立法保關鍵基建網安 違者可罰500萬 涵8界別及大型場地園區 設專辦監察擁調查權

【明報專訊】保安局建議制定《保障關鍵基礎設施（電腦系統）條例》，要求八大界別關鍵基礎設施營運者採取措施加強電腦系統保安能力，包括在獲悉「嚴重電腦系統保安事故」兩小時內通報，未履行法定責任者罰則最高50萬至500萬元不等（見表）。局方同時建議成立隸屬保安局、具調查權力的專責辦公室，由特首委任一名專員帶領，負責監察針對關鍵基礎設施的電腦系統保安威脅，調查及跟進營運者違規情况，並向營運者發指示堵塞保安漏洞等。局方計劃年底前提交草案予立法會審議。

保安局昨就關鍵基礎設施電腦系統安全提交建議立法框架予保安事務委員會。條例擬涵蓋8類在港提供必要服務的基礎設施，包括能源、資訊科技、銀行和金融服務、海陸空交通、醫療保健、通訊廣播等；另涵蓋大型體育及表演場地、科研園區等若遭破壞、喪失功能或數據泄漏，或會嚴重危害重要社會和經濟活動的設施。

下月起諮詢 擬年底前交立會

至於近年同樣出現網安事故的政府部門，局方稱因政府內部《政府資訊科技保安政策及指引》4月已更新，要求與本次立法相若，加上涉事人員若違規，相關部門會根據《公務員守則》等既定程序處理，故建議沿用現有行政方法規管而毋須納入條例。

是次立法框架將於下月2日諮詢保安事務委員會，再開展為期一個月的諮詢。文件就關鍵基礎設施的「架構」、「預防」、「事故通報及應對」3方面，列明設施營運者責任，包括在獲悉「嚴重電腦系統保安事故」兩小時內通報，即已經或即將對必要服務的連續性及設施正常功能造成重大影響，或導致個人資料等數據大量外泄的事故；或在得悉其他電腦系統保安事故發生後24小時內通報等。

列架構預防應對責任

嚴重事故須兩小時通報

局方建議，若營運者不履行法定責任、不遵從專責辦公室的書面指示，或不遵從專責辦公室按法定調查權力提出要求等，經法庭審訊後，違者最高可罰款50萬至500萬元不等；個別罪行也會就持續違法行為處以額外的每日罰款。局方解釋，立法原意並非懲罰營運者，但為確保條例有效實施及執行，在平衡對機構影響及考慮條例阻嚇力，必須訂定罪行及罰則；刑罰將以機構作單位，除非違規行為涉及虛假陳述等刑法，涉事人員才有可能負上個人刑責。

刑罰以機構為單位 將發實務守則

而在擬議條例通過後，政府目標一年內成立專責辦公室，並賦權辦公室行使各種調查條例涵蓋罪行的權力，包括盤問、索取資料、在裁判官手令下進入處所調查等，協助營運者應對、復原及跟進違規行為。局方建議成立上訴委員會，當營運者不同意專責辦公室的書面指示，可透過獨立渠道上訴。

專責辦公室擬獲授權發出《實務守則》，按法例要求列出建議標準，如建立監察和偵測機制；要求營運者委任最少兩名「24／7聯絡人」，負責管理、運作及與專責辦公室溝通；以及獨立電腦系統保安審計師應具備的專業資格等。局方表示，守則並非附屬法例，不遵守並不構成罪行；惟發現懷疑違規下，營運者若已跟從守則的建議標準，則可作為有力證據，證明無違反法定責任。