網絡安全｜內地八大網安企業落戶香港　數據跨境流通初現雛形

特區政府揚言要把香港打造成為世界級的智慧城市，但很多創科基建落後不說，近月更是接二連三發生不少網絡安全事件，例如數碼港數據外洩、消費者委員會遭黑客勒索、區議會選舉日電子選民登記冊突然故障，引發外界關注香港是否具備成為國際創科中心的能力。隨着內地數字經濟的發展，特區政府也越來越期望通過引進內地網絡科技企業、完善跨境數據流通機制的方式，增強本地網絡服務發展。然而，陸港的數據監管政策仍然存在不小差異，到底如何磨合仍是一大難題。

公營機構存在網安漏洞

統領特區政府內外資訊科技管理的資訊科技總監辦公室（OGCIO），上周四（12月14日）聯同非牟利及非法定機構的香港互聯網註冊管理有限公司（HKIRC），合辦「網絡安全技術論壇2023」。特區政府期望通過引進內地網絡科技企業、完善跨境數據流通機制的方式，增強本地網絡服務發展。

特區政府的資訊保安事故應變機制要求各個政府部門在發生資訊保安事故時，必須向資科辦通報，但諸如消委會等公營機構或數碼港等政府全資擁有的私人公司，則不包含在政府系統之內。然而，公營機構遭遇入侵導致數據洩漏的案例在全球範圍內並不少見，它們往往因為掌握重要數據但安全技術落後而成為黑客的目標。2020年6月，美國加州舊金山大學的醫學院遭遇勒索軟件入侵，好在黑客入侵後不久便被發現，大學迅速隔離系統，因此未有影響校園的核心網絡，但仍然為此付出114萬美元的贖金。

數碼港和消委會的數據外洩事件，喚醒公眾對於網絡安全立法的關注。今年10月18日，署理創新科技及工業局局長張曼莉在書面回覆立法會議員質詢中表示，政府計劃以立法方式訂定關鍵基礎設施營運者的網絡安全責任，現時正在草擬立法框架，並收集業界初步意見；下一步工作將會就立法建議徵詢立法會保安事務委員會，並進行公眾諮詢。至上周四，創新科技及工業局局長孫東出席「網絡安全技術論壇2023」後見記者，再次被問及數碼港數據外洩及區議會選舉日電腦故障後的網絡安全立法進度問題；他表示前者將應行政長官已經要求成立專責小組進行詳細調查，但後者他並沒有正面回應，只表示香港在推動創科發展的過程中難免遇到挑戰，但特區政府的初心不改、計劃不變。

網絡安全立法進度不得而知，但孫東對於如何填補香港網絡安全漏洞似乎充滿信心。他在致辭時表示，特區政府積極與業界合作，透過「科技券」計劃、「網絡安全資訊共享夥伴計劃」等措施支援本地機構及企業進行升級轉型。他特別指出：「國家有八間頂尖的網絡服務科技公司這次也應邀出席活動，而且許多公司已經或者計劃來港開展或進一步擴大業務，與香港社會一道築牢網絡安全保護屏障。」

內地網企促進本地發展

中美貿易戰下，加上疫情催生數字經濟發展，中國一直積極推行「網絡強國」戰略，並且大力發展網絡安全技術。根據國際數據公司IDC的統計，2021年中國網路安全市場規模已經達到122億美元。《日本經濟新聞》與美國資訊服務企業LexisNexis合作、根據國際專利分類「IPC」等選出網路安全領域相關專利得出的排名顯示，截至今年8月，全球前10間專利持有量公司中有6間來自中國；而排在首位的是美國IBM的6,363件，第2位的是中國華為的5,735件，第3位是中國騰訊控股的4,803件。

國際會計師事務所羅兵咸永道今年4月14日發布的《2023年全球數字信任洞察調研中國報告》顯示，73%的中國高管計劃在2023年增加其企業的網絡安全預算，高於全球平均水平的65%；其中，31%的中國公司的網絡安全預算將增加6-10%，而只有23%的全球企業預計有相同水平的增長，9%的中國企業預計將增加15%或以上。

特首李家超在《施政報告2022》宣布成立的引進重點企業辦公室，針對生命健康科技、人工智能與數據科學、金融科技、先進製造與新能源科技等產業引進企業。當局期望通過引進內地網絡科技公司增強本地實力，這與許多內地企業的全球化發展規劃恰好契合。與會企業中的永信至誠科技公司明年落戶香港，其董事長蔡晶晶在會見傳媒時介紹說，公司於2010年成立，主營人才培育和測試評估業務，去年在科創板上市，未來發展必然會走向全球化，而從企業發展科學角度來說，香港是走向全球化最合適的階段。

數據跨境流通初現雛形

蔡晶晶同時在香港專業進修學校（HKCT）兼任教師，他稱與學生交流時，感受到香港的數字化轉型面臨巨大機會，但隨之催生的網絡安全需求缺乏相應人才，他希名下企業可以「授人以漁」，與香港本地的初創企業以及高校進行合作、培養人才。談及香港的優勢，蔡晶晶指出，網絡安全有極強的合規性需求，依賴編程開發人員去遵守安全標準，而香港的金融環境和規則制定有非常好的基礎。對於未來發展，他計劃組建本地化的團隊，但初期的高級管理人員仍是內地資深員工，再慢慢培養和吸收本地人員。

論壇舉辦前一日（12月13日），香港創新科技及工業局與國家互聯網信息辦公室聯合發布《粵港澳大灣區（內地、香港）個人信息跨境流動標準合同》便利措施及先行先試安排，允許大灣區九個內地城市與香港通過標準合同的形式，簡化內地個人信息來港的有關安排。孫東表示，現階段選擇銀行、徵信和醫療三個領域，因為與兩地居民的日常生活關係緊密，且相關行業對個人信息流動的呼聲非常高。他希望相關機構可以在年底前提交簽署標準合同的意向，並在未來幾個月達成協議；如果一切進展順利，有望擴大至其他領域。孫東強調，針對香港個人數據的出境，第一要按照自願原則，必須受到當事人的授權；第二要嚴格受到香港《個人資料私隱條例》的規管。

去年7月孫東上任之初接受《香港01》專訪時，已經透露正與網信辦密切溝通，致力推動內地數據過境香港；事隔一年多，數據跨境的機制終於有了雛形。事實上，從國家政策的層面，對於數據跨境流通的規管，國家態度也經歷了微妙的轉變。

磨合監管差異是大難題

國家在2010年發布首份名為《 中國互聯網狀況 》的網絡白皮書，特別強調「網絡主權」的概念，明確指出「互聯網是國家重要基礎設施，中華人民共和國境內的互聯網屬於中國主權管轄範圍，中國的互聯網主權應受到尊重和維護。」可以說，對國家而言，「網絡安全」與「國家安全」是高度綁定的，所以常常強調「沒有網絡安全就沒有國家安全」。

國家互聯網信息辦公室於2022年8月31日發布《數據出境安全評估申報指南（第一版）》並於翌日實行。根據內地媒體報道，截至今年10月，僅有17家企業的申報通過國家網信辦的審核評估，通過率約1%。不過，值得一提的是，在今年下半年，中國開始有意放寬對數據跨境活動的要求，國家互聯網信息辦公室於9月28日發布關於《規範和促進資料跨境流動的規定（徵求意見稿）》，豁免指定類型的數據出境活動的安全評估，以及數據持有者判斷是否為「重要數據」的義務。此外，出現較大風險或者發生安全事件的數據出境活動時，過去企業需要停止業務，現在則可以先行整改消除隱患，對拒不改正或者導致嚴重後果的才會停止其數據出境活動。

以往由於「重要數據」的判斷標準並不明晰，企業需要背負較高風險。中國歐盟商會於11月15日發布關於中國數據政策對歐洲商業影響的調查報告，指出中國監管部門及標準制定機構長期致力於加強保護個人信息和重要數據，但是由於諸多法律法規和制度準則不夠具體，部分要求過於嚴苛，歐洲在華企業面臨嚴峻的運營、合規難題。商會副主席Stefan Bernhart表示：「自2017年《網絡安全法》出台以來，我們一直沒有對『重要數據』的明確定義。這已經有六年了。」對於數據政策的新變動，他認為是積極信號。

是次在粵港兩地先行先試的跨境數據流通機制，同樣印證了這一積極信號；不過，兩地的數據監管政策仍然存在不小差異。內地數據跨境活動的監管以「安全」為本位，對應的《數據出境安全評估指南》、《個人信息安全出境評估辦法》均強調不可影響國家安全、公共利益與個人信息安全；而香港對數據的監管集中於「私隱」，《個人資料（私隱）條例》第33條規定，將個人資料轉移至香港以外的地方需要滿足指定條件。根據《粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引》，個人信息處理者和境外接收方應分別向各自屬地監管部門履行備案義務，並接受屬地監管機構的監督管理。有關規定能為兩地數據找到適用的監管框架，但如何解決監管重心的差異，還有待後續法規的完善。