關鍵設施非規管對象 被要求查訊等需手令 倘無訂明上訴委會處理 營運者可提覆核

【明報專訊】保安局正立法規管「關鍵基礎設施」營運者（如電力公司）保護其電腦系統安全。立法會高級助理法律顧問要求當局澄清，在查訊及調查關鍵基礎設施營運者時，獲授權人員可藉書面通知提出要求，而無必要申請手令的原因；保安局昨在覆函提到，條例主要規管營運者有責任保障關鍵電腦系統安全，故要求他們作出指定作為而毋須手令屬合理；而營運者以外其他機構並非規管對象，指行使有關權力會更嚴格，故必須有手令才可要求非規管機構提交資料、回答提問或作其他指明作為。

《保護關鍵基礎設施（電腦系統）條例》委員會昨起逐條審議草案。政府提出按新例設上訴委員會，但僅受理根據條例作出的若干決定，包括指示營運者遵從指明責任的決定等，局方解釋，當條例無訂明可由上訴委員會處理的決定，假如營運者或其他受影響單位不滿意相關決定，在符合司法覆核一般原則和條件下，可提出司法覆核申請。條例不列明暫緩執行決定酌情權的考慮因素，期望讓上訴委員會按每宗案件的事實和情况，考慮所有因素後決定是否暫緩決定。

上訴委會逐個案考慮暫緩決定

營運者日後須就電腦系統安全事故及威脅通報，選委界江玉歡關注，何謂對關鍵電腦系統構成「實際不良影響」。保安局副秘書長王秀慧昨以發電廠為例，由電腦系統控制的燃料運輸或溫度控制系統，若遭黑客攻擊而無法正常運作，或者系統過熱而自動跳掣，影響發電及供電「可用性」，營運者須通報事故；若非由網絡攻擊造成的停電事故則不用通報，解釋電壓、機械故障及純技術問題並非規管範圍，當局的《實務守則》將提供更多例子。

去年發生資料外泄事故，有黑客向機構勒索贖金。江玉歡關注，若營運者不知情，黑客要求擁有者繳交贖金是否獲規管。王秀慧認為相關情况有其他刑事條例處理，舉例報警，而非專員獲授權處理。

舉例非網絡攻擊致停電 不用通報

草案列明新設專員職責，是監察、調查和應對關鍵電腦系統安全威脅及事故。王秀慧稱，若專員發現相關威脅及事故，可能對廣泛公眾造成影響，可以按照需要向公眾公布，故毋須列明其作出預警的職責。

民建聯陳恒鑌建議，專員會否告知關鍵設施擁有者獲規管決定，避免擁有者刻意拒向營運者提供資源，令關鍵設施在不符法例下受損。王秀慧認為機構擁有權不時變動，尤其上市公司，若專員指明營運者期間，需同步確定並通知擁有者，由於專員需與機構進一步溝通，「不可由專員單方面認定擁有者」，在履行程序或執法上有一定難度。

選委界馬逢國引述內地《關鍵資訊安全保護條例》就重要網絡設施或信息系統，涵蓋一旦遭破壞、喪失功能或數據泄漏，可能嚴重危害國家安全或公共利益設施，為何草案未涵蓋；王秀慧解釋，內地法例涵蓋範圍較闊，法改會正研究本港網絡安全罪行，而與國安相關的風險則由《維護國家安全條例》處理。