本文是澳门法例相关中华人民共和国法律法规,可参见中华人民共和国网络安全法
本文是澳门法例相关中华民国法规,可参见资通安全管理法
第13/2019号法律
网络安全法

2019年6月6日
2019年6月17日
2019年6月24日
《第13/2019号法律》经立法会于2019年6月6日通过,行政长官崔世安于2019年6月17日签罯并发布,并于2019年6月24日刊登于《澳门特别行政区公报》。

    立法会根据《澳门特别行政区基本法》第七十一条(一)项,制定本法律。

    第一章 一般规定

    第一条
    标的及宗旨

    本法律建立及规范澳门特别行政区的网络安全体系,以保护关键基础设施营运者的资讯网络、电脑系统及电脑数据资料。

    第二条
    定义

    一、为适用本法律,下列用语的含义为:

    (一)“网络安全”:是指澳门特别行政区为确保关键基础设施营运者所使用的资讯网络及电脑系统正常运作,以及电脑数据资料的完整性、保密性及可用性而开展的长期性跨领域活动,尤其防止该等网络、系统及数据资料因未经许可的行为而受到不利影响;

    (二)“资讯网络”:

    (1)互联的电脑装置或电脑系统;

    (2)使电脑装置及电脑系统互联的电子通讯网络,尤其是第14/2001号法律《电信纲要法》所指的电信网络;

    (3)于上两分项所指的装置、系统及网络范围内储存、处理、交换或传输的电脑数据资料,以确保其运作、使用、保护及维护;

    (三)“关键基础设施”:是指对社会正常运作具有重要意义,且一旦遭到扰乱、破坏、数据资料泄漏、停止运作或效能大幅降低,可能严重危害社会福祉、公共安全、公共秩序或其他尤为重要的公共利益的资产、资讯网络和电脑系统;

    (四)“关键基础设施营运者”:是指营运关键基础设施及提供有关服务的公共或私人实体;

    (五)“未经许可的行为”:是指未经资讯网络、电脑系统或电脑数据资料的所有权人或其他权利人同意而对该等网络、系统或数据资料实施进入、获取、使用、提供、截取、损害或其他类型的干扰行为;

    (六)“网络安全事故”:是指任何构成未经许可的行为的情况,以及通常对资讯网络、电脑系统及电脑数据资料的安全造成实际不利影响的任何事件;

    (七)“网络营运者”:是指具资格经营固定或流动的公共电信网络及提供互联网接入服务的实体。

    二、为适用本法律的规定,“电脑系统”及“电脑数据资料”的含义,与第11/2009号法律《打击电脑犯罪法》的相关定义规定相同。

    第三条
    网络安全活动

    一、网络安全活动按下列方式进行:

    (一)为达至适切的网络安全标准,订定方针、目的及策略;

    (二)向关键基础设施营运者发出具约束力的技术规范;

    (三)履行本法律及技术规范所定的义务;

    (四)为应对网络安全事故,尤其是正在发生或即将发生的严重网络安全事故,执行网络安全例外措施;

    (五)检视关键基础设施营运者的资讯网络与互联网之间传输的电脑数据资料,以防止、侦测及打击网络安全事故;

    (六)监察网络安全义务及措施的履行情况,以及提起相应的处罚程序。

    二、技术规范旨在制定资讯网络、电脑系统及电脑数据资料的安全程序和机制,由第二章所指的实体透过传阅文件向全体关键基础设施营运者发出,或透过指引向特定类别的关键基础设施营运者发出。

    三、传阅文件及指引均须公布于《澳门特别行政区公报》,但基于性质须进行保密者,则以签收方式或以附收件回执的邮政挂号方式送交。

    第四条
    适用的主体范围

    一、本法律适用于关键基础设施的公共及私人营运者。

    二、关键基础设施公共营运者包括:

    (一)行政长官办公室、主要官员的办公室、立法会辅助部门、终审法院院长办公室及检察长办公室;

    (二)澳门特别行政区公共部门;

    (三)以任何形式设立的公务法人及自治基金。

    三、关键基础设施私人营运者包括:

    (一)住所设于澳门特别行政区或外地,且具资格以经营批给、向行政当局提供服务、准照、执照或相同性质的凭证的方式,在下列特定领域从事业务的私法实体:

    (1)供水;

    (2)银行、财务及保险业;

    (3)在医院提供卫生护理;

    (4)污水处理和垃圾收集及处理;

    (5)燃料和受卫生检疫及植物检疫的食品的总批发供应;

    (6)法定屠宰场宰杀动物;

    (7)电力及天然气的供应及分配;

    (8)按预定路线或航线、班次、时间表及收费提供的定期海、陆、空运输的公共服务;

    (9)港口、码头、机场及直升机场的营运;

    (10)视听广播;

    (11)经营娱乐场幸运博彩;

    (12)经营固定或流动的公共电信网络,以及提供互联网接入服务;

    (二)全公共资本公司;

    (三)活动仅限于科学及技术领域的行政公益法人。

    第五条
    不适用及豁免

    一、本法律的规定不适用于下列者:

    (一)不使用资讯网络或电脑系统,又或根据适用的组织法规或行政长官批示的规定,仅使用由其他公共实体负责网络安全的资讯网络或电脑系统的澳门特别行政区公共部门、机关或实体;

    (二)其业务仅限于娱乐节目广播的视听广播业营运者。

    二、行政长官可应利害关系人的要求,以批示豁免以下关键基础设施私人营运者履行网络安全的义务:

    (一)不从事获发准照的业务者,但须已预先通知签发准照的实体延迟开业或中止业务;

    (二)其业务不使用资讯网络或电脑系统者;

    (三)显示其业务的良好和常规表现不取决于资讯网络及电脑系统长期操作者。

    第二章 组织规定

    第六条
    组织框架

    澳门特别行政区网络安全体系由下列实体组成:

    (一)网络安全委员会(下称“委员会”);

    (二)网络安全事故预警及应急中心(下称“预警及应急中心”);

    (三)网络安全监管实体(下称“监管实体”)。

    第七条
    网络安全委员会

    委员会是由行政长官领导的机关,其负责:

    (一)确保第三条第一款(一)项所指的活动;

    (二)监督网络安全体系内其他实体在本法律范围内所开展的活动;

    (三)建议政府与澳门特别行政区或外地的公共或私人实体订立或修订有助提高澳门特别行政区网络安全标准的协议、议定书或合同。

    第八条
    网络安全事故预警及应急中心

    一、预警及应急中心是网络安全事故预警及应急方面的专门技术性机构,由司法警察局统筹,其负责:

    (一)集中接收与网络安全事故有关的资讯;

    (二)拟定第三条第一款(四)项规定的网络安全措施,并协调各参与实体的应对,以避免或减少网络安全事故的影响;

    (三)确保并促进组织间合作,包括与外地的同类实体合作;

    (四)按严重性等级对网络安全事故分级,并按有关等级制定预警及应对程序;

    (五)根据第三条第一款(五)项的规定,实时检视关键基础设施营运者的资讯网络与互联网之间传输的电脑数据资料的流量及特征;

    (六)就网络安全事故发出预警;

    (七)应监管实体的要求,在其履行职责时给予技术支援。

    二、上款(五)项所指的检视由司法警察局进行,且仅涉及机器语言,不得收集电脑数据资料或以任何方式对该等资料解码。

    三、以上两款的规定不影响司法警察局的职权及权力制度的适用。

    第九条
    网络安全监管实体

    一、监管实体是公共行政部门或机构,在其职责范围内具有下列权限:

    (一)确保本法律及技术规范所定的义务获履行,但不影响预警及应急中心在第三条第一款(四)项所指情况下的本身权限;

    (二)监察关键基础设施营运者有关其网络安全的计划及行动;

    (三)行使本法律规定的处罚权限。

    二、上款所指的权限由下列者行使:

    (一)对关键基础设施公共营运者,由行政公职局行使;

    (二)对关键基础设施私人营运者,由行政法规指定的公共实体行使。

    第三章 网络安全义务

    第十条
    组织性义务

    一、关键基础设施私人营运者在组织方面的义务如下:

    (一)设立具能力执行网络安全内部保护措施的网络安全管理单位;

    (二)为网络安全管理单位配置合适的人力、财政、物力及财产资源;

    (三)从具备适当资格及专业经验且以澳门特别行政区为常居地的人士中指定网络安全主要负责人及其替代人;

    (四)采取措施确保预警及应急中心能随时联络网络安全主要负责人及其替代人;

    (五)建立网络安全的投诉和举报机制。

    二、在审查适当资格时,应考虑任何基于其严重性、多发性或其他应予重视的情节而对确保网络安全构成重大疑虑的事实。

    三、在不影响上款规定的情况下,禁止关键基础设施私人营运者指定因下列任一犯罪而透过确定判决被判刑的人在下款规定的期间内成为网络安全主要负责人及其替代人:

    (一)第2/2009号法律《维护国家安全法》规定的犯罪;

    (二)电脑犯罪或伪造技术注记罪、损坏或取去技术注记罪、以资讯方法作侵入罪、不当利用秘密罪、违反函件或电讯保密罪或违反职业保密罪;

    (三)其他可处超过五年徒刑的犯罪。

    四、禁止期间如下:

    (一)如被判处五年或以下徒刑,自暂缓执行刑罚期满、服刑终止或延长服刑终止之日起计五年;

    (二)如被判处超过五年的实际徒刑,自服刑终止或延长服刑终止之日起计十年。

    五、由外地法院宣示的判决,对第三款(二)项及(三)项的效力而言具重要性,如属该款(三)项的情况,则有关行为根据澳门特别行政区的法例规定亦构成犯罪。

    六、就拟指定为网络安全主要负责人及其替代人的人士的适当资格及倘有的禁止情况,关键基础设施私人营运者应征求司法警察局的意见。

    第十一条
    程序性、预防性及应变性义务

    关键基础设施私人营运者在程序、预防及应对网络安全事故方面的义务如下:

    (一)制定网络安全管理制度及相关的内部操作程序;

    (二)按照网络安全管理制度及适用的技术规范,采取与网络安全的保护、检视、预警及应对有关的网络安全事故内部措施;

    (三)在发生网络安全事故时,通知预警及应急中心,并将有关事实告知相关监管实体,以及立即开展应对严重的网络安全事故的行动;

    (四)检视和记录其资讯网络的运作状况。

    第十二条
    自行评估及报告义务

    关键基础设施私人营运者在自行评估及报告方面的义务如下:

    (一)就其资讯网络及电脑系统的安全性及存在的风险,自行或由专业实体进行评估;

    (二)每年向有关监管实体提交网络安全报告,其中尤须指出倘有已记录的网络安全事故、上项所指评估的结果及已采取的改善措施。

    第十三条
    合作义务

    关键基础设施私人营运者及其行政管理机关成员、管理人员或受托人,在与预警及应急中心和监管实体的合作方面有如下的义务:

    (一)在查核第十一条所指义务的履行情况属必要的范围内,允许该等部门的代表进入其设施及资讯网络,并向该等人员提供所要求的资料;

    (二)提供确保网络安全的妥善管理所需的支援与合作。

    第十四条
    关键基础设施公共营运者的义务

    一、关键基础设施公共营运者的义务如下:

    (一)在领导及主管人员中,指定一名网络安全负责人;

    (二)采取措施以取得合适的人力、财政、物力及财产资源,使有关的网络安全管理制度能良好运作;

    (三)对内及在由其负责网络安全的公共部门、机关或实体范围内,履行和促使履行第十一条至第十三条规定的义务;

    (四)检视与私人实体订立的提供网络安全服务合同的执行情况;

    (五)私人实体不履行有关合同时,在不影响可予归责的情况下,执行与该私人实体以合同订定的网络安全服务。

    二、非组成预警及应急中心的关键基础设施公共营运者,每年须向行政公职局提交一份关于其资讯网络及电脑系统的安全及存在风险的评估报告。

    三、第一款(四)项所指的提供网络安全服务合同的订立,须经行政长官预先许可。

    第四章 处罚制度

    第十五条
    行政违法行为

    一、在不影响倘有的其他责任的情况下,因作为或不作为而违反第十条至第十三条规定的义务,科澳门币十五万元至五百万元的罚款,但下款的规定除外。

    二、因作为或不作为而违反第十条第一款(四)项、第十二条(二)项、第十三条(二)项以及技术规范规定的义务,科澳门币五万元至十五万元的罚款。

    第十六条
    行政违法行为的责任

    就上条所指的行政违法行为对关键基础设施营运者的归责:

    (一)适用于由第三人确保网络安全的情况;

    (二)不取决于以作为或不作为方式实施行政违法行为的行为人的身份识别;

    (三)不取决于身份可被识别的行为人与关键基础设施营运者或与合同订定的网络安全服务提供者的关系。

    第十七条
    附加处罚

    一、违反第十条第一款(一)至(三)项、第十一条(一)项、第十二条(一)项及第十三条(一)项的规定,可单独或合并科处下列附加处罚:

    (一)剥夺参与公共部门、机关及实体有关取得财货或劳务的直接磋商、限定对象咨询或公开招标的权利;

    (二)剥夺获公共部门、机关及实体发给津贴或优惠的权利。

    二、上款所指的附加处罚最长期间为两年,自相关决定转为不可申诉之日起计算。

    第十八条
    劝诫

    一、如发现在履行网络安全义务时存在不合规范情况且属下列者,监管实体可指定补正期间:

    (一)不合规范为可予补正且对网络安全不构成严重危险者;

    (二)非为累犯者。

    二、不合规范的情况已在指定期间内获补正,监管实体可对违法者仅作出劝诫的决定。

    三、如不合规范的情况在指定期间内未获补正,则针对违法行为的处罚程序继续进行。

    第十九条
    累犯

    一、为适用本法律的规定,自行政处罚决定转为不可申诉起一年内,且距上一次的行政违法行为实施日不足五年,再次实施第十五条规定的行政违法行为者,视为累犯。

    二、如属累犯的情况,罚款的最低限额提高四分之一,最高限额则维持不变。

    第二十条
    行政违法行为的合并

    一、如行为同时构成违反本章规定的义务及其他法例规定的行政违法行为,则根据罚款上限较高的法例对违法者作出处罚。

    二、上款的规定不影响单独或一并适用:

    (一)就各种行政违法行为订定的附加处罚;

    (二)订定废止或中止准照或其等同凭证,又或其他非处罚性措施的规范。

    第二十一条
    处罚权限

    一、第九条所指的实体具权限对受其监管的关键基础设施私人营运者就本法律规定的行政违法行为提起程序及组成相关卷宗。

    二、监管实体的最高负责人具权限决定提起处罚程序、指定预审员及作出处罚。

    第二十二条
    履行未履行的义务

    如因不履行义务而构成违法行为,科处处罚及缴付罚款并不免除违法者履行仍属可履行的义务。

    第二十三条
    关键基础设施公共营运者的工作人员的责任

    一、关键基础设施公共营运者的工作人员须对违反第十一条至第十四条规定的义务负纪律责任,且不影响倘有的其他责任。

    二、对因违反程序性、预防性及应变性义务而构成的违纪行为,可科处强迫退休或撤职,又或停职处分。

    第五章 过渡及最后规定

    第二十四条
    用户身份模块卡

    一、网络营运者应自本法律生效之日起一百二十日内采取措施,以便对在本法律生效前售出的无须预先提供身份资料的预付式用户身份模块卡(下称“SIM卡”)用户的身份资料进行登记。

    二、如SIM卡用户在上款所指的期间届满时仍不提供其身份资料,网络营运者应中止有关服务,但不影响在用户提供身份资料之日重新激活该卡。

    三、不履行以上两款规定的义务构成行政违法行为,科澳门币五万元至十五万元的罚款。

    四、邮电局具权限就上款所指的行政违法行为提起处罚程序、指定预审员及作出处罚。

    第二十五条
    客户身份资料

    一、网络营运者在订立提供互联网接入服务、域名注册服务、固定或流动公用电信服务的合同或确认提供该等服务时,应查核及登记客户的身份资料。

    二、不履行上款规定的义务构成行政违法行为,科澳门币五万元至十五万元的罚款。

    三、相应适用上条第四款的规定。

    第二十六条
    增加第11/2009号法律的条文

    第11/2009号法律内增加由第十六-A条及第十六-B条组成的第三-A章,标题为“行政违法行为”,内容如下:

    第十六-A条
    保存及提供网络地址转换纪录

    一、互联网服务提供者必须将私人网络地址转换成公共网络地址的纪录保存一年。

    二、不履行上款规定的义务构成行政违法行为,科澳门币五万元至十五万元的罚款。

    三、具权限的司法当局在必要时可命令提供第一款所指的纪录,为此须遵守第十五条第一款至第四款的规定。

    第十六-B条
    权限

    邮电局具权限就上条第二款所指的行政违法行为提起处罚程序、指定预审员及作出处罚。”


    第二十七条
    补充规范

    执行本法律所需的补充规范,尤其针对下列事宜,由行政长官以补充性行政法规或对外规范性批示制定:

    (一)委员会和预警及应急中心的组成、权限及运作方式;

    (二)指定监管实体及受该等实体监管的关键基础设施私人营运者。

    第二十八条
    生效

    本法律自公布后满一百八十日起生效。

    二零一九年六月六日通过。

    立法会主席 贺一诚

    二零一九年六月十七日签署。

    命令公布。

    行政长官 崔世安