新聞背後/保障網絡安全 維護網絡自由\卓 銘
保安局日前向立法會提交文件,啟動《保障關鍵基礎設施(電腦系統)條例》立法,保障維持香港社會必需服務攸關或重要的社會和經濟活動的關鍵基礎設施。立法不論對於香港作為國際城市的聲譽,還是國家安全層面,都事關重要,並不會侵犯市民的個人私隱,更不會影響公眾使用電腦和網絡的自由。
早於2022年施政報告,行政長官已提出要推動相關立法,而近年香港許多機構相繼發生電腦系統遭黑客入侵或資料外洩事件,其中不乏大型公營機構,這些存有大量市民重要資料的機構一旦發生網絡安全事故,受影響的隨時是數以百萬計的市民。因此,政府規管關鍵設施營運者,要求其承擔保護「關鍵電腦系統」的責任,是合情合理。
確保營商環境及社會安定
事實上,現時香港不少企業和機構,對於市民個人資料的管理實在難以稱得上有良好觀念。早前私隱專員公署進行過相關調查,列出了多項缺失,包括沒有為遠端存取資料啟用多重認證功能、沒有妥善設定攔截網絡安全威脅的軟件、欠缺足夠保安措施禁止或防止於測試伺服器內儲存個人資料等。
像醫院、高等教育機構、消委會這類機構的電腦系統,往往儲存了市民的個人私隱資料,但部分機構的網絡保安系統猶如毫無遮掩,自然成為別有用心之徒的目標。當然,這也不是說只要做了安全措施,市民的資料就能萬無一失,但至少應為大型企業及機構設定一個最低限度的標準。例如機構不應該將真實的個人資料儲存在測試伺服器內,或禁止及防止員工在這些測試伺服器內儲存個人資料,並制定程序定期審視、測試伺服器內的資料,減低出現人為錯誤或疏忽的風險。
其中一個例子是,有法定機構雖然曾為員工提供培訓及傳閱與網絡安全相關資訊,但有資訊科技部員工沒有按照要求,在系統設定時使用較為複雜的密碼,而後來便恰恰發生了黑客入侵事件。缺乏安全意識,又缺乏確實規管,不諱言說就是網絡攻擊的最佳標靶。因此不論是為了保障市民私隱,還是維護香港作為國際城市的聲譽,維護一個安定的生活和營商環境,這次立法都是必要之舉。
立法草案將關鍵基礎設施分為兩大類,分別為「在香港提供必要服務的基礎設施」,以及「其他維持重要的社會和經濟活動的基礎設施」。其中「在香港提供必要服務的基礎設施」涵蓋八個界別,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健以及通訊和廣播;「其他維持重要的社會和經濟活動的基礎設施」則包括大型體育及表演場地、科研園區等。
保安局亦新設專責辦公室負責監督,制定《實務守則》,就「關鍵基礎設施營運者」應採取的措施提供建議、監察針對關鍵基礎設施的電腦系統保安威脅、協助「關鍵基礎設施營運者」應對電腦系統保安事故、調查及跟進「關鍵基礎設施營運者」違規情況、協調不同政府部門及專家,在制定政策及指引和處理事故方面的工作,以及向「關鍵基礎設施營運者」發出書面指示,以堵塞可能出現的保安漏洞。如有不履行法定責任、不遵從專責辦公室發出的書面指示或要求,可被處於罰款最高500萬元不等,個別持續違法行為則處以額外的每日罰款。
西方規管做得更早更嚴
不難看見,法例規管的由始至終都只有大機構,完全不影響中小企及一般市民,更不會影響市民大眾使用網絡及電腦的自由。如果有人覺得立法涉及市民私隱,或者影響了公眾使用網絡及電腦的自由,只能說這些人根本沒有實際看過草案的內容,只是單憑草案的名稱便開始自我幻想捏造故事。遑論確貪資料安全,西方國家甚至比香港做得更早更嚴。歐盟早在2018年就通過號稱史上最嚴厲的《通用數據保障條例》,如保護個人資料不力,相關平台可被罰2000萬歐元,或全球營業額的4%。Meta、亞馬遜等全球知名的大型企業亦曾被罰款,金額動輒可達數億歐元。
可以說,機構規模越大,越應負上更大的責任管理市民個人資料。事實上,網絡安全是「總體國家安全觀」其中一個重點領域,不論是從國家安全的角度,或香港作為一個國際城市應有的標準,還是保障市民私隱的角度,《保障關鍵基礎設施(電腦系統)條例》都不可或缺,尤其香港正以建設國際創科中心為目標,網絡安全就顯得更加重要,也關係到香港的發展前景。
