根據法案,網絡安全局在調查網安威脅和事故時,有權獲取關鍵信息基礎設施的網安信息。通訊及新聞部長雅國博士在二讀闡述法案要旨時指出,“政府迫切需要更積極與關鍵信息基礎設施擁有者一起抵禦網絡襲擊”。
政府將加強應對網絡安全威脅的力度,授權網絡安全總監調查網絡安全威脅和事故,及采取應對嚴重和迫切網安威脅的必要措施。通訊及新聞部聲明,這些權限不會侵犯個人隱私。
國會昨天(2月5日)三讀通過網絡安全法案,加強我國11個關鍵信息基礎設施應對網絡襲擊的能力,授權網絡安全局預防和應對網安事故,及制定網絡安全服務提供者的管制框架。
根據法案,網絡安全局在調查網絡安全威脅和事故時,有權獲取關鍵信息基礎設施的網安信息。通訊及新聞部長雅國博士在二讀闡述法案要旨時指出,“政府迫切需要更積極與關鍵信息基礎設施擁有者一起抵禦網絡襲擊”。
雅國也說,原有的濫用電腦和網絡安全法令(Computer Misuse and Cybersecurity Act)只應對未經授權使用電腦資料等網絡犯罪,但沒有例常和主動保護關鍵信息基礎設施的管制框架,因此必須授權讓網安局對網絡安全威脅展開調查,以減緩網絡襲擊造成的沖擊。
法案列明11個關鍵信息基礎設施領域,包括能源、水資源、銀行與金融、醫療保健、海陸空交通、資訊通信、媒體、安全與緊急服務和政府。當局是在咨詢各領域監管單位和潛在的關鍵信息基礎設施擁有者後,決定這些關鍵領域。
法案要求關鍵信息基礎設施擁有者遵從相應義務,確保他們各自所屬基礎設施的網絡安全。這些條例包括及時通報網絡安全事故,及進行網絡安全審查和風險評估。
如果違例,這些擁有者最多可被判罰10萬元,判監兩年,或兩者兼施。但雅國強調,只要擁有者履行應遵循的義務,就不會因網絡遭入侵而被提控。
新設的網絡安全總監一職,將由網絡安全局局長擔任。網安總監除了有權偵查影響關鍵信息基礎設施的網安事故,也能對非關鍵信息基礎設施的網安事故展開調查,並要求相關人士提供必要的信息。
網安總監也能授權查案人員采取必要措施,調查和預訪嚴重網安威脅,如要求電腦擁有者掃描電腦中的網絡安全脆弱性。
如有必要,網安總監也能沒收電腦和相關器材,以進行檢查和分析,無須征求物主同意。
19名參與辯論的議員中,超過三分之一對網絡安全總監是否應有如此寬泛的權限表示關注。政府國會通訊及新聞委員會主席、蔡厝港集選區議員紮吉哈說:“國人關注的是,當局在調查過程中,可能須要獲取關鍵信息基礎設施內的數據,這可能會侵犯個人隱私。”
雅國:用意不在侵犯隱私
西海岸集選區議員鄭德源也指出,部分人士擔心網安總監調查權力過大,會阻滯創新和科技行業的發展。
雅國在總結辯論時重申,網安總監的權限經過精細劃定,並且根據個別威脅或事故的嚴重性而受限。
他說,法案下制定的措施主要是爲了應對技術、操作和程序上的需求,“意不在侵犯隱私”。法案下索取的資料“主要爲技術性質而不是個人性質”,如網絡記錄、入侵指標,及系統事件和審查記錄。
法案設有信息保護條例,限定網安局獲取的信息只能用于鑒定一個電腦系統是否屬于關鍵信息基礎設施,與之相關的技術信息,以及網安查案過程中獲取的其他信息。網安總監和相關查案人員也必須保密。
網絡安全法令不設起訴網絡罪犯的條文。法令生效後,濫用電腦和網絡安全法令更名爲濫用電腦法令,調查網絡犯罪和起訴網絡罪犯的權限屬這個法令所有,並由內政部和警察部隊執行。網絡安全法令在網絡安全局管轄下,查案權力僅限評估網絡安全威脅和事故的影響,及避免更多事故發生。
網絡安全法令也會與其他現有法令並行實施,比如網絡安全事故中,電信法令和個人資料保護法令的條文將分別監管電信服務中斷和個人資料泄露事宜。