《保護關鍵基礎設施(電腦系統)條例草案》提升關鍵基礎設施韌力
立法會每年審議不少條例草案,很多條例與市民生活息息相關。筆者希望藉此專欄,定時向市民匯報條例草案的審議工作,解釋條例草案的重點內容。
本周,立法會有關的法案委員會開始審議《保護關鍵基礎設施(電腦系統)條例草案》(下稱「條例」)。類似的法律在內地及世界其他多國早已訂立,旨在提升關鍵資訊基礎設施的韌力和風險管理能力。
條例只規管關鍵基礎設施內的電腦系統。就關鍵基礎設施,條例草案涵蓋兩大類關鍵基礎設施:第一類為在香港持續提供必要服務的基礎設施,涉及社會日常生活必需的服務(包括能源、運輸及醫護服務等八個主要界別);第二類為一旦遭破壞或數據洩漏,會對香港社會及經濟活動有重大影響的基礎設施。條例主要的問責方是基礎設施的營運者,而非電腦系統的擁有人。鑑於設施的重要性及敏感性,保安局不打算披露關鍵基礎設施及其營運者的清單。
在條例下,營運者基本上有3項主要責任:
1. 設置/組織責任:營運者須在香港持續設有辦事處,及為電腦系統安全而設的管理單位。營運者亦必須委任擁有足夠知識的僱員,監管該管理單位。
2. 預防威脅及事故:營運者有責任向規管當局通報電腦系統的重大改變,亦須提交及實施安全管理計劃。營運者亦須定期就電腦系統進行安全風險評估及安全審核,由獨立的審核員確定營運者有否確切地實行安全管理計劃。
3. 事故通報及應對:關鍵基礎設施營運者必須參與由關鍵基礎設施(電腦系統安全)專員(下稱「專員」)安排的安全演習,在指定時間內向專員通知電腦系統安全的事故。
條例設立了專員一職,負責識別關鍵基礎設施和營運者及關鍵電腦系統、訂立營運者責任有關的實務守則、監察及規管條例下對營運者的責任等。
專員及其授權人員在遵循條例規定的前提下有多項權力,包括進行查訊及調查、進入處所搜尋及檢取文件及向裁判官申請就系統進行監察等。
關於上訴機制,營運者對於規管當局給予的指示、關鍵基礎及電腦系統的界定、風險評估以及管理安全計劃的要求,有權向條例產生的上訴委員會提出上訴,而上訴委員會的決定屬終局決定。上訴委員會由上訴委員團內的成員組成,行政長官有權委任不少於15名人士作為委員團成員,主席須有法官的背景,成員將來自資訊科技界、法律界及其他非業界人士,任期不超過兩年,有資格再獲委任。
由於關鍵基礎設施對香港社會正常運作和公共安全極為重要,條例下的責任可謂不輕,亦有具阻嚇性的刑罰(最高罰則為罰款500萬元)。鑑於條例為同類條例的首次,牽涉的營運者眾,有關當局及專員必須對責任主體及範圍清楚界定,對有關的責任人賦以適當的協助及資訊,令有關的基礎設施營運者不僅感受到責任,亦能獲得政府的支援及協助,以確保香港的關鍵基礎設施在安全和穩定的環境中運行。
江玉歡,立法會議員,擁接近三十年律師經驗,專研基層、房屋、安老及法律議題。隔周五見報