般市民均不受影響。科技創新界邱達根促政府進一步解釋關鍵基礎設施,電子支付平台及為銀行提供服務的數據中心是否涵蓋。他稱有中小企擔心未必有足夠資源履行法定責任,而科技券僅屬單次援助,建議當局日後須提供相應援助。

香港資訊科技商會榮譽會長方保僑稱,視乎監測規模、頻率及安全級數等,聘請網絡保安人員實行相關措施至少「逾百萬元起計」;本港有過千名專家,但很多均自行成立公司,「輪更」協助機構監測網絡有否異常流量;基礎設施營運者即使「有錢都未必聘用私人團隊」。法例擬涵蓋8界別關鍵基礎設施,方認為,澳洲分級做法值得參考,亦可增加「指定監管機構」(見另稿),減輕辦公室工作量。局方稱,專責辦公室40至50名人手編制屬初步預算,會適當調配確保條例執行順暢。

專辦調查有時須法庭手令

黎棟國:足監察執法相稱性

澳洲關鍵基礎設施中心獲賦權向受規管機構發出指令,前提是曾與澳洲政府、地方政府及營運者等持分者制定風險管控措施無效;而營運者可就指令司法覆核。選委界江玉歡認為,以懲罰為主導的政策並非主流,加上面對極端天氣及黑客攻擊等挑戰,營運者再不是單打獨鬥,政府與公司理應是伙伴,加強溝通以增加抗險能力。保安局前局長新民黨黎棟國認為,日後專責辦公室執行調查權力,部分情况須先獲得法庭手令,與其他部門做法相若,相信已足夠監察執法相稱性。

保安局稱,辦公室會與營運者保持合作溝通,並透過《實務守則》制定建議標準,協助營運者滿足法定責任;擬議條例也會訂明辦公室可發出書面指示的情况。

涉國安情况轉交警方國安處

另外,內地相關法例規定,任何個人和組織不得利用網路從事危害國安活動,並要求設施營運者對安全管理機構負責人做安全背景審查。保安局稱,如牽涉國安情况會交由警方國安處按《港區國安法》及《維護國家安全條例》等處理。

相關字詞﹕

上 / 下一篇新聞