文/鄭久慧
筆者詳閱近日立法會討論如火如荼的《保護關鍵基礎設施(電腦系統)條例草案》(《條例草案》)以及法律改革委員會發布的《依賴電腦網絡的罪行及司法管轄權事宜》諮詢文件 (「法改會諮詢文件」),不禁產生疑問。
《條例草案》主要定義了什麼是關鍵基礎設施及電腦系統,如何定期做演練防止攻擊,一旦發生事故須如何通報等等。雖然當局稱海外提供的基礎設施亦受監管,即便該服務由海外營運商提供,亦在政府監管範圍內。然而,在草案「附件D」第1頁,政府申明立法原意並非施行「長臂管轄」,不會在香港以外的地方執法,因此此法例不具域外效力,當局只會要求設施營運者提供可在香港或從香港取得的資料,以符合「領域管轄權」原則。
老實講,細看整份《條例草案》針對的均為保護關鍵基礎電腦系統設施,明顯漏洞是未提如何保護敏感資料,黑客攻擊電腦系統的目的,自然是先拿到敏感資料,從而策劃更大規模的重點襲擊,所以《條例草案》若未能與「全面處理電腦網絡罪行」的法例同時立法,兩者相輔相成,恐怕這個《條例草案》會淪為「無牙老虎」,實用價值未如理想。
保護關鍵基礎設施 須與防止電腦罪行法例相輔相成
本港防止電腦罪行的相關條例,主要有三:一是香港法例第200章《刑事罪行條例》第161條「有犯罪或不誠實意圖而取用電腦」;二是香港法例第200章《刑事罪行條例》第60條「摧毀或損壞財產」;三是香港法例第106章《電訊條例》第27A條「藉電訊而在未獲授權下取用電腦資料」。但這些法例早已不敷應用,各界一直希望當局修例,速立「全面處理電腦網絡罪行」的法例。近年層出不窮的網絡洩密事件早已敲響警鐘,截至去年上半年的短短9個月內,香港就發生了6宗政府部門及公營機構的個人資料外洩事故,涉數碼港、消委會、香港郵政、公司註冊處、機電署等。昨日(9日),私隱專員公署亦剛完成對去年5月市建局資料外洩事故的調查,指出肇事原因是局方對軟件認知不足,及未進行有效安全測試。
正因為本港現有防止電腦罪行的法例非常不足,法律改革委員會特地在2019年初成立電腦網絡罪行小組委員會。這個委員會經詳細研究,歷時逾3年,終在2022年發布《依賴電腦網絡的罪行及司法管轄權事宜》諮詢文件,奈何至今尚未有修例日期。
互聯網世界並無國界,司法管轄權卻有界限。有鑒於電腦網絡罪行「無遠弗屆」的性質,法改會在諮詢文件表明立場,支持香港防止電腦罪行的法律適用於域外範圍,指出這符合國際慣例。細看「法改會諮詢文件」,花了大篇幅探討各類域外執法的情況,例如第30頁的「非法取覽程式或數據」、第31頁的「非法截取電腦數據」、第32頁的「非法干擾電腦數據」、第33頁「非法干擾電腦系統」罪行,建議只要「受害人(目標電腦的擁有人、有關數據的擁有人或兩者皆是)是香港永久性居民、通常居於香港的人或在香港經營業務的公司」,法例宜在域外適用。
本港資料廣泛儲存於海外 如何解決?
當然以上法改會的建議暫未立法,故此現時本港的「不誠實取用電腦」罪行仍僅在本港司法管轄權範圍實施。受此制約,若要確保保護關鍵基礎電腦設施的法例真的奏效,《條例草案》應附加一項條文,即要求受規管者必須將敏感資料只儲存在本港範圍內的伺服器,這些處理敏感數據的伺服器必須封鎖海外IP的訪問,只容許本港IP訪問,即使有不誠實取用電腦的罪行發生,亦能將罪行局限在香港範圍內,到時執法部門就能用現有的防止電腦罪行條例進行檢控。
筆者上述建議並非無稽之談,《條例草案》第4頁已經寫明「此條例不適用於政府」,皆因特區政府有位於本港的內部伺服器及「政府雲」等儲存資料,確保資料的安全。各政策局與部門均須嚴格遵守政府《保安規例》及《政府資訊科技保安政策及指引》的要求,更有數字政策辦公室把關,定期為面向公眾的政府資訊系統進行穩健狀況合規檢查及深入審核。公職人員則須嚴格遵守規例,若有違反情況可能會遭受紀律處分。故此政府的敏感資料早已在層層安保之下。
那麼《條例草案》立法,是適用於保護在本港持續提供必要服務的基礎設施,主要分為八個界別,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫護服務以及電訊和廣播服務。這類設施涉及市民日常生活的必需服務,一旦服務遭干擾破壞,會嚴重影響社會運作。
奈何港人多年來習慣將資料儲存在海外伺服器,例如使用Google Doc來記錄資料,用Gmail傳送電郵,使用社交媒體Facebook,以Whatsapp作為聊天軟件。雖然政府近年着手規管,例如推行電話卡實名制,但不少騙徒操控的WhatsAapp賬戶或在實名制之前已經開設,即使電話卡失效,該WhatsApp仍能繼續運作,直至新用戶再註冊。
網絡罪案日新月異 僅防攻擊電腦系統並不足夠
人工智能科技日新月異,令互聯網罪案早已不局限於傳統的網絡攻擊,更進化至多元資料結合的深偽詐騙。在此,筆者要舉兩宗真實案例。據媒體在2024年5月31日報道,某跨國公司駐港的分公司負責人,先是收到騙徒假冒其上司發出的WhatsApp訊息,着其翌日開視像會議,再利用深偽技術(Deepfake)在視像會議中要求香港負責人將約400萬港元匯到騙徒戶口。去年2月的另一宗類似案件,騙徒同樣利用深偽技術,在視像會議期間指示香港員工將共約2億港元巨款匯到騙徒賬戶。
從這兩宗深偽詐騙案,不難看出騙徒或黑客絕非盲頭蒼蠅,胡亂攻擊,而是有策略性、有針對性的。即使《條例草案》規定關鍵基礎設施須定期做演練防止攻擊,但草案並無沒提到如何防止資料外洩,未清晰着墨如何保護軟件、如何儲存資料,包括如何處理敏感的人事紀錄及會議行程。須知任何機構,總有一些電腦系統儲存人事紀錄、登入賬戶及會議行程,而這些系統因為不涉機構的主要工作流運作,未必屬於關鍵主系統。任何黑客或者騙徒的網絡攻擊,均是有導向性及有策略性的,可先攻擊儲存有人事資料的系統,獲取登入資料。然後結合在海外伺服器可獲取的個人資料,例如從社交媒體及聊天軟件所得的照片、暱稱、生日、個人人際網絡資料,綜合出該機構骨幹人員的全面個人檔案。黑客伺機而動,可選擇在關鍵時機進行攻擊或詐騙,或像深偽案件那樣,假冒高層騙走巨款,或以高官個人資料登入關鍵基礎設施進行致命性破壞。
故此,在本港仍未完善防止電腦罪行法例的今天,不應單就保護關鍵基礎電腦系統設施立法,須規定受規管的機構及公司,必須將資料儲存在本港,便利檢控及執法。
收藏
取消收藏
分享
