图：全球范围内针对关键基础设施的网络攻击日益频繁，影响越来越严重，香港推动网络安全生态圈及产业发展确有迫切性。

　　现今世界，关键基础设施（Critical Infrastructure）对于维持社会正常运作与国家安全至关重要。香港作为国际创科中心、全球金融中心、世界领先智慧城市，拥有海量高价值数据。也因此，香港为保障关键基础设施立法刻不容缓。

　　特区政府近日宣布建议制定《保障关键基础设施（电脑系统）条例草案》。过去数年，也有不少国家，如美国、德国、澳洲、新加坡等通过立法保护关键基础设施和电脑数据。国家也于2021年9月实施《关键信息基础设施安全保护条例》。

　　关键基础设施是指，对经济、公共健康和国家安全至关重要的系统和网络。香港的条例草案涵盖能源、资讯科技、银行和金融服务、陆上交通、航空交通、海运、医疗保健，以及通讯和广播等界别。

　　云服务需求料大增

　　随着技术进步，基础设施越来越依赖互联网和电脑系统，这也增加其受到网络攻击的风险。全球范围内针对关键基础设施的网络攻击日益频繁，影响越来越严重。2022年，澳洲医疗保险公司和电信公司分别遭到黑客攻击，导致大量个人资料洩露。2021年，美国燃油运输管道遭网络攻击，造成供应中断，并引发全国恐慌性抢购。上述事件凸显了全球网络安全的重要性，提醒各国政府和企业必须不断加强防护措施，提升网络安全意识，以应对日益复杂和多样化的网络威胁。

　　鉴于难以成功检控攻击者，不少国家的立法针对关键基础设施的营运者，若未能妥善处理预防和维护程序，将对其进行处罚。香港的立法建议也不例外，主要内容包括三个方面：

　　架构方面，关键基础设施营运者（营运者）须在香港设有地址和办事处并报告变更，通报基础设施拥有权和营运权变更，设立专业的电脑系统安全管理部门（自设或外判），由专责主管监管并跟进专责办公室指示。

　　预防方面，营运者须报告关键电脑系统的重大变化，制定并提交电脑系统安全管理计划，每年进行并报告保安风险评估，每两年进行并报告独立保安审计，确保第三方系统符合法定要求，不影响保安。

　　事故通报及应对方面，营运者需每两年参与专责办公室举行的电脑系统安全演习，制定并提交应急计划，并在指定时间内报告关键电脑系统保安事故：严重事故在2小时内，其他事故在24小时内报告。

　　特区政府将设立专责办公室，由保安局及特首委任专员领导，专责监督条例的实施，不合规者将面临50万至500万元的罚款。

　　虽然不少大型机构已经满足或超越这些要求，但中小型机构可能在网络安全管理能力和资源上有所不足，需要进行技术升级，增强员工的网络安全意识和技能，制定更严格的安全措施。笔者亦预计，基础设施条例将对云服务的使用提出更高要求，公有云未必合乎要求；预料营运者将转向更安全的私有云或混合云服务，以符合新的安全标准，但同时也为业界带来商机。

　　基础设施条例并不针对一般市民，而是规管营运者，确保他们采取适当措施保护电脑系统安全，从而减少网络攻击风险。虽然条例适用于机构，但若违规行为涉及触犯刑事法例，涉事人员可能需负上个人刑事责任。

　　运营数据在地储存

　　在笔者看来，条例草案仍有不少需要厘清的地方，希望特区政府与各界集思广益。例如，是否需要规定营运者的负责人必须是香港公民，以确保他们充分理解并遵守本地法律和安全要求；同时，加强对关键基础设施的本地控制，减少外部干扰和潜在的安全风险。

　　又如，设立专责的安全管理部门是可行的，但需要明确部门职责和资源配置。专责部门需要具备高效管理能力和技术专业知识，以确保网络安全措施的有效实施。特区政府应设立透明的监督机制和问责制度，确保所有行动和决策都在合理范围内，满足市民期望。部门负责人亦需要对最新的网络安全威胁和技术有深刻理解，能够制定和实施有效的安全策略。

　　再如，营运者需确保外判的第三方服务提供者也要符合相关安全要求，包括安全审查和管理。对于境外服务提供商，特区政府应考虑如何执法，确保其符合香港网络安全标准，包括数据存储、访问控制和事件报告等方面的要求。对于内地服务提供者，特区政府可通过与内地有关部门协调，确保服务提供商在香港的营运符合安全标准，保障用户数据安全和隐私。

　　不过，像WhatsApp此类市民日常使用的境外通讯平台，特区政府须考虑是否要求其在香港设立本地数据中心，遵守香港的数据保护法规，并制定方法要求境外通讯平台定期向香港当局报告安全状况和事件，确保其服务的安全性和稳定性。

　　条例会否对涉及关键基础设施的收购合并设立更严格的审查程序，确保安全标准不会因业务变更而降低？此举可能会影响企业收购合并的速度和成本，但有助于保护关键基础设施的安全。此外，营运者需实施更严格的数据保护措施，确保敏感数据在处理和存储过程中的安全性。

　　我们也可以从营运者的角度，来看待营运者适应条例的过程及面临的挑战。电力公司需要确保发电厂和配电网络的网络安全，以符合新规要求。他们有可能要投入大量资源进行技术升级和安全措施的实施，并进行风险评估和安全演习，确保能源供应的稳定性和安全性。电力公司还需要培训员工，提高他们的网络安全意识和应对能力。

　　金融产品交易市场需要提升其数据中心和交易系统的安全防护，确保交易系统的稳定运行和数据保护。营运者需加密数据、限制访问权限、定期安全审查，并提升员工的网络安全技能，制定详细的应急计划以应对安全事件。

　　医院系统需加强医疗记录系统的保护，以防止病人数据被窃取。营运者需采取先进技术手段保护数据，并确保医疗工作人员了解并遵守新安全规范。这包括提升系统安全性、进行风险评估及制定应急计划，确保满足条例要求。

　　应对网络风险挑战

　　特区政府推动关键基础设施立法，对维持社会正常运作和保障国家安全至关重要。加强网络安全措施、提升风险管理能力和改进事故应对流程，将提高香港整体的网络安全水平。各界持份者应积极参与立法过程，同时为适应条例做好准备。

　　特区政府宜聆听各界声音，监察不断变化的网络安全形势，在条例中留有可调整的空间，使其具备灵活性和活力。对于来自海外和内地的服务提供商，特区政府应制定明确要求，确保其在香港的营运符合本地网络安全标准，保护公众利益和国家安全。

　　此外，香港应加快更新《个人资料（私隐）条例》，并制定与《中华人民共和国网络安全法》和《中华人民共和国数据安全法》相匹配的相关法例。透过这种全面保护措施，香港将能更加有效应对未来网络安全挑战，确保关键基础设施的安全性和稳定性。

《保障关键基础设施（电脑系统）条例草案》要旨

　　●保障维持香港社会必需服务攸关或重要的社会和经济活动的关键基础设施。\&

　　●规管关键基础设施营运者，即大机构，不影响中小企及一般市民。\&

　　●营运者需承担保护其“关键电脑系统”的责任，不涉及系统内个人资料和业务内容。\&

　　●绝不影响市民大众使用网络及电脑的自由。\&