「保護基礎設施草案」 須保障個人資料和商業機密。(資料圖片)
上周四(23日),立法會繼續審議《保護關鍵基礎設施(電腦系統)條例草案》。該條例旨在加強香港關鍵基礎設施的電腦系統安全,以應對日益嚴重的網絡安全威脅。
在此次會議中,我與數位議員對條文中涉及的「個人資料和商業機密」的私隱問題表達了特別關注。根據保安局提交的立法會參考資料摘要(文件編號:SBCR 1/3231/2022 Pt. 5),條例的其中一個核心原則要求「關鍵基礎設施營運者」承擔責任,以保障電腦系統安全,並聲明該條例「不針對個人資料和商業秘密」。
然而,仔細檢視條例草案的文本後,發現其中對於「非針對個人資料和商業秘密」的說明並不明確。儘管政策意圖在於要求專員在行使法定權力時「不針對」相關個人資料和商業機密,以便順利進行調查,然而,專員仍可能在個別情況下要求機構披露一些不願意公開的敏感資料。這種情況引發了機構對條例實施後可能出現的風險的擔憂。
保安局副秘書長王秀慧在會上多次解釋並重申了「不針對」的政策原則,然而,我認為局方未能在草案中提供充分的法律保障,以確保受規管機構的權益。此外,條例必須讓受規管者明白,未來設立的專員在行使權力時必須受到約束,否則將可能導致司法覆核的風險,甚至造成執法混亂。因此,條例草案有必要清晰列出對營運機構的個人資料及商業秘密的保障條款。
會議中,江玉歡議員提到新加坡的案例,指出該國的類似法例明確規定,專員在向受規管機構索取資料時,必須考慮資料是否涉及「商業機密」,以及會否影響企業的合理利益和個人事務。新加坡政府將這原則明確寫入條例,不僅保障企業的合法權益,還提升了法律透明度,值得特區政府借鑒。