【獨媒報導】《保障關鍵基礎設施(電腦系統)條例草案》,顧名思義就是保障關鍵基礎設施的電腦系統,但在立法會保安事務委員會上,工聯會鄧家彪就問到,若果有人「搞我哋東江水水管」,會否因為不涉及電腦系統而不受《條例》監管。保安局局長鄧炳強回答指,《條例》只管理電腦安全,不包括實體安全,責任在於機構本身,「唔會由政府去包」。

立法會保安事務委員會今午討論「加強保護關鍵基礎設施電腦系統安全」的建議立法框架,保安局暫擬條例名稱是《保障關鍵基礎設施(電腦系統)條例草案》,受監管的8項「關鍵基礎設施」分別為能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健、通訊和廣播。

鄧炳強:不包括實體設施安全

保安局局長鄧炳強表示,規管對象主要維持社會必需服務的「關鍵基礎設施營運者」,絕大部分是大規模機構,中小企與一般市民不會受影響。他強調條例與監察系統安全完全無關,亦絕不涉及系統內的個人資料和業務內容。條例不會涵蓋由政府提供的必要服務,因為政府內部已有《指引》,加上政府人員已受《公務員守則》規管。

被納入「關鍵基礎設施」公司名單不會公開,大部分議員關注點都是擔心中小企被納入監管後資源不足,或擔心被監管的公司將責任外判。不過工聯會鄧家彪就另闢蹊徑,問到有關「東江水」的範疇。他指出「水都好重要㗎嘛」,如果有人「搞我哋東江水管」,會否因為不涉及系統而不需要在今次法例涵蓋。

無標題
鄧家彪

鄧炳強回應指,條例只管理「電腦安全」,不包括「實體安全」,相關公司必定有責任確保實體設施安全,「唔會由政府去包」,只會當發生「特別事」政府才會處理。他又補充,「水」的服務是由政府提供。

無標題
鄧炳強

吳傑莊倡設賠償市民機制 鄧:唔係好科學化

選委界議員吳傑莊表示,罰款50萬元至500萬元,對部分大型機構而言只是「九牛一毛」,擔心阻嚇力不足。他又問當局會否設機制,向因資料外洩事故而受影響的市民提供賠償。

鄧炳強指小市民可以循民事訟訴方式追討損失,他稱很難將收得罰款「分返畀市民」,因為「唔係好科學化」。鄧又指明白500萬元對部分公司不算多,但相信它們會考慮「商譽」,他重申條例設立目的不是「懲罰」,罰款只是「警告式」。

無標題
吳傑莊

「關鍵基礎設施」公司名單不會公開,吳傑莊又問到日後某公司違反《條例》,被罰一事是否也會保密不公開。鄧炳強稱法庭程序「一般都公開嘅」,但如果涉及資料影響國家安全,當局有相應法例可以引用,向法庭申請不公開,或者將公司匿名。

至於當局擬定「專責辦公室」的人手編制,鄧炳強在回答新民黨黎棟國提問時指,暫時預計40至50人,設一名專員及兩名副專員;人手會從資訊科技辦公室和警方科技罪案組調動,「專責辦公室」亦會包括法律專家和制訂政策人員。他預計「專責辦公室」需時1年籌備,期間會成立「臨時辦公室」運作。

鄧炳強指外判工種不外判責任

至於「關鍵基礎設施」營運公司若將服務外判,營運公司是否不受條例規管?鄧炳強指外判只是「外判工種,唔會外判責任」,當局會發出《實務守則》,要求營運公司必須設有電腦安全主管,該人不必具備電腦保安系統知識,但外判聘用的團體必須符合局方訂出的標準;營運公司與外判商訂下的合約,必須包括一旦發生事故,外判商要將相關數據交予電腦安全主管。

無標題