政府拟立法保护关键基础设施 邱达根：电子支付也应考虑纳入规管

政府拟立法保护关键基础设施电脑系统，有关机构不履行法定责任，最高刑罚为罚款500万元。科技创新界立法会议员邱达根表示，电子支付应考虑包含在规管范围内。

邱达根表示电子支付应考虑包含在规管范围内。资料图片

政府拟立法保护关键基础设施电脑系统。资料图片

电子支付已成为日常生活一部分。资料图片

方保侨表示支持立法。资料图片

政府拟立法保护关键基础设施电脑系统。邓炳强facebook图片

2小时内通报做法合理

对于关键基础设施的定义是否清晰，邱达根今早（27日）在电台节目表示，相信如医院、公共交通及银行等大机构，若电脑系统停顿或受攻击会对社会、经济及民生有较大影响及损失，立法规管范围应该涉及较大的公共机构。至于范围有多大，稍后在立法会再讨论8个界别具体涵盖哪些机构，据其理解对一般中小企应该不会有影响。

他又称，相对而言银行一般在网络安全及数据保护上，已做了很多这方面工作，金管局都有相关金融业指引。但其他机构如通讯，海事、海运及航空等机构，就可能需要再定下规则，清楚定下边界哪些需要做或不需做，如有否经常找第三方进行测试系统等。

被问及电子支付需否涵盖在内，邱达根指，电子支付已成为生活中一部分，他个人认为应考虑包含在内。至于海运，或通讯业亦关连到很多的使用者，但本身规模并非庞大，或只属中型机构，但亦会牵涉到民生使用者时，政府或者可以提供资助或技术协助等。

法例政府建议若出现严重电脑系统保安事故，例如对关键基础设施的正常功能造成重大影响，或导致个人资料等数据大量外泄，要在得悉事件发生后2小时内，向专责办公室通报，或在得悉其他电脑系统保安事故发生后24小时内通报等。邱达根认为，做法合理，认同要尽快通报，尤其涉及大型基础设施，他举例内地类似法例亦有相同要求，甚至要求在1小时内通报，而美国亦有直接通报机制。

方保侨关注通报过程透明度及实际运作情况

香港资讯科技商会荣誉会长方保侨在同一节目表示，支持立法。但他更关注，若立法后这些机构用什么手法处理，通报过程的透明度及实际运作情况等。

方保侨表示关注哪些机构会纳入范围，而这些公司是否有能力去配合。他认为立法原则上无问题，但机构在执行时，有可能为配合法例「做多了」，反而侵犯了市民私隐，所以设施的负责人在执行法例时，要很小心，以免为合符法例而凌驾了其他法例或侵犯了个人私隐。

在预防事故方面，政府建议要求营运者至少每年一次进行电脑系统保安风险评估；至少每两年一次参与电脑系统安全演习，并须制定应急计划。方保侨认为，这要求机构应不难达到，只是成本问题，正如保安审计及检查，如验身般验得越密当然越好，至少每年做一次保安风险评估，每两年做一次核实是最基本要求。

相关新闻：政府提出保障关键基础设施立法 机构营运者须制定安全计划 违者最高罚款500万