政府擬立法要求關鍵基礎設施的營運者採取適當措施加強電腦系統保安能力。保安局局長鄧炳強今日(2日)到立法會保安事務委員會介紹立法框架,指絕大部分受規管對象是有規模的大機構,中小企及一般市民不受影響,又指擬議條例只要求營運者承擔責任,包括繳交罰款等。
鄧炳強表示,近年網絡安全事故的數目連年上升,政府建議立法要求基礎設施營運者承擔法定責任,要求其加強關鍵基礎設施的電腦系統的保安能力,減低必要服務因網絡攻擊被擾亂或破壞的可能。
至於何謂「關鍵基礎設施」,鄧炳強表示,這是指一些維持香港社會正常運作和維持市民正常生活所必需的設施,建議擬議條例涵蓋8個提供必要服務界別的基礎設施,包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、以及通訊和廣播。除此之外,政府建議成立一個隸屬保安局的專責辦公室執行擬議條例下的工作。
鄧常強提到擬議條例要求營運者必須在指定時間內向專責辦公室提交報告等。選委界立法會議員林新強關注,專責辦公室會否主動跟進營運者有否有按時遞交年度報告;以及電台、電視台等傳媒機構是否包含在營運者在內。
鄧炳強表示,專責辦公室必然有落實政策的責任,包括監察營運者是否有定時遞交營運及應變報告等,除非營運者有合理辯解,否則會發出指示,甚至違反刑法。至於傳媒是否營運者之一,鄧炳強舉例指電台提供廣播服務,認為電台在常理上應歸類為「對社會運作有必要性」的關鍵基礎設施,但這不代表個別傳媒及報館的電腦系統受到侵擾,也歸類為「政府必需服務受影響」。
鄧炳強又指,專責辦公室將於條例通過後,在8個界別中介定個別機構是否需要納入規管中,不過他強調不會對外公布有哪些機構受規管,解釋因擔心反而成為恐襲目標。
選委界立法會議員陳紹雄關注,擬訂罰則的阻嚇力度是否足夠,又追問如果營運者違反刑法,會否受到雙重懲罰。鄧炳強表示,擬訂罰款為50萬至500萬元,對比其他地方同類條例的罰款後,如內地最高110萬元、澳門最高為490萬元、新加坡最高為58萬等,認為現擬定的罰款適當。鄧炳強又指,金融及通訊機構等受金管局、通訊事務局監管,指不會出現雙重懲罰的情況。
選委界立法會議員陸瀚民提到罰款僅針對機構,而非針對操作關鍵基礎設施的人員,擔心會令人員出現「事不關己」的情況,詢問政府會否設指引守則,建議機構於內部設問責制度。鄧炳強表示,公營機構中的公務員有問責制、非公營機構則有實務手則,又指若相關違規行為涉及觸犯現有刑事法例,例如虛假陳述、行使虛假文書或其他詐騙相關罪行,涉事人員亦有機會負上個人刑事責任。