議員關注關鍵基建條例會否規管外判商　保安局：責任不可外判

《保護關鍵基礎設施(電腦系統)條例草案》去年12月11日在立法會首讀，今日（7日）相關法案委員會首次開會，有議員關注若關鍵基礎設施營運者的外判服務出事故，是否屬於《條例草案》規管範圍。保安局表示，服務可外判、責任不可外判，處理時會要求第三方向營運者提供資料，又指專責辦公室會在事故早期介入處理。

違例罰款50萬至500萬不等

條例草案目的在於要求「關鍵基礎設施營運者」，採取適當措施保護電腦系統，避免因網絡攻擊導致必要服務受到干擾或破壞，及通報「關鍵電腦系統」的電腦系統安全事故，如涉及設施核心功能，須在得悉事故後12小時內通報，其他事故則在48小時內通報。

至於罰則，經參考英國及歐盟相關法例後，只包含罰款，最高罰款額為50萬元至500萬元不等，如屬持續罪行，罪行持續期間每日額外罰款最高為5萬元至10萬元不等。

責任不可外判　突發事故專責辦公室會早期介入

選委界立法會議員馬逢國關注，有些大型基礎設施的服務外判給第三方，例如早前微軟出現全球死機，電腦系統故障影響歐洲國家機場的正常運作，事後確認是技術問題而非網絡攻擊。他詢問若出現類似突發事件，應如何判定是否屬於《條例草案》規管範圍。

保安局副秘書長王秀慧指，關鍵基礎設施營運者可外判聘用第三方服務，但責任不能外判。她說將來專責辦公室或負責規管的金融管理局和通訊事務管理局，在處理事故時可能會要求第三方服務提供者向營運者提供資料，讓營運者掌握理據。

她又表示，若出現未必屬於《條例草案》規定的事故跡象，例如機場排長龍，《條例草案》將賦權專責辦公室早期介入、主動查詢，以便盡快了解情況和作出指示。若確實是技術故障，後續會轉介給相關規管當局去跟進。

保安局：業界主要是對實施細則有疑問

對於有報道指《條例草案》諮詢期間，有機構普遍關注事故通報機制執行安排等問題，惟被保安局反駁指以偏概全，刻意忽略大部分正面的主流意見，並稱已大致釋除業界疑慮。選委界黎棟國在委員會上詢問局方業界反映的具體疑慮為何，是原則性問題或是對實施細則的疑問。

王秀慧表明業界主要是對實施細則有疑問，並列舉三點主要疑慮。一是事故匯報時限，她指，在聽取業界意見後，已經將通報嚴重事故的規定，由原本建議的事故後的2小時，改為12小時；其他事故由24小時放寬至48小時。

二是電腦系統安全人才的聘用。她指並無指定聘用名單，只要和《條例草案》相應的實務守則所列專業標準相若，營運者即可聘用。

第三，現時《條例草案》針對的是「關鍵基礎設施營運者」，不過有中小企希望參與規管，但擔憂財政負擔重。王秀慧指，對於這些中小企，政府可提供科技券的財政支援，另外有香港互聯網註冊公司提供技術培訓，幫助其員工符合要求。