立法會會議：《保護關鍵基礎設施(電腦系統)條例草案》二讀

根據世界經濟論壇在2025年1月發表的《2025年全球網路安全展望》報告（Global Cybersecurity Outlook 2025），72%的全球受訪機構均認為網絡風險將會增加，而生成式人工智能亦有機會增添網絡犯案的能力。近年來，黑客入侵事件頻繁發生，嚴重影響企業運營，甚至對關鍵基礎設施的正常運作構成威脅。根據2024年網絡安全專家舉行的年會預測，勒索軟件及惡意程式的能力將會顯著提升。報告指出，規管是改善網絡安全的基線，亦能增強社會上各網絡使用者之間的互信。今早亦有外國媒體報導，網絡犯罪分子已採用先進手法及技術，不停攻擊醫療、能源及政府不同的系統。為應對日益嚴峻的威脅，不少地區已將關鍵基礎設施的電腦系統保護提升至國防的層面。基於各國專家的預測，關鍵基礎設施的電腦系統保護確實是刻不容緩。

條例草案下，關鍵設施的營運者需承擔一定的責任，包括預防威脅、安排電腦系統進行安全審查，以及對安全事故作出通報等責任。相比起世界其他地方的相關條例，有關責任及罰則都是類似的，亦不會過分嚴苛。舉例來說，在瑞士剛通過的修訂中，要求通報事故必須在24小時內進行，我們是次的條例草案則是要求通報時限在48小時之內，除非有關的干擾涉及關鍵基礎設施的核心功能。

若條例草案獲得通過，我期望局方必須繼續與各持份者溝通，儘快制定實務守則，亦要確保關鍵基礎設施的擁有人有充足時間為條例下各項責任做好準備，以免對於企業造成不必要的合規負擔。

條例的有效執行，除了有賴局方、未來新設立的關鍵基礎設施（電腦系統安全）專員及其他的團體的共同努力外，亦需要業界的積極支持。我理解網絡安全專家及專業技術人員對基礎設施的網絡安全至為重要，期望政府必須確保有足夠的相關人才進入整個生態圈，為條例的落實提供堅實的人才保障。

網絡安全問題日新月異，條例只是一個法律框架，有效的保護有賴於多方協作及香港在科技領域上的高度提升，從而建立一個有韌性的關鍵基礎設施的系統。希望政府當局能對條例及實務守則進行持續檢視，不斷與國際社會及各持份者保持緊密溝通，達到多方共贏的局面，在保障香港市民的安全之餘，亦能為金融商業界創造一個更加穩定和可靠的營運環境。