擬立法保護關鍵基楚設施　議員質疑罰則有否阻嚇力

多個政府系統接連出現「甩漏」，政府建議訂立一條全新的法例，暫名為《保障關鍵基礎設施（電腦系統）條例草案》，以保護關鍵基礎設施電腦系統。立法會保安事務委員會今（2日）討論有關事宜，有議員質疑罰則有否阻嚇力，又質疑外國公司是否能受到規管。

議員陳紹雄指部分中型機構如被指定為關鍵基礎設施，未必有資源去制定和實施與大企業相當的電腦系統安全管理計劃，詢問當局會否提供相關支援措施，又質疑罰款是否有足夠阻嚇力。當局表示如有中小企屬於關鍵基礎設施，創新科技處有科技券資助，條例也有實務守則，另外香港互聯網註冊管理有限公司會提供訓練服務。針對罰則，他指目前罰款50萬至500萬，而內地最高罰款110萬、澳門490萬、新加坡58萬，認為罰則相應。

文件指，擬議條例擬規管的部分必要服務行業現已受其他法定行業監管機構的全面規管，個別更有發出與電腦系統保安有關的指引，鑑於這些法定行業監管機構最熟悉其相關行業的運作和需要，建議這些個別行業監管機構為「指定監管機構」。陳紹雄問及假如必要服務行業的營運者日後未能履行擬議條例的法定責任或違規時，會否受到條例和監管機構本身的雙重懲罰。

當局回應指如有違規，會根據監管機構的做法，因此不會有雙重懲罰，而監管機構本身可以「釘牌」，認為罰則甚至更嚴重。

針對責任方面，當局指營運機構會指名哪個是營運者，如是公營機構，會受到公務員守則問責制，而非公營機構則有相關實務守則，如屬於弄虛作假、遞交假文件，相關人士需要負上個人刑事責任，稱「冇得佢避」。

議員林新強擔心條例落實的情況，指營運者每年需要提交一份電腦系統保安風險評估報告給予專責辦公室，如有問題專責辦公室可以要求書面修正，但詢問專責辦公室有否責任主動檢查營運者是否遞交報告，如沒有交，辦公室能否察覺到，他又詢問傳媒和電台是否屬於關鍵基礎設施。當局強調辦公室有「落實」的責任，必然會檢查機構有沒有遞交報告，而傳媒為個別媒體、電台則透過大氣電波提供廣播服務，他指關鍵基礎設施的判斷是對社會是否有必要性，而電台有必要性，但個別傳媒則要衡量情況，機構會被通知是否屬於關鍵基礎設施。

近日接連有供應機構電腦系統受到入侵，議員吳傑莊指詢問外國公司是否屬於監管範圍內，又指雖然罰則為罰款50萬至500萬港元，但對於大機構而言，500萬港元是「九牛一毛」，質疑對於改善服務是否足夠、對小市民是否有賠償機制。當局指外國公司和本地公司對關鍵基礎設施的定義沒有分別，又指雖然500萬港元可能不算多，但相信公司不會持「500萬(港)你咪罰我囉」的心態，而立例目的並非懲罰，是協助他們做得更好，因此屬於警告式懲罰。當局又指小市民由於機構失誤造成損失，可提出民事訴訟方案處理。

議員田北辰質疑司法上雖然可以監管其他司法管轄區系統，但實際執行上是否能到外國搜證。當局表示電腦系統或會處於外國，但營運者需要確保能夠提供相關資料給當局。

另外，議員黎棟國詢問專責辦公室的人員編制為何，而上訴委員會有多少成員，如委員會成員包括保安專家會否有利益衝突。當局表示專責辦公室大約需要40至50人，首長級專員可能薪級點在首長級第三至第四級，副專員可能為首長級第一級，組成主要來自資訊科技辦公室借調、警方科技罪案調查、法律專家等咩，而上訴委員會會參考其他委員會組成，保安專家全港約有2,000至3,000人，相信能找到適合的人。

政府建議訂立一條《保障關鍵基礎設施（電腦系統）條例草案》，並建議成立一個新的專責辦公室負責執行擬議條例，計劃於今年底前將擬議條例草案提交立法會審議。相關關鍵基礎設施界別包括能源；資訊科技；銀行和金融服務；陸上交通；航空交通；海運；醫療保健；以及通訊和廣播。以及包括其他維持重要的社會和經濟活動的基礎設施。

事故通報及應對方面，擬議條例建議營運者必須至少每兩年一次參與由專責辦公室舉行的電腦系統安全演習；營運者必須制訂應急計劃，並向專責辦公室提交計劃等。就罪行的建議刑罰而言，建議擬議條例的罰則只有罰款。違者可處最高罰款港幣50萬元至500萬元不等，個別罪行也會就持續違法行為處以額外的每日罰款24小時內。