我的評語:
IT科技無論是軟件和硬件都是有獨特和嚴格的技術限制。這張標書「中央電子檔案保管系統」衹是整個香港政府的其中一個系統, 而且這個系統應該不能獨立存在,中間會涉及到與香港政府其它軟件大量技術上銜接的問題。香港因為長期的採用西方技術, 改變IT營運模式是十分艱難的。尤其是中國仍然未有一套完善的電腦技術軟件和硬件可以取代現有西方的科技。
而且中國和香港IT人才的最大分別是語言不同。香港IT系統都是跟西方用英語的, 但中國的科技軟件和人才好像是用中文的。
對於這個龐大的IT項目, 在香港有能力承擔這張標書的公司大多數都是著名外資公司例如IBM, Accenture和PWC等等。這些外資公司都是美國公司,所以會更加危險。在香港, 好像沒有中資的科技公司。
我認為筆者所擔心的是保安問題,電腦保安是一個獨特和專業的範疇,保安亦涉及許多範疇例如網絡,系統和數據等等。或者政府應該要設立一個新的電腦保安檢討和監管的項目。
我認為中國應該要加把勁在IT軟件方面發展。
《谷歌會讓華為接觸內部機密嗎?》 鄭久慧
.
谷歌會讓華為接觸內部機密嗎?如果不會,香港政府為何容許一間新加坡上市(新交所主板)、前新加坡高級IT官員任副主席兼行政總裁的香港公司(總部在香港),在未來設計、供應、實施及維修整個香港政府的「中央電子檔案保管系統」?將國家安全置於何地?
.
法改會日前發表《依賴電腦網絡的罪行及司法管轄權事宜》諮詢文件,咨詢公眾意見,此時可就這影響較大的IT項目討論一下。
.
一、OGCIO的「天字第一號標書」
.
這項造價高達10.2億港元的重要政府IT項目,在2022年5月批出,負責部門是2022-23年度全年財政預算僅僅17億港元的政府資訊科技總監辦公室(OGCIO),項目全名為「為政府資訊科技總監辦公室提供中央電子檔案保管系統所需的設計、供應、實施和維修服務」。
.
二、中國公司做不了嗎?
.
習近平主席早前在港發表重要講話鼓勵港人打破藩籬,發掘香港潛能。筆者翻看這個項目的立法會財委會撥款文件(文件編號:FCR(2020-21)26),立法會並不要求什麼專利產品及高端科技,只須妥善將政府的檔案中央整理、歸類、索引及維護,故此政府出標時容許外判商在長達173月(逾14年)內完成即可。
.
但細看最後中標內容(來自中標公司2022年公司報告),政府批出的10億元,其中約7.5億用來購買這間新加坡上市IT公司的專利產品授權及其保養服務,是否真的物有所值?難道香港沒有人才嗎?難道本地或內地的創科公司做不了嗎?需要找一間與新加坡關係緊密的香港公司?須知10億港元不是小數目,若能讓完全植根中國香港的IT公司自行研發,既扶植香港創科,亦保障國家安全。
.
當然,筆者並非強調外資公司不能參與香港特區政府的IT項目,而是涉及大量政府資料的項目應該僅限於純本地或中國內地的公司,完全由香港永久居民或中國公民管理。有涉外關係的公司應只可參與次要敏感的項目,或者只接觸有限的政府資料。
.
三、政府部門應尊重立法會的撥款原意
.
立法會通過項目撥款12億,是基於政府提交報告,報告內詳列數個開支列表,明細各項分工項目的預算,包括硬件、軟件、雲端服務器、合約人手薪酬、培訓等等。立法會撥款的原意明顯是讓OGCIO這個政府部門統籌監督,然後分派給不同內部人手(公務員或政府合約人員)管理,再外判予多間私人公司,既能分散風險,又可互相制衡,絕非一次過批給一個外判商主理,更別說是新加坡上市的外判商!
.
立會撥款12億,中標價為10.2億,意味着這間新加坡上市的中標公司幾乎囊括大部分項目!須知設計、供應、實施、維護香港政府中央檔案系統,分分鐘有可能接觸到香港政府所有檔案,即使是舊檔案,也可能是機密,為何不選擇一間完全植根香港,全由香港永久性居民管理的公司?或者由OGCIO的政府公務員內部開發這個項目,保證出現紕漏時,可以找到負責的人?
.
四、應參照「醫健通系統」自行開發防止資料外洩
.
大數據時代基於國安考慮,當然把數據掌握在本國公民手中,才是正道!試問英國美國政府內部所有的檔案資料,包括機密,會否允許外國人經手處理?參看英國內閣指引列明,涉及敏感機密的IT工作,只能由英國公民擔任!
.
香港亦有實例:醫管局現有過千名IT職員,自行開發維護不少內部系統。數年前在醫院管理局資訊科技服務部及衞生署電子健康紀錄專責小組的支援下,醫管局自行發展、管理和維持電子健康紀錄互通系統的基建平台,是為「醫健通系統」,為全港市民建立免費和終身的電子服務,至今運作順暢無誤,未有資料外洩的新聞。
.
五、法例缺失與OGCIO外判政府檔案
.
香港保障電腦資料的法例落後,故此才有法改會近日推行的《依賴電腦網絡的罪行及司法管轄權事宜》諮詢。然而,與「醫健通系統」相配套的、在2015年底通過的香港法例第625章 《電子健康紀錄互通系統條例》,卻是與時並進的新法例,為電子健康紀錄互通系統的設立訂定條文,並就管理系統的資料收集、互通、使用及保障提供法律依據,保障私隱及資料安全,OGCIO在外判整個香港政府的「中央電子檔案保管系統」時,有沒有參考過這個法例呢?
.
特別值得留意的是《電子健康紀錄互通系統條例》立法時,從注重個人資料保密的澳洲及加拿大取經,保障敏感資料,補足現有法例的缺失。例如條例第42條「關乎取覽、損毀或更改資料或資訊的罪行」,創香港同類不誠實使用電腦的法例先河,引入「任何人明知而導致電子健康紀錄所載的資料或資訊被盜用、取覽、更改或損害」的概念,即系統使用者/ 密碼擁有者未必需要自己犯罪,若基於此條例所列的意圖,而提供密碼或「後門」予其他人進行犯罪行為,亦屬於犯罪。此條例相信是取經於加拿大《1985年刑事法典》(Criminal Code 1985)第342.1(1)條,有效彌補香港法例第200章 《刑事罪行條例》第161條「有犯罪或不誠實意圖而取用電腦」的不足。
.
再者,有鑒於「中央電子檔案保管系統」或涉政府機密檔案,但現有香港法例第521章《官方機密條例》非常落後,正等待23條立法補足。雖然此條例既監管公務員,亦監管政府外判商,但法例所列的4類資料似乎不適用於大部分「中央電子檔案保管系統」的檔案,難以保障此IT項目的資料安全。
.
六、規管海外洩密的法律缺失
.
另一個局限性是《刑事罪行條例》第161條「有犯罪或不誠實意圖而取用電腦」並沒有像《官方機密條例》第23條「在海外作出的作為」那樣規管在海外作出的違法行為,同時此例第23條亦只規管「香港永久性居民或公務人員」,並不規管他國公民及政府外判商的職員,故此將香港的「中央電子檔案保管系統」外判予外國上市公司,一旦發生海外洩密事件,即使香港與該國有引渡協議,但因香港本身的法律缺失,根本難以追究。若真的無計可施,只能循民事索償,但恐將香港納稅人金錢倒進跨國訴訟的無底洞。
.
七、若中標公司賣盤 香港政府的檔案怎麼辦?
.
中標者雖然總部在香港,但作為新加坡上市公司,當然要受新加坡法律監管。新加坡有嚴格的國安法律,例如駭人聽聞的《內部安全法令》, 多年來新加坡不斷立法完善國家安全,新訂立的《防止外來干預法》日前剛剛生效。一旦未來,新加坡基於國家安全或商業理由調查這間中標公司,要求披露與香港政府相關的檔案,應如何是好?另一方面,若項目中的香港政府檔案,不幸在新加坡意外洩露,中國的國家安全難免受影響。
.
此項目大部分公帑用於購買中標公司的專利軟件,若未來新加坡政府基於政治考慮,要求中標的新加坡上市公司停止授權香港特區政府使用該軟件,停止提供軟件更新及保養,會否導致香港的「中央電子檔案保管系統」癱瘓?這不是奇聞,而是許多美國歐洲IT企業正在向中資公司實施的所謂「制裁」!
.
香港國安法第3條列明香港特區有維護國家安全的憲制責任,應當履行維護國家安全的職責。OGCIO在批出項目前,有否分析過新加坡對上市公司的監管政策,以及新加坡的內部保安法會否造成香港政府機密資料的洩露?另外OGCIO有沒有了解過這間公司的背景呢?包括其副主席兼行政總裁是新加坡公民,曾長期在新加坡公營部門及政府任職高層。
.
最重要的是,中標者應允的項目合約期長達53個月,未來這間新加坡上市的公司如果賣盤,全香港政府的檔案命運將會如何?根據新交所今年3月披露的文件,這間中標公司的港人主席已屆60歲,公司高層涉較大的人事變動。而自從2020年4月新加坡籍董事升任公司董事局副主席及行政總裁後,公司股價飆升數倍。基於公眾利益,請問OGCIO在批出項目前,是否有預案,若中標公司賣盤予外國資本,如何保障香港政府檔案安全?
.
八、谷歌會讓華為接觸內部機密嗎?
.
講個不可能發生的譬喻,谷歌會不會叫華為幫忙開發內部軟件?谷歌會不會用華為的專利產品?谷歌又會不會讓華為插手處理全部內部檔案?那麼為何要將香港政府的檔案系統外判予新加坡上市的香港公司?
.
新加坡是香港的競爭對手,與香港長年處於競爭狀態,這是香港官員親口承認的事實。香港被修例風波及疫情拖累3年多,各方面發展停滯,相信經濟上收穫最大的莫過於新加坡。參與這個項目決策的政府部門,能否給我們一個例子,放眼世界英美歐亞,有哪一個國家會將自己政府的中央電子檔案系統交由在最大競爭對手上市的公司來開發?
.