政府擬立法向被指明的關鍵基礎設施營運者,施加法定要求,確保他們保障系統,以維持香港社會正常運作。立法會《保護關鍵基礎設施(電腦系統)條例草案》委員會,今早(6日)召開會議,繼續進行逐條審議,有議員關注條例沒有賦權當局直接向外判承辦商取閱資料,或涉漏洞;保安局擬用合理條款處理。
葛珮帆關注「合理需要」會否有更好詮釋
民建聯葛珮帆關注,條例中有關提供資料方面,列明「需要提供進一步關鍵電腦系統的合理需要資料」,問到「合理需要」會否有更好的詮釋,以及提供的資料會否包括敏感數據,如個人資料或商業機密,而若涉及跨境數據又會如何去處理。
她又提到,條例沒有賦權當局向外判服務提供者索取資料,當局會否將其包含在內,更舉例若外判服務提供者擁有的部分資料,是關鍵基礎設施營運者都無權取閱,是否屬於合理的辯解,相關營運者是否違法。
保安局常任秘書長李百全解釋,「合理需要」的資料是以常人理解的「合理」去解釋,而當局擬於實務守則當中列出不同的例子,以解釋甚麼屬於「合理地懷疑」。他亦稱,政府會收取的資料一定是條文內所說明的資料,重申這項政策絕對不會針對個人資料或商業機密,且在履行法例時必定會遵從。
保安局:可外判工作但不能外判責任
至於外判服務提供者,他強調當局明白必須堵塞這個漏洞,而當局的對口是營運者,強調營運者可外判工作,但不能外判責任,而營運者如何去監管外判商,當局建議透過合約的模式處理,具體如何可以落實細節確保這件事,當局會在實務守則中定下要求,令營運者要符合不同類型的責任。
他續稱,第三方的服務提供者若違約時,需支付巨額的賠款,相信這個外判承辦商亦不應違反合約,且當局亦會要求營運者審核使用那些外判承辦商,必須是可信譽的外判商,故當局設計是以不同的方法去作監管。
葛珮帆補充說是討論涉及國家安全的問題,舉例一旦本港的關鍵基礎設施受到攻擊時,一些非正常情況下,當局又很急需取得一些資料時,萬一有外判承辦商因地緣政治關係等,不願意或不能讓政府取得資料時,法例又沒有賦權政府直接向承辦商取得資料,她擔心會出現漏洞。
李百全認同葛的說法,若日後涉及電腦保安安全事故或威脅時,在罪行調查的部分上,條例有處理的方法,包括專員辦公室已有權力去取閱,或部分需要向裁判官拿取手令去取閱等。
記者:郭詠欣
