Суперечки навколо нового законопроєкту Гонконгу про кібербезпеку
Повноваження органів влади щодо розслідування є надмірними та безпрецедентними
Зображення Oiwan Lam з елементами Canva Pro.
20 серпня уряд Гонконгу виступив із заявою у відповідь на звіт агентства Bloomberg про нове законодавство міста у сфері кібербезпеки, зокрема про законопроєкт щодо захисту критичної інфраструктури (критичних комп'ютерних систем), звинувативши агентство в упередженості. Запропонований 2 липня 2024 року закон спрямований на захист критичної інфраструктури (КІ) Гонконгу від кібератак, спрямованих на критичні комп'ютерні системи (ККС) КІ, а громадські консультації щодо нього завершилися 1 серпня.
У нещодавньому повідомленні від 21 серпня агентство Bloomberg процитувало критиків і підкреслило,
Запропоновані зміни надають органам влади надто широкі повноваження, які можуть поставити під загрозу доброчесність постачальників послуг і підірвати довіру до цифрової економіки міста.
З іншого боку, уряд підкреслив, що з 53 отриманих ним консультаційних матеріалів 52 підтримують законопроєкт і містять конструктивні пропозиції.
Отже, які ж суперечки точаться навколо запропонованого законопроєкту? Розгляньмо деякі з його критичних зауважень та конструктивних пропозицій.
Сфера КІ є занадто широкою
Законопроєкт розділив критичну інфраструктуру на дві категорії. Перша категорія охоплює вісім секторів: енергетику, інформаційні технології (ІТ), банківські та фінансові послуги, наземний транспорт, повітряний транспорт, морський транспорт, охорону здоров'я, зв'язок та телерадіомовлення. Друга категорія охоплює інфраструктуру для підтримки важливих видів суспільної та економічної діяльності.
Як зазначає ARTICLE 19, міжнародна група захисту свободи слова, визначення ІТ в першій категорії є занадто широким, щоб включати їх до критичної інфраструктури.
Американська торговельна палата (AmCham) також рекомендувала у своєму поданні на консультації вилучити ІТ-сектор зі списку критичної інфраструктури, оскільки це сектор постачальників послуг, який зазвичай виступає третьою стороною, що не має повноважень приймати рішення від імені власника комп'ютерної системи.
Хоча уряд захищався, заявляючи, що новий закон регулюватиме лише визначені організації критичної інфраструктури (ОКІ), а не перелічені сектори, повноваження визначати ОКІ належить до компетенції майбутнього офісу Комісії, у той час як визначення КІ та CCS залишається незрозумілим згідно із законопроєктом. Американська торговельна палата закликала надати чітке визначення КІ та CCS та конкретно запропонувала таке визначення:
Якщо в певному секторі є кілька організацій, що надають практично однакові послуги або експлуатують подібну інфраструктуру, серйозність, інтенсивність і масштаби впливу перебоїв у наданні послуг або в роботі інфраструктури будуть обмеженими, а отже, інфраструктура, на яку спрямована атака, не повинна розглядатися як КІ.
Екстериторіальні наслідки й правові колізії
У пропозиції також зазначено, що майбутні закони застосовуватимуться до всіх CCS, «незалежно від того, чи вони фізично розташовані в Гонконзі, чи ні».
Палата підкреслила, що екстериторіальні наслідки призведуть до правових колізій, оскільки ОКІ можуть порушувати закони однієї країни, якщо вони дотримуються законів Гонконгу. Американська торговельна палата рекомендувала, щоб закон застосовувався до КІ та CCS у межах міста. Вона застерегла:
By extending the proposed legislation to infrastructures and computer systems situated outside Hong Kong, it is disproportionate to the regulatory purpose, and may result in regulatory fragmentation and lead to higher compliance costs and deter multinational companies from operating businesses and investing in Hong Kong.
Надмірні повноваження слідчих органів
Запропонований закон надасть місцевим органам влади повноваження розслідувати інциденти, пов'язані з ІТ-директорами, шляхом постановки запитань, запиту інформації, входу в приміщення, доступу до відповідних комп'ютерних систем та їх перевірки тощо.
ARTICLE 19 такі повноваження називає надмірними і підкреслює, що обов'язкове розкриття «дизайну, конфігурації та операцій безпеки комп'ютерних систем може бути прирівняне до розкриття комерційної таємниці».
У Додатку ІІ законопроєкту зазначено, що якщо ІТ-директори не виконають запити поліції, слідчі органи можуть навіть «підключити обладнання до КІ або встановити програму в CCS».
Палата назвала такі повноваження «безпрецедентними» та наголосила, що вони «можуть мати значний вплив на діяльність ІТ-директора та завдати шкоди користувачам послуг, що надаються ІТ-директором».
Ми вважаємо, що запровадження цих повноважень, ймовірно, матиме негативний вплив на інвестиції в технології та цифрову економіку Гонконгу, а також підірве довіру до постачальників послуг, які працюють у Гонконзі.
Американська торговельна палата також рекомендує уряду оприлюднити «вичерпний перелік дій», які можуть бути здійснені за вказівкою ІТ-директора.
Підзаконні акти та Кодекс усталеної практики (КУП)
Запропонований закон також уповноважує Секретаря з питань безпеки вносити зміни до закону шляхом прийняття підзаконних актів з кількох аспектів, включаючи визначення сектору КІ, перелік обов'язкової інформації, що підлягає розкриттю ІТ-директорами, сфери застосування планів управління безпекою комп'ютерних систем, аудиту безпеки, оцінки ризиків та планів реагування на надзвичайні ситуації, а також зміст та строки подання обов'язкового звіту про інциденти безпеки.
Аналогічним чином, Офіс Комісії буде уповноважений видавати керівникам ІТ-дирекціям рекомендації щодо дій та стандартів, які вони повинні застосовувати в обов'язковому звіті про інциденти безпеки, аудиті безпеки, управлінні, оцінці, механізмах моніторингу тощо.
Як ARTICLE 19, так і Американська торговельна палата зазначили, що підзаконний акт буде прийнятий в обхід законодавчого органу та громадських консультацій.
На тлі імплементації Закону про національну безпеку, який призводить до ліквідації незалежних ЗМІ та громадянського суспільства, Майкл Кастер, керівник цифрової програми в Азії ARTICLE 19, попередив, що «запропонований законопроєкт про критичну інфраструктуру, схоже, більше спрямований на те, щоб закрити додаткові прогалини в свободі інтернету, ніж на вирішення справжніх викликів кібербезпеки».
About Author
