2020 年 5 月 8 日。

獨家在線。

香港網路安全法例。

網路安全法不是一個單一的、統一的主題。然而,網路安全近年來一直是許多重要法律主題
的最前沿:經常在香港發佈新聞的網路犯罪,以及香港政府計劃在不久的將來加強的數據保護
和隱私保護。

網路安全法律涉及網路安全、保護計算機或系統免受任何未經授權的使用、進入或攻擊的
措施。

由於它由許多法律所有,因此對網路安全法律進行分類的方法之一是查看受其影響的人。在
這篇文章中,我們將從公民、公司和政府的角度考慮最近有關網路安全法律的新聞和辯論。

對於生活在香港的人來說,很少有一個星期沒有關於網上欺詐或駭客攻擊的新聞報導。典型
的計劃包括網上浪漫詐騙,或電話詐騙,針對不知情的內地學生,他們通過將錢轉入某人的帳
戶而成為罪犯的犧牲品,例如,他們相信他們是調查物件。一旦轉移,錢一般很難追查和追回,
因為罪犯往往從海外經營。不過,當錢先到香港銀行帳戶時,警方有時會迅速採取行動,防止
或限制財產損失。這些犯罪大多數是通過電話犯下的,與網路安全無關。但在某些情況下,誘
使某人轉移資金的嘗試是通過網路安全違規和攻擊(例如,首先訪問第一人的郵箱,然後使用
第一個受害者的郵箱向聯繫人發送電子郵件)完成的,從而增加了誘使第二名受害者將資金
轉移給騙子的機會。

在其他情況下,加密貨幣交易所也成為駭客攻擊的目標,Bitfinex 在幾年前的一次入侵中損失
了相當於 7200 萬美元的資產,這是香港駭客案件中有史以來最大的財產損失。

對於這些受害者來說,追回失地財產的機會微乎其微:調查通常難以跨越一個領土的邊界,香
港也不例外。此外,香港處理網路犯罪的法律框架相當簡單,在捕捉現代網路罪犯的行為方面
並不總是有用的。《罪行條例》第 161 條。[1]處理對具有犯罪或不誠實意圖的計算機的訪
問。它規定,"獲得計算機訪問"(這可能包括駭客攻擊,但也包括使用無人看管的人的筆記型
電腦或智慧手機),意圖犯罪,以不誠實的意圖欺騙,為了不誠實為自己或另一個人獲得利益,或
以不誠實的意圖,造成損失給其他人。第 161 條是香港唯一真正的網路犯罪法定條文。立法
者選擇將訪問某人的計算機的行為本身視為犯罪,而不是將網路犯罪(例如網路欺詐)定義為
一種犯罪本身,這很有趣。這與美國形成鮮明對比,例如,國會頒布了第 1343 條,也被稱為
「電匯欺詐法規」。。[2]在香港,侵入某人的電腦竊取該人的銀行帳戶資訊,然後利用該電腦
將錢從受害人的銀行賬戶中轉移出去,構成兩項罪行:第一,駭客本身,受第 161 條懲罰,然後根
據《盜竊條例》可能盜竊。[3]對調查人員和執行者來說,這提出了一個挑戰:要將整個犯罪行
1
為告上法庭,他們必須證明兩種罪行是無可置疑的。由於第 161 條被判處 5 年監禁和 10 年
盜竊罪,檢察官如果不能說服法院連續判刑,很可能將他們的資源集中到證明盜竊罪上,而盜
竊罪的刑期會更重。

順便說一句,終審法院在最近的一個案中確認,第 161 條並不適用於任何人使用其計算機。[4]

在最近這一案件之前,當局一直廣泛依賴第 161 條,作為在計算機或智能手機上犯下的許多
罪行的"全罪",例如秘密拍攝個人私密照片,或如在有關情況下,教師通過手機和學校電腦披露
考試問題。因此,第 161 條被堅決地重新定義為立法者一貫希望的:打擊網路犯罪的工具。

公眾感興趣的網路安全的第二個方面是數據保護和隱私。在香港,這受《個人數據(隱私)條
例》("PDPO")的裁定。[5]它將個人數據定義為"與(a) 直接或間接與活著的個人有關的任何
數據;(c) 與活著的個人有關的任何數據;(c) 與活著的個人有關的任何數據;(d) 與活著的人有
關的任何數據。(d) 與活著的人有關的任何數據。(b) 直接或間接確定個人身份是可行的;(c)
以實際訪問或處理數據的形式。[6]在最重要的方面,法律賦予香港數據主體瞭解收集哪些個
人數據、如何使用這些數據的權利,並賦予他們反對和訪問自己的數據的權利。然而,PDPO
現已接近 25 年,未能跟上其他主要司法管轄區(如歐盟、澳大利亞或加利福尼亞州)的最新發
展。特別是,它對 Cookies 的監管不力(網站和應用程式用來跟蹤我們的行為的小檔)、對同
意的管制不力、每周處罰、缺乏嚴重的域外覆蓋,以及現任個人數據隱私專員 Stephen
Wong 對執法非常友好的方法,意味著 PDPO 在 2020 年不是應對隱私威脅的合適工具。

從公司的角度來看,PDPO 與一般數據保護條例("GDPR")構成的威脅相比顯得微不足道,該
條例是 2018 年歐洲數據保護框架規則,目前所有歐盟成員國都已實施。隨著處罰力度的加
大、域外範圍的強烈、對同意概念的關注、任命數據保護官員為業務內部的數據使用者進
行宣傳的義務,以及"默認隱私"和"設計隱私"的概念,世界上幾乎任何一家規模龐大的公司都
不得不在某種程度上擔心 GDPR。第一批罰款開始打擊企業,其方式肯定會繼續吸引 C-
suite 高管的注意,以:對於任何與歐盟打交道的人來說,不再可能忽視這樣一個事實,即權力平
衡傾斜,無論多麼輕微,都有利於數據使用者。2019 年,谷歌因缺乏透明度、向使用者提供的
資訊不足以及使用者對廣告個人化缺乏具體同意(谷歌的上訴正在進行中),被法國數據保護
監管機構罰款 5000 萬歐元。

在政府層面,最近改革 PDPO 的嘗試可能落定:在旨在加強現有框架的若干創新(增加罰款、

強制通知數據洩露、更廣泛地定義個人數據)中,政府表示,它"深切關注最近一段時間在社會
中發生的多克斯事件」。。,自 2019 年 6 月以來,大量案件提交監管機構。[7]反對派很快將
這一行動確定為支援員警的舉動,因為自 2019 年 6 月以來,在香港發生的抗議活動中,對
dxxing 的指控(洩露一個人的個人資訊)集中在據稱發佈有關香港員警部隊成員的情報的抗
議者上,包括被指控對抗議者實施員警暴力的成員。隨後的立法會會議幾乎完全集中討論了
問題,立法者明確表示,他們不會支援一項被視為親員警的建議。目前,PDPO 建議的未來修
正尚不清楚。
2
除了制定打擊網路犯罪和個人數據及隱私的框架外,一個政府辦公室還負責網路安全:政府首
席資訊官辦公室("OGCIO")。OGCIO 的使命是"保持香港作為亞洲領先數位城市的地位」。
其網路安全工作包括提供政府內部(通過發佈指南)和更廣泛的社區(通過提供資訊和提高認
識)的網路安全資訊和準則。

整體來說,香港是否真的打算成為數碼城市,是否缺乏統一的網路安全制度,甚至缺乏真正的
網路安全法規,都是值得懷疑的。然而,中國的例子可能告訴我們,如果沒有統一的法規,這個
城市可能會變得更好。2017 年網路安全法。[8]在幾個階段生效。它通過對網路運營商實施
安全要求和傳輸禁令,從而有效地強化了數據保護原則,尤其側重於"關鍵資訊基礎設施"。這
項法律被批評為過於嚴格,並可能妨礙外國企業在中國的活動。該法不僅禁止將個人資訊傳
輸到中國境外,而且禁止敏感業務數據,使許多跨境運營商(尤其是外國技術公司)難以將其中
國業務整合到其更廣泛的網路中。很難忽視圍繞法律的地緣政治背景。當看香港政府拙劣
地試圖擴大 PDPO 以打擊打孔,這就提出了一個問題,即是否需要對網路安全進行額外的關
注。