香港政府于2024年12月6日公布《保护关键基础设施(电脑系统)条例草案》(下称《条例草案》),这是香港在提升基本服务及重大社会和经济活动相关的网络安全标准方面迈出的重要一步。
《条例草案》旨在保护关键基础设施中关键电脑系统的安全,规范关键基础设施营运者的法定责任,并为电脑系统安全威胁及事件的调查与应对提供法律框架。
香港行政长官将新委任一名电脑系统安全管理专员,该专员将与各行业指定监管机构共同担任监管主体。监管主体除可发布行业操作规范之外,还可向关键基础设施营运者发出合规指示,要求其采取或避免采取特定行为,以履行相关责任。
法定责任
根据《条例草案》,关键基础设施营运者法定责任可概括如下:
架构责任包括:
- 在香港有持续的办公场所,如变更通讯地址须及时向监管主体通报;
- 向监管主体通报关键基础设施营运机构的变更;
- 通过内部自建或外包的方式,建立并维持关键电脑系统安全管理单位,并向监管主体报备监督人员的任命及变更。
预防责任包括:
- 依照草案第22条,就特定电脑系统的重大变更通知监管主体;
- 在被指定为关键基础设施营运者后叁个月内,向监管主体提交关键电脑系统安全管理计划并贯彻落实;
- 每年开展关键电脑系统安全风险评估并提交报告;
- 由独立审计机构进行关键电脑系统安全审计(两年一次)并提交报告。
事故通报及应对责任包括:
- 根据专员书面通知的要求参与其组织的关键电脑系统安全演习;
- 在被指定为关键基础设施营运者后叁个月内,向专员提交关键电脑系统安全事件应急响应计划并贯彻落实。根据《条例草案》附表六的规定,关键基础设施营运者在知悉任何关键电脑系统安全事件后,应依照指定形式及方式,及时向专员提交书面记录及/或报告。若事件影响或可能影响关键基础设施核心功能,须于知悉后12小时内提交书面记录及/或报告;其他情形则须于知悉后48小时内报告。
关键机制
《条例草案》针对多种类型的监管决定(如关键基础设施营运者或关键电脑系统的指定、合规指示的发布等)设置了申诉程序。申诉委员会的决定具有终局效力,但《条例草案》未明确排除通过司法复核对申诉委员会或监管主体的决定提出异议。
专员可豁免关键基础设施营运者履行前述任一责任,但需审查以下两项条件:营运者是否已实施或正在实施能实现履行该责任同等效果的行为;是否已承担与该责任在实质上对应的替代责任。
若因不可抗力导致未能遵从监管主体的合规指示或未能履行前述法定责任,被告方可通过证明其已采取一切合理预防措施且已尽一切应尽义务以避免违法行为,主张“尽职抗辩”。举证责任由被告方承担。此外,特定罪行下可申请“合理辩解”抗辩。
后续立法议程
《条例草案》已于2024年12月11日提交立法会进行首读,二读辩论已延期。目前法案委员会已成立,并于2025年1月7日召开首次会议。潜在的关键基础设施营运者及服务供应商应密切关注进一步发展。鉴于涉及重大公众利益,按照惯例,法案委员会将在未来两至叁周内公开征询意见。
《条例草案》下的法定责任及刑罚严苛,违者可判处30万港元(约合38,500美元)到500万港元罚款,个别罪行亦会就持续违法行为处以额外每日罚款,潜在的关键基础设施营运者和服务提供商应密切关注进一步发展,并开展相应的准备工作,如评估被指定为关键基础设施营运者的可能性、现有网络安全框架及组织架构的合规就绪度,以及风险配置和缓解的合同条款。
《商法摘要》由贝克·麦坚时国际律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:吴昊(上海)丑辞飞补谤诲.飞耻蔼产补办别谤尘肠办别苍锄颈别.肠辞尘
