1. 法案背景與核心目標
香港《關鍵基礎設施(電腦系統)條例》於2025年3月19日通過立法會審議,並將於2026年1月1日正式生效。該法案是香港首部專門針對關鍵基礎設施網絡安全的綜合性法律,旨在應對日益嚴峻的網絡威脅(2024年共報告61起黑客攻擊導致的数据泄露事件)。法案建立了一個全面的監管框架,以加強支持關鍵基礎設施的電腦系統安全,最大限度地減少因網絡攻擊導致的基本服務中斷,並提升電腦系統對不斷演變的網絡威脅的整體韌性。
該立法採用了政府當局與私營關鍵基礎設施運營商之間的合作模式,強調風險管理、事件響應準備和持續合規監控,而非純粹的懲罰性措施。對於運營基本服務領域的組織而言,這項立法代表了一個變革性的監管發展,需要對網絡安全實踐、治理結構和合規流程進行重大調整。
2. 關鍵基礎設施運營商(CIO)的核心定義
2.1 法律定義與分類
根據法案,關鍵基礎設施運營商(CIO) 是指被監管當局指定為運營關鍵基礎設施(CI) 的組織,這些基礎設施對香港的基本服務或社會經濟活動至關重要。關鍵基礎設施分為兩大類別:
- 第1類關鍵基礎設施:對香港八個指定部門持續提供基本服務至關重要的基礎設施:
- 能源
- 資訊科技
- 銀行與金融服務
- 航空運輸
- 陸路運輸
- 海上運輸
- 醫療服務
- 電訊與廣播服務
- 第2類關鍵基礎設施:任何其他基礎設施,其損壞、功能喪失或數據泄露可能阻礙或實質性影響香港關鍵社會或經濟活動的維護。政府提供的例子包括大型體育和表演場館、研發園區和科技園區。
2.2 指定標準與考量因素
監管當局(如關鍵基礎設施專員或部門特定機構如香港金融管理局)根據以下因素指定CIO:
- 關鍵基礎設施核心功能對電腦系統的依賴程度
- 組織控制的數字數據的敏感性
- 組織對基礎設施運營和管理的控制程度
- 監管當局認為相關的其他事項
表:香港法律下的關鍵基礎設施類別
| 類別 | 描述 | 例子 |
|---|---|---|
| 第1類關鍵基礎設施 | 對八個指定部門持續提供基本服務至關重要的基礎設施 | 發電廠、醫院、銀行、機場、電信網絡 |
| 第2類關鍵基礎設施 | 可能實質性影響社會/經濟活動的其他基礎設施 | 大型體育場館、科技園區、研發中心 |
3. 公共機構是否自動被視為CIO?
不,並非所有面向公眾的機構都會自動被視為CIO。政府的考量是基於基礎設施對基本服務或社會/經濟活動的關鍵性。
例如,面向公眾的零售企業或娛樂場所除非運營屬於第1類或第2類關鍵基礎設施的基礎設施(例如被歸類為第2類關鍵基礎設施的大型體育場館),否則不會符合資格。
政府已明確將中小型企業(SME)和一般公共服務等實體排除在CIO範圍之外,除非它們符合上述特定標準。這表明立法採用了針對性和基於風險的方法,而不是廣泛覆蓋所有公共部門組織。
4. 學校與教育機構是否被視為CIO?
一般來說,學校和教育機構不會被廣泛歸類為CIO在當前框架下。
第1類關鍵基礎設施的八個指定部門不包括教育。然而,如果教育機構運營屬於第2類關鍵基礎設施的基礎設施(例如對香港經濟活動至關重要的研究園區或科技中心),則可能被指定為CIO。例如:
- 管理對香港科技行業有重大貢獻的主要研發園區的大學可能被視為第2類CIO。
監管當局會根據具體情況評估指定,考慮基礎設施的角色和影響。
5. CIO的指定流程與關鍵時間表
5.1 漸進式指定過程
法案建立了一個正式的指定流程,監管當局通過該流程識別並通知符合關鍵基礎設施運營商(CIO)資格的組織,並確定其哪些電腦系統構成關鍵電腦系統(CCS)。該過程涉及:
- 關鍵基礎設施運營商(CIO):運營指定關鍵基礎設施的組織。指定考量包括:
- 基礎設施核心功能對電腦系統的依賴程度
- 組織控制的數字數據的敏感性
- 組織對運營和管理的控制程度
- 監管當局認為相關的其他事項
- 關鍵電腦系統(CCS):CIO在香港或從香港訪問的電腦系統,這些系統對關鍵基礎設施的核心功能至關重要。指定考量包括:
- 系統在關鍵基礎設施核心功能方面的角色
- 如果系統被破壞或摧毀對核心功能的影響
- 與其他電腦系統的相互依賴性
- 其他相關事項
5.2 實施時間表與里程碑
- 2025年3月19日:法案通過立法會審議
- 2025年3月28日:條例在憲報刊登
- 2026年1月1日:條例生效
- 2025年6月前:政府開始篩選指定的CIO
- 2026年第一季度:關鍵基礎設施專員公署預計成立
- 2026年中期:CIO和CCS的指定預計分階段開始
政府表示,CIO的指定將逐步分階段進行,考慮風險評估和組織的準備水平。專員公署預計將發布指南,幫助組織理解確定和指定流程。
6. 合規義務與後果
6.1 三類合規義務
法案對指定的關鍵基礎設施運營商規定了嚴格的義務:
- 組織義務(第1類):
- 在香港維持辦事處開展業務(不僅僅用於通信目的)
- 在發生變化後一個月內向相關監管機構報告關鍵基礎設施運營商的任何變化
- 建立和維護專門的電腦系統安全管理單位(內部或外包)
- 預防性義務(第2類):
- 在一個月內通知相關監管機構CCS的任何重大變化
- 在指定後三個月內實施並提交電腦系統安全管理計劃
- 在指定後12個月內進行電腦系統安全風險評估,之後每12個月至少進行一次
- 在指定後24個月內進行電腦系統安全審計,之後每24個月至少進行一次
- 事件報告與響應義務(第3類):
- 在要求時參加專員進行的電腦系統安全演習
- 在指定後三個月內實施並提交應急響應計劃
- 在指定時間內報告電腦系統安全事件:
- 12小時內報告嚴重事件(已破壞、正在破壞或可能破壞關鍵基礎設施核心功能的事件)
- 48小時內報告其他電腦系統安全事件
- 在意識到事件後14天內提交書面報告
表:事件報告時間要求
| 事件類型 | 定義 | 報告時間要求 |
|---|---|---|
| 嚴重事件 | 已破壞、正在破壞或可能破壞關鍵基礎設施核心功能的事件 | 在意識到後12小時內 |
| 其他事件 | 所有其他電腦系統安全事件 | 在意識到後48小時內 |
| 後續報告 | 所有事件的詳細書面報告 | 在意識到後14天內 |
6.2 違規處罰與執法
法案規定了對違反規定的重大經濟處罰:
- 未能提供信息:初犯罰款30萬至500萬港元,持續違規每日追加罰款3萬至10萬港元
- 未能遵守義務:初犯罰款50萬至500萬港元,持續違規每日罰款最高10萬港元,具體取決於違反的義務
法案提供了「盡職盡責」(違規是由於被告無法控制的原因且採取了所有合理預防措施)和「合理理由」(被告有足夠證據提出此問題)的辯護理由。
值得注意的是,法案下的處罰僅在組織層面實施,並非針對高級管理層或員工個人層面。然而,如果違規涉及其他現行刑事立法(如提供虛假信息或欺詐相關活動),個人仍可能面臨刑事責任。
7. 對公共機構與教育機構的實用建議
7.1 公共機構的合規準備
- 評估CIO狀態:評估您的組織是否在八個指定部門運營,或運營對香港社會/經濟活動關鍵的基礎設施。聘請法律專家理解指定標準和潛在義務。
- 進行差距分析:進行全面評估,比較當前網絡安全實踐與法案要求。這應包括技術分析、安全審計和滲透測試以識別缺陷。
- 預算與資源分配:開始為必要的組織變更、網絡安全增強和潛在合規成本編制預算。立法可能需要在網絡安全基礎設施和培訓方面進行重大投資。
7.2 教育機構的特別考量
- 大多數教育機構不受影響:傳統學校和大學如果不運營第2類關鍵基礎設施(如主要研究園區或技術中心),則不需要擔心合規義務。
- 研究機構的潛在合規要求:運營重大研究設施或技術開發中心的大學應評估這些設施是否可能被歸類為第2類關鍵基礎設施。
- 監管監測:即使目前不在範圍內,教育機構也應監測監管發展,因為未來可能會擴展或修改指定標準。
8. 結論:戰略意義與未來展望
《關鍵基礎設施(電腦系統)條例》代表了香港監管環境的關鍵發展,建立了一個全面的框架來保護支持基本服務和經濟活動的電腦系統。對於在關鍵領域運營的組織,主動準備合規不僅是法律義務,更是提供多重效益的戰略當務之急:
- 增強安全態勢:合規要求與網絡安全最佳實踐一致,幫助組織加強對不斷演變的網絡威脅的防禦。
- 聲譽保護:展示強大的網絡安全實踐和對新立法的合規可以增強客戶、合作夥伴和利益相關者的信任。
- 競爭優勢:主動擁抱立法的組織在競標關鍵領域合同或形成合作夥伴關係時可能獲得競爭優勢。
隨著專員公署在2026年開始工作並開始指定關鍵基礎設施運營商,組織應密切關注提供實施細節進一步清晰度的發展指南和行為守則。該立法代表了一個機會,不僅可以符合監管要求,還可以從根本上增強網絡安全韌性,併為香港關鍵基礎設施生態系統的整體安全做出貢獻。
表:建議準備活動與時間表摘要
| 時間框架 | 建議活動 | 關鍵成果 |
|---|---|---|
| 現在 – 2025年第四季度 | 進行差距分析,評估CIO狀態,開始預算編制 | 理解合規狀態,資源分配 |
| 2026年第一季度 – 第二季度 | 建立安全單位,制定所需計劃,實施技術控制 | 文檔準備就緒,初步控制實施 |
| 2026年第三季度起 | 進行首次風險評估,培訓員工,測試事件響應 | 實現全面合規,增強安全態勢 |
對於不確定是否在範圍內的組織,建議諮詢法律專家和網絡安全顧問,以評估其基礎設施是否符合CIO標準,並開始為潛在的合規義務做準備。政府已表示將在指定過程中提供清晰度和指導,組織應利用這些資源確保順利過渡到合規。
如果您需要更深入的技術細節或具體操作指引,也歡迎隨時聯繫我司。