立法會《保護關鍵基礎設施(電腦系統)條例草案》委員會今日(13日)進入逐條審議,有議員關注關鍵基礎設施的擁有者以及營運者的權責問題,保安局副秘書長王秀慧表示,法定責任只針對營運者,但日後會頒布實務守則,列明營運者如向任何人披露身份時,要確保被披露者保密資料。另外,就是否應向公眾預警事故,當局表示毋須「一刀切」處理,如事故有可能對廣泛公眾造成嚴重影響,可按需要公布。
王秀慧:只列「關鍵基礎設施」界別 不會公布相關資料
條例草案目的是保障香港關鍵基礎設施的電腦系統安全;規管該等基礎設施的營運者;就調查和應對該等電腦系統的電腦系統安全威脅及事故,訂定條文。
就能否在沒有合法權限下披露某基礎設施,或營運者的身份,王秀慧表示《條例草案》規定指明人士除在特定情況下,不得披露其獲悉的資料,而基於保安考慮,《條例草案》只會列出「關鍵基礎設施」的界別,政府不會對外公布相關資料。
民建聯陳恒鑌詢問,如要將某項基礎設施列為關鍵設施,專員是否會通知擁有者,而擁有者會否不知設施已被列入關鍵基礎設施。他再進一步詢問,如擁有者毋須負上任何責任,會否有條例列明任何人,包括擁有者不能干預營運者遵守專員的指示,以及遵照指示當中衍生的費用問題由誰負責。
王秀慧回應指,法定責任只針對營運者,但如履行法定責任時,需要額外資源、聘用服務,而需披露營運者身分,會在日後頒布實務守則,列明如向任何人披露身分時,要確保被披露者保密資料。
不會一刀切對擁有者施加法定責任
至於會否向「關鍵基礎設施」的擁有者施加責任,她表示基於不少「關鍵基礎設施」的擁有者均為上市公司、控股公司或基金公司,該類公司擁有者或股份持有者未必會直接參與營運「關鍵基礎設施」,政府認為不適合一刀切在《條例草案》下對擁有者施加法定責任。
就應否向公眾披露事故,當局認為不需要列明「向公眾發出有關電腦系統安全事故等事宜的預警」職責,委員會主席簡慧敏詢問有關法律原意。王秀慧表示,有關做法符合法例原意,因關鍵基礎設施很多時和市民大眾息息相關,政府不能排除發生事故時,會很大程度上影響公眾,因此可能會有需要向公眾公布,舉例指如服務中斷等情況,不過有部分情況,作為營運者需要溝通計劃,因此她表示整體而言,毋須「一刀切」規定就每一個事故向公眾作出預警。
另外,選委界江玉歡提出情境,指如關鍵基礎設施擁有人被勒索、需要支付贖金,但按照條例,擁有人沒有責任理會,而營運者亦不知道此事,質疑條例是否有漏洞。王回應指,有關情況有其他刑事條例處理,建議有關人士先報警。
當局亦強調《條例草案》的執行並沒有域外效力,因《條例草案》是對在香港的營運者作出規管和施加責任,完全符合「屬地原則」,並不涉及域外效力。不過,當局表示如專員向裁判官申請手令,該手令並不能在香港境外行使。
記者:曾卓琳
