在日益嚴峻的網絡安全威脅下,保護關鍵基礎設施的電腦系統安全變得至關重要。香港保安局日前就《加強保護關鍵基礎設施電腦系統安全》的建議立法框架進行了廣泛諮詢,筆者亦提交了一系列建議。令人鼓舞的是,當局採納了部分內容,同時積極回應業界意見,提出多項修訂和優化措施。本文旨在支持保安局的這些修訂,並提出進一步建議。
首先,筆者支持保安局因應諮詢期間的主要意見,提出修訂和優化措施,包括移除對「關連系統」的規管要求。此舉有助於精準聚焦真正對關鍵基礎設施運作至關重要的電腦系統,避免監管範圍過度擴大。
此外,移除須報告變更「擁有權」的要求,也考慮到實際操作的困難,特別是對於上市公司,頻繁的所有權變更可能難以及時報告。將嚴重事故的通報時限由2小時延長至12小時,讓營運者有更充裕的時間進行初步調查,確保通報準確無誤。保安局亦計劃在《實務守則》中提供詳細指引,協助營運者與第三方服務供應商訂立合約,確保雙方清楚了解法定責任,這對業界而言是一項重要的支持措施。
作為香港創新科技發展協會的創會主席,筆者在諮詢期間提交了相關建議,並對保安局的積極回應表示肯定。我的建議包括加強對「關鍵基礎設施」和「關鍵電腦系統」的明確定義,確保業界對法規適用範圍有清晰理解,避免不必要的混淆。例如,筆者建議明確界定「關鍵基礎設施營運者」的條件,尤其是在特區政府代表參與董事會或管理層時,如何界定這些營運者是否受條例規管;亦建議在事故通報方面增加彈性,對於嚴重事故,適當延長通報時間,以便營運者進行初步調查並提供準確資訊。保安局採納部分建議,放寬通報時限,顯示特區政府在訂立條例時考慮了業界實際操作的困難。
其次,筆者理解並認同保安局在回應業界誤解和疑慮時所作的澄清和解說。保安局澄清,擬議條例不具域外效力,只要求在香港設有辦公室的營運者提交其可取得的資料,消除了部分業界對域外法律風險的顧慮。同時,條例明確表示不會針對個人資料和商業機密,僅着重保障系統安全。只有符合「關鍵基礎設施」定義的少數資訊科技公司才會受規管,其他中小企業不在其列。針對事故發生時的應對措施,保安局解釋,只有在極少數營運者無法自行解決的情況下,才會向裁判官申請手令,在關鍵電腦系統中採取必要措施應對事故,此做法充分考慮了必要性和相稱性。
為了支持上述修訂和澄清,筆者在建議中強調營運者需要靈活性以應對不同類型的網絡威脅。例如,我建議在《實務守則》中提供詳細的事故應對指引,協助營運者在面對網絡攻擊時迅速反應;還建議保安局考慮為「關鍵基礎設施營運者」設立相應的網絡安全認證程序,並定期進行審計,確保營運者保持高標準的網絡安全實踐。上述建議不僅有助於提升香港整體網絡安全水平,也為業界提供更清晰的合規路徑。
加強與業界合作 開展演習
筆者亦呼籲保安局在《實務守則》中加入針對第三方供應商的具體指引,例如怎樣選擇具備適當資質的供應商,並要求第三方定期進行網絡安全審計,確保其符合相關法定標準。此舉將有助於確保供應鏈安全,避免因第三方安全漏洞而影響整體系統安全性。筆者認為,不論是否屬於關鍵基礎設施,特區政府應考慮為中小企業提供更多支持,如提供資金或技術支援,幫助企業提升架構,這將有助於提升香港的網絡及數據安全水平。
筆者認為,特區政府應加強與業界合作,共同開展網絡安全演習,讓營運者在模擬環境中測試其應對能力和流程,及時改進不足。例如,保安局可定期舉辦與業界的聯合演習,模擬不同類型的網絡攻擊情景,讓營運者實際演練事故應對程序,這將有助於提升整體應對能力。
最後,再次歡迎保安局從善如流,積極回應業界關注並釋除疑慮。保安局聆聽各界意見,採取適當修訂措施,顯示特區政府對透明度與合規性的重視。這些修訂不僅有助於業界更好地理解和遵守條例的法定責任,亦增強營運者對特區政府政策的信任感。例如,保安局放寬了事故通報時限,並在《實務守則》中提供協助營運者與服務供應商訂立合約的具體指引,這些措施有助於減少業界顧慮並提升合規效率。這種良性互動不僅體現特區政府與業界之間的有效溝通,也為未來香港的網絡安全體系打下堅實基礎。
期待未來保安局繼續與業界緊密交流和合作,確保新條例的實施能夠有效提升關鍵基礎設施的安全,同時不對業界帶來過多負擔。通過持續的交流與合作,我們相信香港能夠建立起一個更加安全、可靠的網絡環境,保障社會的穩定和繁榮。
(作者為香港創科發展協會創會主席)
