议员关注关键基建条例会否规管外判商　保安局：责任不可外判

《保护关键基础设施(电脑系统)条例草案》去年12月11日在立法会首读，今日（7日）相关法案委员会首次开会，有议员关注若关键基础设施营运者的外判服务出事故，是否属于《条例草案》规管范围。保安局表示，服务可外判、责任不可外判，处理时会要求第三方向营运者提供资料，又指专责办公室会在事故早期介入处理。

违例罚款50万至500万不等

条例草案目的在于要求“关键基础设施营运者”，采取适当措施保护电脑系统，避免因网络攻击导致必要服务受到干扰或破坏，及通报“关键电脑系统”的电脑系统安全事故，如涉及设施核心功能，须在得悉事故后12小时内通报，其他事故则在48小时内通报。

至于罚则，经参考英国及欧盟相关法例后，只包含罚款，最高罚款额为50万元至500万元不等，如属持续罪行，罪行持续期间每日额外罚款最高为5万元至10万元不等。

责任不可外判　突发事故专责办公室会早期介入

选委界立法会议员马逢国关注，有些大型基础设施的服务外判给第三方，例如早前微软出现全球死机，电脑系统故障影响欧洲国家机场的正常运作，事后确认是技术问题而非网络攻击。他询问若出现类似突发事件，应如何判定是否属于《条例草案》规管范围。

保安局副秘书长王秀慧指，关键基础设施营运者可外判聘用第三方服务，但责任不能外判。她说将来专责办公室或负责规管的金融管理局和通讯事务管理局，在处理事故时可能会要求第三方服务提供者向营运者提供资料，让营运者掌握理据。

她又表示，若出现未必属于《条例草案》规定的事故迹象，例如机场排长龙，《条例草案》将赋权专责办公室早期介入、主动查询，以便尽快了解情况和作出指示。若确实是技术故障，后续会转介给相关规管当局去跟进。

保安局：业界主要是对实施细则有疑问

对于有报道指《条例草案》咨询期间，有机构普遍关注事故通报机制执行安排等问题，惟被保安局反驳指以偏概全，刻意忽略大部分正面的主流意见，并称已大致释除业界疑虑。选委界黎栋国在委员会上询问局方业界反映的具体疑虑为何，是原则性问题或是对实施细则的疑问。

王秀慧表明业界主要是对实施细则有疑问，并列举三点主要疑虑。一是事故汇报时限，她指，在听取业界意见后，已经将通报严重事故的规定，由原本建议的事故后的2小时，改为12小时；其他事故由24小时放宽至48小时。

二是电脑系统安全人才的聘用。她指并无指定聘用名单，只要和《条例草案》相应的实务守则所列专业标准相若，营运者即可聘用。

第三，现时《条例草案》针对的是“关键基础设施营运者”，不过有中小企希望参与规管，但担忧财政负担重。王秀慧指，对于这些中小企，政府可提供科技券的财政支援，另外有香港互联网注册公司提供技术培训，帮助其员工符合要求。