立法會《保護關鍵基礎設施(電腦系統)條例草案》委員會今日繼續審議,會上多名議員關注條例未有清晰列明保障營運者的個人資料及商業秘密原則,選委界江玉歡以新加坡同類條例為例,「人哋明明就有寫,我哋又冇寫,係唔難怪我哋嘅商業機構係會擔心」;新民黨黎棟國擔心出現爭議時會招來司法覆核的風險,「咁咪即係搞到一鑊粥出嚟?」
保安局副秘書長王秀慧表示,留意到有意見要求政府在條例草案上列明不會侵犯個人私隱及公司機密。她重申,立法原則非針對系統中的個人資料以及商業秘密,只會因為需要執行條例底下的職能才要求營運者提供資料,強調是針對系統安全。
江玉歡表示,法例中的不同部分都提及要求營運者提供頗闊的範圍資料,樂見局方在會上再次重申條例非針對系統中個人資料及商業秘密的原則,但質疑「喺條法例上面由底到面都無講到個原則嘅,如果當兩者出現衝突嗰時,咁究竟應該用邊個原則行先呢?」詢問政府如何確保市民及營運者安心。
王秀慧舉例指,如專員處理事故而需要登入營運者的電腦以調查系統事故時,或會要求營運者提供電腦密碼,而電腦密碼可歸類為個人資料之一,但專員非針對個人資料而要求營運者提供密碼,而是為了應變事故要索取資料。
江玉歡追問,營運者能否刪減涉及客戶的資料後,才提供給專員。律政司署理首席政府律師梁文豐表示,在條例草案中,所有要求提交資料的權力都設有嚴謹條件及範圍,包括需要與調查目的有相關性、必要性、公眾利益等。至於營運者能否刪除客戶或商業資料後才提交予專員,梁文豐表示這需視乎監管當局發出的要求範圍,尤其是局方已取得裁判官搜令,裁判官一定已考慮了所需要的文件內容是否必須,已經通過裁判官的把關。
不過新民黨黎棟國依然不滿局方解釋,「條例草案本身,我就未摷得到有文明嘅規定,專員或者執行當局行使法律上賦予佢行使嘅權利嘅時候,佢受唔受『非針對個人資料、商業秘密』約束?」他認為政府有必要在條例草案中清晰列明對營運機構的個人資料及商業秘密的保障,「如果唔係我唔同意你嗰時,咪要搵法官、司法覆核,咁咪即係搞到一鑊粥出嚟。」
王秀慧重申,條例草案本質上處理技術層面問題,而不涉及個人資料,所以在法例下不會寫明立法原則,因為其他司法管轄區都無同樣做法,她又強調專員行使的職能受法例規管。
江玉歡提到新加坡的同類法例中,清晰列明當專員向營運者索取資料時,必須考慮資料是否涉及商業機密、會否危害到企業的合理利益、會否影響個人事務的利益等,「人哋明明就有寫,我哋又冇寫,而你猛咁個口講話有呢啲原則的話,係唔難怪我哋嘅商業機構係會擔心」,懇請局方考慮其意見。
