澳门特别行政区行政会日前完成讨论《网络安全法》法律草案,将设立澳门特区网络安全体系,并规范其运作。
法案的背景、组织架构及内容
澳门特区行政委员会发言人梁庆庭9月11日在新闻发布会上介绍,随着互联网及通讯技术高速发展和广泛应用,网络攻击及网络入侵层出不穷,为促进澳门社会的网络系统良好运作,确保网络数据完整并得到充分保障,特区政府有必要对网络安全进行立法。
特区政府经参考中国内地及其他国家或地区的相关法律制度,遵照“保障市民安全、尊重个人隐私”的原则,并经咨询业界及公众意见,制订了《网络安全法》法律草案。
《网络安全法》的主要内容包括:
一、法案明确资讯网络、电脑系统及电脑数据资料、网络安全、关键基础设施、关键基础设施营运者、未经许可的行为、网络安全事故及网络经营者的定义。
二、适用主体。法案建议关键基础设施营运者包括所有公共部门、机关及实体,以及运输、电讯、银行和保险、医疗卫生、水电供应等私人实体。
三、组织框架。澳门网络安全体系由网络安全常设委员会、网络安全事故预警及应急中心、网络安全监察实体组成。网络安全常设委员会为政府的决策机关,主要负责订定实现网络安全目标的一般性及策略性的方向及目的。网络安全事故预警及应急中心由在网络安全方面具特别技术职权的公共实体组成,并由司法警察局统筹,职责主要包括管理及执行紧急事故应对措施。网络安全监察实体是对关键基础设施营运者履行网络安全监察职责的实体。
四、网络安全义务。法案订定组织性义务,程序性、预防性及应变性义务,自行评估及报告义务,合作义务,关键基础设施的公共营运者的义务。法案建议设立“网络安全主要负责人”的职位,并要求有关人员须具备适当资格及专业经验。在发生网络安全事故时,须通知预警及应急中心,并将有关事实告知相关监察实体。法案强制要求营运者定期自行评估,同时须向监察实体提交网络安全报告。
五、法案建议网络经营者应查核及登记客户的身份资料,生效前购买的无须预先提供身份资料的预付式SIM卡,网络经营者须於法案生效后六十日内向购买者或用户要求提供身份资料。
六、法案建议保存及提供网络地址转换纪录,网络经营者向用户提供互联网接入服务时,应将用户私人内联网地址与互联网公共网络地址的转换纪录保存一年。
七、行政处罚制度。法案建议,违反网络安全义务,处澳门币五万元至五百万元罚款,并设有附加处罚。监察实体如发现营运者涉嫌轻微不遵守网络安全义务,可劝诫其於指定期间内补正不合规范的情况,如营运者未作出补正,监察实体须提起有关的行政违法处罚程序。
“实名制”为法案焦点
“实名制”是本法案的一大焦点,法案建议电信运营商必须核查及登记客户的身份资料,并保存用户“IP”地址1年。针对生效前购买的无须预先提供身份资料的预付式SIM卡,用户须在法案生效后60日内提供身份数据,否则该卡会被停止激活。如果未及时进行停用,相关运营商同样将面临罚款。
本法只针对由澳门网络营运商发出、在澳门生效的电话卡,不适用于海外营运商的电话卡。至于电话卡分销商与有关网络营运商属合作关系,本法只针对后者。
除了电信服务运营商之外,此项法案同时定义澳门市各关键基础设施营运者,包括所有公共部门、机关及实体,以及运输、电讯、银行和保险、医疗卫生、水电供应等11个领域的机构,营运者有义务设立网络安全主要负责人,在发生网络安全事故时,须通知网络安全事故预警及应急中心,并将有关事实告知相关监察实体。