立法會第九條:數據安全
陳振英議員的提問問題:
本年6月10日,全國人民代表大會常務委員會通過《中華人民共和國數據安全法》(“《安全法》”),自9月1日起施行。就此,政府可否告知本會:
(一) 鑒於《安全法》第二十一條訂明,國家建立數據分類分級保護制度,以及有關部門制定重要數據目錄並對列入目錄的數據進行重點保護,政府有否考慮在港設立類似的數據保護制度;若有,詳情為何;若否,原因為何;
(二) 鑒於《安全法》第二十二條訂明,國家建立集中統一、高效權威的數據安全風險評估、報告、信息共用及監測預警機制,而有關部門加強數據安全風險信息的獲取、分析、研判、預警工作,政府有否考慮在港設立類似的數據安全監測機制;若有,詳情為何;若否,原因為何;及
(三) 鑒於《安全法》第二十三條訂明,國家建立數據安全應急處置機制,以及在發生數據安全事件時主管部門應當採取相應的應急處置措施,政府有否考慮在港設立類似的應急處置機制;若有,詳情為何;若否,原因為何?
創新及科技局局長薛永恒答覆:
經諮詢保安局後,現綜合答覆如下:
政府已制定一套全面的政府資訊保安事故應變機制及相關措施。由保安局訂立的《保安規例》包含規管資訊保安的專章,以保護政府內部資料及資訊系統的安全。當中,《保安規例》就政府資料作出了保密分類的定義,並明確要求政府部門把其管有的資料作出適當保密分類,以及就其分類採取相應措施,確保這些資料在儲存及業務運作過程中得到充分保護。例如限制只有獲授權人士才可接觸保密資料,或接達和使用相關資訊系統及數據、儲存於資訊系統的保密資料必須加密等。基於保安考慮,相關的資訊保密分類及保護措施詳情不適宜公開。
另一方面,政府資訊科技總監辦公室(資科辦)亦在《保安規例》的框架下制訂了一套詳細的《政府資訊科技保安政策及指引》(《政策及指引》),供各部門遵循。《政策及指引》要求各部門明確界定及定期覆檢相關資訊系統及數據的接達權限、對使用的加密方式作出技術要求,以及規定部門必須建立資訊保安管理架構以便有效處理保安事宜等。《政策及指引》亦訂明各部門必須為其資訊系統及數據保安定期作出獨立的保安風險評估和審計,以便強化保安措施。為加強政府對網絡風險的最新態勢和應對能力,資科辦在政府內部推行「網絡風險資訊共享平台」,利用大數據分析技術收集和分析不同來源的網絡和數據安全威脅資訊,進行整理及評估,以適時向部門發布網絡和數據威脅預警。
根據《政策及指引》的規定,各部門已成立資訊保安事故應變小組以處理其資訊保安事故。《保安規例》及《政策及指引》均參照國際標準制訂,並會不時檢討和更新,以應對最新的保安威脅。政府各部門亦必須嚴格遵循《保安規例》及《政策及指引》,以確保政府資料及資訊系統安全。資科辦會定期為各部門進行遵行審計,確保其資訊系統切實遵循相關保安規定。
資科辦亦成立了政府內部的電腦保安事故協調中心,協助和協調各部門處理電腦緊急應變及事故的工作。此外,資科辦每年亦舉辦「跨部門網絡安全演習」,以加強政府部門防禦和應對網絡安全事故的能力。
面對不同行業的重要基礎設施所受到的保安風險,警務處成立了重要基礎設施保安協調中心,透過公私營機構合作、風險管理、現場保安檢查、推廣復原計劃及保安設計,加強這些基礎設施的自我保護及自我復原能力。在網絡安全方面,警方的網絡安全及科技罪案調查科轄下的網絡安全中心會適時進行網絡威脅的審計及分析,以防止及偵查針對重要基礎設施所作的網絡攻擊,從而為該等設施提供支援。重要基礎設施保安協調中心和網絡安全中心24小時運作,為本港的重要基礎設施提供適切的支援。
與此同時,政府十分重視與國家和國際在網絡安全的合作和資訊分享。資科辦與國家互聯網信息辦公室網絡安全協調局在2016年達成合作共識,加強協調,促進內地與香港在網絡安全方面的交流和合作。資科辦同時與國家互聯網應急中心合作,通過國家信息安全漏洞共享平台,適時獲取相關的網絡安全漏洞信息及安排預防措施。在國際層面上,資科辦與全球主要電腦保安事故應變組織及電腦保安事故協調中心保持緊密聯繫,以便迅速掌握網絡安全信息,適時防範網絡攻擊。
政府會定期檢討政府現行的資訊保安事故應變及處理的安排,並建議改善措施,以不斷更新及加強政府對處理資訊保安和事故的應變能力。