週一 週二 週三 週四 週五 週六 週日
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

莫乃光《外交家》撰文 質疑「加強保護關鍵基礎設施電腦系統安全」立法貶低私隱專員公署、營運商需與政府分享商業機密

立法會前資訊科技界議員莫乃光早前於美國網路雜誌《外交家》(The Diplomat)撰文,質疑港府早前提出的「加強保護關鍵基礎設施電腦系統安全」立法,包括文件中所謂的「第二類」營運商定義含糊,中小企擔心會否突然需要承擔法律責任;貶低私隱專員公署,同時導致資源重疊; 政府提供的基本服務如供水、稅務等不受新法例規管、置身事外,是雙重標準;營運商需與政府分享商業機密是否安全。

立法會前資訊科技界議員、史丹福大學網絡政策中心研究學者莫乃光以「香港擬議的關鍵基礎設施法案內容是甚麼?」為題,分析香港保安局於本月初向立法會提交「加強保護關鍵基礎設施電腦系統安全 – 建議立法框架」文件。

新法案將規管「持續提供基本服務」和「維持重要社會及經濟活動」的關鍵基礎設施營運商(CIO),要求他們確保對其「關鍵電腦系統」(CCS)安全承擔責任,並建議成立隸屬保安局的「專責辦公室」執行新法案。而CIO則有三個責任:設立專責部門管理其電腦系統的安全,並遵循「專責辦公室」指示;向專責辦公室通報CCS變更或更新;制定和提交突發事故應急計劃,並在指定時間內向專責辦公室報告任何保安事故。

文章指出,法案約束的「第一類」營運商主要涵蓋8個提供必要服務的界別:能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播。值得注意的是,雖然大多數營運商都有明確界定,而且在各自的監管機構下受到監管,但當中的「資訊科技」並不明確。

由於電訊營運商在「通訊和廣播」部門下受通訊管理局監管,其他提供「資訊技術」公司是哪些?文件提到第三方服務供應商不受該法案監管,即一般的IT服務營運者如供應商、數據中心和雲端服務提供商,不屬受法案監管的「資訊技術」公司,那麼哪些是「資訊技術」公司?會是以「.hk」香港域名註冊的公司還是香港互聯網交換中心(Hong Kong Internet Exchange)?

「第二類」營運商定義含糊 企業憂承擔法律責任

文章續指,雖然社交媒體或訊息平台如WhatsApp等,未必會被視為提供基本「資訊技術」服務,但專責辦公室擁有「確定某組織是否應被指定為CIO」、其電腦系統是否應被指定為CCS的惟一權力。但出於「成為恐襲目標」的擔憂,這些CIO的名稱不會被公開。

然而,除了上述提及提供8項必要服務的營運商,文件中的「第二類」營運商則是「其他維持重要的社會和經濟活動的基礎設施」,包括大型體育及表演場地、科研園區等,文章指出該定義廣泛且含糊,可能會讓一些企業,擔心會否突然被要求承擔該法案所列的責任和義務,文章指這樣可能不利於香港一向清晰且明確的營商環境。

貶低現行私隱監管機構

另外,文章指新提出的監管制度有可能跟目前的私隱專員公署部份監管權力重疊,文件在提到關鍵基礎設施事件中時,經常提及「數據泄露」,雖然文件指出立法「絕不會」涉及關鍵電腦系統中的個人數據,但事實是當CIO發生事件並涉及個人數據泄露時,公司明顯會通知新成立的專責辦公室及私隱專員公署。「誰可以調查該事件並發布指示以糾正涉及的電腦系統?看來還是這兩個機構。這種重疊可能會引起混亂和資源浪費」。

過去數十年私隱專員公署未能成功爭取更多的調查和執法權力、強制事件通報以及更高的私隱違規處罰,但現在隸屬保安局的專責辦公室,新成立即能擁有更多調查和執法權力,並可對CIO處以更高罰款。

政府置身事外

新法案不會對政府提供的一些基本服務,如供水、各種註冊、移民管制、稅務、以及各執法機構等,施加相同監管和處罰,政府表示會依賴現行內部行政指引。莫乃光質疑即使有這些已長期存在的指引,政府仍未能避免網絡安全事件。如果嚴格規管「提供基本服務」營運商的邏輯成立,沒有理由政府不適用於相同標準。公眾會質疑為何政府沒有更嚴格監管自己,並面對同等的處罰標準,受監管的私營機構亦會感到不公平對待,甚至是雙重標準。

監管資訊技術 忽略營運技術

新法案完全集中「電腦系統」和「資訊技術」相關的網絡安全風險,卻未有提及營運技術(Operational Technology),文章認為資訊技術主要關注軟件、電腦和數據網絡,而營運技術則更多關注機器和設備等,這些對於能源、交通和製造業等的安全和保障至為重要。但文件並未提及。

營運技術的惡意軟件攻擊針對特定的工業控制系統和機器,這些工業系統與服務業使用的典型資訊技術非常不同,而減輕營運技術風險通常需要不同技能。文章質疑新法案提出的監管方式不是處理各行業使用的技術和系統差異的最佳方式。

與政府分享商業機密

文章指新法案缺乏有關專責辦公室調查權力的細節,例如「權力均有特定的條件、行使權力或作出授權的機關(包括要否先取得裁判官手令)等」含糊不清的條文,文件僅表示局方日後會向立法會詳述這些權力的行使條件和程序。

另一更大的問題則是,專責辦公室收集關鍵電腦系統設計和營運細節的權力,可能涉及這些公司大量商業機密,與政府和某些政府官員分享這些極敏感的技術訊息和商業機密是否安全?這些資訊會否反而成為黑客的目標?為了監管,政府到底需要多少資訊?

相關文章

熱門文章