簡介

香港於2025年3月19日通過了《保護關鍵基礎設施（電腦系統）條例草案》（「該條例」），旨在提高香港應對網絡威脅的能力及保護關鍵基礎設施（「關鍵基礎設施」）。該條例就網絡安全建立了監管框架，要求關鍵基礎設施營運者（「關鍵基礎設施營運者」）採取有力的措施，以保護其電腦系統及確保持續提供必要服務。因此，企業及機構應了解該條例的影響、合規要求以及對其營運的潛在影響。本文將概述該條例的主要條文。

主要條文

1.     該條例的範圍及對象

只有根據該條例被指定的關鍵基礎設施、關鍵基礎設施營運者及關鍵電腦系統（「關鍵電腦系統」）才會受規管。

關鍵基礎設施：該條例明確指定以下兩類關鍵基礎設施：

a.      在香港下列八個界別持續提供必要服務的基礎設施，而這類設施如服務遭干擾、破壞、或長時間無法使用，會嚴重影響社會日常生活和運作：包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫護服務以及電訊和廣播服務；及

b.      維持關鍵的社會和經濟活動的基礎設施（例如大型體育及表演場地、主要科技園），這類設施一旦遭到破壞、喪失功能或數據洩漏，可能會妨礙或嚴重影響香港重要社會和經濟活動的運作。

關鍵基礎設施營運者：該條例規定，任何機構如根據第12條營運某項關鍵基礎設施，而該基礎設施是規管當局指明的關鍵基礎設施，該機構則可被指定為關鍵基礎設施營運者。規管當局在考慮是否指定或撤銷某機構為關鍵基礎設施營運者時，可顧及：(a) 有關關鍵基礎設施的核心功能對電腦系統的依賴程度；(b) 該機構就該基礎設施所控制的數碼資料的敏感性；(c) 該機構對該基礎設施的運作及管理的控制程度；(d) 任何為遵從要求而就該基礎設施提供的資料；及 (e) 當局認為相關的任何其他事宜。

為防止關鍵基礎設施及關鍵基礎設施營運者成為攻擊目標，規管當局不會透露關鍵基礎設施及關鍵基礎設施營運者的名單。該條例規定，規管部門及有關人士有責任將上述及相關資料保持機密。

關鍵電腦系統：關鍵基礎設施營運者可能設有多個電腦系統，為了令他們可集中資源保護最重要的系統，該條例施加的責任只適用於關鍵基礎設施營運者根據第13條可在香港或從香港接達、並且對關鍵基礎設施的核心功能屬必要的電腦系統。規管當局可考慮下列因素：(a) 就所涉關鍵基礎設施的核心功能而言，該電腦系統在該功能方面擔任的角色；(b) 如該電腦系統受到干擾或損毀，對上述核心功能有何影響；(c) 該電腦系統與關鍵基礎設施營運者的任何其他電腦系統的相關程度；(d) 該電腦系統及關鍵基礎設施營運者的任何其他電腦系統，與任何其他關鍵基礎設施營運者的電腦系統的相關程度；(e) 任何為遵從要求而就該基礎設施提供的資料；及 (f) 當局認為相關的任何其他事宜。

2.     關鍵基礎設施營運者有甚麼責任？

該條例對關鍵基礎設施營運者施加以下三類法定責任，以確保關鍵基礎設施營運者有妥善的管理架構，以實施必要措施保護其關鍵電腦系統，及在電腦系統受到攻擊時能迅速應對和還原受影響的系統。

指定當局包括：

·           香港金融管理局，負責規管銀行及金融服務界別；及

·           通訊事務管理局，負責規管電訊及廣播服務界別。

3.     違反該條例的刑罰為何？

該條例下的罰則僅包括對機構罰款，最高罰款額為港幣50萬至500萬元不等。如屬持續罪行，罪行持續期間的每日額外罰款最高為港幣5萬元至10萬元不等。該條例只會在機構層面施加罰款，不會在個人層面對員工罰款。

4.     該條例會否針對個人資料或敏感資料？

如發生任何涉及個人資料外洩的電腦系統安全事故，關鍵基礎設施營運者或須向專員報告。但政府強調，專員的責任是找出事故發生的原因並堵塞事故的漏洞。個人資料或任何敏感資料（例如商業機密）並非該條例的目標或重點，但關鍵基礎設施營運者仍需考慮向個人資料私隱專員報告事故。此外，專員、指定當局及所有為執行該條例下的職能而受僱或獲委任的人員，均須履行有關保密的法定責任，如未經授權而披露資料，一經定罪，可被判處監禁。

要點

該條例制定了重要的規定，為香港的必要服務加強網絡安全。關鍵基礎設施營運者應盡快了解及遵守新的責任，包括但不限於採取有效的安全措施和及時通報事故。不遵守該條例可能會導致巨額罰款，因此關鍵基礎設施營運者應該時刻了解情況並做好準備，以應對不斷變化的監管環境。如有疑問，最好徵詢法律意見。