保護關鍵設施條例擬設實務守則 立法一年內設專責辦 編制暫定40人

●王秀慧表示,「關鍵基礎設施」的定義包括維持香港關鍵社會和經濟活動的基礎設施,如主要體育、表演場地、科技園區等。圖為啟德體育園主場館外貌。資料圖片
●王秀慧表示,「關鍵基礎設施」的定義包括維持香港關鍵社會和經濟活動的基礎設施,如主要體育、表演場地、科技園區等。圖為啟德體育園主場館外貌。資料圖片

●「關鍵基礎設施」的定義包括能源、資訊科技、醫療、銀行等提供必要服務。圖為伊利沙伯醫院。資料圖片
●「關鍵基礎設施」的定義包括能源、資訊科技、醫療、銀行等提供必要服務。圖為伊利沙伯醫院。資料圖片

  《保護關鍵基礎設施(電腦系統)條例草案》在醞釀兩年多後,踏入審議階段。保安局副秘書長王秀慧昨日在立法會《保護關鍵基礎設施(電腦系統)條例草案》委員會首次會議上表示,保安局計劃在條例通過後一年內成立專責辦公室,負責指定營運者、制定《實務守則》等,隨後在半年內分階段制定營運者名單,辦公室編制設有專員,帶領來自數字政策辦公室和警務處的專家,還包括處理文件及諮詢的文職人員,初步計劃有約30人至40人。同時,特區政府希望通過《實務守則》令基礎設施避免國安風險。●香港文匯報記者 蔡學怡

  王秀慧在會議上介紹,「關鍵基礎設施」的定義包括兩類,第一類是能源、交通、資訊科技、醫療、銀行等提供必要服務,第二類則是維持香港關鍵社會和經濟活動的基礎設施,例如主要體育場地、表演場地、科技園區等。

  王秀慧:法定責任分三大類

  《條例草案》下的法定責任分三大類,包括架構責任、預防責任和事故通報及應對責任。「關鍵基礎設施營運者」須設立專責管理單位,監督其電腦系統的安全,並採取預防措施,加強它們應對網絡攻擊的韌性。當有電腦系統安全事故發生時,營運者須向負責執行條例的專責辦公室報告,同時按其提交的應急計劃,自行採取應對措施,還原系統。專責辦公室在有需要時可提供適時協助,採取補救措施,控制問題和減低影響其他關鍵基礎設施的機會,從而令香港社會運作和市民生活維持正常。

  「諮詢文件時,緊急嚴重事故是要兩小時匯報,很多業界擔心太趕,就事故的定義他們都很擔心,無論事無大小都要匯報。匯報要求是頗主流意見,我們在條例修訂放寬了匯報時限,嚴重事故是12小時、其他48小時。」王秀慧說。

  她表示,條例草案採取「機構為本」的方式 ,以負責營運每個關鍵基礎設施的機構為一個單位,保護其「關鍵電腦系統」。營運者在香港或從香港連接到系統服務,且其對基礎設施的核心功能屬必要,即便該服務由海外提供,亦在監管範圍內。

  議員陳恒鑌關注到法例域外效力的問題。王秀慧表示,該條例要求身處香港的服務營運者提供資料,不會直接要求境外的服務營運者,因為該條例不具備域外效力。如果營運者通過失蹤或其他方式逃避責任,營運者須負刑責,專責辦亦可派員作出補救措施或申請搜索令。

  盼「守則」令基礎設施避免國安風險

  在罰則方面,保安局提交委員會的文件中指,針對指定營運者的最高罰款為50萬元至500萬元不等,如屬持續罪行,罪行持續期間的每日額外罰款最高為5萬元至10萬元不等。

  議員吳傑莊認為,當前地緣政治緊張,部分國家對港實施所謂「制裁」,詢問該條例會否為營運商提供幫助,針對可能出現的「停供」情況。

  王秀慧回應時表示,特區政府希望通過《實務守則》令基礎設施避免國安風險,在營運者採購時提出建議,包括避開涉及戰爭、局勢不穩、有政治風險的國家或地區。

  被問及倘有人洩露保密的基礎設施營運者名單,王秀慧表示,現行法例僅針對公職人員洩露,將再研究。

  1月13日下午的下一次會議上將對該條例進行逐條審議。委員會亦決定,公眾能以書面形式表達意見,截止日期為1月21日。