2025年3月19日立法會會議就《保護關鍵基礎設施(電腦系統)條例草案》二讀辯論龍漢標議員發言 скачать в хорошем качестве

2025年3月19日立法會會議就《保護關鍵基礎設施(電腦系統)條例草案》二讀辯論龍漢標議員發言

主席，關鍵基礎設施的運作非常依賴電腦系統和互聯網，近年針對電腦系統和網絡的科技罪案日新月異，萬一關鍵基礎設施的電腦系統遭受攻擊或者破壞，令這些設施無法正常提供服務，將會對各行各業的運作和市民的日常生活造成嚴重影響。香港作為國際金融中心，應有完善的法律框架來保障關鍵基礎設施的電腦系統安全。 《保護關鍵基礎設施(電腦系統)條例草案》的政策目的，是加強關鍵基礎設施的電腦系統的保安能力，減低必要服務因網絡攻擊等被干擾或破壞的可能，從而提升香港整體抵禦風險隱患的能力。我認為立法是必要的，同時亦有迫切性，《條例草案》不僅能提升關鍵基礎設施電腦系統的防禦能力，保障社會可以正常運作，更可以締造更優質的營商環境，進一步鞏固香港的國際地位。 在規管範疇方面，《條例草案》涵蓋兩大類關鍵基礎設施，第一類是在香港持續提供必要服務的基礎設施，涉及日常生活必須的服務，當中再分為8個界別，第二類是維持關鍵的社會和經濟活動的基礎設施，這類設施一旦受到破壞，可能會影響重要的社會和經濟活動。政府表示為了避免關鍵基礎設施和設施營運者成為攻擊目標，不會公開這些設施和有關營運者的名單，我是理解的。 至於規管對象方面，當局接納了諮詢階段收集的意見，考慮到關鍵基礎設施擁有者未必會直接參與營運，現時《條例草案》已經移除了擁有者在法例下需要負責的要求，而是只規管營運者。對於這項安排我是支持的。 根據當局提交立法會的文件，《條例草案》並不適用於政府。然而，政策局/部門必須嚴格遵守《保安規例》和《政府資訊科技保安政策及指引》，數字政策辦公室亦定期為面向公眾的政府資訊系統進行合規檢查和為政府政策局/部門進行審核。有市民或者會關注政府會不會嚴以律人，寬以待己，我期望數字政策辦公室與《條例草案》指明的規管當局日後要緊密溝通協調，在規管要求上盡量做到保持一致，避免出現雙重規管標準。 在建議的規管制度下，關鍵基礎設施營運者有三方面法定責任，包括架構責任，預防責任，以至事故通報及應對責任。《條例草案》建議行政長官可委任一名關鍵基礎設施(電腦系統安全)專員為規管當局，考慮到金融管理專員和通訊事務管理局已就銀行及金融服務和電訊及廣播服務界別的電腦安全系統有相當成熟的規管，他們對所規管界別的作業方法和需要亦最為熟悉，所以金融管理專員和通訊事務管理局會分別規管銀行及金融服務業和電訊及廣播業的第一類及第二類責任。兩個界別的第三類責任以及其他界別的所有營運者都由專員全權負責規管。我認為《條例草案》這項建議的分工是合適的安排，無需在監管架構上架床疊屋。 關於第3類責任，即事故通報及應對方面，《條例草案》對「電腦系統安全事故」作出了界定 。根據早前的諮詢文件，緊急嚴重事故需要在兩小時內通報，很多業界人士都擔心時間太緊迫。《條例草案》中放寬了通報時限，嚴重事故是12小時，其他事故是48小時。我相信這項改動已回應了業界的關注並作出了適當的平衡。 《條例草案》賦權規管當局可發出實務守則，包括針對特定界別的守則，以訂明建議標準，向關鍵基礎設施營運者提供履行第1 類、第2 類和第3 類責任的實際指引。由於《條例草案》下的第一類關鍵基礎設施包含8個界別，我相信日後當局可以透過實務守則，因應不同界別的實際運作情況去作出具體的指示和規定，同時亦可以隨著科技發展更快作出更新，以更貼近國際標準的做法，我認為法例加上實務守則的配搭安排是合適的做法，同時亦更具靈活性。 由於《條例草案》並不是一條網絡安全法例，如果駭客只是竊取了電腦系統中龐大的客戶資料，但沒有對有關電腦系統進行攻擊或破壞的話，原則上並不屬於《條例草案》的涵蓋範圍。若電腦系統安全事故涉及個人資料外洩，關鍵基礎設施營運者或須同時向規管當局和個人資料私隱專員公署報告；但按現行法例， 即使個人資料外洩事故的受影響市民數以萬計，都沒有強制通報的法定要求，發生外洩事故又沒有罰則，我認為情況並不理想。 現在保安局局長提交了《條例草案》，加強了保護關鍵基礎設施的電腦系統安全，但美中不足的是，特區政府另一個政策局雖然已就修訂《個人資料(私隱)條例》研究了幾年，但當局在2月中政制事務委員會的會議上，連修訂該法例的時間表都未能向議員交代。因此，我促請政府當局要盡快修訂《個人資料(私隱)條例》，設立強制性通報機制和考慮就個人資料外洩事故施加罰則。 主席，我謹此陳辭，支持通過《條例草案》。 #立法會會議 #電腦系統 #網絡科技 #網絡攻擊 #客戶資料 #關鍵基礎設施營運者 #立法會 #立法會議員 #地產及建造界 #龍漢標