關鍵設施立法 保安局：無計劃分級 澳洲設兩級制 議員稱可參考

【明報專訊】保安局擬就保障關鍵基礎設施電腦系統立法，議員關注保障關鍵基礎設施定義及中小企資金不夠滿足法定要求。現時澳洲分兩級規管設施，第一級法定責任較小，具「國家重要性」的第二級則需負較大責任，包括網安演習等。有議員認為可參考，讓規模較小的營運者遵從合理法定責任。保安局回覆稱，現階段無計劃就法定責任分級，擬議條例旨在設立基線要求，讓營運者在相關基礎上根據需要和特點，建立和加強保障電腦系統安全能力。

明報記者 施晉宇

根據保安局文件，擬議條例參考其他司法管轄區立法方向制定適合本港的監管模式。其中澳洲2018年實施《關鍵基礎設施安全法》，涵蓋具國防國安風險，以及對經濟和社會活動穩定有影響的設施，並設立兩級制：第一級涵蓋11範疇，主要4項規定，包括提交營運者資料及通報事故等；第二級是對澳洲最關鍵、與多個界別互相依賴的設施，多4項規定，包括制定事故應變計劃，以及緊急時可被要求安裝軟件以提供系統資訊等。

議員關注中小企不夠資源履責

立法框架指受規管大多大機構

實政圓桌田北辰認為，其他地區法例已實施一段時間，值得特區參考，尤其將來或有規模較小機構納入規管，相信有助營運者更易遵從法定責任，「由零開始立法，猶如摸着石頭過河」。他贊成立法改善網安，稱「並非負責人道歉，或受影響者民事訴訟便了事」。立法框架提及，受規管者絕大部分是有規模的大機構，中小企及一般市民均不受影響。科技創新界邱達根促政府進一步解釋關鍵基礎設施，電子支付平台及為銀行提供服務的數據中心是否涵蓋。他稱有中小企擔心未必有足夠資源履行法定責任，而科技券僅屬單次援助，建議當局日後須提供相應援助。

香港資訊科技商會榮譽會長方保僑稱，視乎監測規模、頻率及安全級數等，聘請網絡保安人員實行相關措施至少「逾百萬元起計」；本港有過千名專家，但很多均自行成立公司，「輪更」協助機構監測網絡有否異常流量；基礎設施營運者即使「有錢都未必聘用私人團隊」。法例擬涵蓋8界別關鍵基礎設施，方認為，澳洲分級做法值得參考，亦可增加「指定監管機構」（見另稿），減輕辦公室工作量。局方稱，專責辦公室40至50名人手編制屬初步預算，會適當調配確保條例執行順暢。

專辦調查有時須法庭手令

黎棟國：足監察執法相稱性

澳洲關鍵基礎設施中心獲賦權向受規管機構發出指令，前提是曾與澳洲政府、地方政府及營運者等持分者制定風險管控措施無效；而營運者可就指令司法覆核。選委界江玉歡認為，以懲罰為主導的政策並非主流，加上面對極端天氣及黑客攻擊等挑戰，營運者再不是單打獨鬥，政府與公司理應是伙伴，加強溝通以增加抗險能力。保安局前局長新民黨黎棟國認為，日後專責辦公室執行調查權力，部分情况須先獲得法庭手令，與其他部門做法相若，相信已足夠監察執法相稱性。

保安局稱，辦公室會與營運者保持合作溝通，並透過《實務守則》制定建議標準，協助營運者滿足法定責任；擬議條例也會訂明辦公室可發出書面指示的情况。

涉國安情况轉交警方國安處

另外，內地相關法例規定，任何個人和組織不得利用網路從事危害國安活動，並要求設施營運者對安全管理機構負責人做安全背景審查。保安局稱，如牽涉國安情况會交由警方國安處按《港區國安法》及《維護國家安全條例》等處理。