【庖丁篇】— 刊於《經濟日報》,20245月24日

網絡罪行層出不窮 立法防治刻不容緩

許佳龍

科大商學院資訊、商業統計及營運學系講座教授、

艾禮文家族商學教授

自去年8月數碼港遭黑客入侵後,同年9月消委會的電腦系統亦為黑客成功入侵,其後,香港郵政、公司註冊處、機電署,以至今月6日消防處其中一個電腦系統的部分個人資料亦告外洩,短短九個月間,發生6宗個人資料外洩事故,無疑向社會發出網絡安全出現顯著風險的強烈信號。

目前,網絡罪行不斷增加,但迄今香港仍未有單一條法例特定處理電腦網絡罪行,不同的罪行在《刑事罪行條例》(第200章)及《電訊條例》(第106章)中訂立,但部分已不合時宜。

記得法律改革委員會於2019年成立「電腦網絡罪行小組委員會」,就電腦網絡罪行展開研究,並在20227月發表《依賴一電腦網絡的罪行及司法管轄權事宜》諮詢文件(簡稱《諮詢文件》),建議就5項依賴電腦網絡的罪行,包括(1)非法取覽程式或數據、(2)非法截取電腦數據、(3)非法干擾電腦數據、(4)非法干擾電腦系統,以及(5)提供或管有用作犯罪的器材或數據進行立法。文件除提出制定針對電腦網絡罪行的特定法例外,也訂明相關罪行適用的司法管轄權規則。

有關立法建議是及時也有需要,立法原意也符合全球首個打擊網絡犯罪國際公約 ——《布達佩斯公約》(Budapest Convention)的類似精神和原則。

立法有必要性和逼切性

不過,《諮詢文件》建議的立法,至今仍未看到具體成果;加上最近一年,公私機構都爆出資料外洩事故,所響起的警號,反映網絡立法工作不僅有必要性,而且如今亦有強烈的逼切性。

誠然,網絡法律條例中的權利和責任,有必要清楚界定。事實上,法例需要顧及各方持份者的權益,如《諮詢文件》提及平衡網民的權利和資訊科技業人士的權益;保障公眾在使用和操作電腦系統時免受騒擾或攻擊的權益和權利。這一點確實很重要,因為這種平衡協助促進資訊科技的健康和均衡使用,以提高社會效率至為關鍵。

與此同時,對於在未獲授權下取用或取覽定為不合法,若法例的明晰性不足,不僅可能令用戶取覽程式或數據的行為「過於謹慎 」,擔心「無心之失」也會墮入法網,此舉對促進信息通訊技術的發展和進步並不見得有利。舉例來說,《諮詢文件》「建議 2」提出,在未獲授權下取覽,應否有任何特定的免責辯護或豁免?該免責辯護或豁免應否適用於非保安專業人員?

這兩個問題其實牽涉在網絡安全領域興起的一個稱為「漏洞賞金計劃」 (Bug Bounty Programme BBP)。簡單來說,任何人若找出系統或網站中一個程式的漏洞,便可以拿到賞金。不少網絡平台樂意發起「漏洞賞金計劃」,向找出平台系統或網站漏洞的網絡安全研究人員發放賞金,以完善該平台系統或軟件,而BBP往往還徵召公眾和個人參與。值得注意的是,若免責辯護或豁免的覆蓋範圍沒有清晰界定,擬議中的立法便可能把網絡安全研究人員以至個人參與BBP的行為,被定為非法。

用戶權益應得更大保護力度

事實上,制訂網絡保安的政策,以至立法條文中各持份者的權益與歸責,是建基於一個「比例原則(proportionality),即對比各持份者的權益侵損和得益,向侵損最少得益最大的方向作出比例分配。在發展中的經濟體,一般會傾向減少對業界發展的朿縛,以激勵出更多創新,以取得更豐碩的科技應用,因而法律的條文,多傾向較為寬鬆,留下發揮的空間。不過,在一個成熟的經濟體(例如香港),當已取得經濟的成長,數據或電腦系統上的應用,亦已達到可推動經濟的發展,到此地步,用戶一方的權利和權益,便應該得到相對更大比例的權衡。

因此,當前政府對網絡保安的擬議立法,以至今年下半年提交網絡安全(關鍵基礎設施)條例草案,訂定關鍵基礎設施營運者的網絡安全責任,的確是時候。過去,香港對網絡保安的條例規管比較寬鬆;也沒有一條單一針對或打擊網絡罪行法例,從「正面 」角度看,有助推動資訊科技行業以至軟件應用有更大的發揮空間,但當從「發揮空間」取得效益後,收緊對用戶的保護政策和立法,特別是近年人工智能及物聯網的急速發展,保護用戶的個人資料,規範網絡行為和網絡運行秩序,時機已告成熟。若個別機構對用戶個人資料的保護意識不足,甚至保護措施鬆弛,導致的經濟損失可能很大。

風險集中的「盲點」

最近一年,公私機構用戶資料外洩事故接連發生,黑客動輒成功入侵,把香港不少機構網絡保安力度不足的「普遍性」漏洞,甚或保安「盲點」凸顯出來。筆者過去曾經分析資訊科技的保安,往往會出現一個「風險集中點」的紕漏 ,即當很多機構均採用同一個保安方案,只要黑客擊破其中一個機構的網絡系統,就可以輕易侵入其餘機構的網絡系統。

據私隱專員署於514日公布,早前出現資料外洩的機電工程署、消防處及市區重建局,三宗事故的個人資料,均存放於網上平台ArcGIS Online。公署呼籲曾將個人資料上載到雲端平台的用戶,無論公私營機構,應定期檢視相關平台的登入密碼及權限設定是否有效, 確保資訊安全。這件事恰恰印証了筆者過去一項研究觀點,即當把資訊保安部分工作外判給服務供應商,雖然此舉可以減省了機構的成本,也相信服務供應商有更好的專業有效性,但亦忽略了一個「盲點」,即把保安外判給一個服務供應商或雲端平台,又成為另一個 「風險集中點」,只要黑客攻入一個雲端平台,所有存放在雲端平台的資料用戶,也會面臨同樣資料外洩的巨大風險。

立法工作不宜延宕

目前,政府必須「雙管齊下 」,除了檢討最近各部門受到網絡入侵事故的根本原因外,加快網絡罪行的立法不宜延宕,以保証所有機構在採取資訊保安的動作時,須有充份的意識,有責任去保護不同方向系統的安全應用。當下進行的擬議立法,引入刑事條例,清晰地向黑客表明,入侵行為會受到懲處,而且按照《諮詢文件》的建議,若「犯罪元素」在香港發生,即受害人、犯罪者是香港人;目標電腦、程式或數據處於香港;以及犯罪者的作為已可導致對香港的嚴重損害等,則處於香港以外地方進行入侵行為的黑客,亦會受法例的規管,即香港法庭的刑事司法管豁權得到伸延。

很顯然,國與國或地區與地區之間的司法合作,可以有效形成一個更全面的安全保護網,黑客的入侵行為,無論身處何地,在合作國家地區之間都無法逍遙法外。所以,在當前網絡犯罪行為不斷增加,且人工智能亦以「前所未見」的速度向前發展,特區政府加快立法防治網絡罪行,實在刻不容緩!

Read Article