法律热点分析
朱静文
杨杨朱律师事务所
合伙人
目
前,香港尚未对关键基础设施的网络安全制定任何法定要求。全世界的关键基础设施均面临网络攻击的风险,此类攻击的后果可能极为严重。近年来,中国内地、澳大利亚、英国和欧盟相继出台相关法律,以保护关键基础设施的电脑系统安全。最近,香港也提交了一份立法提案,法案名称暂定为《保护关键基础设施(电脑系统)法案》。
规管对象。拟议法案的规管对象为以下两类关键基础设施的营运者:(1)为香港社会提供必要服务的基础设施,涵盖八个领域,包括能源、资讯科技、银行和金融服务、陆上交通、航空交通、海运、医疗保健、以及通讯和广播;以及(2)其他维持重要的社会和经济活动的基础设施,如大型体育及表演场地、科研园区等。拟议法案只规管与关键基础设施的正常运作相关的电脑系统,不论其实际位置,而相关营运者的其他系统则不在该法例规管范围。
由于政府内部已有一套详尽的内部信息技术安全政策和指引,拟议法案将不适用于政府运营的必要服务(如供水、排水和紧急救援)。因此政府部门将继续遵循现行的行政框架执行这些政策。
执行负责人。拟议法案提议成立一个隶属保安局的专责办公室负责执行拟议法案下的工作。
关键基础设施的界定。对关键基础设施的界定将取决于该设施是否在香港提供必要的服务,或者维持重要的社会和经济活动,是否依赖信息技术,以及其遭到破坏、功能丧失或数据泄露时对社会造成的影响是否有严重。
关键基础设施的指定营运者。专责办公室将明确指明哪些营运者为“关键基础设施营运者”(CIO)。绝大部分营运者属于大型机构,但为防止关键基础设施成为网络攻击的目标,CIO的名单不会公开。
三类义务。CIO必须履行的责任分为三大类:
(1)架构。CIO必须在香港设有地址和办事处;须报告关键基础设施的拥有权和营运权的变化;设有具备专业知识的电脑系统安全管理部门(可外包),并由CIO公司的专责主管负责监督。
(2)预防。向专责办公室报告有关关键电脑系统的重大变化,包括对其设计、配置、安全或运行的重大变化等;制定及实施电脑系统保安管理计划;至少每年进行一次电脑系统保安风险评估;必须至少每两年一次进行独立电脑系统保安审计;采取措施确保聘用的第三方服务提供者履行相关法定责任。
(3)事故通报及应对。至少每两年一次参与电脑系统安全演习;制订应急计划;在指定时间内向专责办公室报告电脑系统保安事故(即未经合法授权在电脑系统上或通过电脑系统进行的破坏或不利于电脑系统安全的活动):(a)严重电脑系统保安事故(如对必要服务的连续性造成重大影响或导致个人信息大规模外泄的事故),在得悉事件发生后两小时内报告;(b)其他电脑系统保安事故,在得悉事件发生后24小时内报告。
个别行业的指定监管机构。部分必要服务行业已受其他法定行业监管机构的全面规管。这些监管机构可负责监管相关行业的CIO履行架构及预防的责任。现阶段,拟议法案建议指定(1)香港金融管理局监管银行和金融服务行业的服务提供者,以及(2)通讯事务管理局监管通讯和广播行业的服务提供者。但专责办公室将全面掌握所有CIO的事故通报及应对情况,以便协调应对工作,调查事故,防范事故扩散至其他CIO。
实务守则。专责办公室将发布《实务守则》列出相关要求,比如:(1)报告关键电脑系统的重大变更;(2)独立电脑系统保安审计;(3)电脑系统保安风险评估;(4)电脑系统保安管理计划,以及(5)事故应对义务。
未来路向。政府计划在2024年年底将拟议法案提交立法会审议。拟议法案通过后一年内将成立专责办公室并预计在之后六个月内生效。
对营运者的影响。拟议法案将要求CIO独自负责保障他们的关键电脑系统的安全,而政府亦不被准许获取这些系统中的个人数据或商业信息。
可能被指定为CIO的机构应评估及提高关键电脑系统的网络安全水平,认真研读法律要求,包括拟议的实务守则,并准备合规预算。此外,与外包承包商的合作对于全面履行即将出台的法律义务也至关重要。
然而,招聘合格的网络安全专家、监督者以及其他所需人员是一个亟待解决的挑战,因此CIO及其外包承包商应慎重考虑此问题。
作者 | 杨杨朱律师事务所合伙人朱静文
电邮:rossana.chu@east-concord.com.hk
本文刊载于《商法》2024年9月刊。如欲阅读电子版,欢迎浏览《商法》官网。
往期专栏精选
长按扫码关注我们
为了让您第一时间获取专业法律资源
请常点“在看”
并将“CBLJ 商法”设为星标
阅读原文查看更多杨杨朱律师事务所的相关内容
