立法会日前三读通过《保护关键基础设施（电脑系统）条例草案》（《条例》），保安局局长邓炳强表示，期望《条例》可于明年1月1日生效，届时政府会成立专职办公室，并于同年6月中起逐步分阶段指定关键基础设施及关键电脑系统。

　　《条例》的通过标志着香港在维护网络安全上向前迈出重要一步。全球网络攻击和威胁活动日益严峻，香港作为国际金融、航运、贸易中心和国际航空枢纽，面对的挑战与风险与日俱增。《条例》不但回应了时代变化的需求，更为香港的网络安全筑牢屏障，护航高质量发展，构建更加安全的营商环境，值得高度肯定与支持。

　　确保金融安全至关重要

　　《条例》把两类关键基础设施的电脑系统纳入规管范围，要求关键基础设施营运者建立涵盖风险评估、网络保安措施、安全演习、事故通报等环节的完整防护体系。第一类是提供必要服务所必需的基础设施，包括能源、资讯科技、银行及金融服务、航空运输、陆路运输、海上运输、医护服务、电讯及广播服务等八个界别；第二类是维持香港的关键社会和经济活动的基础设施，例如主要体育场地、表演场地、科技园区等。这些机构的关键基础设施营运者要遵守三大类法定责任，包括设立电脑系统安全部门、报告关键电脑系统的重大变化、制定保安管理计划、至少每两年参与一次保安演习，并需制定应急计划。

　　有国际数据公司估算，2023年全球因网络犯罪所造成的经济损失高达8万亿美元。国际货币基金组织去年发表的报告指出，近五分一的网络攻击的针对目标是金融行业。美国联邦调查局及网络安全和基础设施安全局近日对一款勒索软件发出警告，指出自今年2月起，有关软件已经攻击逾300家关键基础设施机构的电脑系统，除金融业外，医疗、教育、法律、科技制造业等亦成为攻击目标。

　　由此可见，在数字化发展浪潮席卷全球的今天，网络攻击目标已不仅仅限于银行及金融服务，能源、资讯科技、医疗等关键领域亦可能受网络攻击。香港作为高度外向且开放的国际金融中心，银行每日透过网络处理数以万计的本地和跨境支付交易。一旦相关电脑系统受到攻击并丧失功能，轻则令向市民提供的服务中断，重则会严重阻碍经济活动、进而动摇社会稳定。《条例》内容充分结合香港“一国两制”的独特优势，因地制宜地从顶层设计构建网络安全防线。

　　有关部门在草拟《条例》时充分体现了“最小干扰”的原则和尊重“行业自主”。首先，规管对象聚焦于为香港社会提供必要服务或重要的社会和经济活动的关键基础设施营运者，相信香港绝大部分符合上述条件的对象是有相当规模的大机构，避免影响中小企及一般市民。

　　不影响中小企和一般市民

　　针对关键基础设施营运者必须履行的三大类法定责任，《条例》亦采取了分工协作监管的模式。第一类及第二类责任属于架构和预防威胁及事故的责任，第三类责任为关于事故通报及应对的责任。对于金融及通讯这类已经设有法定监管机构的行业，《条例》指明有关机构与关键基础设施（电脑系统安全）专员同为规管当局，并把规管有关行业履行第一类及第二类责任情况的职能交予有关法定监管机构。此举既能发挥行业监管机构的知识优势，避免“外行人管内行人”的情况，又可针对银行、通讯等已受严格规管的领域制定适合的标准，确保与国际水平接轨，亦避免出现重复监管。

　　邓炳强强调，网络攻击将导致必要服务受到影响，《条例》正是为了维持香港社会正常运作，以及市民正常生活，协助香港提升整体电脑系统安全，绝非为了针对个人资料或商业机密。事实上，《条例》展现了特区政府在维护国家安全、保障市民福祉、巩固提升香港国际金融中心地位、推动高质量发展方面的决心。相信商界必将与政府紧密合作，共同制订关键基础设施保障框架，一同构建更安全、可信、高效的营商环境，令香港国际金融中心地位等更加稳固，经济活力更加充沛。

　　立法会议员