鉴于2023年6月至2024年5月期间录得超过9000宗网络安全个案,香港政府已采取重大措施,于2024年6月左右推出《保护关键基础设施(电脑系统)条例草案》(下称「草案」)。草案是香港首次构建专门法定框架以提升关键基础设施的网络安全水平,并为关键基础设施营办者及关键电脑系统设立严格合规标准。根据该框架,仅指定的关键基础设施营办者及关键电脑系统将受规管。
草案于2024年12月6日首次刊宪,并于2024年12月11日提交立法会进行首读和二读。预计将于2026年年中全面实施。
立法宗旨
草案旨在加强对支持关键基础设施的电脑系统的保护,确保必要服务的连续性,并减少网络攻击所导致的严重后果。草案对八个界别的关键基础设施营运者施加了法定责任,包括:
(a) 能源;
(b) 资讯技术;
(c) 银行和金融服务;
(d) 陆上交通;
(e) 航空交通;
(f) 海运;
(g) 医疗服务;
(h) 通讯和广播服务;
草案还监管对其他维持关键的社会和经济活动的基础设施(如大型体育和表演场地、主要科技园区等)所必需的关键基础设施营运者。
法定责任
草案为关键基础设施营运者引入了三重责任体系,包括架构责任、预防责任以及事故通报及应对责任。
关键基础设施营运者需在香港设置办事处,并向专员或指定当局报告地址及任何后续变更、报告与关键基础设施相关的所有权和运营权变更,并设立由具备足够专业知识的关键基础设施营运者员工监督的电脑系统安全管理单位。
关键基础设施营运者必须实施强而有力的网络安全措施,以保护电脑系统免受网络威胁,包括:
(a) 向专员或指定当局通报其电脑系统(包括关键电脑系统)的重大变化(包括设计、配置、安全或运行等);
(b) 定期进行安全风险评估;
(c) 实施安全管理计划并进行定期的独立安全审核;及
(d) 每两年至少进行一次独立电脑系统安全审核并提交报告。
草案要求在规定时间内通报网络安全事故并采取有效应对措施。若发生可能影响关键基础设施核心功能的严重事故,须在知悉后12小时内通报;次重要事故须在48小时内通报。关键基础设施营运者还必须在得悉事故后14天内提交详细书面报告,并制定并持续更新应急计划,概述减轻网路攻击影响的程序,并参与电脑系统安全演习。
专责办公室
保安局将设立专责办公室,负责监督法律框架的实施。专责办公室将负责指定关键基础设施营运者和关键电脑系统,监督其遵从法定责任的情况,并确保其遵从法律框架。专责办公室将由行政长官任命的一名专员带领。专员的主要职能包括识别关键基础设施并指定关键基础设施营运者和关键电脑系统,就关键基础设施营运者的责任发出实务守则、监督和确保条例的遵从情况、监管关键基础设施营运者在关键电脑系统的电脑系统安全方面的行为、调查和应对电脑系统安全威胁或事故,并协调条例的实施。
专员的调查权力包括存取关键基础设施营运者的电脑系统,并可能存取敏感资料。如果关键基础设施营运者未能或不愿协助调查或不能独自应对威胁或事故,专员可申请法庭手令以接达关键电脑系统。专员亦须履行有关保密的法定责任。如未经授权而披露资料,一经定罪,可被判处监禁。
处罚及域外效力
违反或不遵从草案规定的责任和要求可能导致违法行为和处罚,处罚仅针对组织层面的关键基础设施营运者,不针对个别员工。草案下的处罚仅限于罚款,最高罚款从50万港元至500万港元不等。持续违法行为的每日最高罚款从5万港元至10万港元不等。此等严厉措施旨在激励关键基础设施运营商实施强而有力的网络安全实践。
草案虽未明文规定域外效力,但包含可能扩展其适用范围的条款。例如草案规定,位于海外但可由香港的关键基础设施营运者访问的电脑系统可被指定为关键电脑系统,从而受草案的约束。此外,专责办公室可要求具本地业务联系的关键基础设施营运者提供資料。不過,草案无意具有域外效力,符合属地管辖原则。
对企业的影响
虽然草案主要针对大型组织,但其实施突显了网络安全风险管理日益重要。企业,尤其是指定行业的企业,应通过自我评估和衡量当前的网络安全措施来评估其网络安全框架。它们还应为遵守草案中的責任做好准备,更新现有网络安全框架以纳入草案规定的責任,并随时了解草案的进展及其实施时间表。
结论
草案代表了与全球数位韧性趋势一致的做法,旨在保护香港的关键基础设施免受网络威胁。虽然它解决了咨询期间提出的关键问题,但其实际实施和执行的情況仍有待观察。如果您对上述电子资讯有任何疑问,或在媒体和科技法、数据保护和知识产权法领域中需要我们提供任何协助,我們的知识产权团队中经验丰富的律师将乐意为您提供帮助。