【庖丁篇】— 刊于《经济日报》,20245月24日

网络罪行层出不穷 立法防治刻不容缓

许佳龙

科大商学院信息、商业统计及营运学系讲座教授、

艾礼文家族商学教授

自去年8月数码港遭黑客入侵后,同年9月消委会的计算机系统亦为黑客成功入侵,其后,香港邮政、公司注册处、机电署,以至今月6日消防处其中一个计算机系统的部分个人资料亦告外泄,短短九个月间,发生6宗个人资料外泄事故,无疑向社会发出网络安全出现显著风险的强烈信号。

目前,网络罪行不断增加,但迄今香港仍未有单一条法例特定处理计算机网络罪行,不同的罪行在《刑事罪行条例》(第200章)及《电讯条例》(第106章)中订立,但部分已不合时宜。

记得法律改革委员会于2019年成立「计算机网络罪行小组委员会」,就计算机网络罪行展开研究,并在20227月发表《依赖一计算机网络的罪行及司法管辖权事宜》咨询文件(简称《咨询文件》),建议就5项依赖计算机网络的罪行,包括(1)非法取览程序或数据、(2)非法截取计算机数据、(3)非法干扰计算机数据、(4)非法干扰计算机系统,以及(5)提供或管有用作犯罪的器材或数据进行立法。文件除提出制定针对计算机网络罪行的特定法例外,也订明相关罪行适用的司法管辖权规则。

有关立法建议是及时也有需要,立法原意也符合全球首个打击网络犯罪国际公约 ——《布达佩斯公约》(Budapest Convention)的类似精神和原则。

立法有必要性和逼切性

不过,《咨询文件》建议的立法,至今仍未看到具体成果;加上最近一年,公私机构都爆出资料外泄事故,所响起的警号,反映网络立法工作不仅有必要性,而且如今亦有强烈的逼切性。

诚然,网络法律条例中的权利和责任,有必要清楚界定。事实上,法例需要顾及各方持份者的权益,如《咨询文件》提及平衡网民的权利和信息科技业人士的权益;保障公众在使用和操作计算机系统时免受騒扰或攻击的权益和权利。这一点确实很重要,因为这种平衡协助促进信息科技的健康和均衡使用,以提高社会效率至为关键。

与此同时,对于在未获授权下取用或取览定为不合法,若法例的明晰性不足,不仅可能令用户取览程序或数据的行为「过于谨慎 」,担心「无心之失」也会堕入法网,此举对促进信息通讯技术的发展和进步并不见得有利。举例来说,《咨询文件》「建议 2」提出,在未获授权下取览,应否有任何特定的免责辩护或豁免?该免责辩护或豁免应否适用于非保安专业人员?

这两个问题其实牵涉在网络安全领域兴起的一个称为「漏洞赏金计划」 (Bug Bounty Programme BBP)。简单来说,任何人若找出系统或网站中一个程序的漏洞,便可以拿到赏金。不少网络平台乐意发起「漏洞赏金计划」,向找出平台系统或网站漏洞的网络安全研究人员发放赏金,以完善该平台系统或软件,而BBP往往还征召公众和个人参与。值得注意的是,若免责辩护或豁免的覆盖范围没有清晰界定,拟议中的立法便可能把网络安全研究人员以至个人参与BBP的行为,被定为非法。

用户权益应得更大保护力度

事实上,制订网络保安的政策,以至立法条文中各持份者的权益与归责,是建基于一个「比例原则(proportionality),即对比各持份者的权益侵损和得益,向侵损最少得益最大的方向作出比例分配。在发展中的经济体,一般会倾向减少对业界发展的朿缚,以激励出更多创新,以取得更丰硕的科技应用,因而法律的条文,多倾向较为宽松,留下发挥的空间。不过,在一个成熟的经济体(例如香港),当已取得经济的成长,数据或计算机系统上的应用,亦已达到可推动经济的发展,到此地步,用户一方的权利和权益,便应该得到相对更大比例的权衡。

因此,当前政府对网络保安的拟议立法,以至今年下半年提交网络安全(关键基础设施)条例草案,订定关键基础设施营运者的网络安全责任,的确是时候。过去,香港对网络保安的条例规管比较宽松;也没有一条单一针对或打击网络罪行法例,从「正面 」角度看,有助推动信息科技行业以至软件应用有更大的发挥空间,但当从「发挥空间」取得效益后,收紧对用户的保护政策和立法,特别是近年人工智能及物联网的急速发展,保护用户的个人资料,规范网络行为和网络运行秩序,时机已告成熟。若个别机构对用户个人资料的保护意识不足,甚至保护措施松弛,导致的经济损失可能很大。

风险集中的「盲点」

最近一年,公私机构用户数据外泄事故接连发生,黑客动辄成功入侵,把香港不少机构网络保安力度不足的「普遍性」漏洞,甚或保安「盲点」凸显出来。笔者过去曾经分析信息科技的保安,往往会出现一个「风险集中点」的纰漏 ,即当很多机构均采用同一个保安方案,只要黑客击破其中一个机构的网络系统,就可以轻易侵入其余机构的网络系统。

据私隐专员署于514日公布,早前出现数据外泄的机电工程署、消防处及市区重建局,三宗事故的个人资料,均存放于网上平台ArcGIS Online。公署呼吁曾将个人资料上载到云端平台的用户,无论公私营机构,应定期检视相关平台的登入密码及权限设定是否有效, 确保信息安全。这件事恰恰印证了笔者过去一项研究观点,即当把信息保安部分工作外判给服务供货商,虽然此举可以减省了机构的成本,也相信服务供货商有更好的专业有效性,但亦忽略了一个「盲点」,即把保安外判给一个服务供货商或云端平台,又成为另一个 「风险集中点」,只要黑客攻入一个云端平台,所有存放在云端平台的数据用户,也会面临同样数据外泄的巨大风险。

立法工作不宜延宕

目前,政府必须「双管齐下 」,除了检讨最近各部门受到网络入侵事故的根本原因外,加快网络罪行的立法不宜延宕,以保证所有机构在采取信息保安的动作时,须有充份的意识,有责任去保护不同方向系统的安全应用。当下进行的拟议立法,引入刑事条例,清晰地向黑客表明,入侵行为会受到惩处,而且按照《咨询文件》的建议,若「犯罪元素」在香港发生,即受害人、犯罪者是香港人;目标计算机、程序或数据处于香港;以及犯罪者的作为已可导致对香港的严重损害等,则处于香港以外地方进行入侵行为的黑客,亦会受法例的规管,即香港法庭的刑事司法管豁权得到伸延。

很显然,国与国或地区与地区之间的司法合作,可以有效形成一个更全面的安全保护网,黑客的入侵行为,无论身处何地,在合作国家地区之间都无法逍遥法外。所以,在当前网络犯罪行为不断增加,且人工智能亦以「前所未见」的速度向前发展,特区政府加快立法防治网络罪行,实在刻不容缓!

Read Article