保障關鍵基礎設施電腦系統新例 當局稱只針對機構並以罰款處理

政府提出全新法例保障關鍵基礎設施的電腦系統，包括涵蓋8個界別基礎設施，訂明營運者有責任保障及通報事故，最高罰款50至500萬元不等。

當局說，條例建議的規管對象，絕大部分是大機構，有關營運者負責維持社會必要服務、或重要社會與經濟活動，中小企及一般市民不受影響。

根據保安局、政府資訊科技總監辦公室及警務處向立法會提交的文件，擬議條例下的關鍵基礎設施分兩類。

第一類是在香港提供必要服務的基礎設施，涵蓋能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健及通訊和廣播共8個界別；第二類是維持重要的社會與經濟活動的基礎設施，例如大型體育或表演場地、科研園區等。

擬議條例下，在「架構」、「預防」與「事故通報及應對」三方面，為關鍵基礎設施營運者訂立法定責任。包括要求設立電腦系統安全管理部門並由專責主管監管，電腦系統保安風險評估至少每年一次，亦至少每兩年一次參與電腦系統保安演習，需要制定應急計劃；並按事故嚴重性，在得悉事件發生的2小時或24小時內作出報告。

當局說，擬議條例只要求營運者承擔保護關鍵電腦系統責任，絕不涉及系統內的個人資料及業務內容，強調立法並非旨在懲罰營運者，罪行只針對機構，以罰款方式處理，不會在個人層面懲罰機構主管或員工。但如果涉及觸犯例如虛假陳述等刑事法例 ，涉事人員可能負上個人刑事責任。

至於執行單位，建議由專責辦公室及個別行業指定監管機構處理。專責辦公室將隸屬保安局，由行政長官委任一名專員帶領，成員來自警務處、資科辦等電腦安全專家，負責指明營運者及關鍵電腦系統制定《實務守則》、調查及跟進違規情況等。

當局表示，將於7月2日諮詢立法會保安事務委員會後，再次諮詢相關業界一個月。保安局聯同律政司、資科辦及警務處已開展擬議條例草案的草擬工作。當局計劃今年底前將草案提交立法會審議，在條例通過後，目標一年內成立專責辦公室，以期擬議條例可於其後半年內正式生效。