ARTICLE 19對於香港《保障關鍵基礎設施(電腦系統)條例草案》對網絡言論自由(包含獨立媒體)及個人資料保護構成的威脅表示關切。任何有關網絡安全的立法都必須嚴格準確地定義「關鍵訊息基礎設施」、消除任意執法的空間,並確保對於言論表達自由和隱私權的限制符合國際人權規範。而以此草案目前的形式,其並未達到這些標準。
ARTICLE 19的亞洲數位計畫經理Michael Caster評述:
「在現行的國家安全立法和法庭的限制性命令下,我們已經見證了香港當局如何操弄國家安全觀念以在網絡上進行噤聲和監控。在如此環境下,擬議中的關鍵基礎設施草案看起來更像是為了封堵網絡自由,而非為了解決真正的網絡安全問題。」
2024年7月2日,港府保安局向立法會提交了一份等候許久的提案,並附上一份總結背景說明和利益相關者諮詢的文件。該提案名為《加強保護關鍵基礎設施電腦系統安全—建議立法框架》,由保安局、港府資訊科技總監辦公室和香港警務處共同準備。
強制要求關鍵基礎設施營運者提高網絡韌性,並對違規行為負責的網絡安全條款對於保障基本服務確實至關重要。然而,為了維護國家安全或網絡安全而強制推行的這一相同立法,卻也可能加劇對國際人權法和網上言論自由的侵犯。
這在香港尤為明顯,如同ARTICLE 19的《全球言論報告》所指出,過去十年當中香港言論自由經歷了最嚴重的衰退。這在很大程度上是肇因於2020年的港版《國安法》和2024年的《維護國家安全條例》。自2020年以來,已有數千人被捕,約20家網絡媒體被關閉、網站遭封鎖。一年多以來,港府當局不斷試圖向網絡中介服務者施壓,要求他們在串流媒體服務中移除歌頌民主的歌曲《願榮光歸香港》。這導致了一種審查和自我審查的環境。
在此背景下,該草案很可能被濫用來進一步限制言論表達自由和隱私權。ARTICLE 19對此進行了分析並提出下列關注事項:
「關鍵基礎設施」之下的資訊科技之定義太寬泛
該草案包含兩大類關鍵基礎設施,其中第一類涵蓋「在香港提供必要服務」,當中包括了「資訊科技」。這是一項寬泛模糊的分類,企業將難以確定他們是否要遵守法案中的嚴格規定,也可能為流行的訊息平台公司或網絡交換站等單位被視為關鍵基礎設施營運者、從而受到更嚴格的調查。這違反了法律可預測性原則,也可能會被國家濫用藉此對批判政府的企業施加額外的合規成本。
ARTICLE 19認為,香港當局應當明確規定屬於「資訊科技」部門的具體範疇。內容傳遞平台應被明確排除在外,因為這些平台若遵循相關規定可能會導致巨大的商業成本,甚至可能迫使它們退出市場。這就可能剝奪用戶行使言論表達自由的網絡平台。
同時,第二類關鍵基礎設施則是「其他維持重要的社會和經濟活動的基礎設施」,舉例說明包括了表演場地和研究機構。香港的學術和研究自由本已岌岌可危,這項立法可能會進一步對相關實體施加繁重的合規成本並限制其研究。此外,對於關鍵資訊營運者的標準並不明確。ARTICLE 19主張第二類應全部刪除,因為它過於模糊,並賦予了當局過大的自由裁量權。
與隱私權監管機構的潛在衝突之疑慮
模糊的措辭也可能引發與香港隱私監管機構(即個人資料私隱專員公署)的潛在衝突。儘管背景說明文件排除了個人資料規管,但該草案以資訊洩漏作為納管關鍵基礎設施營運者的依據之一,這導致個人資料洩漏仍可能會被納入該草案之規管範疇。然而,負責掌管該立法的部門是從國家安全或公共秩序的角度出發,並沒有通知個人資料洩漏受害者的程序。該立法應明確規定,由個人資料私隱專員公署負責處理和救濟個人資料洩漏的案件。
應取消政府的全面豁免
該草案對被指定為關鍵基礎設施營運者的政府機構提供了全面豁免。政府機構營運的關鍵基礎設施同樣脆弱,因此讓它們豁免於更加嚴格的監管似乎違背了旨在保護香港關鍵基礎設施的立法目的。在豁免政府單位的同時,卻讓私營單位面對更強力的調查權和合規要求,這進一步顯示政府可能會利用這項立法來箝制私部門單位(例如已被要求遵守審查或監控命令的網絡中介服務者)的權利,而不會追究政府行為者的真正違法行為責任。該草案中的政府機構豁免應予以取消。
應取消過度的資訊揭露要求
該草案要求關鍵基礎設施營運者向主管機關揭露過多的資訊。這著實令人感到憂慮,除了導致不必要的監控外,儲存非必要的大量資訊實際上可能會提高網絡安全風險,成為潛在攻擊者的目標。尤其,若分享電腦系統的設計、配置和安全操作,可能等同於揭露商業機密。這種強制披露的規定應該予以取消。
調查權過大
根據該草案,保安局將成立專責辦公室。該辦公室有權在懷疑犯罪行為發生時,無需搜查令即可要求營運者提供任何「相關」資料。草案沒有清楚說明何謂「相關」資料,這是一個異常廣泛的範圍。在沒有任何指引或豁免的情況下,這項權力可能被用來強制揭露商業機密或個人資料。專責辦公室還可以要求提供敏感資訊,包括加密資料和密碼。除了侵犯隱私權和授權政府進行監控外,如果這些資料缺乏有效保護,還可能進一步成為網絡攻擊者的目標。
該立法必須明確規定,專責辦公室有權索取什麼「資料」。除非有法官的搜查令,否則個人資料或商業機密理應被豁免。考量到香港目前缺乏獨立司法的現況,即便有搜查令也可能不足以保護權益。該立法還應規定安全儲存措施,防止對於任何由其保管的資料所進行的無理侵入或干擾,並應修訂上訴程序。
不當委任行政機關制定附屬法例
根據該立法提案,包括ARTICLE 19所提出的關注事項在內的核心問題,已交由保安局局長制訂的附屬法例來處理。由於這導致附屬法例不需要經由立法機構同意,且可能完全不涉及與其他相關方的諮詢。我們認為,主要立法應該清楚規定哪些基本服務可以被指定為關鍵基礎設施;保安局局長辦公室可以要求哪些資訊;以及包括對電腦系統的重大變更在內,需向保安局局長辦公室報告的資訊。
ARTICLE 19認為,營運關鍵基礎設施的機構應該確保自己具備預防和應對網絡攻擊的流程。然而,我們發現此份草案非但沒有解決網絡安全的弱點,反而可能進一步加劇香港言論表達自由和隱私權惡化的趨勢。該草案應進行修訂,以解決這些問題。我們進一步重申,我們呼籲香港當局使所有法律條文,特別是《國安法》和《維護國家安全條例》,符合其在國際人權法、尤其是《公民與政治權利國際公約》之下的義務。