政府擬訂保障關鍵設施條例 鄧炳強:罰款以機構為單位
政府建議立法,要求關鍵基礎設施的營運者,必須採取適當措施加強電腦系統保安能力,減低必要服務因網絡攻擊被擾亂或破壞的可能,提升香港整體電腦系統安全,否則要承擔法定責任。
保安局長鄧炳強在立法會保安事務委員會表示,絕大部分受規管對象是有規模的大機構,中小企及一般市民不受影響,擬議條例只會要求「關鍵基礎設施營運者」承擔起保護「關鍵電腦系統」的責任,絕不涉及系統內的個人資料和業務內容。
鄧炳強指,立法原意並非懲罰營運者,但為了確保條例能有效實施及執行,條例必須要訂定相關的罪行及適當的罰則,刑罰會以機構作為單位,並只會以罰款方式處理。若相關違規行為涉及觸犯現有刑事法例,例如虛假陳述、行使虛假文書或其他詐騙相關罪行,涉事人員亦有機會負上個人刑事責任。
鄧炳強指,參考外地同類法例罰款水平,計劃將罰款訂於50萬至500萬元,而目前部分必要服務行業,已經受法定監管機構規管,包括金管局和通訊事務管理局,政府建議將相關機構訂為「指定監管機構」,負責監管營運者履行保護關鍵基礎設施的責任,按機構原有做法,可就不合規企業「釘牌」,相信比起條例本身罰款更加有效。
民建聯葛珮帆關注,條例並不涵蓋政府部門,保安局長鄧炳強指,是因為政府已有《政府資訊科技保安政策及指引》,要求就資訊保安進行風險評估和審計,做法與英國等地方相若,又指「政府罰款給自己」,不見得有公信力。
被問到會如何協助機構履行責任,鄧炳強表示,創新科技署的科技券可為有需要公司提供資助,另外當局會在條例下訂立《實務守則》,就各項保安工作提供參考標準。
科技創新界邱達根關注如何界定關鍵基礎設施,例如電子支付營運商和中小規模數據中心,是否受到規管。鄧炳強指,當局會按企業是否提供必要服務制訂名單,考慮到個別機構需時提升系統滿足要求,專責辦公室會分階段指明機構履行責任。