政府擬訂保障關鍵設施條例　鄧炳強：罰款以機構為單位

政府建議立法，要求關鍵基礎設施的營運者，必須採取適當措施加強電腦系統保安能力，減低必要服務因網絡攻擊被擾亂或破壞的可能，提升香港整體電腦系統安全，否則要承擔法定責任。

保安局長鄧炳強在立法會保安事務委員會表示，絕大部分受規管對象是有規模的大機構，中小企及一般市民不受影響，擬議條例只會要求「關鍵基礎設施營運者」承擔起保護「關鍵電腦系統」的責任，絕不涉及系統內的個人資料和業務內容。

鄧炳強指，立法原意並非懲罰營運者，但為了確保條例能有效實施及執行，條例必須要訂定相關的罪行及適當的罰則，刑罰會以機構作為單位，並只會以罰款方式處理。若相關違規行為涉及觸犯現有刑事法例，例如虛假陳述、行使虛假文書或其他詐騙相關罪行，涉事人員亦有機會負上個人刑事責任。

鄧炳強指，參考外地同類法例罰款水平，計劃將罰款訂於50萬至500萬元，而目前部分必要服務行業，已經受法定監管機構規管，包括金管局和通訊事務管理局，政府建議將相關機構訂為「指定監管機構」，負責監管營運者履行保護關鍵基礎設施的責任，按機構原有做法，可就不合規企業「釘牌」，相信比起條例本身罰款更加有效。

民建聯葛珮帆關注，條例並不涵蓋政府部門，保安局長鄧炳強指，是因為政府已有《政府資訊科技保安政策及指引》，要求就資訊保安進行風險評估和審計，做法與英國等地方相若，又指「政府罰款給自己」，不見得有公信力。

被問到會如何協助機構履行責任，鄧炳強表示，創新科技署的科技券可為有需要公司提供資助，另外當局會在條例下訂立《實務守則》，就各項保安工作提供參考標準。

科技創新界邱達根關注如何界定關鍵基礎設施，例如電子支付營運商和中小規模數據中心，是否受到規管。鄧炳強指，當局會按企業是否提供必要服務制訂名單，考慮到個別機構需時提升系統滿足要求，專責辦公室會分階段指明機構履行責任。