Perguntas/Respostas Frequentes

Na época informatizada em que estamos, a internet e o desenvolvimento da comunidade estão intimamente ligados, e o Governo da Região Administrativa Especial de Macau e as instalações fundamentais encontradas na sua sociedade tendem para funcionar através da rede. Se existirem lacunas no âmbito da cibersegurança, não poderá ser efectivamente garantida a segurança dos dados, e quando o “hacker” lançar ataques cibernéticos, nomeadamente aos serviços públicos, às infraestruturas críticas, às empresas privadas e ao sistema de saúde pública, poderá ser vazados ou furtados dados ou informações sensíveis, podendo ainda ocorrer, repetidamente, extorsões com base no resgate dessas informações. Tudo isso provocará, em casos de menor gravidade, a suspensão temporária do funcionamento dos supracitados. E em casos de maior gravidade, o sistema financeiro entrará em colapso e a ordem social ficará caótica, o que fará com que o Governo não possa exercer a sua administração efectiva e fique prejudicada a segurança de Macau e de todo o país.

Daí conclui-se que é imprevisível o eventual prejuízo para os indivíduos, a sociedade e o país, quando surgirem problemas em matéria da cibersegurança.

Relativo ao regime jurídico em matéria de informática e da rede, existe somente até à presente, a Lei n.º 11/2009 (Lei de combate à criminalidade informática) que regula os crimes cibernéticos e as respectivas penas, não se encontrando nenhuma lei nem regulamento que se destine exclusivamente à matéria de gestão preventiva com natureza administrativa no âmbito da cibersegurança, o que faz inevitávelmente, com facilidade, existir lacunas em Macau e aumentar o risco de ser alvo dos ataques cibernéticos.

Para tal, é necessário estabelecer a “Lei da cibersegurança” com a maior brevidade possível e desenvolver permanente e plurisectorilmente a actividade de segurança cibernética, de modo a preencher o vazio legal no âmbito do sistema de protecção da cibersegurança por forma a reforçar a respectiva capacidade de protecção e diminuir o perigo de ser atingido por ataques da rede, em prol da salvaguarda da segurança e dos interesses a nível nacional, comunitário e individual.

A “Lei da Cibersegurança” regula exclusivamente os assuntos no âmbito da gestão preventiva e administrativa na área da cibersegurança, nomeadamente, supervisionar o cumprimento dos deveres da gestão da cibersegurança pelos operadores das infraestruturas críticas, proceder à prevenção consoante a situação de cibersegurança, emitir alertas e tomar medidas da prevenção e resposta, bem como aplicar a pena administrativa ao infractor, incumbindo-se, assim, os órgãos administrativos de fazer as respectivas supervisões. Quanto à “Lei de combate à criminalidade informática”, trata-se de uma lei que regula os crimes cibernéticos e informáticos, sendo aplicados ao infractor as penas ao abrigo das leis penais e de processo penal e sendo a autoridade da execução da lei a autoridade e o órgão de polícia criminal. Em conclusão, a “Lei da Cibersegurança” define o regime da gestão preventiva e administrativa no âmbito da cibersegurança enquanto que a “Lei de combate à criminalidade informática” define o regime penal dos crimes informáticos.

Através dos deveres previstos na “Lei da Cibersegurança”, é exigido aos operadores das infraestruturas críticas melhor gerir as suas próprias redes informáticas e estabelecer um regime da gestão da rede informática, incluindo melhor gerir as informações que têm a ver com os cidadãos e reforçar a consciência preventiva, para que o direito da privacidade dos cidadãos possa ser garantido.

Como os ataques e invasões cibernéticos furtam ou prejudicam os nossos conteúdos de comunicação e os dados pessoais, bem como violam a privacidade dos ofendidos, o governo e os diversos sectores sociais necessitam, conjuntamente, de criar uma “parede de protecção” das informações para melhor gerir e proteger o nosso sistema da rede, prevenir e resistir a ataques e invasões cibernéticos. Macau, se não tiver a “Lei da Cibersegurança”, tornar-se-á, com elevado grau de probabilidade, o “paraíso” do crime cibernético, acabando toda a sociedade e o público em geral por sofrer as respectivas consequências.

As “infraestruturas críticas” referem-se a patrimónios, sistemas e redes que se consideram relevantes para o interesse da sociedade e para o seu funcionamento normal, independentemente da natureza pública ou privada dos seus operadores, cujo dano, revelação de dados ou a perda da função poderá causar prejuízos graves para a segurança pública, o interesse público e a ordem pública.

Por “operadores de infraestruturas críticas” entende-se dois sectores, público e privado:

1. O sector público referem-se aos “operadores públicos das infraestruturas críticas” que abrange todos os serviços, órgãos e entidades públicas
2. O sector privado referem-se aos “operadores privados de infraestruturas críticas” que abrangem todos os sectores relevantes como abastecimento de electricidade e água; redes de telecomunicações fixas e móveis; serviços de acesso à internet; difusão televisiva e da rádio; hospitais; transportes marítimos, terrestres e aéreo que incluem autocarro e avião; recolha e tratamento de resíduos; jogos de fortuna ou azar em casino; bancos e seguro etc.

O respeito pela privacidade pessoal é um princípio importante da legislação e a “Lei de Cibersegurança” pretende monitorizar os deveres de gestão administrativa, impostos às empresas que exploram infra-estruturas críticas, com o intuito de melhor proteger a segurança de internet, implementando medidas de alerta e de resposta a incidentes de internet. Quanto à questão da existência ou não violação da privacidade dos cidadãos, deve esclarecer-se que a entidade de fiscalizadora somente recolhe, nos termos legais, sistemas de informações e dados de internet. Os dados são apenas códigos de computador de 0 e 1. A menos que haja ordem judicial, a entidade fiscalizadora não pode interferir em qualquer conteúdo na internet, descodificar o conteúdo ou quaisquer conversas na internet. 　

Se o pessoal de fiscalização ler ilegitimamente qualquer conteúdo da comunicação, é responsabilizado nos termos da Lei n.º 8/2005, “Protecção de Dados Pessoais” e até da lei penal (Por exemplo: a Lei n.º 11/2009, Lei de combate à criminalidade informática). 　

O “Real-Name System” refere-se aos utentes de telemóveis que comprem os serviços de telecomunicações junto às operadoras de telecomunicações (inclusive através da compra de cartões pré-pagos para o acesso à internet e ao serviço telefónico), os quais passarão a ter de facultar informações verdadeiras sobre a sua identidade. 　

Actualmente, em Macau os utentes de telefone fixo e de telemóvel já têm essa obrigação, relativa à sua identidade, a qual é registada, porém os utilizadores de cartões pré-pagos, não precisam de fazê-lo. No futuro, aquando da aquisição destes cartões pré-pagos em Macau, vai ser necessário facultar informações verdadeiras sobre a identidade do comprador. Portanto, o “Real-Name System” não vai causar incómodo à vida quotidiana dos cidadãos de Macau. 　

Os turistas que compram o serviço de roaming para o uso em Macau não são afectados e os cidadãos de Macau que adquiram o mesmo serviço para uso fora de Macau também não são afectados. 　

No que diz respeito à venda de cartões pré-pagos por operadores de telecomunicações em colaboração com lojas. Visando o reforço da conservação adequada das informações de identidade dos clientes, as operadoras de telecomunicações e as lojas de venda de cartões pré-pagos devem cumprir a “Lei de Protecção de Dados Pessoais” sobre a conservação de informações, caso contrário, serão responsabilizados nos termos da lei. 　

Como a segurança de internet envolve áreas como a operação geral, ordem pública e segurança pública da RAEM, torna-se necessário que seja liderada pelo dirigente máximo da RAEM contando com a cooperação e coordenação do Secretário responsável pela segurança, bem como será integrada pelos Secretários das demais áreas de governação e, ainda, por dirigentes das entidades fiscalizadoras, formando uma estrutura fiscalizadora de nível superior na tomada de decisão. 　

Uma vez que a operação administrativa do governo da RAEM é dividida em diferentes áreas, nos termos da Lei n.º 2/1999, e seguindo esse modelo de estrutura administrativa, mostra-se necessário criar uma estrutura orgânica horizontal para proceder a trabalho interdepartamental em grande escala, geralmente sob a forma de uma comissão. Esta a razão pela qual se cria uma Comissão Permanente para a Cibersegurança à qual compete definir oportunas estratégias de resposta. 　

Quanto ao responsável da segurança de internet a criar dentro das instituições privadas que exploram infra-estruturas críticas, o Governo sugere apenas que não se possa recrutar para estas funções indivíduos que possuam determinado cadastro criminal, nomeadamente referenciados pelos seguintes 3 principais tipos de crime: 　

1. Crime da violação da Lei relativa à defesa da segurança do Estado;
2. Crimes relacionados com informática e internet, crimes de falsificação de notação técnica, danificação ou subtracção de notação técnica, devassa da vida privada, aproveitamento indevido de segredo, violação de segredo de correspondência ou telecomunicações, ou de qualquer outro tipo de violação de segredo;
3. Crimes graves (puníveis com pena de prisão superior a 5 anos).

Em relação a outras qualidades e habilitações profissionais do responsável da segurança de internet, o Governo não estabeleceu quaisquer outros critérios rígidos, sendo que os mesmos devem ser determinados exclusivamente pela instituição exploradora das infra-estruturas. Quanto aos indivíduos que têm cadastro criminal, mas não relacionados com os supra referenciados crimes é da responsabilidade exclusiva das respectivas instituições a decisão sobre a respectiva adequação para o desempenho do cargo de responsável pela segurança da internet. 　

Além disso, é de referir que o responsável da segurança de internet interna das instituições privadas que exploram infra-estruturas críticas não carece de especialização, podendo as instituições nomear alguém de entre os seus trabalhadores para desempenhar as referidas funções. 　

No documento de Consulta, o Governo sugere que o destinatário da Lei da Cibersegurança é a instituição exploradora das infra-estruturas, a responsabilidade legal resultantes pelo incumprimento ou violação dos deveres da ciberseguraça é assumida pela respectiva instituição. A relação entre a instituição e a empresa recrutada para defesa de segurança da rede recai no âmbito das relações entre ambas as partes. No caso de ocorrer a violação dos deveres impostos pela Lei da Cibersegurança, por parte da entidade subcontratada, a instituição exploradora das infra-estruturas deverá, a fim de evitar quaisquer fugas à responsabilidade, lançar mão dos meios cíveis adequados. 　

A Comissão Permanente para a Cibersegurança é um órgão decisório do Governo, que supervisiona macroscopicamente a situação da cibersegurança da RAEM em geral, e compete-lhe principalmente definir orientações, objectivos de ordem geral e de estratégias da cibersegurança; acompanhar e avaliar o desenvolvimento e funcionamento dos serviços e entidades públicas, bem como das entidades privadas, no âmbito da actividade de cibersegurança; apreciar e deliberar sobre o relatório geral de cibersegurança da RAEM; emitir orientações ao Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC), e às entidades de supervisão de cibersegurança. 　

A Comissão tem como presidente o Chefe do Executivo, como vice-presidente o Secretário para a Segurança, e como vogais os demais secretários do Governo e os dirigentes das entidades de supervisão de cibersegurança.

E, no futuro regulamento administrativo complementar, ficará previsto que, caso seja necessário, a Comissão Permanente para a Cibersegurança pode convidar outras entidades públicas e privadas e indivíduos, a título pessoal, poderão participar nas reuniões e demais trabalhos da Comissão. Assim, quando necessário, será possível ouvir opiniões técnicas na discussão sobre as políticas cibernéticas ou no cumprimento das suas atribuições legais da área cibernética da Comissão, para além de opiniões profissionais de dirigentes de entidades fiscalizadoras de cibersegurança, é também possível convidar, mediante o Chefe do Executivo, peritos ou profissionais para participarem nas reuniões ou nos trabalhos da área de cibersegurança. 　

A tecnologia informática e a tecnologia cibernética avançam rapidamente, mas o processo legislativo necessita de tempo e etapas próprias. Assim, a legislação tem muita dificuldade em acompanhar atempadamente o ritmo da mutação permanente da tecnologia cibernética e da tecnologia informática.

Além disso, não é conveniente definir na lei exigências tecnológicas que são muito concretas e de grande especificidade tecnológica. Por outro lado, é difícil estabelecer um critério uniforme de cibersegurança para todos os sectores de actividade, porque cada um deles tem as suas próprias exigências.

Por isso, é necessária a colaboração entre a Comissão Permanente para a Cibersegurança, o Centro de Alerta e Resposta a Incidentes de Cibersegurança, as entidades fiscalizadoras dos diferentes domínios e os órgãos das infra-estruturas críticas dos respectivos domínios. Estas entidades, em conformidade com a situação actual dos respectivos sectores, definirão regimes de gestão de cibersegurança, procedimentos de operação e critérios concretos da cibersegurança adequados para esses sectores.

A Lei da Cibersegurança define apenas os deveres legais em geral; os critérios e exigências tecnológicos concretos serão definidos por instruções e circulares emitidos pelas entidades fiscalizadoras, com actualização e ajustamento necessários para que todas as instituições exploradoras de actividades relacionadas com as infra-estruturas críticas consigam optimizar o seu regime de gestão da cibersegurança. 　

Para além de serem reguladas pela Lei da Cibersegurança, as infracções administrativas também são reguladas pelo regime geral das infracções administrativas, ou seja pelo Decreto-lei n.º 52/99/M, de 4 de Outubro.

Nos termos do n.º 3 do artigo 3.º daquele Decreto-lei: “Na ausência de regulamentação nas leis ou regulamentos previstos, aplicam-se subsidiária e sucessivamente as disposições do presente diploma e, com as necessárias adaptações, as adequadas do Código do Procedimento Administrativo e os princípios gerais do Código Penal e do Código do Processo Penal”.

No que diz respeito à forma adequada de punição das infracções administrativas, é necessário articular com o disposto no n.º 2 do artigo 65.º do Código Penal vigente sobre a determinação da medida da pena. As autoridades deverão ponderar todas as circunstâncias das infracções administrativas, principalmente as seguintes: 1. O grau de ilicitude do facto, o modo de execução deste e a gravidade das suas consequências; 2. A intensidade do dolo ou da negligência; 3. A situação das instituições exploradoras de actividades relacionadas com as infra-estruturas críticas; 4. As condutas anterior e posterior à prática do facto de infracção administrativa, especialmente quando esta seja destinada a reparar as consequências de infracção administrativa; 5. A falta de preparação para manter uma conduta lícita, manifestada no facto de infracção administrativa, quando essa falta deva ser censurada através da aplicação da sanção administrativa.

Resumindo, para determinação das multas e sanções acessórias aos operadores de infra-estruturas críticas que violam os deveres estipulados na Lei da Cibersegurança, as entidades fiscalizadoras irão ponderar, dentro das espécies e molduras legais, as várias circunstâncias objectivas do agente, observando, também, os princípios do Código do Procedimento Administrativo, principalmente os princípios das legalidade, proporcionalidade, boa-fé e imparcialidade. 　

Relativamente à sugestão da criação de uma entidade supervisora independente para supervisionar o funcionamento das entidades de supervisão de cibersegurança, as autoridades acham que se deve ter em consideração o seguinte:

1. Na estrutura supervisora de cibersegurança, a Comissão Permanente para a Cibersegurança é um órgão decisório do Governo em matéria de cibersegurança que, para além de definir políticas, é também um órgão supervisor interno dirigido pelo dirigente máximo da Administração, isto é, o Chefe do Executivo, que supervisiona o funcionamento quotidiano da estrutura supervisora de cibersegurança em geral, incluindo a supervisão sobre os trabalhos do Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC) e das entidades supervisoras nos diferentes domínios;
2. Quando os operadores de infra-estruturas submetidas à supervisão violarem os seus deveres relacionados com a cibersegurança e lhes forem aplicadas sanções administrativas pelas entidades supervisoras, esses operadores podem impugnar administrativamente a sanção junto do Chefe do Executivo ou junto do Secretário que tutela essa entidade supervisora, nos termos dos artigos 145.o a 164. o do Código de Procedimento Administrativo em vigor, ou seja, em conformidade com a natureza da entidade supervisora que decide a aplicação da sanção em causa;
3. Se os operadores de infra-estruturas submetidos à supervisão ainda não se conformarem com a decisão sancionatória da Administração, dispõem da faculdade, nos termos dos artigos 20. o, 97. o e os seguintes do Código de Processo Administrativo Contencioso em vigor, de apelar para a tuleta jurisdicional, interpondo recurso contencioso junto do Tribunal competente, sem prejuízo da possibilidade de apresentação de recurso hierárquico tutelar ao Chefe do Executivo, para assegurar a legalidade e justiça das sanções administrativas aplicadas pela Administração;
4. Caso alguém - incluindo os operadores de infra-estruturas críticas sob supervisão - entenda que as entidades supervisoras de cibersegurança praticaram actos ilegais ou injustos no exercício dos poderes públicos que lhes estão cometidos, tem o direito de apresentar queixa ao CCAC, de acordo com os artigos 3.º e 4.º da Lei n.º 10/2000 «Comissariado contra a Corrupção da Região Administrativa Especial de Macau», alterada e republicada pela Lei n.º 4/2012, cabendo depois a esta entidade investigar a eventual infracção administrativa praticada por essas entidades. Além disso, nos termos das disposições dos artigos 9.º e 10.º da referida Lei n.º 10/2000, o CCAC também pode exercer as suas funções por iniciativa própria relativamente a factos que por qualquer modo cheguem ao seu conhecimento, sendo certo que a investigação do CCAC é independente dos meios de impugnação administrativa e contenciosa previstos na lei;
5. Quanto à protecção de dados pessoais, a actual Lei n.º 8/2005 (Lei da Protecção de Dados Pessoais) dispõe, de forma expressa que, em conformidade com a lei, constitui crime o incumprimento das obrigações relativas a protecção de dados e o seu autor tem de assumir a responsabilidade criminal prevista na lei. Por outro lado, quem, depois de ser notificado para o efeito, não cessar o tratamento (ilícito) de dados pessoais é punido com a pena correspondente ao crime de desobediência qualificada;
6. Pelo exposto, conclui-se que, no sistema jurídico em vigor, encontra-se garantida, através de vários mecanismos legais e institucionais, a legitimidade das actividades administrativas da Administração. Ao mesmo tempo, no texto do documento de consulta da Lei de Cibersegurança, estão também previstos diferentes níveis de mecanismos de supervisão destinados a garantir que todas as actividades de vigilância da segurança cibernética se desenvolvam com estrita observância do princípio da legalidade, sem perigo para os dados pessoais, nem violação das liberdades de expressão e de imprensa.

Há quem expresse a preocupação de que os trabalhos de supervisão de cibersegurança a que estão sujeitos os operadores de radiodifusão televisiva e sonora, pelas entidades supervisoras, prejudicam a liberdade de expressão, a liberdade de imprensa e a confidencialidade das comunicações, principalmente a parte que se refere, na Lei n.º 16/92/M, ao sigilo das comunicações postais e das telecomunicações, o qual se estende às relações entre os remetentes e destinatários e aos respectivos endereços.

No entanto, essa preocupação não tem fundamento, em face dos objectivos subjacentes à “Lei da Cibersegurança”, pelas seguintes razões:

1. A “Lei da Cibersegurança” pretende supervisionar a situação do cumprimento dos deveres de cibersegurança das operadoras das infra-estruturas críticas, a fim de garantir que estes beneficiam dos instrumentos tecnológicos de protecção contra intrusões, comuns ao sector da tecnologia de informações, mediante a monitorização do fluxo de dados de informações e as características dos datagramas transmitidos entre os sistemas de informação dessas operadoras e a Internet.
2. Há quem suscite dúvidas e preocupações, argumentando que o acto de supervisão do fluxo de dados de informações e as características dos datagramas acima referidas pode ser aproveitado pelo pessoal de supervisão do Centro de Alerta e Resposta a Incidentes de Cibersegurança e das entidades supervisoras para obter, directamente ou através da técnica de recuperação, o conteúdo de informações e comunicações de dados pessoais e sectoriais. Essas dúvidas e receios, porém, não têm base adequada.
   Por um lado, a inspecção do fluxo de dados de informações e as características dos datagramas é feita de uma forma corrente, não se conservando nenhum dado, nem se efectuando qualquer registo de informação envolvendo conteúdos com informações ou comunicações de dados pessoais e sectoriais. Por esta razão, é praticamente impossível ao pessoal do “Centro” e das entidades supervisoras obter, directamente ou através da técnica de recuperação de datagramas, os dados pessoais, as informações sectoriais ou o conteúdo de comunicação.
   Por outro, quando o pessoal de supervisão acima mencionado visitar as instalações da entidade supervisionada, devido a um incidente de cibersegurança iminente ou em curso, para identificar e avaliar a situação, em termos de cibersegurança, estará presente o responsável da operadora privada desta entidade supervisionada a testemunhar todo o processo de intervenção realizado pelo pessoal do “Centro” e das entidades supervisoras, para avaliar da razoabilidade da obtenção de dados, solicitada pelo pessoal do “Centro” e das entidades supervisoras, não podendo estes, no exercício de actividade de fiscalização administrativa, solicitar dados operacionais de actividades e dados pessoais dos clientes.
3. Em relação às operadoras de actividade de radiodifusão televisiva e sonora, embora se encontre estipulado na Lei n.º 16/92/M que o sigilo das comunicações postais e das telecomunicações abrange as relações entre remetentes e destinatários e dos respectivos endereços, há quem que se preocupe referindo que as entidades supervisoras podem ainda tomar conhecimento das relações entre remetentes e destinatários e dos respectivos endereços através de observar os dados de IP.
   No entanto, tal como referido no ponto (2), durante o processo de inspecção não se conservam quaisquer dados de IP, nem são registadas quaisquer informações, nem o pessoal do “Centro” e das entidades supervisoras podem tomar conhecimento das relações entre remetentes e destinatários e dos respectivos endereços através de observar os dados de IP.
4. Pelo exposto, o pessoal do “Centro” e das entidades supervisoras não irá, nem poderá, obter quaisquer dados pessoais, sectoriais ou conteúdo de comunicação, nem poderá descodificar os conteúdos e as mensagens circulados na rede.
   Caso o pessoal das entidades supervisoras faça ilegalmente a leitura de dados pessoais, sectoriais ou de quaisquer conteúdos da comunicação, esse acto constituirá crime e o mesmo incorrerá em responsabilidade penal e administrativa, conforme previsto nas Leis n.º 8/2005 (Lei da Protecção de Dados Pessoais) e n.º 11/2009 (Lei de Combate à Criminalidade Informática) e no Código Penal, bem como em responsabilidade disciplinar (regulada pelo regime jurídico da função pública, no que se refere aos trabalhadores públicos) e, eventualmente, em responsabilidade civil, nos termos do Código Civil, se se verificarem os correspondentes pressupostos.