簡慧敏：拉開帷幕的關鍵基礎設施電腦系統安全立法

“加強關鍵基礎設施安全”是筆者自2022年履職以來就深表關注的重要議題。行政長官在《2023施政報告》中首度提出要就關鍵基礎設施的網絡安全立法，並於今年內向立法會提交立法草案；現在初步立法框架終於在保安局於2023年諮詢持份者後面世，筆者深感振奮！

在7月2日舉行的立法會保安事務委員會會議上，其中一項討論議題就是“加強保護關鍵基礎設施電腦系統安全─建議立法框架”。筆者在會議上就以下3方面向局方表示關注：

1. 涵蓋範圍

由於擬議條例的範圍暫定為“電腦系統安全”，與《2023行政長官施政報告》中的“網絡安全”（具體為“着力提升關鍵基礎設施（包括能源、通訊、交通運輸、金融機構等）網絡安全的保護”）不一致；因此如何定義“電腦系統安全”顯得尤為重要，規管範圍的適切性和合理性是非常關鍵的一環，局方必須慎重思考。

2. 規管對象

筆者樂見立法框架在規管對象上致力做到清晰明確，訂明營運者必須在香港設有實體及具專業知識的電腦系統安全管理部門；同時，不論營運者自營關鍵基礎設施或外判全部或部分營運工作，營運者均需負責。此舉令責任明確，也有助加強政府對營運者的監管效能，確保營運者有效履行其法定責任。

網絡世界無遠弗屆，不論營運者的資訊系統、電腦系統、資訊網絡在海外還是香港，只要其為香港提供被指定為“關鍵基礎設施”的服務，該營運者就應被納入規管。

不過對於條例不涵蓋政府部門方面，筆者認為值得商榷。現時擬議條例列明“關鍵基礎設施營運者”在三方面的法定責任（架構、預防、事故通報及應對）；縱然局方表示政府部門已有自己的架構，在預防措施方面也已採取很高（甚至更高）的標準，筆者認為當局仍應考慮將政府部門納入，例如把政府部門的“事故通報及應對”機制納入條例規管。

此外，日後的條文還應適當加入域外效力，讓我們的法律能有效應對各種外來的風險。

3. 罰則

根據擬議條例規定，建議罰則只有罰款，不負有刑責，違者可被處最高罰款港幣50萬元至500萬元不等，經法庭審訊而定；個別罪行也會就持續違法行為處以額外的每日罰款。

雖然最高罰款500萬元高於新加坡的100,000新元（約58萬港元）及每日罰款，但在新加坡干犯相關罪行須負上刑事責任，而在香港只有行政罰款。當局應述明訂立罰則時的考慮因素，加強業界對建議罰則的認受性。

筆者將於稍後時間，向局方進一步反饋其他意見。

現時保安局網站已開闢專頁，局方亦已發專函諮詢相關業界，希望大家在8月1日或之前踴躍提交意見書，共同築牢關鍵基礎設施的安全屏障：