守好關鍵設施網安 營運者應主動有為
網絡安全法下半年交立會審議 議員關注應對威脅能力
在香港特區政府昨日向立法會提交2024年度立法議程中顯示,特區政府保安局計劃於今個立法年度下半年度提交網絡安全(關鍵基礎設施)條例草案,將制定法律框架,訂定關鍵基礎設施營運者的網絡安全責任,加強其抵禦網絡安全挑戰的韌性。有立法會議員昨日接受香港文匯報訪問時建議,有關條例草案應明確界定什麼是關鍵基礎設施,並鼓勵和促進關鍵基礎設施運營者和相關人員的網絡安全教育和培訓,提高他們對威脅的認識和應對能力。他們並指,現時部分國家和地區已有較為完善的網絡安全法,故特區政府在制訂有關條例草案時可以參考,並結合香港自身特點制訂適用於香港情況的法例。
◆香港文匯報記者 藍松山
關鍵基礎設施對社會正常運作有重要意義,若其資訊系統、網絡或電腦系統受到擾亂和破壞,可能影響主要設施運作,嚴重危害社會經濟、民生、公共安全以至國家安全。近年網絡攻擊增加,對世界各地關鍵基礎設施的網絡安全帶來重大挑戰,但香港未有針對關鍵基礎設施網絡安全的特定法例要求。
特區行政長官李家超在2023年施政報告中表示,面對全球網絡攻擊風險不斷增加,政府會着力提升關鍵基礎設施(包括能源、通訊、交通運輸、金融機構等)網絡安全的保護,2024年內向立法會提交立法草案。消息人士當時透露,有關草案將涵蓋能源、通訊、交通運輸及金融服務等關鍵基礎設施,局方將會向他們發出實務守則,包括設立管理部門、制定事故通報機制及草擬應變計劃等。
葛珮帆:宜明確追責機制
民建聯立法會議員葛珮帆向香港文匯報表示,香港的關鍵基礎設施都離不開網絡,現時國際形勢複雜多變,網絡攻擊及罪案經常發生,所以完善網絡安全(關鍵基礎設施)條例草案亦是維護國安非常重要的一環,故法例須定義關鍵基礎設施,包括明確界定什麼是關鍵基礎設施,例如能源系統、交通運輸、金融機構、通信網絡等,相信有助於確定法例的適用範圍。同時,法例還須確定關鍵基礎設施運營者應該遵守的網絡安全要求,包括系統保護、事件應對、漏洞管理和測試等方面,從而提高系統的強固性和抵禦能力。她建議法例應該確立對關鍵基礎設施網絡安全的監管機構,負責監察、審查和執行相關法規,以保護關鍵基礎設施的安全。
葛珮帆又建議,有關法例應鼓勵和促進關鍵基礎設施運營者和相關人員的網絡安全教育和培訓,提高他們對威脅的認識和應對能力,同時明確違反網絡安全法規的懲罰和責任追究機制,以強化執法和阻嚇效果。
邱達根:境外豐富成例可參考
立法會科技創新界議員邱達根認同,隨着互聯網發展愈來愈迅速,香港需要盡快就網絡安全立法。現時世界上許多國家和地區已有網絡安全的相關法例,例如國家實行網絡安全等級保護制度,明確提到網絡運營者應當按照網絡安全等級保護制度的要求,履行規定的安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。他以歐洲為例,當地的《一般資料保護規則》賦予歐盟居民對其個人資料的更大控制權,並賦予國家監管機構新的權力,能對違反該法律的組織處以巨額罰款。特區政府在訂立網絡安全條例草案時,可適當參考這些網絡安全法,並結合香港自身的情況,制訂出使用於香港情況的法例。
邱達根提到,以往的一些網絡安全法中,若營運平台出現違規內容,需要在收到通報後及時移除,否則就必須負上法律責任,然而近年部分國家已修訂更為嚴厲的網絡安全法,即營運平台絕對不能出現違規內容,例如兒童色情、危及國家安全、煽動、恐怖分子言論等,即使是由第三方放上平台,平台亦須負上相應責任。因此,在立法維護網絡安全的同時,應同時要考慮到營運平台實際運作情況,盡量免除他們擔心輕易墮入法網的憂慮。