常見問題集

在現今信息化時代，互聯網與社會發展緊密相連，澳門特別行政區政府和社會重要設施的運行亦趨於網絡化。假如我們的網絡安全存在漏洞，資訊安全未能得到切實保障，“黑客”一旦對本澳政府部門、關鍵基礎設施、企業甚至公共衛生體系等發動網絡攻擊，敏感信息和資料外流或被盜取，甚至被勒索贖回該些資料的事件將不斷重演，輕則導致短暫停止運作，重則造成金融體系崩潰、社會秩序混亂，政府無法實現有效管治，危害澳門以至國家的整體安全。

由此可見，網絡安全出現問題，對個人、社會和國家造成的損失都是無法預計，危害深遠。

　目前，關於資訊及網絡方面的法律制度，澳門只有第11/2009號法律《打擊電腦犯罪法》規範網絡犯罪及其刑責，卻沒有專門規範網絡安全防範性行政管理的法律或法規，本澳網絡安全難免容易出現漏洞，遭受網絡攻擊的風險日益嚴重。

基於關鍵設施的網絡不容有失，預防勝於 “治療”，因此，有必要盡快制定《網絡安全法》，長期且多領域地推展網絡安全活動，填補本澳網絡安全防護體系的法律空白，藉此強化本澳網絡安全防護能力，降低遭受網絡攻擊的風險，以達至有效保障國家、社會和個人的安全及利益。

《網絡安全法》專門規範網絡安全方面的防範性行政管理事宜，包括監督關鍵基礎設施營運者履行網絡安全方面的管理義務的情況，按照網絡安全狀況作出防範、對網絡安全事故作出預警和應對，對違法行為科處行政處罰，故此，由行政機關負責相關的監察者執法工作。而《打擊電腦犯罪法》所規範的是、資訊及網絡領域的刑事不法行為，違法者須按刑法及刑事訴訟程序制裁，執法者必須是刑事警察當局及機關。簡而言之，《網絡安全法》所訂立的是網絡安全方面的防範性行政管理制度，而《打擊電腦犯罪法》則為資訊和電腦犯罪的刑事制度。

《網絡安全法》透過規定義務，要求社會的關鍵基礎設施經營者妥善管理自身的資訊網絡，制定資訊網絡管理制度，包括妥善管理與市民有關的資料，提高防範意識，從而保障市民的隱私權。 　

　正因為網絡攻擊及網絡入侵盜取或破壞我們的通訊內容及個人資料，侵犯受害人的隱私，政府需要與社會各領域攜手建立一道網絡資料的“防護牆”，妥善管理及守護我們的網絡系統，防範及抵禦網絡入侵及攻擊。沒有《網絡安全法》，澳門極有可能成為網絡犯罪的“天堂”，受害的最終是整個社會及普羅大眾。 　

　　“關鍵基礎設施”是指對社會利益及社會正常運作具有重要意義的資產、系統和網絡，不論其營運者屬公共部門或私人機構，該等資產、系統和網絡一旦遭到破壞、數據洩漏或喪失功能，可能嚴重危害公共安全、公共利益或公共秩序。

營運者包括公共、私人兩大領域：

1. 公共領域指“關鍵基礎設施的公共營運者”，即所有公共部門、機關及實體；
2. 私人領域指“關鍵基礎設施的私人營運者”，營運機構所涉及的是社會的重要行業，例如水電供應、固定及流動通訊網絡、互聯網服務業、電視電台廣播、醫院、巴士及飛機等海陸空交通運輸、垃圾收集及處理、娛樂場幸運博彩、銀行保險業等。

尊重個人隱私是立法的一項重要原則，而且《網絡安全法》所監察的主要是涉及關鍵基礎設施營運機構的行政管理義務，目的是更好地防護網絡安全，推行網絡事故預警及事後應對措施。關於監察時會否侵犯市民的私隱權，監察實體依法有必要時才蒐集資訊系統及網絡上的數據，該數據只是0與1的電腦代碼，除非得到司法機關批准，否則監察實體不會亦不可能介入任何網絡內容、解碼網絡內容或言論。 　

假如監察人員違法讀取通訊內容，須承擔第8/2005號法律《個人資料保護法》，甚至刑事法律(如：第11/2009號《打擊電腦犯罪法》)所規定的法律責任。 　

“實名制”是指手機用戶購買電訊營運商的電訊服務（包括透過購買預付卡享用上網及電話服務）時，須提供真實身份資料。 　

現時，澳門固網電話及手提電話用戶已經需要以真實身份資料登記，但預付卡除外，其用戶只須付費即可取得及使用。日後在澳門購買預付卡時，同樣需要提供真實身份資料。所以，“實名制”對澳門居民日常生活不會造成不便。 　

旅客在外地購買了手機的跨域服務，在澳門使用是不會受到任何影響的，澳門市民在澳門購買手機的跨域服務外地使用亦不會受到影響。 　

至於電訊營運商與各商鋪合作出售預付卡的情況，為加強有關的商鋪妥善保存客戶的身份資料，電訊營運商和各商鋪在收到客戶的身份資料，均須遵守《個人資料保護法》的規定保管資料，否則須負上法律責任。 　

網絡安全涉及澳門特別行政區整體運作、公共秩序及公共安全等領域，故有需要由特別行政區最高領導人統領相關工作，由負責安全事務的司長統籌及協調，並由其他範疇的司級官員以及監察實體領導組成一個決策性的頂層監察架構。 　

由於澳門特區政府的行政運作是根據第2/1999號法律劃分不同領域進行，基於這種行政架構模式，跨部門的大規模工作必然需要設立橫向的組織架構，通常是採取委員會的形式，故須成立“網絡安全常設委員會”，以適時發出對應策略。 　

就關鍵基礎設施私人營運機構內所設置的網絡安全負責人，政府建議有某些犯罪紀錄的人不可被聘為相關負責人，該等犯罪主要分為三類別： 　

1. 觸犯《維護國家安全法》所規定的犯罪；
2. 電腦犯罪、網絡犯罪、偽造技術註記罪、損壞或取去文件或技術註記罪、侵入私人生活罪、不當利用秘密罪、違反函件或電訊保密罪、或其他形式的違反保密罪；
3. 嚴重犯罪（可處超逾五年徒刑）的犯罪。

對於網絡安全負責人的其他資格及專業經驗，政府沒有建議其他剛性規定及要求，由有關的關鍵基礎設施營運機構自行決定。至於其他犯罪紀錄的人士，有關的營運機構自行衡量是否適合聘用其擔任網絡安全負責人的職位。 　

另外，須補充的是，關鍵基礎設施私人營運機構的網安負責人不一定是專責人員，可以在機構內指定原有人員擔任有關職務。 　

政府在諮詢文本的建議是以關鍵基礎設施營運機構為《網絡安全法》的適用對象，不遵守或違反網絡安全方面的義務所引致的法律責任由該等機構負責。至於該機構與受聘去維護其網絡的公司，屬機構與該公司之間的關係，如果因維護網絡的公司引致該關鍵基礎設施營運機構違反《網絡安全法》所規定的義務，該機構仍須負起所引致的法律責任，從而防止出現規避法律責任的情況，而該機構應該透過民事法律等途徑向維護網絡的公司追討法律責任。 　

“網絡安全常設委員會”是網絡安全的頂層決策機關，宏觀地監察整個特別行政區的網絡安全情況，主要負責為訂定網絡安全總體方向、目的及策略；關注及評估公共機關及實體和私人實體涉及網絡安全的活動的發展及運作；就澳門特別行政區網絡安全總體報告作出審議及議決；向網絡安全事故預警及應急中心和監察實體發出相關指引。委員會由行政長官擔任主席、保安司司長任副主席，其他委員為各司司長及網絡安全監察實體的領導。在將來規範 “網絡安全常設委員會”的補充性行政法規內，政府會規定，常設委員會主席可邀請其他公共實體、私人實體或對工作有利的其他人士參與委員會的會議或工作。換言之，常設委員會在履行商討網絡政策及法規等職責時，當需要聽取技術意見時，除了網絡安全監察實體的領導可以提供專業意見外，如有需要，可以由行政長官邀請網絡安全方面的專家或專業人士出席會議或參與相關的工作。 　

資訊科技及網絡技術發展迅速，而立法過程須經過立法專有的時間與階段。因此，法律難以及時追上瞬息萬變的網絡技術及資訊科技，亦不可能在法律內規定具體的技術要求。此外，由於不同領域的業務各有不同需求，難以以統一的標準規定各領域的網絡安全具體要求，故此，需要由“網絡安全常設委員會＂、　“網絡安全事故預警及應急中心＂、各領域的監察實體與相關領域的關鍵基礎設施機構互相合作，按照各領域的行業實際情況，訂定適合於相關領域的網絡安全管理制度、操作流程及網絡安全具體標準。《網絡安全法》所規定的僅是一般的法律義務，而具體的技術標準及要求，將以上述的監察實體所發出的指引及傳閱文件明確規定，以適時更新，使各關鍵基礎設施營運機關能夠優化其本身的網絡安全管理制度。 　

《網絡安全法》規定的行政違法行為，除了受該法所規範之外，亦受行政違法行為的一般法規定，即十月四日第52/99/M號法令所規範。該法令第三條第三款規定，如有關事宜的專有法律或法規未有規定，則依次補充適用該法令之規定，經必要配合之《行政程序法典》之有關規定，刑法及刑事訴訟法之一般原則。關於對行政違法行為如何適當作出處罰，經必要配合適用現行《刑法典》第六十五條第二款關於刑罰份量的確定的規定，當局會考慮所有對行政違法者的情節，尤其以下：1、行政違法事實的不法程度、實施該事實的方式、事實所造成的後果的嚴重性；2、故意或過失的嚴重程度； 3、關鍵基礎設施營運機構的公司狀況；4、作出行政違法事實之前及之後的行為，尤其是彌補該違法事實之後果而作出的行為；5、在有關的事實中顯示行政違法者並無為保持合規範的行為作出準備，而欠缺該準備應該透過科處行政處罰予以譴責。

概括而言，對於關鍵基礎設施營運機構違反《網絡安全法》所規定的義務，監察實體會綜合違反者的各種客觀情況，在法定的處罰種類及幅度內，恪守《行政程序法典》規定的各項原則，尤其合法性原則、適度原則、善意原則及公正無私原則，訂定適當的罰款以及附加處罰。 　

有意見建議設獨立監察機關負責監察網絡安全監察實體的工作。對此，當局認為值得考慮以下幾個問題：

1. 在網絡安全的監察架構中，“網絡安全常設委員會”屬行政當局就網絡安全方面的頂層決策架構，除了負責訂定政策外，亦是一個由行政當局最高領導人，即行政長官所領導的內部監察機關，監察整個網絡安全監察架構的日常運作，包括對“網絡安全事故預警及應急中心＂及各領域的監察實體的工作的監察；
2. 當被監察的關鍵基礎設施營運機構違反網絡安全方面的義務而被有關領域的監察實體行政處罰時，根據現行《行政程序法典》第一百四十五條至第一百六十四條規定，營運機構可向行政長官或監察實體所屬的司長提出行政申訴，即因應作出處罰決定的監察實體的性質的不同(例如該監察實體屬一般部門或屬具法律人格的部門或法人)，向該監察實體所屬的司長提起訴願或監督上訴；
3. 如果被監察的關鍵基礎設施營運機構對行政當局的決定仍不滿意，現行的《行政訴訟法典》第二十條、第九十七條及隨後條文的規定賦予被行政處罰的私人機構向司法機構求助的權能，在不妨礙其可以向行政長官提出監督上訴的情況下，向有管轄權法院提起司法上訴，以確保行政當局所作出的行政處罰決定合法及公正：
4. 如果被監察的關鍵基礎設施營運機構或任何人懷疑網絡安全監察實體行使公權力的行為違法或不公，根據經第4/2012號法律修改及重新公佈的第10/2000號法律的《澳門特別行政區廉政公署》組織法第三條及第四條規定，有權向廉政公署投訴，以便廉政公署就監察實體的行徑作出行政違法的調查；另外，根據該法律第九條及第十條規定，廉政公署以任何方式獲悉後，亦可主動展開相關的調查，而且其調查工作獨立於一切法定的行政申訴途徑及司法申訴途徑；
5. 在個人資料保護方面，現行的第8/2005號法律《個人資料保護法》明確規定，不履行個人資料保護者構成犯罪，須負法定的刑事責任；而被通知後仍不停止其不法行為者，處於相當於加重違令罪的刑罰。
6. 綜合上述各項，現行法律制度己透過不同途徑確保行政當局行政活動的合法性，與此同時，《網絡安全法》的諮詢文本內容亦設置了不同層級的監察機制，旨在保證網絡安全的各項監察活動嚴守合法性原則，不損害個人資料，以及不侵犯言論自由及新聞自由。

有意見擔心網絡安全的監察實體對視聽廣播營運機構的監察工作會損害言論自由、新聞自由及通訊保密，尤其第１６／９２／Ｍ號法令規定信件和電訊的保密亦包括發件及收件人的關係及其地址。但這種理解是不符合《網絡安全法》的立法原意的，理由如下：

1. 《網絡安全法》所監察的是各關鍵基礎設施營運機構履行網絡安全義務的情況，並且利用資訊科技界所廣泛採用的自動化技術措施監察該等機構資訊系統與互聯網之間傳輸的資訊數據流量及數據包特徵。
2. 有意見懷疑或擔憂上述的資訊數據流量及數據包特徵的監察，令 “網絡安全預警及應急中心”及監察實體的監察人員或可趁機直接或透過還原技術獲取個人資料、行業資訊或通訊內容，但實際上有關意見是不符合事實的，一方面由於在監察時只是流水式檢測數據流量及數據包特徵，並且經過檢測的數據流量亦不會做任何保留，亦不會記錄任何資料，既不涉及個人資料，亦不涉及行業資訊或通訊內容。為此， “中心”及監察實體人員不可能直接或透過還原數據包技術獲取到個人資料、行業資訊或通訊內容；另一方面，當上述人員因可能或已發生網安事故而前往被監察實體的辦公地點，瞭解該實體履行網絡安全義務的情況時，亦會有被監察的私人營運機構的網安負責人現場見證 “中心”及監察實體人員的整個監察過程，以確保“中心”及監察實體人員所要求取得數據的合理性，尤其不得藉此索取業務營運數據及客戶個人資料。
3. 在視聽廣播營運機構方面，雖然第１６／９２／Ｍ號法律規定信件和電訊的保密亦包括發件及收件人的關係及其地址，亦有意見擔心監察實體透過觀察IP數據有可能知道信件及電訊的發件人及收件人的關係及地址，但正如上述第(2)點所述，由於整個檢測過程中不會保留任何數據流量，亦不會記錄任何資料，故此 “中心”及監察實體人員不會透過觀察IP數據可以知道信件及電訊的發件人及收件人的關係及地址。
4. 綜上所述， “中心”及監察實體人員不會亦不可能取得任何個人資料、行業資訊或通訊內容，亦不可能對網絡內容或言論進行解碼。即使有監察人員違法讀取個人資料、行業資訊或通訊內容，該人員的行為則構成犯罪，須承擔第8/2005號法律《個人資料保護法》、第11/2009號《打擊電腦犯罪法》及《刑法典》的刑事責任及行政違法的責任，並同時須承擔公職法律制度對公務人員所規定的紀律責任，以及在符合《民法典》規定的情況下，承擔該法典所規定的民事責任。