保障關鍵基礎設施丨擬放寬嚴重事故通報時限 條例料最快2026年生效
撰文: 梁薾心
發布時間: 8 小時前
最後更新: 3 小時前
▲ 局方預計今年底將《保障關鍵基礎設施(電腦系統)條例草案》提交立法會審議。(資料圖片)
保安局計劃立法保障關鍵基礎設施,經諮詢後正考慮修訂立法框架部分內容,包括把通報嚴重事故時限由2小時內放寬至12小時。局方預計今年底將條例提交立法會審議,期望明年上半年獲通過,最快明年底成立專責辦公室,配合條例於2026年正式生效。
《保障關鍵基礎設施(電腦系統)條例草案》立法框架諮詢期結束,保安局發言人今日(2日)表示,在7月2日至8月1日期間,共收到53份意見書,涉600多項意見或建議,當中52份支持立法或提出正面建議,僅英國人權組織以保障言論自由為名反對。發言人重申,條例不涉言論自由或內容規管,亦不針對個人資料和商業機密,與人權和私隱完全無關。
嚴重事故通報時限放寬至12小時
局方在文件提到,關鍵基礎設施營運者須在得悉與「關鍵電腦系統」相關的嚴重保安事故後2小時內作出通報,但有意見認為難以做到。局方發言人指,理解營運者在事發後或忙於搶救等,且擔心有濫報情況,故參考了英美及歐盟做法,將積極考慮把嚴重事故通報時限放寬至12小時,其他事故由24小時改為48小時。
發言人又指,營運者可透過電話或電郵等方式通報,但2周內須再提交詳細事故報告。而為確保有效及早應對事件,政府亦會積極考慮賦權專責辦公室,在關鍵電腦系統已/或受干擾或服務中斷時,主動聯繫營運者了解事故原因並提供協助。
對於業界擔心難以確保第三方服務提供者遵守協議和符合法規,令營運者須負刑責,發言人強調即使外判工作亦不能外判責任,政府日後會在《實務守則》提供履行「盡責查證」和「合理努力」的指引。另擬移除營運者須報告變更關鍵基礎設施「擁有權」的規定;考慮是否視某電腦系統為「關鍵電腦系統」 時,亦不再一併指明「關聯系統」。
不公開受規管機構名單 保安局:基於保安理由
此外,美國商會早前批評,當局建議賦權專責辦公室在調查事故時,於關鍵電腦系統連接設備或安裝程式,恐對香港科技投資產生寒蟬效應。局方發言人昨強調,有關安排不是香港獨有,專責辦公室只會在事故發生,而營運者不願意或未能自行應對時,才考慮向法庭申請手令,並因應必要性、適當性、相稱性及公眾利益行使權力,相信法庭有足夠獨立監管權。
發言人並提到,基於保安理由不會公開受規管機構名單,且暫無要求專責辦公室如私隱專員公署般每年發表年報,惟強調沒有禁止營運者主動公開被規管,且若個別機構違規上庭,除特殊情況外,程序為公開透明。
中小企及一般市民不受影響 條例不具域外效力
發言人又重申,受條例規管的大部分是大機構,中小企及一般市民不受影響,條例亦不具域外效力,要求提交營運者提供的資料,均是其在港辦公室能獲取的,惟可包括境外合作夥伴或總部的相關資料。
微軟Window作業系統7月在全球大規模死機,機場服務大亂「排長龍」。被問到法例沒有域外效力,會否無法作出規管,發言人說有關事故已釐清是技術故障,並非法例針對的非法入侵及刑事攻擊。日後若遇到同類事故,專責辦公室會主動向航空公司了解原因,如僅屬技術故障,將轉介至相關部門及專家跟進。
至於為何違規只罰款最高50至500萬元,並不處以監禁,發言人稱是參考英國,且形容立法初心不是想懲罰機構,而是盼營運者提升電腦系統安全,加上上庭或影響商業聲譽,相信已有足夠誘因讓營運者配合。
下載HKET App,追蹤TOPick WhatsApp頻道,睇全方位資訊:
記者:梁薾心
