据彭博社报道,包括亚马逊、谷歌及Meta在内的亚洲互联网联盟(AIC)警告,《加强保护关键基础设施电脑系统安全建议立法框架》可能会授予香港政府对其电脑系统的异常存取权限,认为立法将给予当局过于广泛的权力,或会威胁到服务供应商的诚信,并动摇市场对香港数码经济的信心。
香港美国商会以及香港总商会已就拟议的立法框架提交意见书。
此前,国际人权组织ARTICLE 19表示《保障关键基础设施条例草案》很可能被滥用来进一步限制言论表达自由和隐私权。
Bloomberg ARTICLE 19
香港美国商会以及香港总商会已就拟议的立法框架提交意见书。
此前,国际人权组织ARTICLE 19表示《保障关键基础设施条例草案》很可能被滥用来进一步限制言论表达自由和隐私权。
ARTICLE 19对该草案的分析及关注事项:
「关键基础设施」之下的信息科技之定义太宽泛
该草案包含两大类关键基础设施,其中第一类涵盖「在香港提供必要服务」,当中包括了「资讯科技」。 这是一项宽泛模糊的分类,企业将难以确定他们是否要遵守法案中的严格规定,也可能为流行的信息平台公司或网络交换站等单位被视为关键基础设施营运者、从而受到更严格的调查。 这违反了法律可预测性原则,也可能会被国家滥用借此对批判政府的企业施加额外的合规成本。
ARTICLE 19认为,香港当局应当明确规定属于信息科技部门的具体范畴。 内容传递平台应被明确排除在外,因为这些平台若遵循相关规定可能会导致巨大的商业成本,甚至可能迫使它们退出市场。 这就可能剥夺用户行使言论表达自由的网络平台。
同时,第二类关键基础设施则是「其他维持重要的社会和经济活动的基础设施」,举例说明包括了表演场地和研究机构。 香港的学术和研究自由本已岌岌可危,这项立法可能会进一步对相关实体施加繁重的合规成本并限制其研究。 此外,对于关键信息营运者的标准并不明确。 ARTICLE 19主张第二类应全部删除,因为它过于模糊,并赋予了当局过大的自由裁量权。
与隐私权监管机构的潜在冲突
模糊的措辞也可能引发与香港隐私监管机构(即个人资料私隐专员公署)的潜在冲突。 尽管背景说明文件排除了个人资料规管,但该草案以信息泄漏作为纳管关键基础设施营运者的依据之一,这导致个人资料泄漏仍可能会被纳入该草案之规管范畴。 然而,负责掌管该立法的部门是从国家安全或公共秩序的角度出发,并没有通知个人资料泄漏受害者的程序。 该立法应明确规定,由个人资料私隐专员公署负责处理和救济个人资料泄漏的案件。
政府关联机构的全面豁免
该草案对被指定为关键基础设施营运者的政府机构提供了全面豁免。 政府机构营运的关键基础设施同样脆弱,因此让它们豁免于更加严格的监管似乎违背了旨在保护香港关键基础设施的立法目的。 在豁免政府单位的同时,却让私营单位面对更强力的调查权和合规要求,这进一步显示政府可能会利用这项立法来箝制私部门单位(例如已被要求遵守审查或监控命令的网络中介服务者)的权利,而不会追究政府行为者的真正违法行为责任。 该草案中的政府机构豁免应予以取消。
过度的资讯揭露要求
该草案要求关键基础设施营运者向主管机关揭露过多的信息。 这着实令人感到忧虑,除了导致不必要的监控外,储存非必要的大量信息实际上可能会提高网络安全风险,成为潜在攻击者的目标。 尤其,若分享电脑系统的设计、配置和安全操作,可能等同于揭露商业机密。 这种强制披露的规定应该予以取消。
调查权过大
根据该草案,保安局将成立专责办公室。 该办公室有权在怀疑犯罪行为发生时,无需搜查令即可要求运营者提供任何相关资料。 草案没有清楚说明何谓相关资料,这是一个异常广泛的范围。 在没有任何指引或豁免的情况下,这项权力可能被用来强制揭露商业机密或个人资料。 专责办公室还可以要求提供敏感信息,包括加密资料和密码。 除了侵犯隐私权和授权政府进行监控外,如果这些数据缺乏有效保护,还可能进一步成为网络攻击者的目标。
该立法必须明确规定,专责办公室有权索取什么「资料」。 除非有法官的搜查令,否则个人资料或商业机密理应被豁免。 考虑到香港目前缺乏独立司法的现况,即便有搜查令也可能不足以保护权益。 该立法还应规定安全储存措施,防止对于任何由其保管的资料所进行的无理侵入或干扰,并应修订上诉程序。
不当委任行政机关制定附属法例
根据该立法提案,包括ARTICLE 19所提出的关注事项在内的核心问题,已交由保安局局长制订的附属法例来处理。 由于这导致附属法例不需要经由立法机构同意,且可能完全不涉及与其他相关方的咨询。 我们认为,主要立法应该清楚规定哪些基本服务可以被指定为关键基础设施; 保安局局长办公室可以要求哪些信息; 以及包括对计算机系统的重大变更在内,需向保安局局长办公室报告的信息。
「关键基础设施」之下的信息科技之定义太宽泛
该草案包含两大类关键基础设施,其中第一类涵盖「在香港提供必要服务」,当中包括了「资讯科技」。 这是一项宽泛模糊的分类,企业将难以确定他们是否要遵守法案中的严格规定,也可能为流行的信息平台公司或网络交换站等单位被视为关键基础设施营运者、从而受到更严格的调查。 这违反了法律可预测性原则,也可能会被国家滥用借此对批判政府的企业施加额外的合规成本。
ARTICLE 19认为,香港当局应当明确规定属于信息科技部门的具体范畴。 内容传递平台应被明确排除在外,因为这些平台若遵循相关规定可能会导致巨大的商业成本,甚至可能迫使它们退出市场。 这就可能剥夺用户行使言论表达自由的网络平台。
同时,第二类关键基础设施则是「其他维持重要的社会和经济活动的基础设施」,举例说明包括了表演场地和研究机构。 香港的学术和研究自由本已岌岌可危,这项立法可能会进一步对相关实体施加繁重的合规成本并限制其研究。 此外,对于关键信息营运者的标准并不明确。 ARTICLE 19主张第二类应全部删除,因为它过于模糊,并赋予了当局过大的自由裁量权。
与隐私权监管机构的潜在冲突
模糊的措辞也可能引发与香港隐私监管机构(即个人资料私隐专员公署)的潜在冲突。 尽管背景说明文件排除了个人资料规管,但该草案以信息泄漏作为纳管关键基础设施营运者的依据之一,这导致个人资料泄漏仍可能会被纳入该草案之规管范畴。 然而,负责掌管该立法的部门是从国家安全或公共秩序的角度出发,并没有通知个人资料泄漏受害者的程序。 该立法应明确规定,由个人资料私隐专员公署负责处理和救济个人资料泄漏的案件。
政府关联机构的全面豁免
该草案对被指定为关键基础设施营运者的政府机构提供了全面豁免。 政府机构营运的关键基础设施同样脆弱,因此让它们豁免于更加严格的监管似乎违背了旨在保护香港关键基础设施的立法目的。 在豁免政府单位的同时,却让私营单位面对更强力的调查权和合规要求,这进一步显示政府可能会利用这项立法来箝制私部门单位(例如已被要求遵守审查或监控命令的网络中介服务者)的权利,而不会追究政府行为者的真正违法行为责任。 该草案中的政府机构豁免应予以取消。
过度的资讯揭露要求
该草案要求关键基础设施营运者向主管机关揭露过多的信息。 这着实令人感到忧虑,除了导致不必要的监控外,储存非必要的大量信息实际上可能会提高网络安全风险,成为潜在攻击者的目标。 尤其,若分享电脑系统的设计、配置和安全操作,可能等同于揭露商业机密。 这种强制披露的规定应该予以取消。
调查权过大
根据该草案,保安局将成立专责办公室。 该办公室有权在怀疑犯罪行为发生时,无需搜查令即可要求运营者提供任何相关资料。 草案没有清楚说明何谓相关资料,这是一个异常广泛的范围。 在没有任何指引或豁免的情况下,这项权力可能被用来强制揭露商业机密或个人资料。 专责办公室还可以要求提供敏感信息,包括加密资料和密码。 除了侵犯隐私权和授权政府进行监控外,如果这些数据缺乏有效保护,还可能进一步成为网络攻击者的目标。
该立法必须明确规定,专责办公室有权索取什么「资料」。 除非有法官的搜查令,否则个人资料或商业机密理应被豁免。 考虑到香港目前缺乏独立司法的现况,即便有搜查令也可能不足以保护权益。 该立法还应规定安全储存措施,防止对于任何由其保管的资料所进行的无理侵入或干扰,并应修订上诉程序。
不当委任行政机关制定附属法例
根据该立法提案,包括ARTICLE 19所提出的关注事项在内的核心问题,已交由保安局局长制订的附属法例来处理。 由于这导致附属法例不需要经由立法机构同意,且可能完全不涉及与其他相关方的咨询。 我们认为,主要立法应该清楚规定哪些基本服务可以被指定为关键基础设施; 保安局局长办公室可以要求哪些信息; 以及包括对计算机系统的重大变更在内,需向保安局局长办公室报告的信息。
Bloomberg ARTICLE 19
