I. 與政府當局舉行會議–逐字審議環節
陳振英議員:多謝主席。第3部第12和13條有關指定營運者和電腦系統,無論是營運者或電腦系統的指定,可隨時由作出該 項指定的規管當局撤銷。條文想表達的意思應該是規管當局撤銷這些指定不受時間限制,但是“隨時”這個用詞可能會讓別人誤會,因為當局實際上是作出評估之後才會作出撤銷。剛好在下一項條文訂明,規管當局可以顧及4項條件之下考慮撤銷。既然如此,這兩項條文提述“隨時”,會否改為“由指定的規管當局評估後可以撤銷”,我覺得意思較“隨時”更加明確,請局方考慮一下。
保安局常任秘書長:多謝主席,多謝陳振英議員的意見。沒錯,剛才陳議員說得很對,我們當然不會是隨意撤銷有關的指定。“隨時”的意思是指我們沒有限定時間。但是陳議員說得對,剛才他的說法可能更能清楚表達我們的政策原意。我們會回去考慮在用字上如何修改,以處理剛才陳議員提到的意見。
陳振英議員:多謝主席。我留意到,公眾諮詢中,有銀行同業就表示,希望《條例草案》第21條能清晰界定僱員需要具備的專業資格。目前條文只提到“專業知識”,“專業知識”的寫法較為空泛,它們希望能明確列出應具備哪些專業資格。此外,我注意到當局提到,雖然外判商可能是公司,而公司必須有一名僱員,這名僱員很明顯是公司聘請的人。若該公司營運的電腦系統完全外判予另一間公司而自身並沒有任何懂得電腦的人,這是否意味它需要聘請一名具電腦系統的專業人員?這名僱員可否是指定外判公司其中一名具備非常充足電腦知識的人,那名人士是否等同僱員?這是我們在進行公眾諮詢時同業所關注的問題,謝謝。
保安局常任秘書長:多謝陳振英議員的問題。在諮詢期間,我們也聽到這個意見。我們解釋了為何《條例草案》提及“足夠專業知識”,沒有具體列出例如CISP等當今認為足夠的專業知識。這是因為我們希望《條例草案》列出的基本要求不會隨着時間、電腦科技日新月異的發展而變得不合時宜,比如今天的 CISP能保護電腦系統的安全,可能兩年或10年後已變得不足夠。因此,我們希望在《實務守則》保持彈性,列出當時認為是足夠的專業知識。
第二,雖然有時客觀的 qualification這些客觀的準則固然重要,但有些公司從事電腦多年,除了足夠的專業知識外,我們會否可以考慮一些額外的因素?我們希望在此留有一些彈性。
陳議員剛才提到的僱員是否必須由公司自行聘用,即由關鍵基礎設施的營運者CI operator自行聘用,我們認為這是必需的。我們要強調一點,工作可以外判,但責任不能外判。更重要的是,現在是為香港提供必要服務,所營運的電腦系統是關鍵基礎設施的核心功能,一個負責任的營運者應該聘用自己 的員工來密切監測這些服務,因此相關僱員是否必須由關鍵基礎設施的營運者聘用,我們已向諮詢的業界解釋了這情況。 坦白說,許多公司其實已經這樣做了。一個着緊自己責任的營運者會把所有營運工作全都外判?這是不可能的,因為當中涉及到必要服務和核心功能。
陳振英議員:是的,關於附表7第3部第4條“委出上訴委員會”,我建議對其中的寫法或表達方法進行優化。在第(2)款中提到: “上訴委員會由以下成員組成(a)委員會主席;(b)至少2名普通成員 ”。 我明白訂出 “普通成員 ”的原因,因為在下文 第 (3)(b)款中訂明“至少一名普通成員屬資訊科技專業人士”, 而 第 (3)(c)款則訂明 “至少一名普通成員既非資訊科技專業人 士,亦非法律專業人士”。問題在於“普通成員”這個名稱在《條例草案》中並沒有明確定義,而且上訴委員會主席如果這次不擔任主席,下次是否 會成為上訴委員會的成員呢? 以 “普通成員”這個名稱,確實有些麻煩。因此,對於第(2)款,我建議這樣修改:(a)委員會主席;(b)至少2名其他上訴委員會成員。而在下文第(3)(b)款 中,我建議修改為:至少一名委員會主席以外的成員屬資訊科技專業人士;第(3)(c)款則建議修改為:至少一名委員會主席 以外的成員既非資訊科技專業人士,亦非法律專業人士。這樣避免了硬性冠以“普通成員”這個名稱的問題。因為這3名成員是輪流出任上訴委員會成員的,怎能將其中兩人稱為“普通成員 ”呢 ? 其他成員又是否普通成員呢?每次上訴委員會的成員都不同,實際上是由上訴委員團主席選出3名或更多為成 員,其中一人為主席,其餘的是非主席成員。這樣的表述避免了創造“普通成員”這個稱號的必要性。
保安局常任秘書長:好的,我們會跟進陳議員的優化建議,確保用字達到效果。
主席:是的,達到政策原意。
保安局常任秘書長:我們會仔細檢視該條文,確保用字能夠達到預期目的。感謝陳議員的建議和寶貴意見。