2024年6月25日,香港提出了一项新的网络安全法,以加强对指定为关键基础设施的计算机系统的保护。该提议的新法律暂定名为《关键基础设施(计算机系统)保护法案》(“拟议立法”)。政府计划在2024年底前将拟议法案提交立法会。拟议立法一旦通过,预计将分阶段实施,并在2026年完成全面实施。
拟议立法标志着香港在加强关键基础设施保护和整体计算机系统安全方面迈出了重要一步。企业应密切关注与拟议立法相关的发展,并审查现有的网络安全措施。
拟议立法的范围
关键基础设施运营商和关键计算机系统将由新的专员办公室指定,关键基础设施运营商名单将不会公开。
关键基础设施运营商:如果一个组织运营的基础设施被专员办公室认为是关键基础设施,并考虑该组织对基础设施的控制水平,该组织将被指定为关键基础设施运营商。
拟议立法将针对大型组织,而不是中小企业。
拟议立法仅要求关键基础设施运营商对其关键计算机系统的安全负责,不涉及这些系统中包含的个人数据和商业信息。
关键基础设施:政府提议了两大类:
在香港提供基本服务的基础设施,涵盖八个选定的行业,即:(i)能源;(ii)信息技术;(iii)银行和金融服务;(iv)陆路运输;(v)航空运输;(vi)海运;(vii)医疗服务;和(viii)通信和广播;以及
维护重要社会和经济活动的其他基础设施,包括但不限于:(i)主要体育和表演场馆;(ii)研发园区等。
关键计算机系统:如果计算机系统“与提供的基本服务或计算机系统的核心功能相关,并且这些系统如果中断或受损,将严重影响关键基础设施的正常运作”,则该计算机系统将被指定为关键计算机系统。这意味着其他未被指定为关键计算机系统的计算机系统将不受拟议立法的约束。
位于香港境外的关键计算机系统也可能受到拟议立法的监管。
专员办公室将与指定为关键基础设施运营商的组织进行讨论,任何指定为关键基础设施运营商的组织可以反对这种指定并向独立委员会上诉。
关键基础设施运营商的义务
指定为关键基础设施运营商的组织需要履行三种类型的义务:
组织义务包括:
(a)在香港维持地址和办公室(并在任何后续变更时通知专员办公室);
(b)报告关键基础设施的所有权和运营权的变更;以及
(c)设立一个具有专业知识的计算机系统安全管理单位,并由关键基础设施运营商的专职主管监督。
预防义务包括:
(a)通知专员办公室其关键计算机系统的重大变更(例如设计、配置、安全、操作);
(b)制定并实施计算机系统安全管理计划,并将计划提交给专员办公室;
(c)进行计算机系统安全风险评估(至少每年一次)并将评估报告提交给专员办公室;
(d)进行独立的计算机系统安全审计(至少每两年一次)并将审计报告提交给专员办公室;以及
(e)采取措施包括雇用第三方服务提供商确保其关键计算机系统符合相关法定义务。
事件报告和响应义务包括:
(a)参加专员办公室组织的计算机系统安全演习(至少每两年一次);
(b)制定应急响应计划并提交给专员办公室;以及
(c)通知专员办公室关键计算机系统发生的安全事件(强制事件通知)。
强制事件通知义务意味着关键基础设施运营商必须向专员办公室报告计算机系统安全事件,以便专员可以根据需要指示及时响应。计算机系统安全事件是指未经合法授权在计算机系统上或通过计算机系统进行的活动,危害或不利于其计算机系统安全。
强制事件通知的时间框架取决于事件的严重性。
在认识到事件发生后2小时内——报告严重的计算机系统安全事件,这些事件指的是对基本服务的连续性和关键基础设施的正常运行产生或即将产生重大影响的事件,或导致大规模个人信息和其他数据泄露的事件;以及
在认识到事件发生后24小时内——报告其他计算机系统安全事件。
如果初步报告是通过电话或短信进行的,关键基础设施运营商需要在初步报告后48小时内提交书面记录。拟议立法还考虑要求在事件后14天内提交后续书面报告,提供事件的进一步细节(包括原因、影响和补救措施)。
专员办公室及其权力
保安局将下设专员办公室以执行拟议立法。办公室将:
指定关键基础设施运营商和关键计算机系统;
制定行为守则;
监控安全威胁;
协助关键基础设施运营商进行事件响应;
调查关键基础设施运营商的违规行为;
与其他政府部门协调制定政策和处理事件;以及
向关键基础设施运营商发出书面指示以纠正潜在的安全漏洞。
专员办公室将拥有广泛的调查权力,例如调查(i)计算机系统安全事件;以及(ii)拟议立法下的违法行为。具体来说,专员办公室有权要求关键基础设施运营商提供信息(即使这些信息位于香港境外)并采取补救措施,并在获得地方法官的搜查令后进入相关场所进行调查。在更严重的情况下(即关键基础设施运营商不愿或无法响应网络事件),专员办公室可以在获得地方法官的搜查令后连接设备或在关键计算机系统中安装程序。
行业监管机构
鉴于一些关键基础设施已经由法定行业监管机构全面监督,某些行业监管机构将被指定为有权机关,负责监督相关行业组织和预防义务的执行情况。专员办公室将监督事件报告和响应义务的执行。这种路径允许指定的有权机关在其现有监管制度下建立最适合行业需求的标准和要求。相关行业的关键基础设施运营商将不会受到双重监管——他们不需要履行专员办公室在组织和预防义务方面的额外要求。
目前提议了两个行业监管机构,即(i)香港金融管理局负责银行和金融服务行业;以及(ii)通讯管理局负责通信和广播行业。指定的有权机关可以为受监管机构发布相关指南。
目前尚不清楚是否香港的所有金融机构都将被覆盖。然而,香港金融管理局被提议负责监管银行和金融服务行业的“一些”服务提供商。我们还注意到,即将面临监管的关键基础设施运营商大多是大型组织。
法律后果和处罚
拟议立法下的违法行为包括:
关键基础设施运营商未能遵守法定义务;
关键基础设施运营商未能遵守专员办公室发出的书面指示;
未能遵守专员办公室在法定调查权下的要求;以及
未能遵守专员办公室要求提供与关键基础设施相关信息的要求。
拟议立法仅规定了罚款作为潜在处罚。违法行为和处罚仅适用于组织,因此高管或员工不会在个人层面受到处罚。关键基础设施运营商未能遵守上述任何义务将被处以50万港元至500万港元不等的罚款。如果不合规情况持续,还可能每天追加罚款。
如果关键基础设施运营商未能履行法定义务是由于第三方服务提供商的行动不当导致的,关键基础设施运营商仍将对不合规负责。
然而,如果不合规涉及现有的刑事立法,例如作虚假陈述或与欺诈相关的犯罪,相关人员可能会被追究个人刑事责任。
下一步
政府计划在2024年底前将拟议立法提交立法会,并计划在拟议法案通过后的一年内设立专员办公室,之后拟议法案将在六个月内生效。
转载:史密夫斐尔律师事务所微信公众号
声明:版权归原作者所有,转载请注明作者及来源
深圳市蓝海法律查明和商事调解中心对文中观点保持中立
联系电话:0755-82804677
传真:0755-82804651
蓝海涉外法律服务
蓝海中心是全国首个依托大型国别法律信息数据库及专家库提供域外法律查明及其他跨境法律服务的专业化平台机构,是最高人民法院国际商事法庭域外法查明平台的共建单位。目前,与蓝海中心合作的个人专家达到2400多位,查明案例覆盖190余个国家和地区,包括“一带一路”沿线国家、非洲大部分国家、欧洲、北美和拉丁美洲国家和地区。
服务类型
1.域外司法辖区的法律环境调研;
2.域外市场新兴业务合规论证调研;
3.涉外法律文书审阅与法律事务谈判;
4.域外法律专家匹配与案件管理;
5.对涉外争议或东道国审查等事项提供实体法与程序法适用、法律风险等方面的中立评估意见;
6.根据具体项目提供定制化域外法查明、咨询服务。
服务优势
第一,拥有强大的涉外法律服务资源储备
蓝海中心以蓝海专家库及“一带一路”法治地图法规数据库为依托,可快速响应域外法查明与咨询需求。
蓝海中心进行了一系列包括域外劳动法律、数据合规、隐私保护法、知识产权管理、商业秘密保护、贸易法以及外商投资法等涉及中国企业走出去法律风险防范的研究,储备有丰富的涉外法律资源。
第二,具备高素质的骨干队伍,有丰富的涉外法律服务经验
蓝海中心拥有高素质的法律和英语专业业务骨干,包括在法院、仲裁委或律师事务所有丰富工作经验的资深法律实务专家,以及拥有国际机构或域外律所工作经验、可以实现中英文流畅沟通的法律专业人才。
蓝海中心自成立以来,为涉外企业法律部门、涉外律师事务所、仲裁委员会、法院涉外庭提供权威的外国法律查明、涉外法律咨询服务。同时,亦为对外投资个人及企业提供域外投资前期论证、落地配套、合规方案设计、法务定制化培训、律师匹配等服务。
第三,提供定制化服务,服务与收费模式灵活
蓝海中心可根据客户的项目需求、适用场景以及时间节点,提供灵活的服务与收费模式,并尽可能配合客户所需的各项内外部要求,为客户提供高质量定制化服务。
