当地此次立法并非针对个人资料或商业秘密,也没有域外效力,中国香港特区政府不可在境外执行相关条文,符合属地原则
文|《财经》特派香港记者 焦建
编辑 | 苏琦
随着各界的智能化及网络化加速,提升关键基础设施网络安全备受关注。3月19日,为提升当地营商环境及国际金融中心地位,中国香港特区就此迈出关键性一步。当日,旨在全面提升和加强整体电脑系统安全的《保护关键基础设施(电脑系统)条例草案》(下称《条例》)在香港立法会三读通过。为减低必要服务因网络攻击被扰乱或破坏的可能,《条例》将规管此类基础设施的营运者(方)。所谓关键基础设施,当地语境中目前主要包括两类:第一类是能源、交通、资讯科技、医疗、银行等提供必要服务;第二类则是维持关键社会和经济活动的基础设施,例如主要体育场地、表演场地、科技园区等。在全球范围内,针对此类设施立法进行保护属于普遍现象。例如中国内地、中国澳门特别行政区、欧盟、新加坡、英国和美国等地均已订立类似法例。前述《条例》预计于2026年1月1日正式生效。据香港特区政府保安局局长邓炳强透露:香港特区政府将同时成立专责办公室。期望此条例生效后半年内,即2026年中开始逐步分阶段指定关键基础设施营运者及其关键电脑系统。对于这些关键设施的营运方来说,前述条例生效将意味着其要遵守三类法定责任,包括设立计算机系统安全管理部门;定期进行风险评估、审核和演练;当有计算机系统安全事故发生时,营运者须在指定时间内向政府报告。此次条例出台,被普遍认为与当地近年来曾经出现过的一系列案例相关。例如在2023年8月,当地数码港曾遭黑客入侵盗取400GB资料。据香港个人资料私隐专员公署于2024年发表的调查报告显示:该事件有13632人受影响。该公署还指出其一系列不足,包括无为远程存取资料启用多重认证功能、不必要地保留个人资料等。2024年12月,前述《条例》于香港立法会首读。法案委员会于今年1至2月期间举行了四次会议审议相关内容。在此次立法过程中,各界主要关心数个核心问题。其一,《条例》所涉及的领域及规范的对象;其二,则是对相关资料的获取情况。针对这一系列相关问题,部分在港外资也较为关注。这源于网络信息无国界,不少位于中国香港特区的机构亦经常使用位于香港以外的服务器储存资料以支持其相关核心功能。3月19日,邓炳强于立法会进行相关发言时指出:保障关键基础设施及核心功能至关重要,条例绝非针对个人资料或商业秘密。大部分中小型企业和一般市民都不会受到条例影响,也没有域外效力,特区政府不可在香港境外执行相关条文。为提升当地营商环境及国际金融中心地位,中国香港特区就保护关键基础设施立法。当地金融界人士则指出:希望相关要求清晰,不会为金融机构增加额外压力。摄/焦建
“规管当局要向营运者及相关机构索取资料时,必须合理行使法例权力,只可以索取符合相关目的之资料。”邓炳强在同一场合强调,“一个处于海外的系统,如果营运者能够由香港境内接达、而又对它的核心功能有必要的,可以受《条例》规管,但并不等于条例具有域外效力。对位处香港的关键基础设施营运者作出规管和施加责任,完全符合‘属地原则’。”所谓属地原则,即以地域为标准,凡是在该地域内犯罪,无论是否本地人,皆适用此条例。在此次立法语境下,有当地法律界人士认为:如相关系统位处海外、营运者能由香港境内接达,则会受条例规管。在此基础上,保安局在进行相关回复时也补充说明:《条例》将清楚列出索取资料时考虑因素,绝非不受限制。在涉及海外关键计算机系统方面,法例生效后会按需要发出指引,让相关机构更清楚理解过程。此外,前述专责办公室在成立后也会向公众提供条例执行情况的最新信息,确保透明度。在涉及金融领域方面,当地金融界的议员陈振英则指出:业界担心无论发生任何大小事故,都要向专员及金管局双线汇报,通报工作较以往繁重和负责,希望事故汇报的工作要求能与金管局的要求大致相近,不会为金融机构增加额外压力。当地亦有立法会议员透露:咨询过程时各方反映出的相关意见已体现在条例中。在具体实行过程中,为尽量保留弹性,可能会通过《实务守则》等方式处理。
责编 | 张生婷
题图 | 焦建/摄
