跳至主内容
加强保护关键基础设施计算机系统安全 — 建议立法框架
问与答
问题 1:拟议条例的目的是什么? 有什么好处?
- 拟议条例的目的是加强「关键基础设施」的计算机系统的保安能力,减低必要服务因网络攻击被扰乱或破坏的可能,从而提升香港整体的计算机系统安全。
- 拟议条例有助推动「关键基础设施营运者」建立良好的防范管理体系,确保其计算机系统的安全运作,让重要服务运作顺畅,巩固香港良好营商环境及国际金融中心地位。
|
问题 2:拟议条例规管什么?会影响我吗?
|
问题 3:政府会否透过「关键基础设施营运者」索取我的个人资料?
- 拟议条例只会要求营运者承担起保护其「关键计算机系统」的责任,绝不针对系统内的个人资料或商业机密。
|
问题 4:什么是关键基础设施?
|
问题 5:「关键基础设施营运者」在拟议条例下需要履行什么责任?
|
问题 6:「关键基础设施营运者」要报告甚么事故?时限是什么?
- 在拟议条例下,「关键基础设施营运者」需要向专责办公室报告「计算机系统保安事故」(指未经合法授权在计算机系统上或通过计算机系统进行的危及其计算机系统安全或对其产生不利影响的行为或活动),让专责办公室有需要时可尽快指示相关的应对工作。要报告的事故类别及时限如下: -
-
- 严重计算机系统保安事故(指已经或即将对必要服务的连续性及关键基础设施的正常功能造成重大影响,或导致个人资料等数据大量外泄的事故):在得悉事件发生后2小时内;
- 其他计算机系统保安事故:在得悉事件发生后24小时内。
|
问题 7:「关键基础设施营运者」违法有什么后果?
- 拟议条例的目的是促使营运者加强保障其计算机系统安全,并非惩罚营运者。如有违法行为,会向机构罚款,最高罚款港币五十万元至五百万元不等。
- 但是若相关的违规行为涉及触犯现有的一些刑事法例,例如虚假陈述、行使虚假文书或其他诈骗相关罪行,则一如现时的情况,涉事人员亦有机会要负上个人刑事责任。
|
问题 8:为什么要指明某些法定监管机构负责特定界别?
- 拟议条例拟规管的部分必要服务行业现已受其他法定行业监管机构的全面规管。我们建议这些个别行业监管机构为「指定监管机构」,负责监管这些必要服务行业的「关键基础设施营运者」履行架构及预防的责任。
- 此做法一方面让行业「指定监管机构」可在它们现有的规管制度下,就架构及预防责任订立一套最切合这些行业的标准和要求,监管其行业的「关键基础设施营运者」履行这两类责任,而这些界别的营运者不用再额外满足专责办公室在这两类责任所订的要求。
- 现阶段,我们建议指定(1)金融管理局监管部分与银行和金融服务相关的服务提供商,以及(2)通讯事务管理局监管部分与通讯和广播相关的服务提供商。
|
问题 9:有否参考其他司法管辖区的相关法例?
- 近年,保障关键基础设施计算机系统安全的法规在其他司法管辖区越见普遍。
- 我们参考了其他司法管辖区(包括中国内地、澳门特别行政区、澳洲、欧盟、新加坡、英国和美国)的立法方向去制定一套适合香港的监管模式。
|
问题 10:有否进行咨询?
- 我们自2023年起,就初步立法框架咨询超过100个不同持份者,包括有机会被指明为「关键基础设施营运者」的机构、网络保安服务供货商及审计公司、行业监管机构等。。
- 相关持份者一致认同维护计算机系统安全是社会各界的共同责任,原则上支持立法。
- 我们已发专函再次咨询相关业界,欢迎于2024年8月1 日或之前将意见透过以下方式提交我们考虑:
电邮: Protection_CI@sb.gov.hk
邮寄:香港添马添美道 2 号政府总部东翼10楼保安局E 组
传真: 2810 7702 [致: 保安局E 组]
|
