lego logo
資訊保安
2013-06-26

以下為保安局局長黎棟國今日(六月二十六日)在立法會會議上就莫乃光議員的提問的答覆:

問題:

據報,美國國家安全局自二○○九年起入侵多個內地及香港電腦網絡的主幹。有香港市民表示,鑑於他們曾使用該等電腦網絡的服務,他們擔心其通訊資料或已被美國政府取得。關於香港的資訊保安,政府可否告知本會:

(一)  有否評估,香港政府內部是否擁有足夠的專業技術或能力,偵測到外國(例如美國)的政府及機構試圖入侵香港的政府或私人電腦系統的活動;若評估結果為是, 詳情為何;若評估結果為否,有關當局會否就本港的資訊保安水平進行檢討;鑑於有大量香港市民使用伺服器設於美國的互聯網服務(例如社交網站),有關當局會 否跟進美國政府有否取得該等用戶的資料;

(二) 政府部門過往曾否要求本地或外地的互聯網服務供應商准許其直接從它們的伺服器、系統或網 絡提取資料,以及曾否自行或與本港以外(例如美國)的政府及機構合作,取得香港市民在互聯網上的資訊(例如照片、音訊、視訊、電郵、語音、檔案、登入帳號 等);若有,原因及詳情為何;若否,政府能否保證日後不會以任何形式收集該等資料;及

(三) 鑑於有市民指出,現時《截取通訊及監察條 例》從未作出修訂,而且漏洞處處(例如公共安全的定義太闊、對違規截取通訊的公職人員沒有罰則等),令人對個人私隱感到憂慮,政府就修訂此條例訂定的時間 表為何;若沒有時間表,原因為何;政府有否評估,現行法例是否足以監管非政府組織或個人的竊取通訊行為(例如商業間諜行為等);若評估結果為否,政府有否 計劃修訂現行法例或訂立新法例予以規管;若有,詳情為何;若否,原因為何?

答覆:

主席:

議員的問題關注到幾方面,包括政府部門在資訊保安方面的專業技術和能力、打擊科技罪行的能力,以及會否就非公職人員進行的截取通訊行為進行規管等。以上的關注涉及保安局、商務及經濟發展局和政制及內地事務局的政策範疇,以下是我們的綜合回覆:

(一) 政府十分重視資訊系統及數據的安全,在政府內部和私人電腦系統保安以及打擊科技罪行採取不同的措施。

政府資訊科技總監辦公室已實施下列措施去維護政府的網絡安全和抵禦網絡入侵和攻擊:

(i) 各局及部門已參照國際標準和業界的良好作業模式,制定及推行部門的資訊保安政策,嚴格執行系統保安管理的程序,並定期進行保安風險評估和第三方審查,持續改進其保安管理系統和設施。

(ii)  政府的中央互聯網系統,採用業界先進資訊保安技術,及執行嚴謹的保安管制、監察和偵測程序及措施,以確保系統正常運作,嚴防網絡攻擊及入侵。政府資訊科 技總監辦公室亦定期進行系統事故應變及復修演習,以確保有關系統及工作人員能有效處理包括網絡攻擊等保安及服務事故的即時應變。一旦偵測到試圖入侵行為, 該辦公室會立刻進行調查,以及採取行動去抵禦攻擊。

(iii) 政府重視持續加悤其專業人員的知識和技能,以便有效執行他們的工作。目前,在各局及部門工作的相關專業人員已取得國際認可的資訊安全專業證書(例如國際資訊系統保安認證協會的資訊系辏安全師專業認證及國際電腦稽核協會的電腦稽核師專業認證)。

(iv) 政府資訊科技總監辦公室積極參與國際組織,包括亞太經合組織、國際標準組織,以及全球保安事故協調中心組織,以掌握有關國際資訊保安的消息和防禦方案的最新趨勢及最佳作業模式。

至於私人電腦系統保安方面,政府資訊科技總監辦公室積極與業界及持份者合作,向工商界及市民宣傳並推廣保護電腦系統及網絡安全的重要性,提高公眾對保護 電腦系統和資訊的認知和知識。透過香港電腦保安事故協調中心為本地互聯網社群提供電腦保安事故相關的服務,包括回應電腦保安事故及利用不同渠道,包括網 站、電郵及手機應用程式等,發布最新的資訊保安消息及警報,提高公眾的互聯網保安意識。

在打擊科技罪行方面,警務處具備達國際水平的專業的技術和能力。

為進一步加強本港對各種網絡威脅的防禦能力,警務處於二○一二年十二月成立了「網絡安全中心」。「網絡安全中心」的主要工作是針對重要基礎設施的資訊系 統網絡保安,加強警隊和相關持份者的溝通和協調工作及進行專題研究和網絡安全審定,以預防及更有效應付可能發生的攻擊事故。我們相信「網絡安全中心」的工 作能夠提高本港對網絡攻擊事故的應變和防禦能力。

和社會大眾一樣,我們十分關注有關本地的電腦系統被入侵的廣泛報道。就有報道指香港有電腦系統被美國政府機構入侵,特區政府已向美方致函正式要求解釋,並會繼續積極跟進任何香港機構或者個人的權利被侵犯的事件。

(二) 政府部門並沒有要求本地或外地的互聯網服務供應商准許其直接從它們的伺服器、系統或網絡提取資料。各政府部門在執行職務時,如須要求相關人士或機構(包括互聯網服務供應商)提供資料或作出配合,會按照相關的法例、既定的程序或守則進行。

(三) 是項質詢是關注到本地資訊保安及電腦系統被海外黑客入侵的問題,以及保障個人私隱及監管非政府組織或個人的截取通訊行為。

香港目前主要用於打擊黑客非法入侵電腦系統的法例有《刑事罪行條例》(第200章)第161條(有犯罪或不誠實意圖使用電腦)及《電訊條例》(第106章)第27A條(藉電訊而在未獲授權下使用電腦)。

《截取通訊及監察條例》和這項質詢的關注的事宜並沒有關係。該《條例》的目的和指定範圍,是規管香港的執法機關進行合法的截取通訊,以防止及偵測嚴重罪 行和保障公共安全。《條例》就複雜而精密的機制作出嚴謹的規定,執法機關按照嚴謹的程序和規定填寫文件,向小組法官提交申請和依據所批出的授權進行。《條 例》並不適用於非公職人員。

如有非公職人員所進行截取通訊,有關行為可能干犯《電訊條例》第24條(就電訊人員故意截取訊息)、或第27條(任何人蓄意損壞電訊裝置)。若有關行為涉及蒐集個人資料,則受《個人資料(私隱)條例》規管。

就監管非政府組織或個人的截取通訊行為,特區政府相關政策局會考慮是否需要在現行法律基礎上進一步加悤保障,同時要顧及其他政策考慮,包括維護新聞自由等。

Office Of Hon. Charles Mok, Legislative Councillor (IT)