香港企業在《保護關鍵基礎設施(電腦系統)條例》即將生效的背景下 ,企業必須保護其電腦系統應對各種「電腦系統安全威脅」並制定「應急計劃」。雖然條例本身並未明文提及「制裁」或「國家安全」,但在當前地緣政治環境下,業界普遍將美國技術斷供風險視為需要應對的潛在威脅之一。Red Hat 香港、台灣及澳門區資深區域總監文志鋒(Peter Man)的內部訪談中,分享港企如何在中美科技角力中尋找生存與發展之道。
法例倒逼下的技術抉擇
雖然《保護關鍵基礎設施(電腦系統)條例》本身聚焦於網絡安全和系統保護,但在當前複雜的地緣政治環境下,企業和業界專家普遍將其解讀得更為廣泛。「萬一美國技術被切斷」——這個在條例文本中沒有明確提及的情況,卻成為了企業 CEO 們最關心的問題。條例要求企業應對『電腦系統安全威脅』,但什麼構成威脅?對於香港現況,很多企業將技術斷供也視為需要防範的威脅之一。這不是條例明文要求,但已成為業界共識。
條例的要求非常具體。根據規定關鍵基礎設施營運者需要履行三大類法定責任:架構責任(例如設立電腦系統安全管理單位)、預防責任(例如制定安全管理計劃、至少每年進行風險評估、每兩年進行獨立審核、參與安全演習)以及事故通報及應對責任(例如嚴重事故 12 小時內通報,其他事故 48 小時內通報)。
違規者將面臨高達 5,000,000 港元的罰款,以及在持續違規的情況下,每日額外高達 500,000 港元的持續罰款。
當談到具體的風險場景時,Peter 用了一個讓每位老闆都會心驚的比喻:「想像明天香港交易所突然無法開市,或者明天開始馬會不能接受投注,因為核心系統或技術被某些國家所切斷。」是將會是企業災難級的損失。
技術主權覺醒 企業三重風險清單
在地緣政治風險升溫及《保護關鍵基礎設施(電腦系統)條例》雙劍夾擊下,迫使香港企業正視一個更深層次問題:「數碼主權」(Digital Sovereignty)。Peter Man 在訪談中預言:「我想各位會越來越聽得多這個詞語」。
他解釋在當前 IT 環境下,「數碼主權」不再是空泛政治口號,而是關乎企業生存的三重具體風險。他將其清晰地分為三個範疇:
數據主權 (Data Sovereignty)
企業是否能「完全控制你的數據」。Peter 指出,關鍵問題是:「你的數據放在哪裏?安不安全?是否滿足監管機構的需求?」他解釋,有些數據可能被要求強制存放在本地數據中心,有些則容許放在雲端,但必須在本地實體 (entity) 中。因此他認為「混合雲 (Hybrid Cloud) 是最好選擇」,企業可以自由調度數據「上天 (上雲) 或下海 (本地化)」。Gartner 估計到 2027 年 70% 的採用生成式 AI(GenAI)的企業,將把「可持續性」和「數字主權」列為選擇不同公共雲端 GenAI 服務時的首要條件。
技術主權 (Technical Sovereignty)
企業是否「完全理解」自己使用的技術。Peter 以此突顯了開源 (Open Source) 的絕對優勢。他警告使用「閉源軟件 (Proprietary Software)」時,企業是「完全望不到裡面如何運作」,因此很難發現內部是否藏有「間諜軟件」。
相反這正是「open source 最好的地方」。他強調 Red Hat 客戶可以隨時在客戶入口 (customer portal) 下載「每一條源碼 (source code)」,甚至可以「自己 compile 一次」確保 100% 透明。這保障了客戶清楚知道自己在使用什麼技術,不會有任何隱藏。這種透明度亦是為何法國等歐洲國家會公開表態,強調開源是他們確保國家主權的出路。
營運主權 (Operational Sovereignty)
這是 Peter 指出「很多客戶關注的」核心問題所在。「企業是不是在任何情況下,都可以繼續使用你的軟件?」
他描述了企業最擔心的「黑天鵝事件」即供應商因制裁或國安原因等啟動「Kill Switch 」(禁止某個國家客戶使用我的軟件)。Peter 指出這對閉源軟件來說是「致命傷」。
相反這正是開源「最大優點」。他做了一個關鍵區分:閉源軟件的授權是「監察你的使用權」,而開源軟件的授權 (如 Apache License) 是「保障你的使用權」。這意味著,無論發生什麼事——他甚至開玩笑說「外星人侵襲地球」——客戶都不需問準任何人,其軟件可以「繼續使用」,因為開源授權保障了客戶「無限制使用和無限制你的複製」。
Red Hat 在此的角色,正如 Peter 強調:「我們是服務商,我們不是軟件商」。他們提供的服務是基於不受單一政府管制的全球開源社群程式碼,這為企業提供了真正「營運主權」。
俄烏案例讓港企作最壞打算的考量
俄烏衝突後的實際經驗為業界提供了重要的參考案例。雖然香港條例並未涉及制裁應對,但 Red Hat 在俄羅斯面臨制裁後的處理經驗,成為了港企業思考最壞情況的重要借鑒。他們將技術支援的角色,完全轉移給當地合作夥伴後,利用開源軟件不受單一政府管控的特性,讓系統持續運行至今。
Peter 說「港企客戶看到實際案例,企業知道這種準備是可行的、有效的。」
條例實施並非突如其來。雖然正式生效日期是 2026年1月1日,但相關討論和準備工作早在兩年前就已開始。那些提早布局的企業,現在已經完成了大部分準備工作。
市場的反應比許多人預期的更加理性和務實。據 Peter 透露,許多可能受條例影響的企業正在採取「風險分層」的策略,這反映了業界對潛在威脅的自主判斷。
一家大型金融機構的做法很有代表性:他們將系統分為三個層級——核心交易系統採用開源和可替代技術確保萬無一失;次要系統保持現有架構但準備應急方案;非關鍵系統則維持現狀。
AI 轉型的成本陷阱與突圍之道
當話題轉向 AI 時,香港企業面臨的挑戰變得更加具體。「買卡買到窮」——Peter 用這個精準描述了港企在 GPU 採購上的困境。一張高階 GPU 動輒數十萬港元,而訓練一個大型語言模型可能需要數百甚至上千張這樣的顯示卡。對於大多數香港企業來說,這是一個不可能完成的任務。
但香港企業的精明之處正在於此。他們沒有盲目追隨矽谷的做法,試圖從零開始訓練自己的大模型,而是採取了更務實的策略:專注於微調(Fine-tuning)而非訓練(Training),改善推理(Inferencing)效能而非無限擴張算力。這種「輕資產」的 AI 策略,不僅大幅降低了成本,也縮短了部署時間。
更令人意外的是,中資 GPU 廠商的方案已經比許多人想像的更加成熟。據 Peter 透露,有幾家知名的中資廠商已經進入 Red Hat 認證的最後階段,達到了「credible」的水平,意味著客戶已經可以開始實際測試和部署。雖然完整的認證過程需要 3 到 6 個月,包括架構審查、負載測試等,但這為香港企業未來提供了真實可行的替代選擇。
AI 治理的新挑戰
除了成本問題,AI 帶來的治理挑戰同樣不容忽視。「AI 幻覺」——即 AI 模型產生看似合理但實際錯誤的輸出——可能給企業帶來嚴重的法律和聲譽風險。想像一下,如果企業的 AI 系統向客戶提供了錯誤的投資建議或醫療資訊,後果將不堪設想。
因此企業需要的不是讓員工自由使用各種 AI 工具,而是透過統一的平台進行管控。Red Hat 的 OpenShift AI 正是為此而設計,它允許企業中央化管理可用的 AI 模型,確保合規性的同時保持創新的靈活性。
在模型選擇上,香港企業同樣展現出精明的平衡藝術。他們透過 OpenShift 採用了「Any Model, Any Cloud」的策略,例如他們可以既使用 IBM Granite 等國際模型處理全球業務,也能整合通義千問等國內模型滿足國內需求。這種「中西合璧」的做法,避免了被單一 AI 生態系統綁定的風險。
Peter 特別強調了企業普遍採用的「分散投資」理念:「不是說今天用了美國的設備,明天便要馬上搬移或者重新轉買其他的國家的產品。」
香港企業的轉型實踐:從理論到行動
理論終究需要實踐來驗證。在 2025年10月公布的「Red Hat 亞太區創新獎」中,兩家香港企業的獲獎案例正好印證了 Peter 所倡導的轉型路徑。
和記電訊香港在「數碼轉型」類別獲獎,展示了如何透過 Red Hat OpenShift 建立原生雲及「一雲架構」,成功將傳統基建轉型為現代化平台。這個轉型不僅提升了服務靈活度和開發效率,更為未來的 AI 應用奠定了基礎。正如和記電訊技術及營運轉型總裁梁丙曜所言,這個開源基礎讓他們「能更靈活地推出新功能及更有效回應市場需求」,並為發展人工智能做好準備。
香港電訊則在「自動化」類別獲獎,透過內部自動化計劃提升了服務交付速度、縮短系統停機時間,並提高生產力。這正好呼應了 Peter 提到的「改善推理效能」策略——不是盲目追求最新技術,而是透過自動化提升現有系統的效率。
這兩個案例證明,香港企業已經從「恐慌」走向「行動」,在合規壓力來臨前主動布局,透過開源技術建立技術韌性。他們的成功經驗為其他仍在觀望的企業提供了可借鑒的路徑。
左起: Red Hat香港、台灣及澳門區域總經理Peter Man ; 和記電訊(香港)有限公司技術及營運轉型總裁Damien Leong ; 香港電訊 集團資訊科技總監Marcos Chow ; Red Hat亞太區高級副總裁及總經理 Marjet Andriesse
結語:合規壓力下的轉型契機
對於香港企業來說,《保護關鍵基礎設施(電腦系統)條例》既是挑戰也是機遇。它迫使企業正視長期以來迴避的問題,但同時也為企業的現代化轉型提供了明確的方向和動力。那些能夠在防守和進攻之間找到平衡,在合規和創新之間游刃有餘的企業,將在這個新時代中脫穎而出。最重要的是記住 Peter 那句體現業界智慧的話:「最重要是有路走。」 這不是條例的要求,而是企業在不確定環境下的生存哲學。
