主席:
首先,多謝各位議員在剛才的二讀辯論中,給了很多寶貴意見和支持《保護關鍵基礎設施(電腦系統)條例草案》(《條例草案》)。
立法目的
關鍵基礎設施是維持社會正常運作和市民日常生活的必需設施。《條例草案》的目的是向被指定為「關鍵基礎設施營運者」的機構,訂立法定要求,確保他們採取適當措施保護自己的電腦系統,減低網絡攻擊導致必要服務受影響或被破壞的機會,從而維持香港社會正常運作和市民正常生活,幫助香港整體電腦系統安全提升。《條例草案》建議成立一個隸屬保安局的專責辦公室,負責執行新法例。
諮詢及立法會工作
就今次的立法建議,我們早於二○二三年已開始第一階段的諮詢工作,舉辦了超過15場諮詢會,聽取不同持份者的意見,包括可能被指定為「關鍵基礎設施營運者」的機構、電腦系統安全服務供應商、商會和專業組織。去年七月,我們諮詢了立法會保安事務委員會,同時展開第二階段為期一個月的諮詢,立法建議獲得廣泛支持。我們在去年十月將諮詢結果向立法會保安事務委員會匯報。
在正式向立法會提交《條例草案》前,我們亦為包括海外與本港的主要商會和業界持份者舉行簡介會,向他們簡介諮詢報告。在法案委員會審議期間,除了和議員在會上的深入討論外,我們團隊亦同時展開第三階段的業界諮詢,與可能被指定為「關鍵基礎設施營運者」的機構進一步交流,開始討論《實務守則》的框架。整體而言,我們樂見持份者和社會對立法反應正面,大家都支持和認同有需要立法。
自從我們在去年十二月十一日將《條例草案》於立法會首讀以來,法案委員會於今年一至二月期間舉行了四次會議,用了近17小時審議《條例草案》,從政策原意、業界意見、法律草擬等多角度展開深入討論,並提出了多項有建設性的建議,並且在二月二十一日向內務委員會報告,表示支持恢復《條例草案》的二讀辯論。在此,我特別要衷心感謝法案委員會主席簡慧敏議員和委員會各位委員的支持,亦要感謝立法會秘書處和法律顧問的努力和辛勞,讓《條例草案》的審議工作得以高效、順利進行。我亦感謝不同團體和人士向法案委員會提交書面意見。如果稍後《條例草案》的二讀獲各位議員通過,我將會提出31項修正案,這些修正案吸納了法案委員會的寶貴意見,目的是完善條例草擬,提升條文的清晰度。詳情會在全體委員會階段再作詳細說明。
立法原則
我想藉此機會,再次重申《條例草案》的立法原則。正如我們在法案委員會的討論中多次說明,施加法定責任的目的,是保障對關鍵基礎設施核心功能至關重要的電腦系統安全,絕非針對個人資料或商業秘密。規管當局在執行條例時,若要向營運者及相關機構索取資料,必須合理行使《條例草案》中索取資料的權力,同時符合相關條文所訂明的條件及程序,並且只可以索取符合相關條文目的的資料。另外,《條例草案》下有條文嚴格規管所有在條例下有職能的人,在執行條例過程中所得悉的事宜必須保密。
此外,受規管的「關鍵基礎設施營運者」都是對香港持續提供必要服務,或維持關鍵的社會和經濟活動屬必要的,大部分是大型機構,中小型企業和一般市民不受規管及不受影響。
我想再次強調,《條例草案》並無域外效力。規管當局不可以在香港境外執行相關條文。但在現今科技下,網絡資訊無國界,事實上不少位處香港的機構亦經常使用位於香港以外的伺服器儲存資料或支援「關鍵基礎設施」的核心功能。換言之,一個處於海外的系統,如果營運者能夠由香港境內接達、而又對它的核心功能有必要的,可以受《條例草案》規管,但並不等於條例具有域外效力。對位處香港的關鍵基礎設施營運者作出規管和施加責任,完全符合「屬地原則」。
《條例草案》的主要建議
《條例草案》訂明,只有被指定為「關鍵基礎設施營運者」及他們被指定為「關鍵電腦系統」的電腦系統才會受規管。《條例草案》採取「機構為本」的方式,即以負責營運每個關鍵基礎設施的機構為一個單位,必須履行保障其自己的電腦系統安全的責任。營運者被正式指定後,需要符合《條例草案》下的三大類法定責任,即第一類架構責任、第二類預防責任和第三類事故通報及應對責任。
為執行條例下的工作,我們將會成立一個隸屬保安局的專責辦公室,與條例下的兩個指定當局一起監管不同「關鍵基礎設施營運者」遵從責任的情況。現階段,我們建議指定金融管理局負責監管銀行和金融服務相關的營運者遵行第一及第二類責任,而通訊事務管理局則負責監管通訊和廣播相關的營運者遵行第一及第二類責任。
條例生效後,專責辦公室和指定當局會按「關鍵基礎設施」的定義,確定不同界別的相關設施是否對香港持續提供必要服務或維持關鍵的社會和經濟活動屬必要,然後深入了解可能被指定為營運者的機構的業務運作,並了解他們賴以提供服務的電腦系統,以確定符合條例的相關定義與否,才會決定是否指定該機構為營運者及決定指定哪些電腦系統為「關鍵電腦系統」。
《實務守則》
為了協助營運者符合法例要求,規管當局將會發出《實務守則》,列出在法例要求基礎上的建議標準,包括電腦系統安全管理單位主管的專業資格;需要報告的「重大變化」的例子;安全管理計劃、風險評估和審查的內容和標準;職員培訓;如何判斷是否有事故發生等。《實務守則》並非法例,可以更靈活適時參照最新科技及國際標準作更新。規管當局亦會和不同界別的營運者溝通,有需要時在《實務守則》加入針對特定界別的指引。
在剛才的辯論中,有議員提議政府考慮指定其他法定行業監管機構為「指定當局」,負責監察和監管受其規管的營運者履行第一類責任和第二類責任的情況。我們已經向法案委員會解釋,在決定某界別的監管機構會否被指明為「指定當局」時,會考慮一系列因素,包括:
第一,該監管機構現時的主要職能、規管對象(包括潛在的營運者數量)、監管權力和範疇;
第二,該監管機構現時有否向其規管對象發出與電腦系統安全有關的指引,以及該等指引的內容;及
第三,指明該監管機構為「指定當局」,整體而言能否更有效達致條例的目的。
我們已充分考慮上述因素,在《條例草案》中指明金融管理專員和通訊事務管理局為「指定當局」,現階段不會考慮指明其他法定行業監管機構。政府會不時檢視「指定當局」名單。如有需要,我們將來可透過附屬法例修訂《條例草案》附表2,指明適當的法定行業監管機構成為「指定當局」。
另外,剛才亦有議員提到,是否可以考慮加入新的必要服務的界別,例如高等教育。我們會適時審視相關情況,亦會在有需要時,可透過附屬法例修訂附表必要服務的界別。
就議員關注如何確保營運者聘用的第三方服務提供者遵從各項規定,以及如果營運者因為服務提供者位處海外,而因與其他地方有法例上的衝突而不能遵守《條例草案》的要求,應該如何處理。
聘用第三方服務協助機構日常運作非常普遍,但我們必須要強調,即使外判工作,亦不能外判責任。就算聘用了第三方服務提供者,營運者仍然需要負起履行條例下的相關法定責任,例如通過合約條款確保即使聘用了第三方服務提供者,他們本身受條例規管的方面仍能達到合規要求。這樣跟跨國大機構必須確保他們在所有經營服務的地方合規的做法一致。
規管當局會在《實務守則》提供指引和合約範本,列明第三方服務提供者的責任和角色,供營運者在聘用該等服務提供者時參考,協助營運者在聘用第三方時依然能夠依法履行法定責任。
至於剛才有議員提到,網絡服務供應商白名單的問題。《實務守則》會就選擇第三方服務提供者時需要考慮的因素提供指引,在此階段我們暫不會考慮設立白名單。但當日後我們累積足夠經驗,或很多不同公司累積了經驗的話,我們會再作檢視。
有議員提議,若「關鍵基礎設施」遭受攻擊,賦權政府接管「關鍵基礎設施」的營運。我在此重申,本《條例草案》的政策目的,是透過向「關鍵基礎設施營運者」施加責任,保障「關鍵基礎設施」的電腦系統安全。發生事故時,專員會要求營運者作出適當應對事故的措施,有需要時更可以介入協助復原。但是,《條例草案》並不涵蓋任何在發生事故時接管整個「關鍵基礎設施」營運的權力,這亦並非我們的政策目的。
就議員對資訊科技人才短缺方面的關注,粗略估算,現時大專院校與資訊科技相關的各類型課程每年畢業生人數約有三千多人。政府將繼續致力推動香港電腦系統安全行業的發展和人才培訓,包括透過「優秀人才入境計劃」吸引更多內地和世界各地人才來港,及鼓勵大專院校在資訊科技相關學科提供更多資訊保安的相關課程。
結語
主席,《條例草案》通過後,我們的目標是在二○二六年一月一日將條例正式生效,同時成立專責辦公室。專責辦公室會繼續和持份者保持密切聯繫,因應不同關鍵基礎設施界別內可能被指定為營運者的機構情況,期望在其後半年內,即約二○二六年年中,開始逐步分階段指定「關鍵基礎設施營運者」及其「關鍵電腦系統」。
主席,我動議恢復二讀,希望議員支持《保護關鍵基礎設施(電腦系統)條例草案》,並通過二讀《條例草案》以及我稍後動議的修正案,以保障香港關鍵基礎設施的電腦系統安全。
我謹此陳辭,多謝主席。
