简介

香港于2025年3月19日通过了《保护关键基础设施（电脑系统）条例草案》（「该条例」），旨在提高香港应对网络威胁的能力及保护关键基础设施（「关键基础设施」）。该条例就网络安全建立了监管框架，要求关键基础设施营运者（「关键基础设施营运者」）采取有力的措施，以保护其电脑系统及确保持续提供必要服务。因此，企业及机构应了解该条例的影响、合规要求以及对其营运的潜在影响。本文将概述该条例的主要条文。

主要条文

1.     该条例的范围及对象

只有根据该条例被指定的关键基础设施、关键基础设施营运者及关键电脑系统（「关键电脑系统」）才会受规管。

关键基础设施：该条例明确指定以下两类关键基础设施：

a.      在香港下列八个界别持续提供必要服务的基础设施，而这类设施如服务遭干扰、破坏、或长时间无法使用，会严重影响社会日常生活和运作：包括能源、资讯科技、银行和金融服务、陆上交通、航空交通、海运、医护服务以及电讯和广播服务；及

b.      维持关键的社会和经济活动的基础设施（例如大型体育及表演场地、主要科技园），这类设施一旦遭到破坏、丧失功能或数据泄漏，可能会妨碍或严重影响香港重要社会和经济活动的运作。 

关键基础设施营运者：该条例规定，任何机构如根据第12条营运某项关键基础设施，而该基础设施是规管当局指明的关键基础设施，该机构则可被指定为关键基础设施营运者。规管当局在考虑是否指定或撤销某机构为关键基础设施营运者时，可顾及：(a) 有关关键基础设施的核心功能对电脑系统的依赖程度；(b) 该机构就该基础设施所控制的数码资料的敏感性；(c) 该机构对该基础设施的运作及管理的控制程度；(d) 任何为遵从要求而就该基础设施提供的资料；及 (e) 当局认为相关的任何其他事宜。

为防止关键基础设施及关键基础设施营运者成为攻击目标，规管当局不会透露关键基础设施及关键基础设施营运者的名单。该条例规定，规管部门及有关人士有责任将上述及相关资料保持机密。

关键电脑系统：关键基础设施营运者可能设有多个电脑系统，为了令他们可集中资源保护最重要的系统，该条例施加的责任只适用于关键基础设施营运者根据第13条可在香港或从香港接达、并且对关键基础设施的核心功能属必要的电脑系统。规管当局可考虑下列因素：(a) 就所涉关键基础设施的核心功能而言，该电脑系统在该功能方面担任的角色；(b) 如该电脑系统受到干扰或损毁，对上述核心功能有何影响；(c) 该电脑系统与关键基础设施营运者的任何其他电脑系统的相关程度；(d) 该电脑系统及关键基础设施营运者的任何其他电脑系统，与任何其他关键基础设施营运者的电脑系统的相关程度；(e) 任何为遵从要求而就该基础设施提供的资料；及 (f) 当局认为相关的任何其他事宜。

2.     关键基础设施营运者有甚么责任？

该条例对关键基础设施营运者施加以下三类法定责任，以确保关键基础设施营运者有妥善的管理架构，以实施必要措施保护其关键电脑系统，及在电脑系统受到攻击时能迅速应对和还原受影响的系统。

指定当局包括：

·           香港金融管理局，负责规管银行及金融服务界别；及

·           通讯事务管理局，负责规管电讯及广播服务界别。

3.     违反该条例的刑罚为何？

该条例下的罚则仅包括对机构罚款，最高罚款额为港币50万至500万元不等。如属持续罪行，罪行持续期间的每日额外罚款最高为港币5万元至10万元不等。该条例只会在机构层面施加罚款，不会在个人层面对员工罚款。

4.     该条例会否针对个人资料或敏感资料？

如发生任何涉及个人资料外泄的电脑系统安全事故，关键基础设施营运者或须向专员报告。但政府强调，专员的责任是找出事故发生的原因并堵塞事故的漏洞。个人资料或任何敏感资料（例如商业机密）并非该条例的目标或重点，但关键基础设施营运者仍需考虑向个人资料私隐专员报告事故。此外，专员、指定当局及所有为执行该条例下的职能而受雇或获委任的人员，均须履行有关保密的法定责任，如未经授权而披露资料，一经定罪，可被判处监禁。

要点

该条例制定了重要的规定，为香港的必要服务加强网络安全。关键基础设施营运者应尽快了解及遵守新的责任，包括但不限于采取有效的安全措施和及时通报事故。不遵守该条例可能会导致巨额罚款，因此关键基础设施营运者应该时刻了解情况并做好准备，以应对不断变化的监管环境。如有疑问，最好征询法律意见。