立法會第一常設委員會與政府代表首次細則性討論《網絡安全法》法案。委員會主席何潤生會後表示,雖然政府表明不會截取網絡數據內容,只對時流經的數據包進行安全檢測,例如數據流量、目的地、數據包組合的特徵等去識別異常或入侵的攻擊苗頭,並不包括對數據內容的監察;但為消除市民疑慮,委員會亦建議政府將有關條文白紙黑字寫入法案,政府則持開放態度。此外,政府亦指不會放設備入屬私人領域的關鍵基礎設施。會上亦討論了法案適用範圍,委員會建議政府列明受法案規管的關鍵基礎設施清單。
何潤生表示,法案建議適用範圍包括所有公共部門、機關及實體,還有水電供應、銀行及保險、醫療衛生、污水及垃圾處理、海陸空運輸、港口及機場營運、視聽廣播和娛樂場等私人實體,受到法案規範。但有三類營運者獲得豁免,一是僅使用其他公共部門的網絡和設備,例如屬諮詢委員會性質的公共部門;二是其業務僅限於娛樂節目廣播的視聽廣播業務營運者;三是宗旨為慈善、救濟、教育、文化或娛樂活動的行政公益私法人,如紅十字會。政府向委員會承諾,下次會議會交待關鍵基礎設施營運者清單,而屬私人領域的有116個。
何潤生又表示,網絡安全法案能與打擊電腦犯罪法起互補的作用,相信有助司警打擊網絡犯罪,以便在應對網絡攻擊的執法過程中,作出響應及防範措施。
