當地此次立法並非針對個人資料或商業秘密,也沒有域外效力,中國香港特區政府不可在境外執行相關條文,符合屬地原則
文|《財經》特派香港記者 焦建
編輯 | 蘇琦
隨著各界的智慧化及網路化加速,提升關鍵基礎設施網路安全備受關注。3月19日,為提升當地營商環境及國際金融中心地位,中國香港特區就此邁出關鍵性一步。
當日,旨在全面提升和加強整體電腦系統安全的《保護關鍵基礎設施(電腦系統)條例草案》(下稱《條例》)在香港立法會三讀透過。為減低必要服務因網路攻擊被擾亂或破壞的可能,《條例》將規管此類基礎設施的營運者(方)。
所謂關鍵基礎設施,當地語境中目前主要包括兩類:第一類是能源、交通、資訊科技、醫療、銀行等提供必要服務;第二類則是維持關鍵社會和經濟活動的基礎設施,例如主要體育場地、表演場地、科技園區等。
在全球範圍內,針對此類設施立法進行保護屬於普遍現象。例如中國內地、中國澳門特別行政區、歐盟、新加坡、英國和美國等地均已訂立類似法例。
前述《條例》預計於2026年1月1日正式生效。據香港特區政府保安局局長鄧炳強透露:香港特區政府將同時成立專責辦公室。期望此條例生效後半年內,即2026年中開始逐步分階段指定關鍵基礎設施營運者及其關鍵電腦系統。
對於這些關鍵設施的營運方來說,前述條例生效將意味著其要遵守三類法定責任,包括設立計算機系統安全管理部門;定期進行風險評估、稽核和演練;當有計算機系統安全事故發生時,營運者須在指定時間內向政府報告。
此次條例出臺,被普遍認為與當地近年來曾經出現過的一系列案例相關。例如在2023年8月,當地數碼港曾遭駭客入侵盜取400GB資料。據香港個人資料私隱專員公署於2024年發表的調查報告顯示:該事件有13632人受影響。該公署還指出其一系列不足,包括無為遠端存取資料啟用多重認證功能、不必要地保留個人資料等。
2024年12月,前述《條例》於香港立法會首讀。法案委員會於今年1至2月期間舉行了四次會議審議相關內容。在此次立法過程中,各界主要關心數個核心問題。其一,《條例》所涉及的領域及規範的物件;其二,則是對相關資料的獲取情況。
針對這一系列相關問題,部分在港外資也較為關注。這源於網路資訊無國界,不少位於中國香港特區的機構亦經常使用位於香港以外的伺服器儲存資料以支援其相關核心功能。
3月19日,鄧炳強於立法會進行相關發言時指出:保障關鍵基礎設施及核心功能至關重要,條例絕非針對個人資料或商業秘密。大部分中小型企業和一般市民都不會受到條例影響,也沒有域外效力,特區政府不可在香港境外執行相關條文。
為提升當地營商環境及國際金融中心地位,中國香港特區就保護關鍵基礎設施立法。當地金融界人士則指出:希望相關要求清晰,不會為金融機構增加額外壓力。攝/焦建
“規管當局要向營運者及相關機構索取資料時,必須合理行使法例權力,只可以索取符合相關目的之資料。”鄧炳強在同一場合強調,“一個處於海外的系統,如果營運者能夠由香港境內接達、而又對它的核心功能有必要的,可以受《條例》規管,但並不等於條例具有域外效力。對位處香港的關鍵基礎設施營運者作出規管和施加責任,完全符合‘屬地原則’。”
所謂屬地原則,即以地域為標準,凡是在該地域內犯罪,無論是否本地人,皆適用此條例。在此次立法語境下,有當地法律界人士認為:如相關係統位處海外、營運者能由香港境內接達,則會受條例規管。
在此基礎上,保安局在進行相關回復時也補充說明:《條例》將清楚列出索取資料時考慮因素,絕非不受限制。在涉及海外關鍵計算機系統方面,法例生效後會按需要發出指引,讓相關機構更清楚理解過程。此外,前述專責辦公室在成立後也會向公眾提供條例執行情況的最新資訊,確保透明度。
在涉及金融領域方面,當地金融界的議員陳振英則指出:業界擔心無論發生任何大小事故,都要向專員及金管局雙線彙報,通報工作較以往繁重和負責,希望事故彙報的工作要求能與金管局的要求大致相近,不會為金融機構增加額外壓力。
當地亦有立法會議員透露:諮詢過程時各方反映出的相關意見已體現在條例中。在具體實行過程中,為儘量保留彈性,可能會透過《實務守則》等方式處理。
責編 | 張生婷
題圖 | 焦建/攝