網絡安全立法 須平衡個人自由

評論‧世情 2021/10/21

分享:

香港特區政府擬推行「保障網絡安全法」,要求私營企業、法定機構及政府部門遵守網絡安全規定。這項法律將提供一個宏觀框架,規範企業和機構,主要是水、電力、交通等大型公共機構,加強自身信息系統的安全性,例如依法制定安全指南、應急計劃或事故報告機制等。

信息和通信技術(ICT)發展一日千里,並成為社會運行所借助的系統基礎,在金融、醫療衞生、能源、交通運輸等與市民生活息息相關的領域發揮核心的作用,加強電子網絡安全保護的確有其迫切性需要。但更重要的一點是,社會必須對網絡安全的問題本質,有一個清晰認識和理解,這樣才能對問題作出有效和符合社會利益的政策選擇。

法例僅提供框架 缺執行細節

一般而言,網絡安全的立法,大多只提供一個整體性法律框架,條文比較籠統,例如要求機構或企業必須保證其信息系統有採取安全措施、定期進行安全測試等。問題是,這些機構和企業面對的挑戰,往往是網絡安全法缺乏細節,去告訴它們需要遵守甚麼具體規矩,或使用甚麼系統以確保資訊安全,對於各機構或企業的不同運作或商業流程,所牽涉的資料處理需要和不同的安全考慮,亦往往無法作出具體要求或顧及,使網絡安全法出現空隙性弱點。根本的原因,觸及到網絡安全問題的本質。

誠然,保障網絡安全的立法,絕對是一件好事。不過,立法其實只是整個安全保護網的一部分,是其中的「配套」。

環顧世界多個城市,網絡保安事故最大的風險因素,是基建公司,包括交通、電力、水、煤等公共事業機構。牽涉這些機構的網絡事故影響重大,例如今年5月,負責提供美國東岸逾4成燃油運輸的Colonial Pipeline遭到黑客攻擊及勒索,事故影響東岸汽油、柴油和航空燃油的運輸,使Colonial Pipeline不得不緊急關閉超過8,851公里、從得州一路延伸到新澤西州、每天可以運送250萬桶油的管綫,個別城市甚至出現停電,影響之巨大由此可見。

醫療機構的網絡安全也不容忽視,如果一間醫院的病人資料儲存系統遭黑客「鎖死」,醫護人員無法閱覽病人的病情資料,勢必出現影響病人生死的致命性風險。對於這類機構或重要信息基礎設施業者(critical information infrastructure operator,CIIO),立法規定要其履行網絡安全的法律責任,保障大眾或客戶的網絡安全利益,是必須的,也是政府的施政責任。

用戶互聯 網絡攻擊漪漣式破壞

看深一層,網絡安全帶有經濟學上的「外部性」(Externality)問題。目前,由港府開發的「醫健通」電子平台,旨在為全港市民建立免費和終身的電子健康紀錄,公營和私營醫護機構可以通過「醫健通」電子平台雙向互通紀錄,反映一個網絡下可以存在眾多連接性的平台參與者,並互相勾連。假設其中一間私營醫護機構的系統受黑客入侵,資料被盜取或篡改,不僅會影響到該機構本身,還會把負面後果外溢到其他機構以至醫生,造成漪漣式擴大的破壞後果。

因此,個別機構或企業在考慮自身網絡系統安全性的同時,還必須把網絡安全的「外部性」問題一併認真考慮和衡量。可以看到,網絡安全是需要進行「集體維護」,包括機構、企業和服務使用者(客戶),大家都需要有警惕網絡安全的意識、集體維護安全的責任,把防禦網絡安全風險,進行責任分配。

每間機構和企業都有其營運方式,所存資料的不同用途和儲存方式,法例顯然無法巨細無遺地全面顧及。因此,個別機構或企業要作出具體而周全的網絡安全保障,只能自行聘請專業的網絡安全服務公司,為其度身訂造安全方案,這一點也體現了網絡安全法「無能為力」的弱點所在。如何紓解這個弱點?

預裝「綠壩」 生產商用戶強烈反對

記得2009年6月,中國工業和信息化部(工信部)提出構建綠色、健康、和諧的網絡環境,要求境內生產銷售的電腦出廠時,預裝「綠壩」軟件;進口電腦在內地銷售,同樣要預裝「綠壩」,結果受到生產商和用戶強烈反對,工信部也將此要求取消。

在個別電腦上預裝這種軟件,對用戶的上網行為進行「過濾」,雖然可以有效打擊網絡犯罪行為,保障網絡安全,但這種極端做法,無疑會削弱個人上網行為的自由權利,反映網絡安全的保障,往往與個人行為自由權利有「天然性衝突」的矛盾。

筆者對網絡安全問題的研究發現,安裝了這類軟件,也不一定收政策之效,因為當一項政策措施帶來不便或滋擾,使用者或用戶便會千方百計規避。例如,政府建立網絡安全防護及審查系統的「防火牆」,對公共網絡系統進行監控和登入瀏覽限制,這種對上網行為自由的強烈約束,最終引起有人利用虛擬私人網絡(VPN)作出「翻牆」之舉。精通資訊科技的人,當然可以成功安全「翻牆」,但普通網民則可能因跟風「翻牆」,墮入網絡保安的陷阱,被捲入網絡安全風險的風眼之中。

網民跟風「翻牆」 恐墮陷阱

很顯然,網絡保安是一個相當複雜的議題,如何平衡網絡保安的集體需要以及個人行為自由的權利,不僅是一個「平行綫」的定點選擇問題,箇中所牽涉的人類深層價值,既不能馬虎處理,也不是「非黑則白」的二元選擇。

不少學術研究對這個問題進行深入探討,有學者提出,以各方所得的社會福利「效益」進行量度,即把措施或立法引致社會各方受到的負面影響減至最少,同時把各方受到的正面影響進行「效益」極大化,據此進行平衡與取捨。

對於網絡安全的保障問題,目前不少研究人員或機構服務提供者往往只側重保安措施或運作是否對症下藥,但筆者的研究發現,有效的網絡保安無法單方面獨力達致,而是用戶和機構服務提供者雙方、或者說集體維護才能達到。

因此,當政府提出一些強力保安措施甚或立法,必須考慮到用戶一方的反應。一旦用戶出現「政策反感」、或不願意接受保護措施對行為自由的過度限制,便會千方百計繞過這些措施,如此不僅措施或立法無效,更把用戶推向一個更危險的網絡安全風險。所以,對於網絡保安的措施或立法,必須慎行,在網絡安全和個人網上行為自由權利之間,作出均衡而合理取捨的政策抉擇!

網絡保安的措施或立法必須慎行,在網安和個人網上行為自由權利之間,作出均衡而合理取捨的政策抉擇。(資料圖片)

撰文 : 許佳龍 科大商學院資訊、商業統計及營運學系講座教授、艾禮文家族商學教授

欄名 : 評論

緊貼財經時事新聞分析,讚好hket Facebook 專版