立法會日前三讀通過《保護關鍵基礎設施(電腦系統)條例草案》(《條例》),保安局局長鄧炳強表示,期望《條例》可於明年1月1日生效,屆時政府會成立專職辦公室,並於同年6月中起逐步分階段指定關鍵基礎設施及關鍵電腦系統。
《條例》的通過標誌着香港在維護網絡安全上向前邁出重要一步。全球網絡攻擊和威脅活動日益嚴峻,香港作為國際金融、航運、貿易中心和國際航空樞紐,面對的挑戰與風險與日俱增。《條例》不但回應了時代變化的需求,更為香港的網絡安全築牢屏障,護航高質量發展,構建更加安全的營商環境,值得高度肯定與支持。
確保金融安全至關重要
《條例》把兩類關鍵基礎設施的電腦系統納入規管範圍,要求關鍵基礎設施營運者建立涵蓋風險評估、網絡保安措施、安全演習、事故通報等環節的完整防護體系。第一類是提供必要服務所必需的基礎設施,包括能源、資訊科技、銀行及金融服務、航空運輸、陸路運輸、海上運輸、醫護服務、電訊及廣播服務等八個界別;第二類是維持香港的關鍵社會和經濟活動的基礎設施,例如主要體育場地、表演場地、科技園區等。這些機構的關鍵基礎設施營運者要遵守三大類法定責任,包括設立電腦系統安全部門、報告關鍵電腦系統的重大變化、制定保安管理計劃、至少每兩年參與一次保安演習,並需制定應急計劃。
有國際數據公司估算,2023年全球因網絡犯罪所造成的經濟損失高達8萬億美元。國際貨幣基金組織去年發表的報告指出,近五分一的網絡攻擊的針對目標是金融行業。美國聯邦調查局及網絡安全和基礎設施安全局近日對一款勒索軟件發出警告,指出自今年2月起,有關軟件已經攻擊逾300家關鍵基礎設施機構的電腦系統,除金融業外,醫療、教育、法律、科技製造業等亦成為攻擊目標。
由此可見,在數字化發展浪潮席捲全球的今天,網絡攻擊目標已不僅僅限於銀行及金融服務,能源、資訊科技、醫療等關鍵領域亦可能受網絡攻擊。香港作為高度外向且開放的國際金融中心,銀行每日透過網絡處理數以萬計的本地和跨境支付交易。一旦相關電腦系統受到攻擊並喪失功能,輕則令向市民提供的服務中斷,重則會嚴重阻礙經濟活動、進而動搖社會穩定。《條例》內容充分結合香港「一國兩制」的獨特優勢,因地制宜地從頂層設計構建網絡安全防線。
有關部門在草擬《條例》時充分體現了「最小干擾」的原則和尊重「行業自主」。首先,規管對象聚焦於為香港社會提供必要服務或重要的社會和經濟活動的關鍵基礎設施營運者,相信香港絕大部分符合上述條件的對象是有相當規模的大機構,避免影響中小企及一般市民。
不影響中小企和一般市民
針對關鍵基礎設施營運者必須履行的三大類法定責任,《條例》亦採取了分工協作監管的模式。第一類及第二類責任屬於架構和預防威脅及事故的責任,第三類責任為關於事故通報及應對的責任。對於金融及通訊這類已經設有法定監管機構的行業,《條例》指明有關機構與關鍵基礎設施(電腦系統安全)專員同為規管當局,並把規管有關行業履行第一類及第二類責任情況的職能交予有關法定監管機構。此舉既能發揮行業監管機構的知識優勢,避免「外行人管內行人」的情況,又可針對銀行、通訊等已受嚴格規管的領域制定適合的標準,確保與國際水平接軌,亦避免出現重複監管。
鄧炳強強調,網絡攻擊將導致必要服務受到影響,《條例》正是為了維持香港社會正常運作,以及市民正常生活,協助香港提升整體電腦系統安全,絕非為了針對個人資料或商業機密。事實上,《條例》展現了特區政府在維護國家安全、保障市民福祉、鞏固提升香港國際金融中心地位、推動高質量發展方面的決心。相信商界必將與政府緊密合作,共同制訂關鍵基礎設施保障框架,一同構建更安全、可信、高效的營商環境,令香港國際金融中心地位等更加穩固,經濟活力更加充沛。
立法會議員
