政府拟订保障关键设施条例　邓炳强：罚款以机构为单位

政府建议立法，要求关键基础设施的营运者，必须采取适当措施加强电脑系统保安能力，减低必要服务因网络攻击被扰乱或破坏的可能，提升香港整体电脑系统安全，否则要承担法定责任。

保安局长邓炳强在立法会保安事务委员会表示，绝大部分受规管对象是有规模的大机构，中小企及一般市民不受影响，拟议条例只会要求“关键基础设施营运者”承担起保护“关键电脑系统”的责任，绝不涉及系统内的个人资料和业务内容。

邓炳强指，立法原意并非惩罚营运者，但为了确保条例能有效实施及执行，条例必须要订定相关的罪行及适当的罚则，刑罚会以机构作为单位，并只会以罚款方式处理。若相关违规行为涉及触犯现有刑事法例，例如虚假陈述、行使虚假文书或其他诈骗相关罪行，涉事人员亦有机会负上个人刑事责任。

邓炳强指，参考外地同类法例罚款水平，计划将罚款订于50万至500万元，而目前部分必要服务行业，已经受法定监管机构规管，包括金管局和通讯事务管理局，政府建议将相关机构订为“指定监管机构”，负责监管营运者履行保护关键基础设施的责任，按机构原有做法，可就不合规企业“钉牌”，相信比起条例本身罚款更加有效。

民建联葛珮帆关注，条例并不涵盖政府部门，保安局长邓炳强指，是因为政府已有《政府资讯科技保安政策及指引》，要求就资讯保安进行风险评估和审计，做法与英国等地方相若，又指“政府罚款给自己”，不见得有公信力。

被问到会如何协助机构履行责任，邓炳强表示，创新科技署的科技券可为有需要公司提供资助，另外当局会在条例下订立《实务守则》，就各项保安工作提供参考标准。

科技创新界邱达根关注如何界定关键基础设施，例如电子支付营运商和中小规模数据中心，是否受到规管。邓炳强指，当局会按企业是否提供必要服务制订名单，考虑到个别机构需时提升系统满足要求，专责办公室会分阶段指明机构履行责任。