(獨媒報導)保安局提出全新《保障關鍵基礎設施(電腦系統)條例》,要求能源、資訊科技、銀行、交通、醫療、通訊、大型場地及科研園等8大界別的關鍵基礎設施營運者,採取措施加強電腦系統保安能力,包括在發生嚴重電腦系統保安事故兩小時內通報,違者會被罰款。科技創新界立法會議員邱達根在電台節目表示,兩小時通報的要求合理。香港資訊科技商會榮譽會長方保僑則擔心,機構未必有足夠資源投入資訊保安系統,亦擔心香港的資訊保安人員數目少,要達到政府要求「唔容易」。

邱達根在港台節目《千禧年代》表示,對經濟民生有較大影響的機構,例如是銀行、港鐵、醫院等,如果遭受攻擊或停頓,會帶來很大損害,新法例對中小企相信影響不大,至於以什麼標準量度「關鍵基礎設施」,他相信可以在立法會討論。

如何定義「關鍵基礎設施」 有待討論

他認為在現今社會,單以公司員工數目計算未必是好方法,其他地區的數據條例是以「用家」數目來決定是否符合「關鍵基礎設施」,舉例若有1,000萬名客戶,就必須達致某程度的數據保護。

新法例要求設立電腦系統安全管理部門,並由專責主管監管,電腦系統保安風險評估至少每年一次等。他相信有部分「規模唔係好大」、屬「中型」的公司日後也可能符合「關鍵基礎設施」定義,但該些公司未必有足夠資源,相信要政府提供資助,或者在設立系統時提供協助。他表示諮詢過業界,認為兩小時內通報的要求合理。

他又表示機構在發生資訊洩漏事故後,不能再以「畀贖金」方式取回數據,他認為大型基礎設施營運者,有責任向政府通報。

方保僑擔心機構「做多咗」、「樣樣嘢攞足哂」

香港資訊科技商會榮譽會長方保僑在同一節目表示,早前機管局的事故說明,即使不是受黑客攻擊,關鍵基礎設施一旦故障,「好多市民受影響,立法係正常㗎」。不過他擔心機構日後用什麼方法處理「通報」,例如通報的透明度,亦有機構可能擔心觸犯法例,「樣樣嘢攞足哂」兼且保存過長時間,因而觸犯《私隱條例》。

香港資訊科技商會榮譽會長方保僑(方保僑Facebook 圖片)
香港資訊科技商會榮譽會長方保僑(方保僑Facebook 圖片)

他認為當局提出八個範疇的必要服務基礎設施應該足夠,他以電子銀包為例,坦言八達通公司日後必定被納入條例,但其他公司會否被納入,可能不會對外公布。他擔心部分公司未必有能力配合,例如有些機構可能要外判第三方服務承辦商才可做到在兩小時內通報。方保僑又指出香港的資訊保安人員數目少,要做到政府要求「唔容易」。

不履責任者最高罰500萬元

當局提出每年至少一次進行電腦系統保安風險評估,至少每兩年一次演習等,方保僑說,除了涉及成本問題,若做得太密會構成滋擾,「絚常做,阻住正常工作」,他認為每年做一次是最基本要求。

根據政府文件,如「關鍵基礎設施營運者」不履行法定責任、不遵從專責辦公室發出的書面指示、不遵從專責辦公室按法定調查權力提出的要求,以及不遵從專責辦公室就提供與關鍵基礎設施資料的要求,最高可被罰款50萬至500萬元,個別罪行持續,可每日罰款最高5萬至10萬元。