立會審議保護關鍵設施草案　議員憂出現營運者不知擁有人被勒索

立法會《保護關鍵基礎設施(電腦系統)條例草案》委員會今日(13日)開始逐項審議草案條文。政府指由於關鍵基礎設施擁有人不需要履行法定責任，因此他們不需要得知其業務是否關鍵基礎設施。草案主要規管關鍵基礎設施營運者，有議員擔心或出現營運者不知道擁有人被勒索之類的情況。

議員陸瀚民關注，對於擁有者和營運者較割裂分離的企業，擁有者、外判商會否得知自己的企業是關鍵基礎設施。政府回應指條例針對營運者，其他服務提供者或擁有者因為不需要履行法定責任，因此沒需要得知這個資料。政府又指假如營運者有需要時可以披露自己是關鍵基礎設施，建議營運者通過合約或其他方式保持保密性。

議員江玉歡擔心假如關鍵基礎設施擁有人被勒索、要求交贖金，會否出現營運者不知道而不能通報的情況。政府指情況不是草案需要規管的情景，而是涉及其他條例的情況，擁有人應該同步執法部門。江認為部分人或怕麻煩而不同步執法部門，因此澳洲的條例會列明擁有人需要通報，笑稱：「我知我可以報警。」

上次會議有委員關注披露關鍵基礎設施身份的刑責。政府解釋，草案有保密條文，違反保密規定可被檢控。政府表示，草案沒禁止指明人士以外的人士披露資料，假如有人明知而沒權限披露資料，執法部門可就資料來源及披露方式等，循盜竊及其他刑事罪行方向調查。

另一議員葛珮帆追問，營運者能否根據條例，拒絕提供資料給境外投資者。政府指條例沒規管或干預營運者的溝通，現時條例沒禁止就日常運作必須知道的內容作溝通。政府補充，有要求執法人員保密，但營運者不屬於第三方，所以不在此限。

有委員以電訊服務為例，關注不同公司有不同規模，能否就不同公司的情況提供不同的實務守則。政府稱，實務守則有一定彈性，假如他們未能執行實務守則，也會考慮他們採取了甚麼替代方案。政府說，假如相關替代方案和實務守則相若，政府也會接受，認為變相該公司有度身訂造的實務守則，但是就不同機構制訂各自的實務守則會有違一致性。