就《建構安全城市》議案修正案發言稿
1. 主席,多謝陳健波議員今天提出的《建構安全城市》原議案。這個多星期,我不知道被多少本地和國際傳媒,或者是市民、朋友,都問我香港的網絡安全嗎?我就趁這機會,向大家解釋一下我對香港網絡安全的看法。
2. 前美國中情局員工斯諾登先生,選擇來香港爆料,先揭露美國政府情報組織的PRISM稜鏡計畫,據他所說,已經令美國政府能夠進入多個不只是美國人和一些美國電話公司的系統,甚至全世界網民都普遍使用的互聯網公司的服務,取得網民通訊的元數據(metadata)。因為互聯網是無國家邊界的,美國政府這樣做已經侵犯了包括香港用戶在內的全球網民的私隱。
3. 跟住斯諾登向香港報紙提出的資料,就更加令香港人關注,他說美國監察的目標更包括香港的大學、公職人員甚至學生,甚至說入侵香港電腦有百分之七十五的成功率。不過,斯諾登至今提出的資料,都是比較零碎的一面之辭,沒有可以驗證的詳細資料,我可以說電腦保安的專家是沒有足夠資料去證實或否定他的說法。
4. 香港的電腦網絡是否安全?中文大學的電腦系統是否安全?我可以夠膽在此說,安全!以全世界民用互聯網技術而言,香港的大企業、重要設施和公共機構,我對他們的網絡安全水平,仍然是有信心的。不過,一般民用甚至政府機構使用的電腦網絡保安系統和技術,是否足夠偵察得到有國家機器資助的情報機關的入侵,這是任何人都難以保證的。
5. 這不代表我們可以掉以輕心,我認為我們仍然有幾方面改善需要。首先,即使我們的大機構、政府和重要設施有重視他們的網絡保安,我們的中小企和個人電腦的情況,情況就差得多;過去已有不少研究報告指出,香港的中小企的網站和伺服器的保安不足,市民的電腦很多亦利用設防。如果我們要驚,這才是要驚的地方,不是大學或互聯網交換中心,雖然我強調他們不可以掉以輕心。
6. 第二,就是我的修正案提出的,重新啟動政府於2000年成立但之後停止運作的「電腦相關罪行跨部門工作小組」。我提出這修正案,是在爆出斯諾登事件之前,這並不是我的先見之明,而是根本多年來業界的資訊保安專家的要求。
7. 這個跨部門小組,可以講返當年政府因應電腦使用日漸普及,認為有必要關注電腦罪行,所以就成立一個跨部門小組,用了半年時間研究,出了一份報告,提供57項建議,政府基本都取納左意見,都做左唔少跟進工作,例如現時我地見到的HKCERT(香港電腦保安事故協調中心),就係呢個報告出台之後成立的。
8. 之不過,當年已經係講緊2000年的事情,十三年前了!當年,USB「手指」都未普及,未有facebook、微博、WeChat,今天已經講雲端服務了;當年,市面未出現智能電話,未開始提供3G服務,今天已經是4G LTE。現在的電腦發展環境,已經唔係當年的報告可以想像得到,現時政府對資訊保安方面的政策是否已經過時?使用的科技未必有問題,但政策有需要與時並進!
9. 的確,政府資訊科技總監辦公室在2005年成立了「互聯網基建聯絡小組」,不過,業界向我反映,他們的工作是不足夠的:第一,小組連定期會議都無,幾個月半年先開一次會;第二,聽講他們最緊張只會在「重要日子」,像施政報告和財政預算案前,或者有什麼大事件好似奧運會等,之前看看網絡流量,無問題就算;第三,小組有個報告大型事故的機制,但幾乎無啟動過。
10. 這個聯絡小組,是有它的作用,但主要在於恆常運作,不在於訂出政策改革。這正是那個2000年的跨部門小組不同之處,而那個小組最重要的地方,是跨部門。雖然現時的聯絡小組也有數個部門的代表,但始終他們不能有效建議及落實跨部門改革的建議措施。
11. 去年十一底,我提出的書面質詢,所收到保安局的答覆,對重新啟動跨部門資訊保安跨部門工作小組,只是說沒有需要, 大意就係已同業界做好溝通交流,法例已經足夠應付現今情況。業界向我表達,是不足夠的,特別在現在斯諾登事件後,我希望政府會重新考慮,開放地考慮,爭取令市民對香港的網絡安全重拾信心。
12. 主席,電影《蜘蛛俠》有一句金句,我是很喜歡的:「能力越高,責任越大。」今天每個用戶手上的上網手機、平板電腦、筆記型電腦,每個都被三十年前上太空的太空人用的電腦更強,但我們的個人和部分企業用戶卻不肯自己保護自己,以為只要要求政府做好保護我們就得,以我對電腦網絡少少認識,我可以告訴大家,使不能的,有些東西是要自己保護自己的,我們每個網絡用戶不能推諉自己應付的責任。
13. 如果斯諾登事件可以給我們一個警號,就是政府必須要平衡社會安全和運作需要,同埋保護市民私隱和網絡自由表達權利。這個平衡,就是要對政府的任何網絡監察和截取通訊,保留要有足夠透明度和問責的監察制度。
14. 所以,香港要有網絡安全,市民要做市民應該做的,保護自己,政府要設立機制,保障足夠的透明度和問責,依業界要求,是盡快成立這個審視資訊保安新政策的跨部門工作小組。
15. 主席,我希望政府可以正視資訊保安的問題。請各位同事支持我今日動議的修正案,本人謹此陳詞。
2. 前美國中情局員工斯諾登先生,選擇來香港爆料,先揭露美國政府情報組織的PRISM稜鏡計畫,據他所說,已經令美國政府能夠進入多個不只是美國人和一些美國電話公司的系統,甚至全世界網民都普遍使用的互聯網公司的服務,取得網民通訊的元數據(metadata)。因為互聯網是無國家邊界的,美國政府這樣做已經侵犯了包括香港用戶在內的全球網民的私隱。
3. 跟住斯諾登向香港報紙提出的資料,就更加令香港人關注,他說美國監察的目標更包括香港的大學、公職人員甚至學生,甚至說入侵香港電腦有百分之七十五的成功率。不過,斯諾登至今提出的資料,都是比較零碎的一面之辭,沒有可以驗證的詳細資料,我可以說電腦保安的專家是沒有足夠資料去證實或否定他的說法。
4. 香港的電腦網絡是否安全?中文大學的電腦系統是否安全?我可以夠膽在此說,安全!以全世界民用互聯網技術而言,香港的大企業、重要設施和公共機構,我對他們的網絡安全水平,仍然是有信心的。不過,一般民用甚至政府機構使用的電腦網絡保安系統和技術,是否足夠偵察得到有國家機器資助的情報機關的入侵,這是任何人都難以保證的。
5. 這不代表我們可以掉以輕心,我認為我們仍然有幾方面改善需要。首先,即使我們的大機構、政府和重要設施有重視他們的網絡保安,我們的中小企和個人電腦的情況,情況就差得多;過去已有不少研究報告指出,香港的中小企的網站和伺服器的保安不足,市民的電腦很多亦利用設防。如果我們要驚,這才是要驚的地方,不是大學或互聯網交換中心,雖然我強調他們不可以掉以輕心。
6. 第二,就是我的修正案提出的,重新啟動政府於2000年成立但之後停止運作的「電腦相關罪行跨部門工作小組」。我提出這修正案,是在爆出斯諾登事件之前,這並不是我的先見之明,而是根本多年來業界的資訊保安專家的要求。
7. 這個跨部門小組,可以講返當年政府因應電腦使用日漸普及,認為有必要關注電腦罪行,所以就成立一個跨部門小組,用了半年時間研究,出了一份報告,提供57項建議,政府基本都取納左意見,都做左唔少跟進工作,例如現時我地見到的HKCERT(香港電腦保安事故協調中心),就係呢個報告出台之後成立的。
8. 之不過,當年已經係講緊2000年的事情,十三年前了!當年,USB「手指」都未普及,未有facebook、微博、WeChat,今天已經講雲端服務了;當年,市面未出現智能電話,未開始提供3G服務,今天已經是4G LTE。現在的電腦發展環境,已經唔係當年的報告可以想像得到,現時政府對資訊保安方面的政策是否已經過時?使用的科技未必有問題,但政策有需要與時並進!
9. 的確,政府資訊科技總監辦公室在2005年成立了「互聯網基建聯絡小組」,不過,業界向我反映,他們的工作是不足夠的:第一,小組連定期會議都無,幾個月半年先開一次會;第二,聽講他們最緊張只會在「重要日子」,像施政報告和財政預算案前,或者有什麼大事件好似奧運會等,之前看看網絡流量,無問題就算;第三,小組有個報告大型事故的機制,但幾乎無啟動過。
10. 這個聯絡小組,是有它的作用,但主要在於恆常運作,不在於訂出政策改革。這正是那個2000年的跨部門小組不同之處,而那個小組最重要的地方,是跨部門。雖然現時的聯絡小組也有數個部門的代表,但始終他們不能有效建議及落實跨部門改革的建議措施。
11. 去年十一底,我提出的書面質詢,所收到保安局的答覆,對重新啟動跨部門資訊保安跨部門工作小組,只是說沒有需要, 大意就係已同業界做好溝通交流,法例已經足夠應付現今情況。業界向我表達,是不足夠的,特別在現在斯諾登事件後,我希望政府會重新考慮,開放地考慮,爭取令市民對香港的網絡安全重拾信心。
12. 主席,電影《蜘蛛俠》有一句金句,我是很喜歡的:「能力越高,責任越大。」今天每個用戶手上的上網手機、平板電腦、筆記型電腦,每個都被三十年前上太空的太空人用的電腦更強,但我們的個人和部分企業用戶卻不肯自己保護自己,以為只要要求政府做好保護我們就得,以我對電腦網絡少少認識,我可以告訴大家,使不能的,有些東西是要自己保護自己的,我們每個網絡用戶不能推諉自己應付的責任。
13. 如果斯諾登事件可以給我們一個警號,就是政府必須要平衡社會安全和運作需要,同埋保護市民私隱和網絡自由表達權利。這個平衡,就是要對政府的任何網絡監察和截取通訊,保留要有足夠透明度和問責的監察制度。
14. 所以,香港要有網絡安全,市民要做市民應該做的,保護自己,政府要設立機制,保障足夠的透明度和問責,依業界要求,是盡快成立這個審視資訊保安新政策的跨部門工作小組。
15. 主席,我希望政府可以正視資訊保安的問題。請各位同事支持我今日動議的修正案,本人謹此陳詞。
經修正後最後通過的議案
雖然香港表面上是一個安全城市,但由於部分城市設施老化、市民安全意識鬆懈及有政府部門執法不嚴等,近年各類型的意外事故不斷發生,例如職業傷亡個案頻繁,甚至發生嚴重的火災及海難事件,部分個案更造成大量傷亡;事實上,中國城市競爭力研究會在過去兩年的研究報告已把本港排除於中國最安全城市排行榜之外;就此,本會促請政府成立跨部門委員會,全面檢討本港現行各項涉及城市安全的法例,包括職業安全法例和相關的僱員補償法例,督促各部門改善執行情況,並制訂安全城市發展政策,以全面提升本港的城市安全;另一方面,鑒於本港的基礎建設與社會的日常運作大都倚賴電腦系統和互聯網,若有關系統遭受惡意攻擊,將會後果堪虞;就此,本會亦促請政府重新啟動於2000年成立但其後停止運作的電腦相關罪行跨部門工作小組,重新就已經轉變的網絡環境與可能發生的資訊系統保安威脅,作出檢討和落實相關的跟進工作;當局亦須確保大型基建不會破壞附近樓宇結構,以保障居民安全;此外,本會促請政府參考世界衞生組織‘安全社區’計劃的概念及聯合國婦女發展基金會對保護全球城市婦女的有效措施,將女性安全問題納入城市規劃中,推廣城市安全文化,全面防止意外發生。
(我的修正案以下加單橫線標示。)
posted by Charles Mok @ 8:00 PM
0 Comments:
Post a Comment
<< Home