国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

2019年6月24日澳門特別行政區頒布了第13/2019號法律《網絡安全法》（“澳門網安法”），該法已于2019年12月22日正式生效。本文將結合與中國內地地區《網絡安全法》（“內地網安法”）的比較，對澳門網安法試做簡要的分析解讀。

一、立法目的和范圍

澳門網安法僅僅針對保護關鍵基礎設施營運者的網絡、系統及數據（第一條目標及宗旨）。為確保關鍵基礎設施營運者所使用的信息網絡及計算機系統正常運作，以及計算機數據的完整性、保密性及可用性而開展的長期性跨領域活動，尤其防止該等網絡、系統及數據因未經許可的行為而受到不利影響。

適用主體。相比于綜合規定網絡運行安全和網絡信息安全的內地網安法，澳門網安法的立法目的和范圍更為單一，僅適用于關鍵信息基礎設施運營者。如果單純從標題上來說，相當于將內地網安法第三章第二節“關鍵信息基礎設施的運行安全”單獨拉出來進行立法——當然，澳門網安法作為一部立法還有其他通用條款。其作用類似于內地的《關鍵信息基礎設施安全保護條例（征求意見稿）》。

適用對象之信息網絡。澳門網安法是根據《澳門特別行政區基本法》而制定的，其規范對象為計算機系統、信息網絡及數據。其中計算機系統指未聯網的單個裝置或者系統，信息網絡指使計算機裝置及計算機系統互聯的電子通訊網絡，尤其是第14/2001號法律《電信綱要法》所指的電信網絡。

中國網安法下的網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。其定義是類似的。澳門網安法的適用需要結合《電信綱要法》，如同適用中國網安法需要結合《電信條例》一樣，電信均包括有線或者無線以及在此基礎上的增值電信服務，例如固話、移動通訊和互聯網。但是，澳門《電信綱要法》不適用於地面或衛星廣播服務，尤其是電視廣播及電臺廣播服務，而中國的《電信條例》是包含衛星通訊并屬于基礎電信服務的一種。澳門網安法明確亦明確規定，該法不適用于其業務僅限于娛樂節目廣播的視聽廣播業營運者。

適用對象之數據。除計算機系統和信息網絡外，澳門網安法適用對象還包括數據，即在計算機系統和信息網絡中儲存、處理、交換或傳輸的計算機數據數據，以確保其運作、使用、保護及維護，其具體定義需要引述《打擊計算機犯罪法》的規定?！洞驌粲嬎銠C犯罪法》對數據的規定很廣泛，包括機器電子數據、也包括個人信息。同時，澳門還有專項個人信息保護立法《個人資料保護法》，包括自動或者非自動化處理的個人資料。

內地網安法下網絡信息安全范圍比較窄，僅指個人信息保護，且僅適用于網絡運營者。嚴格的字面解釋為：內地網安法不適用于個人信息之外的機器電子數據，盡管寬泛的理解可以將所有機器電子數據與個人相關聯；內地網安法不適用于網絡運營者之外的主體，盡管寬泛的理解可以將所有主體都解釋為網絡運營者。后來的《數據安全管理辦法（征求意見稿）》將適用范圍擴展至個人信息之外的其他數據。同時，中國專門保護個人信息的法律《個人信息保護法》還在議定之中。

三、組織架構“三級跳”

澳門的網絡安全體系由三級組成：網絡安全委員會、網絡安全事故預警及應急中心、網絡安全監管實體。

網絡安全委員會由行政長官直接領導，主要負責制定網絡安全的標準及方針政策；監督另外“兩級”實體；為提高澳門網絡安全標準，建議政府簽訂相關協議或議定書。所以可見，網絡安全委員會是澳門網絡安全的決策機構。

網絡安全事故預警及應急中心由司法警察局統籌，主要負責接收有關信息；應對網絡安全事故或預防網絡安全事故的發生，包括實時檢視信息網絡與互聯網之間傳輸的計算機數據數據的流量及特征；確保并促進組織間合作，包括與外地的同類實體合作；按嚴重性等級對網絡安全事故分級，并按有關等級制定預警及應對程序；就網絡安全事故發出預警；應監管實體的要求，在其履行職責時給予技術支持。

網絡安全監管實體（對公共營運者，由行政公職局行使；私人營運者，由行政法規指定的公共實體行使）：確保本法律及技術規范所定的義務獲履行，但不影響預警及應急中心在第三條第一款（四）項所指情況下的本身權限；監察關鍵基礎設施營運者有關其網絡安全的計劃及行動；行使本法律規定的處罰權限。

中國網絡安全管理體系由國家互聯網信息辦公室牽頭，工業和信息化部、公安部和市場監督管理總局均具有執法權。如果某行業具有行業主管部門，還要遵守行業主管部門的規定，例如健康醫療行業由衛生和健康委員會管理，金融行業由人民銀行等管理。中國法的管理體制和澳門網安法類似，即統一領導下，多部門協同管理。

四、適用主體“兩大類六小類”

澳門網安法將關鍵基礎設施的營運者以列舉的方式分為公共營運者與私人營運者兩大類，兩大類中又各分為三個小類。

公共營運者包括：

1) 行政長官辦公室、主要官員的辦公室、立法會輔助部門、終審法院院長辦公室及檢察長辦公室；

2) 澳門特別行政區公共部門；

3) 以任何形式設立的公務法人及自治基金。

私人營運者包括：

1) 住所設于澳門特別行政區或外地，且具資格以經營批給、向行政當局提供服務、準照、執照或相同性質的憑證的方式，在特定領域從事業務的私法實體；

2) 全公共資本公司；

3) 活動僅限于科學及技術領域的行政公益法人。

澳門網安法下，公共部門和提供公共服務的私營部門均有可能構成關鍵信息基礎設施，不提供公共服務的私營部門不是關鍵信息基礎設施。只要是全資國有資本公司或者科研領域的行政公益法人，均屬于關鍵信息基礎設施。

內地網安法下的網絡運營者，是指網絡的所有者、管理者和網絡服務提供者，對于重要行業的網絡運營者，內地網安法結合內地實際情況，并未以“公共”與“私人”為標準對關鍵基礎設施運營者加以區分，而僅是按涉及領域進行了列舉。

五、關鍵基礎設施涉及領域

內地網安法列舉的關鍵基礎設施涉及領域共有八項（包括一項兜底條款），澳門網安法列舉的私人運營者關鍵基礎設施涉及領域有十二項（第四條適用主體范圍第三款第一項）。澳門網安法的“十二項”有些和內地網安法重合，有些為澳門獨有，有些是內地網安法未詳細描述而澳門網安法詳細列舉的。但澳門網安法和內地網安法整體對關鍵信息基礎設施的范圍劃定區別不大。

需要特別指出的是，澳門網安法列舉的關鍵基礎設施領域是指對私人營運者而言的，有些領域為公共營運者負責，所以列舉中不會出現。私人運營者中的“全公共資本公司”和“活動僅限于科學及技術領域的行政公益法人”也不會出現。

筆者對兩部法律的列舉內容做了一個對應列表，為了方便對照，筆者打亂了澳門網安法原有的排序。

此外，內地《國家網絡安全檢查操作指南》還對關鍵信息基礎設施的判定做出了具體規定。包括網站類，如黨政機關網站、企事業單位網站、新聞網站等；平臺類，如即時通信、網上購物、網上支付、搜索引擎、單子郵件、論壇、地圖、音視頻等網絡服務平臺；生產業務類，如辦公和業務系統、工業控制系統、大型數據中心、云計算平臺、電視傳播系統等。

此外，澳門網安法明確規定，“不使用信息網絡或計算機系統，又或根據適用的組織法規或行政長官批示的規定，僅使用由其他公共實體負責網絡安全的信息網絡或計算機系統的澳門特別行政區公共部門、機關或實體”不是關鍵信息基礎設施、不受澳門網安法管轄。中國網安法并沒有這樣的例外規定。

六、網絡安全義務“4+1”

澳門網安法單列一章用以規定網絡安全義務（第三章網絡安全義務），多條列舉了私人營運者的網絡安全義務四大類（第十至第十三條），并單列一條規定公共營運者的義務（第十四條關鍵基礎設施公共營運者的義務）。

私人營運者的四大類義務包括：組織性義務；程序性、預防性及應變性義務；自行評估及報告義務；合作義務。

組織性義務中花了比較大的篇幅對“網絡安全主要負責人”的資格進行了規定，主要是排除了因違反《維護國家安全法》和計算犯罪而受過刑事處罰的人，以及被處以五年以上徒刑的人在禁止期間擔任“網絡安全主要負責人”。

程序性、預防性及應變性義務，要求私人營運者建立網絡安全制度及操作程序；根據規范采取措施保護網絡安全、檢視、預警及應對網絡安全事故；在發生事故時，及時采取應對措施，并通知預警及應急中心，并告知相關監管實體；檢視和記錄其信息網絡的運作狀況。

自行評估及報告義務，要求私人營運者自行評估其系統的安全性與風險性，并每年向監管實體報告其評估結果及改善措施。

合作義務，要求私人營運者需配合預警及應急中心和監管實體，允許相關部門代表進入設施及信息網絡并提供相應資料，以及其他確保網絡安全的妥善管理所需的支持與合作。

公共營運者的網絡安全義務內容基本與私人營運者相當，并無太多本質差異，可能由于公共營運者的工作人員都經過篩選，所以對網絡安全負責人沒有特別規定其資格限制。特別要求在領導及主管人員中，指定一名網絡安全負責人。但對公共營運者特別強調了其需檢視與私人實體訂立網絡安全服務合同的執行情況，并在私人實體不履約的情況下需自行執行網絡安全服務。

網絡安全負責人。內地網安法明確要求關鍵信息基礎設施運營者設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查。《數據安全管理辦法（征求意見稿）》還將這一義務擴展至“以經營為目的收集重要數據或個人敏感信息的”網絡運營者，國家標準《個人信息安全規范》進一步擴展至“主要業務涉及個人信息處理，且從業人員規模大于200人；或者處理超過100萬人的個人信息，或預計在12個月內處理超過100萬人的個人信息；或者處理超過10萬人的個人敏感信息的”的網絡運營者。澳門網安法和內地網安法均明確要求設置崗位專人負責安全管理并設定條件，值得指出的是，澳門網安法對于不得任職的要求有更加具體的規定。

自評估及報告義務。內地網安法和澳門網安法在原則上是一致的，即要求關鍵信息基礎設施運營者開展自評估，并每年向主管部門報告。

關鍵信息基礎設施公共運營者的特殊義務。澳門網安法明確要求，私人實體不履行有關合同時，在不影響可予歸責的情況下，執行與該私人實體以合同訂定的網絡安全服務。在內地網安法中沒有類似規定。

七、處罰制度

違反澳門網絡安全法，處罰措施包括罰款、附加處罰和勸誡，并對單出或者并處懲罰以及處罰權限做出規定，受到處罰仍有持續履行義務等。就罰款來講，可處罰款澳門幣五萬元至五百萬元（約為人民幣四萬至四百萬）。

由于內地與澳門的行政法體系不同，所以行政處罰的內容并無太多值得比較的地方，但澳門網安法處罰制度中對“累犯”（第十九條累犯）予以了特別規定。

澳門網安法規定，自行政處罰決定轉為不可申訴起一年內（注：應當是指被處罰人已窮盡了法律申訴手段，行政處罰決定正式生效），且距上一次的行政違法行為實施日不足五年，再次實施第十五條規定（違反網絡安全義務）的行政違法行為者，視為累犯。

如屬累犯的情況，罰款的最低限額提高四分之一，最高限額則維持不變。

八、其他規定

澳門網安法還規定 “網絡營運者應自本法律生效之日起一百二十日內采取措施，以便對在本法律生效前售出的無須預先提供身份數據的預付式用戶身份模塊卡（下稱“SIM卡”）用戶的身份數據進行登記。如SIM卡用戶在上款所指的期間屆滿時仍不提供其身份資料，網絡營運者應中止有關服務，但不影響在用戶提供身份數據之日重新激活該卡。”這和內地網安法確立的“網絡實名制”原則是一致的。

九、總結

綜上，澳門特別行政區《網絡安全法》和內地《網絡安全法》的相同之處在于：

1. 均保護計算機系統和連接計算機系統形成的信息網絡，以及在此基礎上產生的數據；

2. 對關鍵信息基礎設施進行特殊保護，要求設立數據保護官；

3. 均要求自評估及向政府部門報告；

4. 負責網絡安全管理的體系多層級，涉及多個部門協同管理和執法；

5. 均要求網絡實名制；

6. 均要求配合政府調查，依照法定程序和條件開放系統或提供數據。

澳門特別行政區《網絡安全法》和內地《網絡安全法》的不同之處在于：

1. 澳門網安法僅適用于關鍵信息基礎設施運營者，并且對個人信息保護適用專門的《個人資料保護法》；內地網絡安全法適用于包括關鍵信息基礎設施在內的所有網絡運營者，同時通過《關鍵信息基礎設施安全保護條例（征求意見稿）》和擬定中的《個人信息保護法》對關鍵信息基礎設施和個人信息保護進行專門規定；

2. 澳門網安法適用于計算機和網絡產生的電子數據，不限于包含個人信息的電子數據，就數據而言，中國網安法僅適用于保護個人信息，非個人信息的其他數據的保護在《數據安全管理辦法（征求意見稿）》中有所體現；

3. 澳門網安法明確規定技術規范具有強制效力，而中國網安法下的技術標準僅具有推薦性適用的指導作用；

4.澳門網安法理論上明確了界定關鍵信息基礎設施運營者的方法，即通過《澳門特別行政區公報》公布，中國網安法及配套規定也有原則性判定方法，但具體是否屬于關鍵信息基礎設施的確定方法和流程目前并不明確；

5. 對于關鍵信息基礎設施運營者本身的定義，澳門和內地有所不同。澳門基本區分為私營主體和公共主體，在此基礎上進行界定和列舉，權利義務也不同，例如，關鍵基礎設施公共營運者有法定義務履行私營主體未能履行的合同，娛樂節目廣播的視聽廣播業營運者不適用澳門網安法。內地網安法沒有做這樣的區分及例外規定，統一按照行業進行列舉；

6. 對于違反網安法的規定，澳門的最高處罰金額比內地高很多，且明確規定“累犯”不得擔任網絡安全負責人。

說明：該文系合著，經其他作者同意，分別署名發表。該文非法律意見。

來源：關鍵基礎設施安全應急響應中心