保關鍵設施例最快後年生效 有憂涉對境外電腦系統執法 保安局：擬不具域外效力

【明報專訊】保安局最快今年底向立法會提交保護關鍵基礎設施電腦系統安全條例，要求重要機構、企業如銀行、廣播機構須加強電腦系統保安；負責執行條例的專責辦公室（下稱專辦）最快明年底成立，條例料最快2026年生效。早前立法框架要求受規管營運者須提交其可取得的相關資料，即使該等資料位於境外，有意見擔心涉及對境外電腦系統執法問題；保安局發言人昨日強調擬議條例「不具域外效力」，專辦會確認所要求的資料均為在香港設有辦公室營運者可以取得的資料。

嚴重事故始申手令 連接電腦

法例擬賦權專辦可在關鍵電腦系統連接設備或安裝程式，香港美商會早前已提，這做法會對香港的科技投資及數碼經濟造成寒蟬效應，影響外界對在港營運商的信心，建議廢除相關權力。保安局發言人昨強調，只有發生嚴重事故，營運者不願意或未能自行應對事故時，專辦才會考慮申請手令，因應必要性、適當性、相稱性及公眾利益採取做法，相信法庭有足夠獨立監管權。

今年7月至8月期間保安局就相關立法工作諮詢，昨日舉行諮詢報告傳媒簡介會。局方透露共接獲53份意見書，涉及600多項意見或建議；當中52份支持立法或提出正面意見，1份在英國註冊的人權組織以保障言論自由為由反對立法。發言人重申條例絕不涉及言論自由，僅針對電腦系統安全。

指定金管局通訊局監管業界

條例擬涵蓋八大界別關鍵基礎設施（能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播）營運者，並指定金管局及通訊事務管理局，分別監管銀行金融服務業及通訊廣播業。發言人稱，由於現時相關營運者已經需要做安全審計及制定電腦安全計劃，因應日後有新的法定責任，指定監管機構會再就架構及預防責任與業界商討，在未來推出的《實務守則》中釐定及細化要遵從的要求。

微軟視窗作業系統設備7月大規模「死機」，影響多個行業運作，包括航空公司服務。被問到法例不具域外效力會否影響執法成效，發言人指當時本港機場大排長龍，航空公司亦忙於處理，專辦日後遇到類似事故時，會主動向航空公司了解是否涉刑事攻擊或技術故障；以微軟事故為例，若純粹涉及技術故障，專辦會轉介至專家及相關部門作支援及跟進；由於事件涉第三方服務供應商，專辦會提醒營運者採購的注意事項及保障營運者個人權利，料有助營運商跟進。

倘再遇機場「死機」

主動了解涉刑事攻擊否

對於有業界稱，難以確保第三方服務提供者遵守協議和符合法規，或令營運者負上刑責，發言人稱，「即使外判相關工作，亦不能外判責任」，惟《實務守則》會提供履行「盡責查證」及「合理努力」指引，供營運者聘用第三方服務提供者時訂定及履行合約參考。

被指明「關鍵電腦系統」的機構會有「關聯系統」，例如某公司的人事管理系統。有意見認為當規管「關鍵電腦系統」時，一併規管這些「關聯系統」，範圍將會太廣。保安局就此作出修訂，在指明「關鍵電腦系統」時，不會一併指明「關聯系統」，並考慮刪除相關字眼。

立法建議針對「機構為本」，罰則最高50萬至500萬元不等，發言人強調立法並非懲罰營運者，而是希望提升其保障電腦系統安全的責任，相信受規管者關注商譽，已有足夠誘因配合法律要求；又透露法例生效初期會設適應期，期望毋須向營運者罰款。