Previous Next

政府擬立法保護關鍵基礎設施電腦系統,有關機構不履行法定責任,最高刑罰為罰款500萬元。科技創新界立法會議員邱達根表示,電子支付應考慮包含在規管範圍內。

邱達根表示電子支付應考慮包含在規管範圍內。資料圖片
邱達根表示電子支付應考慮包含在規管範圍內。資料圖片
政府擬立法保護關鍵基礎設施電腦系統。資料圖片
政府擬立法保護關鍵基礎設施電腦系統。資料圖片
電子支付已成為日常生活一部分。資料圖片
電子支付已成為日常生活一部分。資料圖片
方保僑表示支持立法。資料圖片
方保僑表示支持立法。資料圖片
政府擬立法保護關鍵基礎設施電腦系統。鄧炳強facebook圖片
政府擬立法保護關鍵基礎設施電腦系統。鄧炳強facebook圖片

2小時內通報做法合理

對於關鍵基礎設施的定義是否清晰,邱達根今早(27日)在電台節目表示,相信如醫院、公共交通及銀行等大機構,若電腦系統停頓或受攻擊會對社會、經濟及民生有較大影響及損失,立法規管範圍應該涉及較大的公共機構。至於範圍有多大,稍後在立法會再討論8個界別具體涵蓋哪些機構,據其理解對一般中小企應該不會有影響。

他又稱,相對而言銀行一般在網絡安全及數據保護上,已做了很多這方面工作,金管局都有相關金融業指引。但其他機構如通訊,海事、海運及航空等機構,就可能需要再定下規則,清楚定下邊界哪些需要做或不需做,如有否經常找第三方進行測試系統等。

被問及電子支付需否涵蓋在內,邱達根指,電子支付已成為生活中一部分,他個人認為應考慮包含在內。至於海運,或通訊業亦關連到很多的使用者,但本身規模並非龐大,或只屬中型機構,但亦會牽涉到民生使用者時,政府或者可以提供資助或技術協助等。

法例政府建議若出現嚴重電腦系統保安事故,例如對關鍵基礎設施的正常功能造成重大影響,或導致個人資料等數據大量外洩,要在得悉事件發生後2小時內,向專責辦公室通報,或在得悉其他電腦系統保安事故發生後24小時內通報等。邱達根認為,做法合理,認同要盡快通報,尤其涉及大型基礎設施,他舉例內地類似法例亦有相同要求,甚至要求在1小時內通報,而美國亦有直接通報機制。

方保僑關注通報過程透明度及實際運作情況

香港資訊科技商會榮譽會長方保僑在同一節目表示,支持立法。但他更關注,若立法後這些機構用什麼手法處理,通報過程的透明度及實際運作情況等。

方保僑表示關注哪些機構會納入範圍,而這些公司是否有能力去配合。他認為立法原則上無問題,但機構在執行時,有可能為配合法例「做多了」,反而侵犯了市民私隱,所以設施的負責人在執行法例時,要很小心,以免為合符法例而凌駕了其他法例或侵犯了個人私隱。

在預防事故方面,政府建議要求營運者至少每年一次進行電腦系統保安風險評估;至少每兩年一次參與電腦系統安全演習,並須制定應急計劃。方保僑認為,這要求機構應不難達到,只是成本問題,正如保安審計及檢查,如驗身般驗得越密當然越好,至少每年做一次保安風險評估,每兩年做一次核實是最基本要求。

相關新聞:政府提出保障關鍵基礎設施立法 機構營運者須制定安全計劃 違者最高罰款500萬