香港特區政府計劃立法加強保護關鍵基礎設施電腦系統安全。保安局昨日在政府總部舉行背景簡介會，介紹「加強保護關鍵基礎設施電腦系統安全—建議立法框架」的諮詢報告。報告指出，保安局在諮詢期內共收到53份意見書，52份意見支持立法及草案框架內容或提出正面建議，包括47份來自業界的意見書。根據諮詢意見，保安局作出了多項技術性修訂。保安局發言人表示，預計條例草案將於今年年底交立法會審議，並於條例草案通過一年內成立專責辦公室，於2026年初正式生效，初時會設適應期。●香港文匯報記者 黃子龍

特區政府保安局於7月2日就「加強保護關鍵基礎設施電腦系統安全—建議立法框架」的討論文件，諮詢立法會保安事務委員會，建議立法框架指出，立法目的是保障維持社會正常運作的「關鍵基礎設施」的電腦系統安全。立法內容包括在「架構」、「預防」與「事故通報及應對」三方面，訂明「關鍵基礎設施」營運者的法定責任。

保安局建議立法定義關鍵基礎設施分兩類，第一類是在香港提供必要服務的基礎設施，涵蓋能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健及通訊和廣播共8個界別，第二類是維持重要的社會與經濟活動的基礎設施，例如大型體育或表演場地、科研園區等。

立法建議刑罰以機構為單位

特區政府還將成立專責辦公室，由一名隸屬保安局的專員帶領來自數字政策辦公室和警務處的專家，負責制定《實務守則》、監察針對「關鍵基礎設施」的電腦系統保安威脅、調查電腦系統保安事故等。立法建議刑罰以機構為單位，並按違規的種類處以各級罰款，由50萬元至500萬元不等。

保安局於7月2日至8月1日就建議立法框架展開諮詢。諮詢期間，保安局為業界舉辦了5場諮詢會，透過電郵和郵寄方式共收到53份意見書，其中僅有一個英國註冊的所謂「人權組織」以所謂「保障言論自由」「專責辦公室權限」「指明界別」等為由反對，保安局已即時反駁。

賦權連接系統 參考澳洲與星

保安局發言人昨日在簡介會上先釐清諮詢期間的部分誤解，指條例不具域外效力，要求「關鍵基礎設施」營運者所提交的資料都是在香港設有辦公室的營運者可以取得的，且條例不針對個人資料和商業機密，要求提供資料是要營運者妥善履行保護其「關鍵基礎設施」的責任，並確保遇到事故時能作出有效評估。

就有組織稱，擔心政府可連接電腦系統或安裝程式，會被執法部門獲取資料，發言人強調，條例參考澳洲和新加坡的做法，只會在營運者不願意或未能自行應對事故時，才會考慮向裁判官申請手令，因應必要性、適當性、相稱性及公眾利益，行使在關鍵電腦系統連接設備或安裝程式的權力。

發言人並特別就諮詢對象反映的關於規管對象定義、履行「關鍵基礎設施營運者」責任在實際操作上所遇困難等部分意見作出回應（見表）。例如，有業界人士擔心，難以確保第三方服務提供者遵守協議和符合法規，令營運者負上刑責。發言人強調，即使外判了工作，亦不能外判責任。

條例草案預計將於今年年底交立法會審議，並於通過後成立預備辦公室，條例草案通過一年內成立專責辦公室，有望於2026年初正式生效，並分階段指明營運者。

部分意見、建議及政府回應

規管對象

●持份者建議：在考慮指明「關鍵基礎設施」時一併指明其「關聯系統」，範圍可能太廣。

●政府回應：由於「關聯」一詞可能未必精準反映定義「關鍵電腦系統」的考慮因素，會積極考慮予以刪除。

「關鍵基礎設施營運者」架構責任

●持份者建議：難以就變更關鍵基礎設施「擁有權」經常作出報告。

●政府回應：政府理解相關的實際困難，亦參考了其他司法管轄區的做法，會積極考慮移除有關要求。

「關鍵基礎設施營運者」事故通報和應對責任

●持份者建議：難以在得悉嚴重事故發生的兩小時內（其他事故24小時內）作出通報。

●政府回應：政府理解實際困難，並參考了英國、歐盟及美國的做法，會積極考慮放寬通報嚴重事故的時限至12小時（其他事故48小時）。

罪行及刑罰

●持份者建議：難以確保第三方服務提供者遵守協議和符合法規，令營運者負上刑責。

●政府回應：即使外判了工作，亦不能外判責任。政府會在《實務守則》提供更多完善履行「盡責查證」及「合理努力」的指引，為營運者在聘用第三方服務提供者時訂定及履行合約提供參考。

資料來源：加強保護關鍵基礎設施電腦系統安全—建議立法框架諮詢報告

整理：香港文匯報記者 黃子龍