2025年3月19日,香港立法会通过了《保护关键基础设施(计算机系统)条例草案》。这部具有里程碑意义的法律,将于2026年1月1日正式生效。违反规定的机构,面临最高500万港元的刑事罚款。
这是香港首部专门针对网络安全的立法。根据香港政府《202526年度财政预算案》的说明,该法律的适用范围不仅限于传统意义上的关键基础设施,还涵盖了对社会和经济活动至关重要的其他基础设施,如大型体育和表演场地。对于被指定为关键基础设施运营者的公司,这部法律意味着全新的合规义务——报告网络事故、保护关键计算机系统、接受监管机构调查。
与此同时,《银行业条例》也在2025年11月进行了修订,建立了银行之间共享客户信息的自愿机制,用于打击洗钱、恐怖分子资金筹集和大规模杀伤性武器扩散融资。银行在符合条件下共享信息,可获得免于起诉或民事责任的保护。
这两部法律的出台,意味着香港企业在网络安全和反洗钱领域的合规责任,已经上升到新的高度。
一、核心概念定义
关键基础设施运营者(Critical Infrastructure Operator):指被政府指定为关键基础设施的运营机构。根据新法律,关键基础设施分为两类:必要服务领域的机构(能源、信息技术、银行与金融服务、航空运输、陆路运输、海上运输、医疗服务、电信与广播服务)和维持重要社会和经济活动的其他基础设施(如大型体育和表演场地)。
计算机系统安全事件(Computer System Security Incident):指对关键计算机系统的保密性、完整性或可用性造成负面影响的事件,包括网络攻击、数据泄露、系统故障等。运营者必须在规定时限内向专员办公室报告。
经济实质要求(Economic Substance Requirement):指企业必须在香港雇佣足够数量的合格员工、发生足够金额的本地运营支出,并对相关资产持有实质性的管理控制权。网络安全法的实施将对企业实质提出更高要求。
安全港条款(Safe Harbor):指银行在参与信息共享机制时,符合特定条件即可获得免于起诉或民事责任的保护。2025年修订的《银行业条例》引入了这一条款。
二、网络安全法:适用范围与核心义务
2.1 哪些机构受到监管
法律将关键基础设施运营者分为两大类:
第一类是八个必要服务领域的机构:能源、信息技术、银行与金融服务、航空运输、陆路运输、海上运输、医疗服务、以及电信与广播服务。这些领域直接关系到城市的基本运转,任何网络安全事件都可能造成严重影响。
第二类是维持重要社会和经济活动的其他基础设施,如大型体育和表演场地。这类设施虽然不属于必要服务,但其网络安全同样关系到公共安全和社会稳定。
对于被指定为关键基础设施运营者的公司,法律设立了专门的监管机构——新成立的专员办公室。专员办公室有权调查计算机系统安全事故和违法行为,并对违规机构实施处罚。
2.2 核心合规义务
法律的合规要求主要体现在三个方面:
第一,保护关键计算机系统。运营者需要采取适当的技术和组织措施,确保关键计算机系统的安全。这包括实施访问控制、加密保护、入侵检测、漏洞管理等基本安全措施。
第二,报告安全事件。运营者在发现关键计算机系统的安全事件后,必须在规定时限内向专员办公室报告。报告的内容包括事件的性质、影响范围、已经采取的应对措施等。
第三,接受调查。专员办公室有权进入运营者的场所进行检查,要求提供相关文件和信息。运营者必须配合调查,不得阻挠或隐瞒。
2.3 违规后果
违反法律规定的机构,面临最高500万港元的刑事罚款。对于故意隐瞒安全事件或阻挠调查的行为,可能面临更高的处罚甚至刑事责任。
500万港元的罚款上限,在香港的行政罚款中属于较高水平。立法者的意图很明确:网络安全不是可选项,而是必须履行的法律责任。
三、银行业信息共享机制:反洗钱的新工具
3.1 自愿共享机制的设立
2025年11月修订的《银行业条例》,建立了一个银行之间共享客户信息的自愿机制。银行可以与其他银行共享涉嫌洗钱、恐怖分子资金筹集和大规模杀伤性武器扩散融资的客户信息。
这个机制的核心特征是“自愿但受保护”。银行可以选择是否参与信息共享,但一旦决定共享,即可获得免于起诉或民事责任的保护。这个安全港条款,消除了银行在法律风险方面的顾虑,鼓励更多的信息共享。
3.2 信息共享的价值
信息共享机制的价值在于,它打破了银行之间的信息孤岛。一个可疑客户可能同时在多家银行开立账户,从事洗钱活动。过去,每家银行只能看到自己掌握的信息,无法形成完整画像。现在,银行可以共享信息,识别跨行交易的异常模式,更早发现可疑活动。
对于执法机构而言,信息共享机制也提高了调查效率。银行共享的信息可以帮助执法机构更快锁定可疑账户,及时拦截非法资金,防止资金被转移或洗白。
3.3 银行的合规责任
参与信息共享机制的银行,需要建立内部流程,确保信息共享的合规性。这包括:明确哪些客户信息可以共享,在什么条件下共享,以及如何保护共享信息的安全。银行还需要对员工进行培训,确保他们了解信息共享的法律框架和操作规程。
笛杨咨询注意到,信息共享机制虽然有助于反洗钱,但也带来了数据隐私方面的挑战。银行需要在反洗钱合规与客户隐私保护之间找到平衡。过度共享可能侵犯客户隐私,不足共享又可能影响反洗钱效果。
四、实际案例:笛杨咨询协助某金融机构应对网络安全法合规要求
2025年,一家在香港提供金融服务的机构被初步认定为关键基础设施运营者,需要在新法律生效前完成合规整改。该机构拥有复杂的IT系统,涉及客户数据、交易记录、以及核心业务系统。
笛杨咨询接到委托后,首先协助客户进行网络安全风险评估,识别关键计算机系统和潜在风险点。我们发现,客户现有的网络安全措施存在以下不足:缺乏统一的安全事件响应计划、部分系统未实施多因素认证、员工网络安全意识培训不足。
我们协助客户制定了安全事件响应计划,明确了事件报告流程和应对措施。我们建议客户引入第三方安全审计机构,对关键系统进行漏洞扫描和渗透测试。同时,我们为客户员工提供了网络安全意识培训,确保他们了解新法律的要求和自身的合规责任。
在整改过程中,我们与专员办公室保持沟通,及时了解监管要求。最终,客户在2025年底前完成了全部整改工作,通过了专员办公室的初步审查。客户表示,虽然整改投入较大,但新建立的网络安全体系不仅满足了合规要求,也提升了整体运营的安全性。
五、笛杨咨询的行动指南
5.1 网络安全法合规准备
距离网络安全法生效还有不到一年时间,被指定为关键基础设施运营者的公司需要立即启动合规准备工作。核心任务包括:
(1)进行网络安全风险评估,识别关键计算机系统和潜在风险点。
(2)制定安全事件响应计划,明确事件报告流程和应对措施。
(3)实施必要的技术保护措施,包括访问控制、加密、入侵检测等。
(4)对员工进行网络安全培训,提高安全意识。
(5)建立与专员办公室的沟通渠道,及时了解监管要求。
对于尚未被指定但可能落入管辖范围的公司,建议主动评估自身是否符合关键基础设施的定义,提前做好准备。
5.2 反洗钱信息共享机制的应对
银行需要评估是否参与信息共享机制,以及如何建立内部流程。参与机制的好处是可以获得安全港保护,降低法律风险。但参与也意味着需要投入资源,建立信息共享的操作规程。
笛杨咨询建议银行制定信息共享政策,明确共享信息的类型、共享对象、共享条件,以及信息保护措施。对员工进行培训,确保他们了解信息共享的法律框架,避免因操作不当导致数据泄露或隐私侵权。
5.3 审计质量的强化管理
上市公司和大型企业需要加强审计管理,防范审计失败风险。这包括:聘请具备专业能力和行业经验的审计机构、确保审计委员会的独立性、定期评估审计质量、对审计发现的问题及时跟进、确保整改到位、建立内部举报机制,鼓励员工报告审计过程中的不当行为。
对于审计机构而言,需要加强质量控制,确保审计工作符合专业标准。在承接高风险客户时,进行充分的客户风险评估,确保有足够的能力应对审计挑战。
5.4 监管调查的应对准备
网络安全法生效后,专员办公室将获得广泛的调查权力。公司需要提前准备应对监管调查的流程。这包括:指定专人负责对接监管机构,明确谁有权代表公司接受调查;建立文件管理机制,确保在需要时能够迅速提供相关信息;对员工进行培训,告诉他们如何在调查中保护自己权利的同时配合监管;与法律顾问建立合作关系,确保在调查发生时能够及时获得专业支持。
当500万港元罚款的威慑力与刑事责任的阴影叠加,香港企业的合规责任已经不再停留在“遵守规则”的层面,而是上升到了“证明合规”的高度。网络安全法的出台、反洗钱机制的强化、审计监管的收紧,都在向企业传递同一个信号:合规不是做给别人看的,是让自己活下去的。
那些提前布局、主动合规的公司,将在新规则下获得竞争优势。那些被动应对、等待监管找上门的公司,终将为迟来的合规付出更高代价。
参考资料
1. 香港立法会《保护关键基础设施(计算机系统)条例草案》立法文件(2025年3月):https://www.legco.gov.hk/yr2025/chinese/bills/b202503191.pdf
2. 香港政府《202526年度财政预算案》(2025年2月):https://www.budget.gov.hk/2025/sim/budget45.html
3. 香港《银行业条例》修订本(2025年11月):https://www.elegislation.gov.hk/hk/cap155
4. 香港金融管理局《网络安全指引》(2025年修订):https://www.hkma.gov.hk/chi/keyinformation/guidelinesandcircular/2025/cybersecurity_guidelines
