香港《保护关键基础设施 (计算机系统) 条例草案》提交立法会审议

导读

2024年12月6日，香港《保护关键基础设施（计算机系统）条例草案》（以下简称“《草案》”）在香港政府宪报第49期第28卷法律副刊第3号上公布，并于12月11日提交立法会进行首读和二读。《草案》旨在对关键基础设施的指定营运者（Critical Infrastructure Operators，下称“CIO”）施加法定要求，确保他们采取适当措施保护其计算机系统，尽量减少重要服务因网络攻击而中断或受损的风险，从而维持香港社会正常运作和市民正常生活，有助提升香港整体计算机系统安全。以下为《草案》的主要条款。

背景介绍

香港特别行政区政府于2024年7月2日向立法会提交了一项立法提案，以规范CIO的网络安全义务。

提案针对的是对持续提供香港基本服务所必需的资讯科技人员及维持香港重要社会及经济活动的资讯科技人员，并要求这些资讯科技人员履行作为法定义务设定的基本要求，从而让他们能根据自身的需要和特点，建立及提升保障其计算机系统安全的能力。

该提案将成为香港首部关于网络安全的立法。香港政府计划于2024年底前向立法会提交该提案，并在提案通过后一年内成立驻港公署。

适用范围

《草案》的适用范围涵盖对香港社会及经济活动至关重要的行业，包括能源、电信、交通运输、金融服务、公共卫生、供水与废水处理，以及政府和其他公共服务领域。相关设施一旦失效或受到攻击，可能对社会运作及市民生活造成严重影响，因此这些设施的计算机系统安全需要得到重点保护。

主要条款

关键基础设施（Critical Infrastructure，下称“CI”）及CIO定义

CI是指那些对香港的社会和经济活动至关重要的基础服务和设施，涵盖能源、信息技术、银行和金融服务、航空运输、陆路运输、海上运输、医疗保健服务以及电信和广播服务等行业。任何这些行业的CI损坏、功能丧失或数据泄露都可能妨碍或严重影响香港的关键社会或经济活动。同时，CIO特指根据《草案》第12条所指定的组织。《草案》第11条提供了标准，以显示监管机构如何确定基础设施是否为指定CI。此外，CIO还必须在香港设有办事处，如地址有任何变更，必须根据《草案》第19条以书面形式通知监管机构，并根据《草案》第21条必须设立和维持计算机系统安全管理单位。除其他外，上述义务《草案》中被归类为“第一类义务”。

与预防威胁和事件有关的义务

《草案》第4部分规定了计算机CIO有多项通知义务，包括要求CIO：

• 根据《法案》第22条规定，在事件【包括CIO的关键计算机系统（ critical computer system ，下称“CCS）的设计、配置、安全或操作发生重大变化，关键计算机系统的移除，向基础设施添加计算机系统，对计算机系统进行更改以致其对基础设施的核心功能至关重要】发生后1个月内向监管机构报告；

• 根据《草案》第23条的规定，CIO在指定日期后的3个月内向监管机构提交一份保护CI的CCS的计算机系统安全的计划；

• 根据《草案》第23条的规定，实施计算机系统安全管理计划；

• 根据《草案》第24条的规定，在指定日期后的12个月内以及此后每12个月进行一次计算机系统安全风险评估；

• 在评估后3个月内提交评估报告，在指定日期后的24个月内以及此后每24个月对CI的CCS的计算机系统安全进行一次审计；以及

• 根据《草案》第25条规定在3个月内提交审计报告。

除其他事项外，上述义务在《草案》中被归类为“第二类义务”。

与事件报告和响应有关的义务

CIO还必须：

• 根据《草案》第26条的规定，在专员要求时参加计算机系统安全演习；

• 根据《草案》第27条的规定，在指定日期后的3个月内提交一份应急响应计划；

• 根据《草案》第28条的规定，在意识到CIO的CCS发生了计算机系统安全事件后，尽快通知专员，无论如何，必须在规定的时间内通知专员。即：如果有关的计算机系统安全事件已经破坏、正在破坏或可能破坏关键基础设施的核心功能CIO意识到该事件的12小时内通知专员，或对于其他情况，CIO获悉事件发生后48小时内通知专员。此外，CIO还必须在其获悉事件之日起14天内提交事件的书面报告。

根据该《草案》，上述义务被归类为“第三类义务”。

取消域外管辖权

根据《草案》第13条的规定，由于只有当计算机系统可由CIO在香港或从香港访问，且对于CIO运营的CI的核心功能至关重要时，该系统才会被指定为CCS，因此该《草案》不具有域外效力。

澄清在法律诉讼中使用行为准则

该《草案》第9条进一步澄清，组织未遵守行为准则的规定本身并不会使得该组织承担任何民事或刑事诉讼责任，但行为准则可在诉讼中作为证据采纳，且当事人可依赖该组织违反或未违反准则相关规定的证据来确立或否定该事项。

引入对某些罪行的尽职调查和合理理由的辩护

根据《草案》第65、66条规定，结合具体情况，如果能满足某些门槛，则可能提供“尽职调查”和“合理理由”的辩护。

要提出尽职调查的辩护，CIO必须提供足够的证据表明犯罪是由于被告无法控制的原因造成的，并且被告采取了一切合理的预防措施及尽一切应尽的义务来避免犯罪，且控方没有毫无合理怀疑地提出相反证据。

要提出合理辩解的辩护，必须提供足够的证据表明被告有合理辩解，且控方不能毫无合理怀疑地提出相反证据。

下一步计划

香港政府计划在条例草案通过后一年内成立驻港公署，并在六个月后生效。

由于该法案的规定现已明确，潜在的CIO应考虑该法案对他们的潜在影响，并审查其现有的网络安全措施，以确保遵守该法案。

文件请见：

https://www.elegislation.gov.hk/hk/2024/12/06/supp3/5!en?FUNCTION_ID=EDSS02

声明：本文来自数据信任与治理，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。