立法會根據《澳門特別行政區基本法》第七十一條(一)項,制定本法律。
本法律建立及規範澳門特別行政區的網絡安全體系,以保護關鍵基礎設施營運者的資訊網絡、電腦系統及電腦數據資料。
一、為適用本法律,下列用語的含義為:
(一)“網絡安全”:是指澳門特別行政區為確保關鍵基礎設施營運者所使用的資訊網絡及電腦系統正常運作,以及電腦數據資料的完整性、保密性及可用性而開展的長期性跨領域活動,尤其防止該等網絡、系統及數據資料因未經許可的行為而受到不利影響;
(二)“資訊網絡”:
(1)互聯的電腦裝置或電腦系統;
(2)使電腦裝置及電腦系統互聯的電子通訊網絡,尤其是第14/2001號法律《電信綱要法》所指的電信網絡;
(3)於上兩分項所指的裝置、系統及網絡範圍內儲存、處理、交換或傳輸的電腦數據資料,以確保其運作、使用、保護及維護;
(三)“關鍵基礎設施”:是指對社會正常運作具有重要意義,且一旦遭到擾亂、破壞、數據資料洩漏、停止運作或效能大幅降低,可能嚴重危害社會福祉、公共安全、公共秩序或其他尤為重要的公共利益的資產、資訊網絡和電腦系統;
(四)“關鍵基礎設施營運者”:是指營運關鍵基礎設施及提供有關服務的公共或私人實體;
(五)“未經許可的行為”:是指未經資訊網絡、電腦系統或電腦數據資料的所有權人或其他權利人同意而對該等網絡、系統或數據資料實施進入、獲取、使用、提供、截取、損害或其他類型的干擾行為;
(六)“網絡安全事故”:是指任何構成未經許可的行為的情況,以及通常對資訊網絡、電腦系統及電腦數據資料的安全造成實際不利影響的任何事件;
(七)“網絡營運者”:是指具資格經營固定或流動的公共電信網絡及提供互聯網接入服務的實體。
二、為適用本法律的規定,“電腦系統”及“電腦數據資料”的含義,與第11/2009號法律《打擊電腦犯罪法》的相關定義規定相同。
一、網絡安全活動按下列方式進行:
(一)為達至適切的網絡安全標準,訂定方針、目的及策略;
(二)向關鍵基礎設施營運者發出具約束力的技術規範;
(三)履行本法律及技術規範所定的義務;
(四)為應對網絡安全事故,尤其是正在發生或即將發生的嚴重網絡安全事故,執行網絡安全例外措施;
(五)檢視關鍵基礎設施營運者的資訊網絡與互聯網之間傳輸的電腦數據資料,以防止、偵測及打擊網絡安全事故;
(六)監察網絡安全義務及措施的履行情況,以及提起相應的處罰程序。
二、技術規範旨在制定資訊網絡、電腦系統及電腦數據資料的安全程序和機制,由第二章所指的實體透過傳閱文件向全體關鍵基礎設施營運者發出,或透過指引向特定類別的關鍵基礎設施營運者發出。
三、傳閱文件及指引均須公佈於《澳門特別行政區公報》,但基於性質須進行保密者,則以簽收方式或以附收件回執的郵政掛號方式送交。
一、本法律適用於關鍵基礎設施的公共及私人營運者。
二、關鍵基礎設施公共營運者包括:
(一)行政長官辦公室、主要官員的辦公室、立法會輔助部門、終審法院院長辦公室及檢察長辦公室;
(二)澳門特別行政區公共部門;
(三)以任何形式設立的公務法人及自治基金。
三、關鍵基礎設施私人營運者包括:
(一)住所設於澳門特別行政區或外地,且具資格以經營批給、向行政當局提供服務、准照、執照或相同性質的憑證的方式,在下列特定領域從事業務的私法實體:
(1)供水;
(2)銀行、財務及保險業;
(3)在醫院提供衛生護理;
(4)污水處理和垃圾收集及處理;
(5)燃料和受衛生檢疫及植物檢疫的食品的總批發供應;
(6)法定屠宰場宰殺動物;
(7)電力及天然氣的供應及分配;
(8)按預定路線或航線、班次、時間表及收費提供的定期海、陸、空運輸的公共服務;
(9)港口、碼頭、機場及直升機場的營運;
(10)視聽廣播;
(11)經營娛樂場幸運博彩;
(12)經營固定或流動的公共電信網絡,以及提供互聯網接入服務;
(二)全公共資本公司;
(三)活動僅限於科學及技術領域的行政公益法人。
一、本法律的規定不適用於下列者:
(一)不使用資訊網絡或電腦系統,又或根據適用的組織法規或行政長官批示的規定,僅使用由其他公共實體負責網絡安全的資訊網絡或電腦系統的澳門特別行政區公共部門、機關或實體;
(二)其業務僅限於娛樂節目廣播的視聽廣播業營運者。
二、行政長官可應利害關係人的要求,以批示豁免以下關鍵基礎設施私人營運者履行網絡安全的義務:
(一)不從事獲發准照的業務者,但須已預先通知簽發准照的實體延遲開業或中止業務;
(二)其業務不使用資訊網絡或電腦系統者;
(三)顯示其業務的良好和常規表現不取決於資訊網絡及電腦系統長期操作者。
澳門特別行政區網絡安全體系由下列實體組成:
(一)網絡安全委員會(下稱“委員會”);
(二)網絡安全事故預警及應急中心(下稱“預警及應急中心”);
(三)網絡安全監管實體(下稱“監管實體”)。
委員會是由行政長官領導的機關,其負責:
(一)確保第三條第一款(一)項所指的活動;
(二)監督網絡安全體系內其他實體在本法律範圍內所開展的活動;
(三)建議政府與澳門特別行政區或外地的公共或私人實體訂立或修訂有助提高澳門特別行政區網絡安全標準的協議、議定書或合同。
一、預警及應急中心是網絡安全事故預警及應急方面的專門技術性機構,由司法警察局統籌,其負責:
(一)集中接收與網絡安全事故有關的資訊;
(二)擬定第三條第一款(四)項規定的網絡安全措施,並協調各參與實體的應對,以避免或減少網絡安全事故的影響;
(三)確保並促進組織間合作,包括與外地的同類實體合作;
(四)按嚴重性等級對網絡安全事故分級,並按有關等級制定預警及應對程序;
(五)根據第三條第一款(五)項的規定,實時檢視關鍵基礎設施營運者的資訊網絡與互聯網之間傳輸的電腦數據資料的流量及特徵;
(六)就網絡安全事故發出預警;
(七)應監管實體的要求,在其履行職責時給予技術支援。
二、上款(五)項所指的檢視由司法警察局進行,且僅涉及機器語言,不得收集電腦數據資料或以任何方式對該等資料解碼。
三、以上兩款的規定不影響司法警察局的職權及權力制度的適用。
一、監管實體是公共行政部門或機構,在其職責範圍內具有下列權限:
(一)確保本法律及技術規範所定的義務獲履行,但不影響預警及應急中心在第三條第一款(四)項所指情況下的本身權限;
(二)監察關鍵基礎設施營運者有關其網絡安全的計劃及行動;
(三)行使本法律規定的處罰權限。
二、上款所指的權限由下列者行使:
(一)對關鍵基礎設施公共營運者,由行政公職局行使;
(二)對關鍵基礎設施私人營運者,由行政法規指定的公共實體行使。
一、關鍵基礎設施私人營運者在組織方面的義務如下:
(一)設立具能力執行網絡安全內部保護措施的網絡安全管理單位;
(二)為網絡安全管理單位配置合適的人力、財政、物力及財產資源;
(三)從具備適當資格及專業經驗且以澳門特別行政區為常居地的人士中指定網絡安全主要負責人及其替代人;
(四)採取措施確保預警及應急中心能隨時聯絡網絡安全主要負責人及其替代人;
(五)建立網絡安全的投訴和舉報機制。
二、在審查適當資格時,應考慮任何基於其嚴重性、多發性或其他應予重視的情節而對確保網絡安全構成重大疑慮的事實。
三、在不影響上款規定的情況下,禁止關鍵基礎設施私人營運者指定因下列任一犯罪而透過確定判決被判刑的人在下款規定的期間內成為網絡安全主要負責人及其替代人:
(一)第2/2009號法律《維護國家安全法》規定的犯罪;
(二)電腦犯罪或偽造技術註記罪、損壞或取去技術註記罪、以資訊方法作侵入罪、不當利用秘密罪、違反函件或電訊保密罪或違反職業保密罪;
(三)其他可處超過五年徒刑的犯罪。
四、禁止期間如下:
(一)如被判處五年或以下徒刑,自暫緩執行刑罰期滿、服刑終止或延長服刑終止之日起計五年;
(二)如被判處超過五年的實際徒刑,自服刑終止或延長服刑終止之日起計十年。
五、由外地法院宣示的判決,對第三款(二)項及(三)項的效力而言具重要性,如屬該款(三)項的情況,則有關行為根據澳門特別行政區的法例規定亦構成犯罪。
六、就擬指定為網絡安全主要負責人及其替代人的人士的適當資格及倘有的禁止情況,關鍵基礎設施私人營運者應徵求司法警察局的意見。
關鍵基礎設施私人營運者在程序、預防及應對網絡安全事故方面的義務如下:
(一)制定網絡安全管理制度及相關的內部操作程序;
(二)按照網絡安全管理制度及適用的技術規範,採取與網絡安全的保護、檢視、預警及應對有關的網絡安全事故內部措施;
(三)在發生網絡安全事故時,通知預警及應急中心,並將有關事實告知相關監管實體,以及立即開展應對嚴重的網絡安全事故的行動;
(四)檢視和記錄其資訊網絡的運作狀況。
關鍵基礎設施私人營運者在自行評估及報告方面的義務如下:
(一)就其資訊網絡及電腦系統的安全性及存在的風險,自行或由專業實體進行評估;
(二)每年向有關監管實體提交網絡安全報告,其中尤須指出倘有已記錄的網絡安全事故、上項所指評估的結果及已採取的改善措施。
關鍵基礎設施私人營運者及其行政管理機關成員、管理人員或受託人,在與預警及應急中心和監管實體的合作方面有如下的義務:
(一)在查核第十一條所指義務的履行情況屬必要的範圍內,允許該等部門的代表進入其設施及資訊網絡,並向該等人員提供所要求的資料;
(二)提供確保網絡安全的妥善管理所需的支援與合作。
一、關鍵基礎設施公共營運者的義務如下:
(一)在領導及主管人員中,指定一名網絡安全負責人;
(二)採取措施以取得合適的人力、財政、物力及財產資源,使有關的網絡安全管理制度能良好運作;
(三)對內及在由其負責網絡安全的公共部門、機關或實體範圍內,履行和促使履行第十一條至第十三條規定的義務;
(四)檢視與私人實體訂立的提供網絡安全服務合同的執行情況;
(五)私人實體不履行有關合同時,在不影響可予歸責的情況下,執行與該私人實體以合同訂定的網絡安全服務。
二、非組成預警及應急中心的關鍵基礎設施公共營運者,每年須向行政公職局提交一份關於其資訊網絡及電腦系統的安全及存在風險的評估報告。
三、第一款(四)項所指的提供網絡安全服務合同的訂立,須經行政長官預先許可。
一、在不影響倘有的其他責任的情況下,因作為或不作為而違反第十條至第十三條規定的義務,科澳門幣十五萬元至五百萬元的罰款,但下款的規定除外。
二、因作為或不作為而違反第十條第一款(四)項、第十二條(二)項、第十三條(二)項以及技術規範規定的義務,科澳門幣五萬元至十五萬元的罰款。
就上條所指的行政違法行為對關鍵基礎設施營運者的歸責:
(一)適用於由第三人確保網絡安全的情況;
(二)不取決於以作為或不作為方式實施行政違法行為的行為人的身份識別;
(三)不取決於身份可被識別的行為人與關鍵基礎設施營運者或與合同訂定的網絡安全服務提供者的關係。
一、違反第十條第一款(一)至(三)項、第十一條(一)項、第十二條(一)項及第十三條(一)項的規定,可單獨或合併科處下列附加處罰:
(一)剝奪參與公共部門、機關及實體有關取得財貨或勞務的直接磋商、限定對象諮詢或公開招標的權利;
(二)剝奪獲公共部門、機關及實體發給津貼或優惠的權利。
二、上款所指的附加處罰最長期間為兩年,自相關決定轉為不可申訴之日起計算。
一、如發現在履行網絡安全義務時存在不合規範情況且屬下列者,監管實體可指定補正期間:
(一)不合規範為可予補正且對網絡安全不構成嚴重危險者;
(二)非為累犯者。
二、不合規範的情況已在指定期間內獲補正,監管實體可對違法者僅作出勸誡的決定。
三、如不合規範的情況在指定期間內未獲補正,則針對違法行為的處罰程序繼續進行。
一、為適用本法律的規定,自行政處罰決定轉為不可申訴起一年內,且距上一次的行政違法行為實施日不足五年,再次實施第十五條規定的行政違法行為者,視為累犯。
二、如屬累犯的情況,罰款的最低限額提高四分之一,最高限額則維持不變。
一、如行為同時構成違反本章規定的義務及其他法例規定的行政違法行為,則根據罰款上限較高的法例對違法者作出處罰。
二、上款的規定不影響單獨或一併適用:
(一)就各種行政違法行為訂定的附加處罰;
(二)訂定廢止或中止准照或其等同憑證,又或其他非處罰性措施的規範。
一、第九條所指的實體具權限對受其監管的關鍵基礎設施私人營運者就本法律規定的行政違法行為提起程序及組成相關卷宗。
二、監管實體的最高負責人具權限決定提起處罰程序、指定預審員及作出處罰。
如因不履行義務而構成違法行為,科處處罰及繳付罰款並不免除違法者履行仍屬可履行的義務。
一、關鍵基礎設施公共營運者的工作人員須對違反第十一條至第十四條規定的義務負紀律責任,且不影響倘有的其他責任。
二、對因違反程序性、預防性及應變性義務而構成的違紀行為,可科處強迫退休或撤職,又或停職處分。
一、網絡營運者應自本法律生效之日起一百二十日內採取措施,以便對在本法律生效前售出的無須預先提供身份資料的預付式用戶身份模塊卡(下稱“SIM卡”)用戶的身份資料進行登記。
二、如SIM卡用戶在上款所指的期間屆滿時仍不提供其身份資料,網絡營運者應中止有關服務,但不影響在用戶提供身份資料之日重新激活該卡。
三、不履行以上兩款規定的義務構成行政違法行為,科澳門幣五萬元至十五萬元的罰款。
四、郵電局具權限就上款所指的行政違法行為提起處罰程序、指定預審員及作出處罰。
一、網絡營運者在訂立提供互聯網接入服務、域名註冊服務、固定或流動公用電信服務的合同或確認提供該等服務時,應查核及登記客戶的身份資料。
二、不履行上款規定的義務構成行政違法行為,科澳門幣五萬元至十五萬元的罰款。
三、相應適用上條第四款的規定。
在第11/2009號法律內增加由第十六-A條及第十六-B條組成的第三-A章,標題為“行政違法行為”,內容如下:
一、互聯網服務提供者必須將私人網絡地址轉換成公共網絡地址的紀錄保存一年。
二、不履行上款規定的義務構成行政違法行為,科澳門幣五萬元至十五萬元的罰款。
三、具權限的司法當局在必要時可命令提供第一款所指的紀錄,為此須遵守第十五條第一款至第四款的規定。
郵電局具權限就上條第二款所指的行政違法行為提起處罰程序、指定預審員及作出處罰。”
執行本法律所需的補充規範,尤其針對下列事宜,由行政長官以補充性行政法規或對外規範性批示制定:
(一)委員會和預警及應急中心的組成、權限及運作方式;
(二)指定監管實體及受該等實體監管的關鍵基礎設施私人營運者。
本法律自公佈後滿一百八十日起生效。
二零一九年六月六日通過。
立法會主席 賀一誠
二零一九年六月十七日簽署。
命令公佈。
行政長官 崔世安