【明報專訊】立法會正審議規管關鍵基礎設施電腦系統的立法建議，業界關注草案部分內容。香港通訊業聯會歡迎草案，但擔憂日後就電訊業的網絡安全事故須同時通報通訊局及新成立的專責辦公室，可能出現重疊，希望由一個監管機構負責所有規管責任。聯會及另一業界組織雲安全聯盟香港澳門分會，均關注「資訊科技」列入8個規管關鍵基建行業，建議政府釐清該界別的定義。

明報記者 林勵

保安局回覆查詢時稱，「專責辦公室與現存監管機構各司其職，不存在重複規管」，當局會繼續解說工作。至於「資訊科技」涵蓋什麼，局方未進一步舉例，重申應將資訊科技界納入規管。

業界籲定義「資訊科技」

保安局：以草案定義作決定

《保護關鍵基礎設施（電腦系統）條例草案》中將8個行業納入規管，其中在銀行和金融服務，以及電訊及廣播兩個行業，提出指定金管局及通訊局，分管部分規管業內關鍵基建，但新例下網絡安全事故通報全權由日後專責辦公室負責監察。

香港通訊業聯會是代表本地電訊業界的商會，該會執委會成員來自本地電訊商、主要通訊設備供應商、固網及流動服務供應商等。雲安全聯盟是國際非牟利組織，推動雲計算安全，港澳分會則由資訊科技及網絡保安等業界人士組成。

歡迎草案 關注分工清晰否

通訊業聯會接受本報書面訪問表示，歡迎政府提交的草案，認為有助加強網絡安全。該會同時關注通訊局和專辦間的職責分工是否明確，擔心如果職責分工不清晰，可能會導致重複報告和管理混亂。聯會續說，當局需要進一步澄清和協調草案及現行通訊局監管持牌機構規則，確保新法例不與現有規則產生衝突或重疊。為免責任重疊和不確定性，聯會說，「更希望由一個監管機構負責（草案下）所有三類責任的監管」。

雲安全聯盟香港澳門分會會長林志堅接受本報專訪時則說，基本上支持及同意立法，同時認為規管行業之一「資訊科技」涵蓋面仍未清楚。他同意將資訊科技納入8個界別，但擔心規管對象的數據中心或伺服器都不在香港，「政府也無從規管，如何規管一個在矽谷的公司？」林估計，「資訊科技」會涵蓋作業平台、保安軟件及電郵等公司，並說先前政府舉辦諮詢會上，有人問過如微軟CrowdStrike事件會否規管作業系統軟件，當局當時說會考慮，但未有詳細資料。

林志堅補充，該會贊成在金管局及通訊局外，增加其他指定監管機構，例如政府數字辦公室。他舉例說，大型物流公司若停運，對社會都有影響，「專責辦公室是否要看到那麼細？」

通訊業聯會則說，根據該會理解，草案中的資訊科技涵蓋軟件開發、數據中心營運、網絡安全等領域。聯會說，做法或增加業界合規成本和營運負擔、遵守更多安全和匯報要求，希望政府進一步澄清資訊科技的範疇。

保安局回覆說，若關鍵基建營運者同時受其他法例或行業要求監管，需要在發生事故時向相應機關通報，例如服務持續性、個人私隱泄漏、懷疑罪案等，但局方說事故通報目的及內容有所不同，新的專責辦公室與現存監管機構各司其職，不存在重複規管。至於資訊科技界別定義，局方說一直與業界及潛在指明機構保持溝通，規管當局以草案定義作出決定。