港關鍵設施草案 增列採購國安制裁風險、設專責辦公室

規管銀行、電訊、能源及集體交通運輸等八大界別關鍵基礎設施及其關鍵電腦系統的立法草案正式出爐，草案6日刊憲，11日提交立法會首讀及二讀；草案中的「實務守則」，新增營運者「在採購時考慮國家安全風險和制裁風險」，有資訊科技業界人士形容，新條款可能減少業界採購多樣性，但立法會議員稱條款並無排除營運者使用外國系統或產品。

香港媒體報導，草案列出關鍵基礎設施營運者的責任，包括必須在香港持續設有辦事處；如電腦系統有重大變化，必須通知政府有關部門；每年最少進行一次電腦系統安全風險評估、每兩年進行一次獨立電腦系統安全審核，並向政府提交報告等等。

關鍵基礎設施電腦系統新法立法後，保安局計畫下設新的關鍵基礎設施（電腦系統安全）專員及專責辦公室。保安局在立法會文件稱，將開設3個首長級常額職位，保安局長鄧炳強早前預計，辦公室約有4、50人。

據報導，草案在附件列出建議的「實務守則」，當中電腦系統安全管理計畫須涵蓋的主要內容，新增「採購時考慮國安和制裁風險」一項；不願具名的科技業界表示，先前的簡介及文件並無提及該項。草案同時加入保密責任，違者經公訴可判監兩年及罰款100萬元（港元，下同，約12.8萬美元）。

根據立法會文件及草案，不遵從「實務守則」本身不構成罪行，但專員有權發出書面指示要求營運商遵從相關責任，若不遵從指示，經公訴可罰款500萬元（約64.2萬美元）。

香港互聯網協會主席伍于祺說，新條款對業界有一定程度影響，有可能令潛在採購過程產品或服務的多樣性減少。他期望，當局之後交代詳盡的因素，或制定清單釐清公司、產品的風險評估，以免業界踩線。

多名議員認為，在目前地緣政治及國安法例下，不少大型機構採購時已考慮供應來源地及制裁風險。立法會保安事務委員會主席陳克勤形容，「實務守則」只是「溫馨提示」，守則也沒有說不能用外國貨品，舉例可由與香港關係好的歐洲供應。

科技創新界議員邱達根也說，有國安考慮不代表不用外國產品，相信供應商可提供方案，平息國安疑慮。他指出，目前內地有很多自主產品，相信營運商有很多選擇。金融界陳振英說，守則並非新事，只是白紙黑字寫出來，尤其在美國貿易戰下，透過守則列出是很自然。

機管局回覆，將全面配合政府加強關鍵基礎設施電腦系統安全措施。