網絡安全法

網絡安全為當今一全球性熱門話題,因此,並不令人意外地越來越多的國家正在通過相關法律以規範此事宜。

於2019年6月24日在公報上公佈的澳門特區網絡安全法,雖未得到官方承認,但此法律至少於一定程度上遵循中國同名法律的趨向,一如當中規定的基本原則、義務及立法理念,儘管當中負責監管的新實體獲賦予的權力仍不如中國現有的全面。

作為本地區第一個負責全面管轄網絡空間私隱和安全的機制,我們尚未能發現這新法及其執行所能帶來的挑戰,尤其是將其與現有的個人資料保護法相對比下。

然而最終,此機制在可能會違反基本自由的批評及擔憂中獲得批准,且將會於2019年12月21日生效。希望如此能有足夠時間於網絡安全法中制定一套可預見的規定,並且,最重要的是,能釋除公眾對該法的實施和執行的疑慮。

然而,在現階段可肯定的是,網絡安全法在為防止澳門特區的安全和經濟基礎設施的崩塌提供必要監管的同時,該新法及其對關鍵基礎設施營運者所規範的義務亦為本地市民以及澳門的本地和外國企業帶來前所未有的挑戰。

 

總體概述

該法旨在建立及規範澳門特別行政區的網絡安全體系,以保護關鍵基礎設施營運者的資訊網絡、電腦系統及電腦數據資料。

當中包含了三個層級的監管:第一級的網絡安全委員會(下稱“委員會”),第二級的網絡安全事故預警及應急中心(下稱“預警及應急中心”),以及作為最終級別的網絡安全監管實體。

委員會是由行政長官領導的最高政治機關,負責為達至網絡安全標準而訂定方針、目的及策略,同時負責建議政府與本地或外地的公共或私人實體訂立或修訂對維護本地區網絡安全屬必需的協議及議定書。

而預警及應急中心為網絡安全事故預警及應急方面的專門技術性機構,由司法警察局統籌,其負責實時檢視關鍵基礎設施營運者的資訊網絡與互聯網之間傳輸的電腦數據資料的流量及特徵,以避免、偵察及應對網絡安全事故。

最後,網絡安全監管實體負責對關鍵基礎設施公共營運者進行監察(例如,金融管理局會監察銀行,衛生局會監察私營醫院等)。

上述實體的組成、權限及運作方式將由行政長官以補充性行政法規界定,這意味著僅在該等規範性法規頒布後,方能對本法律的實際範圍(以及與之相關的新實體的權限)有全面理解。

 

關鍵基礎設施營運者

網絡安全法同時適用於營運關鍵基礎設施及提供有關服務的公共及私人實體。前者一般而言包括行政長官辦公室和其他政治及司法辦公室、本地區的公共部門及機構。反過來,後者則包括住所設於澳門或外地,且具資格在特定領域從事業務的私法實體,其中包括銀行、保險和金融活動、醫療保健服務、娛樂場幸運博彩特許經營者,媒體 (不僅僅是針對視聽廣播內容)及電信。

 

義務

網絡安全法針對關鍵基礎設施營運者所規定的不同分類的義務(組織性、程序性、預防性及應變性義務,以及自行評估及報告義務)中,最值得注意的為:

  1. 允許預警及應急中心的代表進入其設施及資訊網 (無須取決於任何預先作出的司法判決的批准);
  2. 指定一名網絡安全負責人及其替代人,以便任一監管實體能隨時聯絡之(須接受事先的資格檢查);
  3. 制定內部網絡安全管理制度及操作程序,以預警、監察、通報及應對網絡安全事故;
  4. 定期檢查其網絡和系統的安全性和現有風險;
  5. 每年提交網絡安全報告,其中尤須指出已記錄的網絡安全事故及已採取的改善措施,以防止新事故的出現;
  6. 網絡運營者須對在法律生效前售出的預付SIM卡用戶的身份資料進行登記(又或中止對有關SIM卡提供服務);
  7. 網絡營運者在訂立提供互聯網接入服務、域名註冊服務、固定或流動公用電信服務的合同或確認提供該等服務時,應查核及登記客戶的身份資料;及
  8. 互聯網服務提供者必須將私人網絡地址轉換成公共網絡地址的紀錄保存一年。

毋庸置疑,上述義務終將為本新法所涵蓋的每個實體帶來執行及維護成本,儘管就該等成本的上限,同樣有待網絡安全法正式出台後方可進行全面評估。

 

對違規行為的處罰

作為處罰,違反網絡安全法最高可被科澳門幣五百萬元罰款

對違規者也可處以其他附加處罰,例如於最長兩年的期間內剝奪其向政府供應物品或獲發給政府津貼的權利。

此外,違反預防性、應變性或程序性義務的個人可被科處停職處分、撤職或強迫退休。

 

對網絡安全法的實施的疑慮

坊間的主要關注點為,於司警協調下,預警及應急中心有權實時檢視關鍵基礎設施營運者的資訊網絡與互聯網之間傳輸的電腦數據資料的流量及特徵。

基於電信基礎設施營運者亦受網絡安全法的約束,上述規定引發了澳門特區幾乎每一個人及實體對實時監控的擔憂。

此外,網絡安全法似乎沒有對預警及應急中心的行為規範任何監督機制,例如在監測數據和訪問關鍵基礎設施營運者的場所及網絡時,這再次引起對澳門特區經濟中極為敏感的領域採取無人監督的警方行動的擔憂,以及對公民隱私和個人數據的無理干涉的憂慮。

若缺乏合理化的監督機制,市民及公司實體將須依賴現有渠道(例如個人資料保護辦公室,廉政公署、檢察院及法院),此舉亦會帶來額外的不確定性,並最終可能導致在獲得索賠的最終決定前的漫長等待。

最後,要求對所有SIM卡用戶的身份資料進行登記的規定亦惹來不少批評,因其可能出現被濫用的情況。

無論如何,政府一直強調其只會分析電腦數據的流動,這意味著,依其說法,相關數據不會被解碼,言論自由和/或經濟自由和/或知識產權也不會受影響。

總之,在網絡風險不斷受到威脅的世界中,確實需要實施網絡安全法律制度以對某些行業施加特殊的關注義務。 但是,只有時間才能證明網絡安全法是否能符合其立法目的或會否被濫用。

 

下載 (可移植文档格式文本)