《加強保護關鍵基礎設施電腦系統安全 — 建議立法框架》問與答（轉載自香港特區政府保安局）

背景说明：

隨着全球針對能源、金融、交通等領域的網絡攻擊事件日益頻繁，香港作為國際金融中心，亟须填補關鍵基礎設施（Critical Infrastructure, CI）在網絡安全方面的監管空白。自2023年起，香港特別行政區政府保安局啟動立法研究與業界諮詢，並參考中國內地、澳門特別行政區、澳洲、歐盟、新加坡等司法管轄區的立法經驗，擬透過法定強制力提升八大必要服務領域的網絡韌性。

為協助社會各界準確理解條例內容，香港特區政府保安局發布了《加強保護關鍵基礎設施電腦系統安全 — 建議立法框架》問與答政策釋義文件，回應公眾對《保護關鍵基礎設施（電腦系統）條例草案》的常見疑問。文章涵蓋擬議條例的立法目的、規管範疇、營運者責任、事故通報要求、監管安排及法律後果等重點。

中港網絡安全協會認為，該政策釋義有助業界準確理解擬議條例內容，提前部署合規策略，並把握網絡安全服務的潛在機遇。協會鼓勵會員深入了解條例草案內容，以便在日常業務與技術實踐中更好地遵守相關規定。

原文内容如下：

加強保護關鍵基礎設施電腦系統安全 — 建議立法框架 問與答

問題 1：擬議條例的目的是什麼？ 有什麼好處？

• 擬議條例的目的是加強「關鍵基礎設施」的電腦系統的保安能力，減低必要服務因網絡攻擊被擾亂或破壞的可能，從而提升香港整體的電腦系統安全。

  
  

• 擬議條例有助推動「關鍵基礎設施營運者」建立良好的防範管理體系，確保其電腦系統的安全運作，讓重要服務運作順暢，鞏固香港良好營商環境及國際金融中心地位。

問題 2：擬議條例規管什麼？會影響我嗎？

• 擬議條例的規管對象是維持

(i)香港社會必要服務攸關或

(ii)重要的社會和經濟活動的「關鍵基礎設施營運者」。

• 絕大部分規管對象會是有規模的大機構，中小企及一般市民均不受影響。

問題 3：政府會否透過「關鍵基礎設施營運者」索取我的個人資料？

• 擬議條例只會要求營運者承擔起保護其「關鍵電腦系統」的責任，絕不針對系統內的個人資料或商業機密。

問題 4：什麼是關鍵基礎設施？

• 擬議條例下分兩類

（一）在香港提供必要服務的基礎設施，涵蓋八個界別：

         (1)能源；

         (2)資訊科技；

         (3)銀行和金融服務；

         (4)陸上交通；

         (5)航空交通；

         (6)海運；

         (7)醫療保健；以及

         (8)通訊和廣播；或

（二）其他維持重要的社會和經濟活動的基礎設施（例如大型體育／表演場地、科研園區等）。

• 不涵蓋政府：政府內部已有一套詳盡的《政府資訊科技保安政策及指引》，並參照最新國際標準及業界良好作業模式定期檢討和更新，要求的水平與擬議條例的法定要求相若，故建議繼續沿用現有行政方法規管政府部門。

問題 5：「關鍵基礎設施營運者」在擬議條例下需要履行什麼責任？

• 擬議條例被指明的「關鍵基礎設施營運者」要履行以下三大類法定責任：

I.    架構

-  在香港設有地址和辦事處

-  報告關鍵基礎設施擁有／營運權的變更

-  設立電腦系統安全管理部門（可外判）並由營運者的專責主管負責監管

II.   預防

-  報告有關關鍵電腦系統的重大變化（如設計、配置、安全或運行）

-  制定／實施電腦系統保安管理計劃

-  進行電腦系統保安風險評估（至少每年一次）

-  進行電腦系統保安審計（至少每兩年一次）

-  採取措施確保相關第三方服務提供者符合相關法定責任要求

III.  事故通報及應對

-  參與電腦系統保安演習（至少每兩年一次）

-  制訂應急計劃

-  在指定時間內報告有關關鍵電腦系統的保安事故

問題 6：「關鍵基礎設施營運者」要報告甚麼事故？時限是什麼？

• 在擬議條例下，「關鍵基礎設施營運者」需要向專責辦公室報告「電腦系統保安事故」（指未經合法授權在電腦系統上或通過電腦系統進行的危及其電腦系統安全或對其產生不利影響的行為或活動），讓專責辦公室有需要時可盡快指示相關的應對工作。要報告的事故類別及時限如下：

  
  

   (i) 嚴重電腦系統保安事故（指已經或即將對必要服務的連續性及關鍵基礎設施的正常功能造成重大影響，或導致個人資料等數據大量外洩的事故）：在得悉事件發生後2小時內；

   (ii) 其他電腦系統保安事故：在得悉事件發生後24小時內。

問題 7：「關鍵基礎設施營運者」違法有什麼後果？

• 擬議條例的目的是促使營運者加強保障其電腦系統安全，並非懲罰營運者。如有違法行為，會向機構罰款，最高罰款港幣五十萬元至五百萬元不等。

  
  

• 但是若相關的違規行為涉及觸犯現有的一些刑事法例，例如虛假陳述、行使虛假文書或其他詐騙相關罪行，則一如現時的情況，涉事人員亦有機會要負上個人刑事責任。

  
  

問題 8：為什麼要指明某些法定監管機構負責特定界別？

• 擬議條例擬規管的部分必要服務行業現已受其他法定行業監管機構的全面規管。我們建議這些個別行業監管機構為「指定監管機構」，負責監管這些必要服務行業的「關鍵基礎設施營運者」履行架構及預防的責任。

  
  

• 此做法一方面讓行業「指定監管機構」可在它們現有的規管制度下，就架構及預防責任訂立一套最切合這些行業的標準和要求，監管其行業的「關鍵基礎設施營運者」履行這兩類責任，而這些界別的營運者不用再額外滿足專責辦公室在這兩類責任所訂的要求。

  
  

• 現階段，我們建議指定(1)金融管理局監管部分與銀行和金融服務相關的服務提供者，以及(2)通訊事務管理局監管部分與通訊和廣播相關的服務提供者。

問題 9：有否參考其他司法管轄區的相關法例？

• 近年，保障關鍵基礎設施電腦系統安全的法規在其他司法管轄區越見普遍。

  
  

• 我們參考了其他司法管轄區（包括中國內地、澳門特別行政區、澳洲、歐盟、新加坡、英國和美國）的立法方向去制定一套適合香港的監管模式。

問題 10：有否進行諮詢？

• 我們自2023年起，就初步立法框架諮詢超過100個不同持份者，包括有機會被指明為「關鍵基礎設施營運者」的機構、網絡保安服務供應商及審計公司、行業監管機構等。

  
  

• 相關持份者一致認同維護電腦系統安全是社會各界的共同責任，原則上支持立法。

  
  

• 我們已發專函再次諮詢相關業界，歡迎於2024年8月1日或之前將意見透過以下方式提交我們考慮：

電郵： Protection_CI@sb.gov.hk

郵寄：香港添馬添美道 2 號政府總部東翼10樓保安局E 組

傳真： 2810 7702 [致： 保安局E 組]

免責條款

所收到的意見書視作公共資訊處理，其全部或部分內容可能會被複製和發表，用於是次諮詢及相關用途，而不會徵求提交意見人士的批准或向其發出確認。

所有意見書所收集的個人資料會用於是次諮詢及任何直接相關用途。除非特別要求予以保密，保安局或會按是次諮詢及相關用途引述提交意見人士的身分或機構名稱。如你不願意公開身分或名稱，請在提交意見時述明。

文章來源與免責聲明

本文內容轉載自香港特別行政區政府保安局網站，原文標題為《加強保護關鍵基礎設施電腦系統安全 — 建議立法框架》問與答。

原文連結：https://www.sb.gov.hk/sc/CI/faq.html

免責聲明：本協會僅作資訊轉載用途，未對原文內容作任何修改。所有法律解釋與政策內容以政府原文為準。