業界訪談

    作為本港第一條網絡安全法例,《保護關鍵基礎設施(電腦系統)條例草案》(下稱條例)如箭在弦。在這條例下,關鍵基礎設施營運者到底有何需注意?有何權利和責任?會否誤墮法網?本地解決方案分銷商 Edvance Technology(下稱 edvance)牽頭舉辦「Cybersecurity Lunch & Learn」活動,邀請法律及 IT 界專家齊齊教路,獲半百客戶踴躍支持。

    分享環節由來自 A&O Shearman 律師事務所的執業律師 Anna Gamvros 打響頭炮。Anna 為客戶提供資料保護及網絡安全方面諮詢服務超過 20 年,資歷豐富,她指出條例所針對的是系統的安全而非個人資料,與《個人資料(私隱)條例》不同,對於不少公司的內部團隊來說,條例可算是相當陌生。

    不同意成 CIO 可上訴

    正如早前政府所言,關鍵基礎設施營運者(簡稱 CIO)名單不會公開,Anna 指出相關機構會得悉被「點名」成 CIO,然而,並非旗下所有電腦系統都屬於「關鍵電腦系統」(簡稱 CCS)。新設立的關鍵基礎設施(電腦系統安全)專員及專責辦公室,將考慮該系統在關鍵基礎設施(CI)核心功能方面的作用、核心功能中斷時所帶來的影響,以及營運商對系統的依賴程度等,判斷是否將系統指定為 CCS。

    此外,如果不同意被「點名」成 CIO 或某系統成為 CCS,相關機構亦可向上訴委員會提出上訴,要求進行審核。

    律師 Anna 講解因應條例新成立的專責辦公室所被賦予的權力。

    監管機構可申請手令調查

    根據條例,相關機構的責任將分為三大類:架構、預防、事故報告及回應。Anna 表示鑑於某些行業本身已設有監管機構,例如法例指定通訊及廣播業由通訊事務管理局監管,金融服務業由金管局監管等,因此這類監管機構將負責監督「架構」及「預防」的責任。

    至於新成立的專責辦公室,具有調查權,即使 CIO 不願合作,專責辦公室可要求營運商採取特定的補救措施,甚至在嚴重的事件上向裁判法院申請手令,以進入 CIO 處所調查,連接設備或在關鍵電腦系統上安裝程式。Anna 建議 CIO 可透過與供應商簽訂合約,確保雙方知悉供應商之行動會對 CIO 造成影響;並考慮在合約中賦予 CIO 存取權限,當進行調查時可從供應商手中取得資訊。

    她強調,最重要的一點是條例並無追溯規定,一旦法例開始實施,被「點名」的機構便需在指定期限後開始遵守法規,故她鼓勵客戶應在此時評估自己會否成為 CIO,開始執行條例所要求的網絡安全協定,並檢討是否需要增加相關預算等,為未來網絡安全好好作規劃。

    活動更邀請了領先的網絡安全解決方案供應商,包括 Fortinet、SecurityScorecard、tenable 及 Thales 的 IT 專家,分享他們所提供的解決方案,如何協助客戶應對相關條例。

    活動邀請了四個網絡安全解決方案供應商,向在場人士分享適用於應對條例的產品。

    下半場的專題討論,以「如何能提高本地營運關鍵基礎設施的安全措施之效率」為題,由 edvance 的 Technical Sales Manager 吳家駿任主持人,與 A&O Shearman 律師事務所 Senior Associate Ruby Kwok、獨立顧問 Ricky Cho、港深創新及科技園 Associate Director Franky Lam,共同探討機構在條例實施前需注意的事項。

    (左起)edvance Technical Sales Manager 吳家駿,A&O Shearman 律師事務所 Senior Associate Ruby Kwok,獨立顧問 Ricky Cho,港深創新及科技園 Associate Director Franky Lam。

    Ruby 表示,留意到法案委員會討論時,保安局將會在《實務守則》包括更多細節,例如 CI 有何重大改變時需要上報,電腦系統安全管理計劃內容,以及通過例子說明有關通報網絡事故涵蓋範圍等,相信屆時亦會有指引協助 CIO 如何揀選第三方服務提供商。

    至於曾擔任零售銀行 IT 基礎設施及安全部主管的 Ricky,具備豐富安全合規經驗,他向在場人士分享其最佳實踐方法,包括進行風險評估、安排人手、制定響應計劃(如 Playbook)、定時演練等。Ricky 提醒機構需「know your partner, know your vendor」,對合作伙伴進行評估,確保符合機構的規則及標準,「監管機構唔管 Partner,萬一佢出事,責任係去返 CIO」。而身為 End User 代表的 Franky,認為如機構採用設計及實施新的系統時,無論是應用程式或基礎建設,都必須要「Security by design」,於構建系統時必需要將網絡安全合規性及標準的因素考慮在內。

    作為本港第一條網絡安全法例,《保護關鍵基礎設施(電腦系統)條例草案》(下稱條例)如箭在弦。在這條例下,關鍵基礎設施營運者到底有何需注意?有何權利和責任?會否誤墮法網?本地解決方案分銷商 Edvance Technology(下稱 edvance)牽頭舉辦「Cybersecurity Lunch & Learn」活動,邀請法律及 IT 界專家齊齊教路,獲半百客戶踴躍支持。

    分享環節由來自 A&O Shearman 律師事務所的執業律師 Anna Gamvros 打響頭炮。Anna 為客戶提供資料保護及網絡安全方面諮詢服務超過 20 年,資歷豐富,她指出條例所針對的是系統的安全而非個人資料,與《個人資料(私隱)條例》不同,對於不少公司的內部團隊來說,條例可算是相當陌生。

    不同意成 CIO 可上訴

    正如早前政府所言,關鍵基礎設施營運者(簡稱 CIO)名單不會公開,Anna 指出相關機構會得悉被「點名」成 CIO,然而,並非旗下所有電腦系統都屬於「關鍵電腦系統」(簡稱 CCS)。新設立的關鍵基礎設施(電腦系統安全)專員及專責辦公室,將考慮該系統在關鍵基礎設施(CI)核心功能方面的作用、核心功能中斷時所帶來的影響,以及營運商對系統的依賴程度等,判斷是否將系統指定為 CCS。

    此外,如果不同意被「點名」成 CIO 或某系統成為 CCS,相關機構亦可向上訴委員會提出上訴,要求進行審核。

    律師 Anna 講解因應條例新成立的專責辦公室所被賦予的權力。

    監管機構可申請手令調查

    根據條例,相關機構的責任將分為三大類:架構、預防、事故報告及回應。Anna 表示鑑於某些行業本身已設有監管機構,例如法例指定通訊及廣播業由通訊事務管理局監管,金融服務業由金管局監管等,因此這類監管機構將負責監督「架構」及「預防」的責任。

    至於新成立的專責辦公室,具有調查權,即使 CIO 不願合作,專責辦公室可要求營運商採取特定的補救措施,甚至在嚴重的事件上向裁判法院申請手令,以進入 CIO 處所調查,連接設備或在關鍵電腦系統上安裝程式。Anna 建議 CIO 可透過與供應商簽訂合約,確保雙方知悉供應商之行動會對 CIO 造成影響;並考慮在合約中賦予 CIO 存取權限,當進行調查時可從供應商手中取得資訊。

    她強調,最重要的一點是條例並無追溯規定,一旦法例開始實施,被「點名」的機構便需在指定期限後開始遵守法規,故她鼓勵客戶應在此時評估自己會否成為 CIO,開始執行條例所要求的網絡安全協定,並檢討是否需要增加相關預算等,為未來網絡安全好好作規劃。

    活動更邀請了領先的網絡安全解決方案供應商,包括 Fortinet、SecurityScorecard、tenable 及 Thales 的 IT 專家,分享他們所提供的解決方案,如何協助客戶應對相關條例。

    活動邀請了四個網絡安全解決方案供應商,向在場人士分享適用於應對條例的產品。

    下半場的專題討論,以「如何能提高本地營運關鍵基礎設施的安全措施之效率」為題,由 edvance 的 Technical Sales Manager 吳家駿任主持人,與 A&O Shearman 律師事務所 Senior Associate Ruby Kwok、獨立顧問 Ricky Cho、港深創新及科技園 Associate Director Franky Lam,共同探討機構在條例實施前需注意的事項。

    (左起)edvance Technical Sales Manager 吳家駿,A&O Shearman 律師事務所 Senior Associate Ruby Kwok,獨立顧問 Ricky Cho,港深創新及科技園 Associate Director Franky Lam。

    Ruby 表示,留意到法案委員會討論時,保安局將會在《實務守則》包括更多細節,例如 CI 有何重大改變時需要上報,電腦系統安全管理計劃內容,以及通過例子說明有關通報網絡事故涵蓋範圍等,相信屆時亦會有指引協助 CIO 如何揀選第三方服務提供商。

    至於曾擔任零售銀行 IT 基礎設施及安全部主管的 Ricky,具備豐富安全合規經驗,他向在場人士分享其最佳實踐方法,包括進行風險評估、安排人手、制定響應計劃(如 Playbook)、定時演練等。Ricky 提醒機構需「know your partner, know your vendor」,對合作伙伴進行評估,確保符合機構的規則及標準,「監管機構唔管 Partner,萬一佢出事,責任係去返 CIO」。而身為 End User 代表的 Franky,認為如機構採用設計及實施新的系統時,無論是應用程式或基礎建設,都必須要「Security by design」,於構建系統時必需要將網絡安全合規性及標準的因素考慮在內。

    近年越來越多犯罪份子透過社交平台搜尋兒童私隱,以進行詐騙、傷害或欺凌等罪案,有鑑於保護兒童隱私權益日益重要,英國資訊專員辦公室(ICO)宣佈正針對 TikTok、Reddit 與 Imgur 三間網絡平台展開深入調查,如發現未有做好保護私隱工作,就會依法重罰,大開殺戒。

    保護兒童個人私隱非常重要,因為他們更容易受到網絡欺凌、剝削及侵犯等傷害。專家認為如兒童時期因社交平台服務供應商未做好私隱保護,令兒童受到傷害,可能對他們日後的心理健康產生長期影響。歐盟的 GDPR 和英國的數據保護法,都對處理兒童個人數據施加嚴格規範。

    在歐盟國家,如違反 GDPR 可能導致高達企業全球年營業額 4% 或 2,000 萬歐元的罰款。而在英國,最高亦可罰款 1,750 萬英鎊或全球年營業額的 4%,過去包括 Google、TikTok 和 Facebook 等知名科技公司,便曾因未能充分保護兒童數據而遭到重罰,以強調當局保護兒童隱私的決心。

    ICO 特別關注 TikTok

    最近,ICO 特別關注 TikTok 如何利用兒童用家的個人資料,來推薦可能不適當或有害的內容。這種推薦機制可能導致兒童接觸到不宜觀看的資訊,對身心發展造成負面影響。此外,官方亦相當關注 Imgur 及 Reddit 如何運用英國兒童的個人資訊來評估其年齡,是否足夠防止未符合年齡要求的兒童開戶,增加被害風險。

    ICO 強調,這些調查是為了確保服務供應商有道德地設計出能有效保護兒童的私隱的服務。在近期發布的一項研究顯示,超過 42% 的英國父母認為他們對於影片分享平台和社交媒體收集其子女數據的行為,幾乎沒有或完全沒有控制權,突顯了父母對於兒童在網絡上的隱私保護擔憂,以及加強監管和執法的必要性。

    ICO 高調表示正在調查這些公司是否違反了資料保護法規。如果發現有足夠證據表明這些公司觸犯了法律,ICO 將會與對方溝通,並在做出最終決定及判罰前聽取它們的意見。

    事實上,ICO 在 2023 年 4 月已對 TikTok 處以高達 1,270 萬英鎊的罰款,理由是其違反了資料保護法,包括未經父母同意便使用 13 歲以下兒童的數據。而在 2020 年,TikTok 允許多達 140 萬名英國兒童使用其平台,違反不得讓 14 歲以下兒童開設帳戶的法規。官方更明確表示,如果社交媒體和影片分享平台想要在英國營運並獲利,就必須遵守資料保護法。

    資料來源:https://www.bleepingcomputer.com/news/security/uk-watchdog-probes-tiktok-and-reddit-over-child-privacy-concerns/