前，香港尚未對關鍵基礎設施的網路安全制定任何法定要求。全世界的關鍵基礎設施均面臨網路攻擊的風險，此類攻擊的後果可能極為嚴重。近年來，中國內地、澳大利亞、英國和歐盟相繼出臺相關法律，以保護關鍵基礎設施的電腦系統安全。最近，香港也提交了一份立法提案，法案名稱暫定為《保護關鍵基礎設施(電腦系統)法案》。

規管物件。擬議法案的規管物件為以下兩類關鍵基礎設施的營運者：(1)為香港社會提供必要服務的基礎設施，涵蓋八個領域，包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、以及通訊和廣播；以及(2)其他維持重要的社會和經濟活動的基礎設施，如大型體育及表演場地、科研園區等。擬議法案只規管與關鍵基礎設施的正常運作相關的電腦系統，不論其實際位置，而相關營運者的其他系統則不在該法例規管範圍。

由於政府內部已有一套詳盡的內部資訊科技安全政策和指引，擬議法案將不適用於政府運營的必要服務(如供水、排水和緊急救援)。因此政府部門將繼續遵循現行的行政框架執行這些政策。

執行負責人。擬議法案提議成立一個隸屬保安局的專責辦公室負責執行擬議法案下的工作。

關鍵基礎設施的界定。對關鍵基礎設施的界定將取決於該設施是否在香港提供必要的服務，或者維持重要的社會和經濟活動，是否依賴資訊科技，以及其遭到破壞、功能喪失或資料洩露時對社會造成的影響是否有嚴重。

關鍵基礎設施的指定營運者。專責辦公室將明確指明哪些營運者為“關鍵基礎設施營運者”(CIO)。絕大部分營運者屬於大型機構，但為防止關鍵基礎設施成為網路攻擊的目標，CIO的名單不會公開。

三類義務。CIO必須履行的責任分為三大類：

(1)架構。CIO必須在香港設有地址和辦事處；須報告關鍵基礎設施的擁有權和營運權的變化；設有具備專業知識的電腦系統安全管理部門(可外包)，並由CIO公司的專責主管負責監督。

(2)預防。向專責辦公室報告有關關鍵電腦系統的重大變化，包括對其設計、配置、安全或執行的重大變化等；制定及實施電腦系統保安管理計劃；至少每年進行一次電腦系統保安風險評估；必須至少每兩年一次進行獨立電腦系統保安審計；採取措施確保聘用的第三方服務提供者履行相關法定責任。

(3)事故通報及應對。至少每兩年一次參與電腦系統安全演習；制訂應急計劃；在指定時間內向專責辦公室報告電腦系統保安事故(即未經合法授權在電腦系統上或透過電腦系統進行的破壞或不利於電腦系統安全的活動)：(a)嚴重電腦系統保安事故(如對必要服務的連續性造成重大影響或導致個人資訊大規模外洩的事故)，在得悉事件發生後兩小時內報告；(b)其他電腦系統保安事故，在得悉事件發生後24小時內報告。

個別行業的指定監管機構。部分必要服務行業已受其他法定行業監管機構的全面規管。這些監管機構可負責監管相關行業的CIO履行架構及預防的責任。現階段，擬議法案建議指定(1)香港金融管理局監管銀行和金融服務行業的服務提供者，以及(2)通訊事務管理局監管通訊和廣播行業的服務提供者。但專責辦公室將全面掌握所有CIO的事故通報及應對情況，以便協調應對工作，調查事故，防範事故擴散至其他CIO。

實務守則。專責辦公室將釋出《實務守則》列出相關要求，比如：(1)報告關鍵電腦系統的重大變更；(2)獨立電腦系統保安審計；(3)電腦系統保安風險評估；(4)電腦系統保安管理計劃，以及(5)事故應對義務。

未來路向。政府計劃在2024年年底將擬議法案提交立法會審議。擬議法案通過後一年內將成立專責辦公室並預計在之後六個月內生效。

對營運者的影響。擬議法案將要求CIO獨自負責保障他們的關鍵電腦系統的安全，而政府亦不被准許獲取這些系統中的個人資料或商業資訊。

可能被指定為CIO的機構應評估及提高關鍵電腦系統的網路安全水平，認真研讀法律要求，包括擬議的實務守則，並準備合規預算。此外，與外包承包商的合作對於全面履行即將出臺的法律義務也至關重要。

然而，招聘合格的網路安全專家、監督者以及其他所需人員是一個亟待解決的挑戰，因此CIO及其外包承包商應慎重考慮此問題。

本文刊載於《商法》2024年9月刊。如欲閱讀電子版，歡迎瀏覽《商法》官網。