*原文发表于经济旺报
见报日期:2024年5月24日
作者:许佳龙 香港科大艾礼文家族商学教授,资讯、商业统计及营运学系讲座教授
自去年8月数码港遭黑客入侵后,同年9月消委会的电脑系统亦为黑客成功入侵。其后,香港邮政、公司注册处、机电署,以至今月6日消防处其中一个电脑系统的部分个人资料亦遭外泄,短短九个月间,发生6宗个人资料外泄事故,无疑向社会发出网络安全出现显著风险的强烈信号。
目前,网络罪行不断增加,但迄今香港仍未有单一条法例特定处理电脑网络罪行,不同的罪行在《刑事罪行条例》(第200章)及《电讯条例》(第106章)中订立,但部分已不合时宜。
记得法律改革委员会于2019年成立“电脑网络罪行小组委员会”,就电脑网络罪行展开研究,并在2022年7月发表《依赖一电脑网络的罪行及司法管辖权事宜》咨询文件(简称《咨询文件》),建议就5项依赖电脑网络的罪行,包括:
(1)非法取览程式或数据;
(2)非法截取电脑数据;
(3)非法干扰电脑数据;
(4)非法干扰电脑系统;
(5)提供或管有用作犯罪的器材或数据进行立法。文件除提出制定针对电脑网络罪行的特定法例外,也订明相关罪行适用的司法管辖权规则。
有关立法建议是及时也有需要,立法原意也符合全球首个打击网络犯罪国际公约——《布达佩斯公约》(Budapest Convention)的类似精神和原则。
不过,《咨询文件》建议的立法,至今仍未看到具体成果;加上最近一年,公私机构都爆出资料外泄事故,所响起的警号,反映网络立法工作不仅有必要性,而且如今亦有强烈的逼切性。
诚然,网络法律条例中的权利和责任,有必要清楚界定。事实上,法例需要顾及各方持份者的权益,如《咨询文件》提及平衡网民的权利和资讯科技业人士的权益;保障公众在使用和操作电脑系统时免受骚扰或攻击的权益和权利。这一点确实很重要,因为这种平衡协助促进资讯科技的健康和均衡使用,以提高社会效率至为关键。
与此同时,对于在未获授权下取用或取览定为不合法,若法例的明晰性不足,不仅可能令用户取览程式或数据的行为“过于谨慎 ”,担心“无心之失”也会堕入法网,此举对促进信息通讯技术的发展和进步并不见得有利。举例来说,《咨询文件》“建议 2”提出,在未获授权下取览,应否有任何特定的免责辩护或豁免?该免责辩护或豁免应否适用于非保安专业人员?
这两个问题其实牵涉在网络安全领域兴起的一个称为“漏洞赏金计划” (Bug Bounty Programme‧BBP)。简单来说,任何人若找出系统或网站中一个程式的漏洞,便可以拿到赏金。不少网络平台乐意发起“漏洞赏金计划”,向找出平台系统或网站漏洞的网络安全研究人员发放赏金,以完善该平台系统或软件,而BBP往往还徵召公众和个人参与。值得注意的是,若免责辩护或豁免的覆盖范围没有清晰界定,拟议中的立法便可能把网络安全研究人员以至个人参与BBP的行为,被定为非法。
事实上,制订网络保安的政策,以至立法条文中各持份者的权益与归责,是建基于一个“比例原则”(proportionality),即对比各持份者的权益侵损和得益,向侵损最少得益最大的方向作出比例分配。在发展中的经济体,一般会倾向减少对业界发展的朿缚,以激励出更多创新,以取得更丰硕的科技应用,因而法律的条文,多倾向较为宽松,留下发挥的空间。不过,在一个成熟的经济体(例如香港),当已取得经济的成长,数据或电脑系统上的应用,亦已达到可推动经济的发展,到此地步,用户一方的权利和权益,便应该得到相对更大比例的权衡。
因此,当前政府对网络保安的拟议立法,以至今年下半年提交网络安全(关键基础设施)条例草案,订定关键基础设施营运者的网络安全责任,的确是时候。过去,香港对网络保安的条例规管比较宽松;也没有一条单一针对或打击网络罪行法例,从“正面”角度看,有助推动资讯科技行业以至软件应用有更大的发挥空间,但当从“发挥空间”取得效益后,收紧对用户的保护政策和立法,特别是近年人工智能及物联网的急速发展,保护用户的个人资料,规范网络行为和网络运行秩序,时机已告成熟。若个别机构对用户个人资料的保护意识不足,甚至保护措施松弛,导致的经济损失可能会很大。
最近一年,公私机构用户资料外泄事故接连发生,黑客动辄成功入侵,把香港不少机构网络保安力度不足的“普遍性”漏洞,甚或保安“盲点”凸显出来。笔者过去曾经分析资讯科技的保安,往往会出现一个“风险集中点”的纰漏 ,即当很多机构均采用同一个保安方案,只要黑客击破其中一个机构的网络系统,就可以轻易侵入其余机构的网络系统。
据私隐专员署于5月14日公布,早前出现资料外泄的机电工程署、消防处及市区重建局,三宗事故的个人资料,均存放于网上平台ArcGIS Online。公署呼吁曾将个人资料上载到云端平台的用户,无论公私营机构,应定期检视相关平台的登入密码及权限设定是否有效, 确保资讯安全。这件事恰恰印证了笔者过去一项研究观点,即当把资讯保安部分工作外判给服务供应商,虽然此举可以减省了机构的成本,也相信服务供应商有更好的专业有效性,但亦忽略了一个“盲点”,即把保安外判给一个服务供应商或云端平台,又成为另一个 “风险集中点”,只要黑客攻入一个云端平台,所有存放在云端平台的资料用户,也会面临同样资料外泄的巨大风险。
目前,政府必须“双管齐下”,除了检讨最近各部门受到网络入侵事故的根本原因外,加快网络罪行的立法不宜延宕,以保证所有机构在採取资讯保安的动作时,须有充份的意识,有责任去保护不同方向系统的安全应用。当下进行的拟议立法,引入刑事条例,清晰地向黑客表明,入侵行为会受到惩处,而且按照《咨询文件》的建议,若“犯罪元素”在香港发生,即受害人、犯罪者是香港人;目标电脑、程式或数据处于香港;以及犯罪者的作为已可导致对香港的严重损害等,则处于香港以外地方进行入侵行为的黑客,亦会受法例的规管,即香港法庭的刑事司法管豁权得到伸延。
很显然,国与国或地区与地区之间的司法合作,可以有效形成一个更全面的安全保护网,黑客的入侵行为,无论身处何地,在合作国家地区之间都无法逍遥法外。所以,在当前网络犯罪行为不断增加,且人工智能亦以“前所未见”的速度向前发展,特区政府加快立法防治网络罪行,实在刻不容缓!
