法案二讀:《保護關鍵基礎設施(電腦系統)條例草案》
代理主席,隨着數字化進程加速和關鍵基礎設施的互聯互通,多宗惡意事件(例如勒索軟件攻擊和資料竊取事件)激增,本港的醫院亦曾遭受黑客勒索軟件的攻擊。香港網絡安全事故協調中心去年度共處理12 536宗保安事故,為企業和個人都帶來了嚴重的威脅和損失。
關鍵基礎設施(例如能源、海陸空交通、銀行、醫院)都有機會受到攻擊,這類設施的電腦系統若被干擾,不僅會影響設施本身的運作,還會對整個社會造成嚴重的影響,保障這些設施的網絡安全變得尤為重要。內地早在2021年制定《關鍵信息基礎設施安全保護條例》,保障關鍵信息基礎設施安全和維護網絡安全。正如剛才廖長江議員也提到,其他國家(例如澳洲、歐盟、英國及新加坡等地)亦已制定相關的法例。特區政府以立法方式訂定關鍵基礎設施營運者的網絡安全責任,加強設施的保安能力,減低因網絡攻擊導致必要服務被干擾和破壞的風險,本人表示十分支持。
我作為法案委員會委員,在逐條審議環節已對《條例草案》內容提出多項意見和建議,包括法律條文的細化、執行細則的完善及潛在影響的考量等。我樂見政府在聽取各委員的意見後接納了大部分建議,並對《條例草案》進行修正。借此機會,感謝保安局及律政司相關同事在審議期間的辛勤努力。
香港作為國際金融中心,銀行及金融機構的運作不但關乎本地的資金結算和儲蓄存款,也承載資金跨境流動、數據交換等金融服務,是支撐本地經濟與國際資本流動的核心支柱。本地銀行向來嚴格遵守《銀行業條例》和《銀行營運守則》,業界普遍支持透過立法強化金融關鍵基礎設施的保護,但需避免為業界增加過多的合規壓力。
作為業界代表,我對《條例草案》及修正案有以下看法及建議。
就事故通報方面,現時任何金融機構若得悉發生事故,都需要立即通知金管局,而《條例草案》訂明要向專員通報電腦系統安全事故。政府當局在審議《條例草案》時明確表示,同一宗事故的確需要兩邊匯報。業界擔心《條例草案》通過後,無論發生任何大小事故都要向專員和金管局雙線匯報,通報工作較以往繁重及複雜。
當局解釋,基於匯報的出發點不同——例如金管局的着眼點可能是要確保維持現有服務,以及不會影響市民大眾的銀行服務,而《條例草案》的出發點則是在事故後可盡快介入、防止擴散及提供協助——由於兩者匯報的目的不盡相同,所以便有不同的匯報路線。業界對此表示理解,同時也希望事故匯報的工作要求能與以往金管局的要求大致相近,不會為金融機構增加額外匯報壓力。各部門仍然是各司其職,相信這樣的變動不會引起太大疑慮。
另外,《條例草案》第25條提及,需要安排進行電腦系統安全審核。業界一直有類似的系統安全審核要求,亦習慣將這些獨立審核交由專業機構進行。對於審核單位的資質要求,政府當局表示審核可以由外聘的專門核數公司負責,亦可以由機構內部的獨立審核單位負責,只要符合專業要求,有防火牆確保獨立性便可接受,日後會通過實務守則進一步詳細列出所需資料。業界希望當局對這項審核的要求能遵循金管局及現有法規的一貫做法,減少金融機構的額外合規負擔。
《條例草案》第26條列明,在給予合理的書面通知後,要求某關鍵基礎設施營運者參與專員進行的電腦系統安全演習的規定。金管局一直以來都要求銀行自行進行定期演練,確保業務在遇到特殊情況下仍能持續運作,並盡量減低對客户和市民的影響。以往業界已經對這類演練相當熟習,日後專員若要進行針對關鍵基礎設施的演習,當局需要與業界提前做好溝通,並在演習前向參與機構發出詳細的指引,讓業界了解演習主題和範圍,做好充分準備,減少對日常運作的影響,同時也確保演習達到其真正目的。
在審議過程中,不少委員都向當局提出具體建議,要求清晰地訂明各項職能和實際操作細節,當局回應會透過實務守則提供全面的指引、具體規範各項職能並細化標準,例如訂明專責電腦系統安全管理單位的規模及負責主管的資格和經驗要求、就何謂“事故”和哪些情況需要向專員作出通知提供詳細的指引和例子等,以便相關人員能夠更清晰地理解和執行。考慮到實務守則所涵蓋的事宜相當繁多且複雜,我希望當局在起草和修訂時,必須充分諮詢業界的意見,廣納各方的觀點和建議,令實務守則更貼合實際操作,確保所制訂的規範能夠真正落地實施,並為各方所接受。
代理主席,本人支持《條例草案》及所有修正案。
我謹此陳辭。