2019年6月24日澳門(mén)特別行政區頒布了第13/2019號法律《網(wǎng)絡(luò )安全法》（“澳門(mén)網(wǎng)安法”），該法已于2019年12月22日正式生效。本文將結合與中國內地地區《網(wǎng)絡(luò )安全法》（“內地網(wǎng)安法”）的比較，對澳門(mén)網(wǎng)安法試做簡(jiǎn)要的分析解讀。

一、立法目的和范圍

澳門(mén)網(wǎng)安法僅僅針對保護關(guān)鍵基礎設施營(yíng)運者的網(wǎng)絡(luò )、系統及數據（第一條目標及宗旨）。為確保關(guān)鍵基礎設施營(yíng)運者所使用的信息網(wǎng)絡(luò )及計算機系統正常運作，以及計算機數據的完整性、保密性及可用性而開(kāi)展的長(cháng)期性跨領(lǐng)域活動(dòng)，尤其防止該等網(wǎng)絡(luò )、系統及數據因未經(jīng)許可的行為而受到不利影響。

適用主體。相比于綜合規定網(wǎng)絡(luò )運行安全和網(wǎng)絡(luò )信息安全的內地網(wǎng)安法，澳門(mén)網(wǎng)安法的立法目的和范圍更為單一，僅適用于關(guān)鍵信息基礎設施運營(yíng)者。如果單純從標題上來(lái)說(shuō)，相當于將內地網(wǎng)安法第三章第二節“關(guān)鍵信息基礎設施的運行安全”單獨拉出來(lái)進(jìn)行立法——當然，澳門(mén)網(wǎng)安法作為一部立法還有其他通用條款。其作用類(lèi)似于內地的《關(guān)鍵信息基礎設施安全保護條例（征求意見(jiàn)稿）》。

適用對象之信息網(wǎng)絡(luò )。澳門(mén)網(wǎng)安法是根據《澳門(mén)特別行政區基本法》而制定的，其規范對象為計算機系統、信息網(wǎng)絡(luò )及數據。其中計算機系統指未聯(lián)網(wǎng)的單個(gè)裝置或者系統，信息網(wǎng)絡(luò )指使計算機裝置及計算機系統互聯(lián)的電子通訊網(wǎng)絡(luò )，尤其是第14/2001號法律《電信綱要法》所指的電信網(wǎng)絡(luò )。

中國網(wǎng)安法下的網(wǎng)絡(luò )是指由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規則和程序對信息進(jìn)行收集、存儲、傳輸、交換、處理的系統。其定義是類(lèi)似的。澳門(mén)網(wǎng)安法的適用需要結合《電信綱要法》，如同適用中國網(wǎng)安法需要結合《電信條例》一樣，電信均包括有線(xiàn)或者無(wú)線(xiàn)以及在此基礎上的增值電信服務(wù)，例如固話(huà)、移動(dòng)通訊和互聯(lián)網(wǎng)。但是，澳門(mén)《電信綱要法》不適用於地面或衛星廣播服務(wù)，尤其是電視廣播及電臺廣播服務(wù)，而中國的《電信條例》是包含衛星通訊并屬于基礎電信服務(wù)的一種。澳門(mén)網(wǎng)安法明確亦明確規定，該法不適用于其業(yè)務(wù)僅限于娛樂(lè )節目廣播的視聽(tīng)廣播業(yè)營(yíng)運者。

適用對象之數據。除計算機系統和信息網(wǎng)絡(luò )外，澳門(mén)網(wǎng)安法適用對象還包括數據，即在計算機系統和信息網(wǎng)絡(luò )中儲存、處理、交換或傳輸的計算機數據數據，以確保其運作、使用、保護及維護，其具體定義需要引述《打擊計算機犯罪法》的規定?！洞驌粲嬎銠C犯罪法》對數據的規定很廣泛，包括機器電子數據、也包括個(gè)人信息。同時(shí)，澳門(mén)還有專(zhuān)項個(gè)人信息保護立法《個(gè)人資料保護法》，包括自動(dòng)或者非自動(dòng)化處理的個(gè)人資料。

內地網(wǎng)安法下網(wǎng)絡(luò )信息安全范圍比較窄，僅指個(gè)人信息保護，且僅適用于網(wǎng)絡(luò )運營(yíng)者。嚴格的字面解釋為：內地網(wǎng)安法不適用于個(gè)人信息之外的機器電子數據，盡管寬泛的理解可以將所有機器電子數據與個(gè)人相關(guān)聯(lián)；內地網(wǎng)安法不適用于網(wǎng)絡(luò )運營(yíng)者之外的主體，盡管寬泛的理解可以將所有主體都解釋為網(wǎng)絡(luò )運營(yíng)者。后來(lái)的《數據安全管理辦法（征求意見(jiàn)稿）》將適用范圍擴展至個(gè)人信息之外的其他數據。同時(shí)，中國專(zhuān)門(mén)保護個(gè)人信息的法律《個(gè)人信息保護法》還在議定之中。

三、組織架構“三級跳”

澳門(mén)的網(wǎng)絡(luò )安全體系由三級組成：網(wǎng)絡(luò )安全委員會(huì )、網(wǎng)絡(luò )安全事故預警及應急中心、網(wǎng)絡(luò )安全監管實(shí)體。

網(wǎng)絡(luò )安全委員會(huì )由行政長(cháng)官直接領(lǐng)導，主要負責制定網(wǎng)絡(luò )安全的標準及方針政策；監督另外“兩級”實(shí)體；為提高澳門(mén)網(wǎng)絡(luò )安全標準，建議政府簽訂相關(guān)協(xié)議或議定書(shū)。所以可見(jiàn)，網(wǎng)絡(luò )安全委員會(huì )是澳門(mén)網(wǎng)絡(luò )安全的決策機構。

網(wǎng)絡(luò )安全事故預警及應急中心由司法警察局統籌，主要負責接收有關(guān)信息；應對網(wǎng)絡(luò )安全事故或預防網(wǎng)絡(luò )安全事故的發(fā)生，包括實(shí)時(shí)檢視信息網(wǎng)絡(luò )與互聯(lián)網(wǎng)之間傳輸的計算機數據數據的流量及特征；確保并促進(jìn)組織間合作，包括與外地的同類(lèi)實(shí)體合作；按嚴重性等級對網(wǎng)絡(luò )安全事故分級，并按有關(guān)等級制定預警及應對程序；就網(wǎng)絡(luò )安全事故發(fā)出預警；應監管實(shí)體的要求，在其履行職責時(shí)給予技術(shù)支持。

網(wǎng)絡(luò )安全監管實(shí)體（對公共營(yíng)運者，由行政公職局行使；私人營(yíng)運者，由行政法規指定的公共實(shí)體行使）：確保本法律及技術(shù)規范所定的義務(wù)獲履行，但不影響預警及應急中心在第三條第一款（四）項所指情況下的本身權限；監察關(guān)鍵基礎設施營(yíng)運者有關(guān)其網(wǎng)絡(luò )安全的計劃及行動(dòng)；行使本法律規定的處罰權限。

中國網(wǎng)絡(luò )安全管理體系由國家互聯(lián)網(wǎng)信息辦公室牽頭，工業(yè)和信息化部、公安部和市場(chǎng)監督管理總局均具有執法權。如果某行業(yè)具有行業(yè)主管部門(mén)，還要遵守行業(yè)主管部門(mén)的規定，例如健康醫療行業(yè)由衛生和健康委員會(huì )管理，金融行業(yè)由人民銀行等管理。中國法的管理體制和澳門(mén)網(wǎng)安法類(lèi)似，即統一領(lǐng)導下，多部門(mén)協(xié)同管理。

四、適用主體“兩大類(lèi)六小類(lèi)”

澳門(mén)網(wǎng)安法將關(guān)鍵基礎設施的營(yíng)運者以列舉的方式分為公共營(yíng)運者與私人營(yíng)運者兩大類(lèi)，兩大類(lèi)中又各分為三個(gè)小類(lèi)。

公共營(yíng)運者包括：

1) 行政長(cháng)官辦公室、主要官員的辦公室、立法會(huì )輔助部門(mén)、終審法院院長(cháng)辦公室及檢察長(cháng)辦公室；

2) 澳門(mén)特別行政區公共部門(mén)；

3) 以任何形式設立的公務(wù)法人及自治基金。

私人營(yíng)運者包括：

1) 住所設于澳門(mén)特別行政區或外地，且具資格以經(jīng)營(yíng)批給、向行政當局提供服務(wù)、準照、執照或相同性質(zhì)的憑證的方式，在特定領(lǐng)域從事業(yè)務(wù)的私法實(shí)體；

2) 全公共資本公司；

3) 活動(dòng)僅限于科學(xué)及技術(shù)領(lǐng)域的行政公益法人。

澳門(mén)網(wǎng)安法下，公共部門(mén)和提供公共服務(wù)的私營(yíng)部門(mén)均有可能構成關(guān)鍵信息基礎設施，不提供公共服務(wù)的私營(yíng)部門(mén)不是關(guān)鍵信息基礎設施。只要是全資國有資本公司或者科研領(lǐng)域的行政公益法人，均屬于關(guān)鍵信息基礎設施。

內地網(wǎng)安法下的網(wǎng)絡(luò )運營(yíng)者，是指網(wǎng)絡(luò )的所有者、管理者和網(wǎng)絡(luò )服務(wù)提供者，對于重要行業(yè)的網(wǎng)絡(luò )運營(yíng)者，內地網(wǎng)安法結合內地實(shí)際情況，并未以“公共”與“私人”為標準對關(guān)鍵基礎設施運營(yíng)者加以區分，而僅是按涉及領(lǐng)域進(jìn)行了列舉。

五、關(guān)鍵基礎設施涉及領(lǐng)域

內地網(wǎng)安法列舉的關(guān)鍵基礎設施涉及領(lǐng)域共有八項（包括一項兜底條款），澳門(mén)網(wǎng)安法列舉的私人運營(yíng)者關(guān)鍵基礎設施涉及領(lǐng)域有十二項（第四條適用主體范圍第三款第一項）。澳門(mén)網(wǎng)安法的“十二項”有些和內地網(wǎng)安法重合，有些為澳門(mén)獨有，有些是內地網(wǎng)安法未詳細描述而澳門(mén)網(wǎng)安法詳細列舉的。但澳門(mén)網(wǎng)安法和內地網(wǎng)安法整體對關(guān)鍵信息基礎設施的范圍劃定區別不大。

需要特別指出的是，澳門(mén)網(wǎng)安法列舉的關(guān)鍵基礎設施領(lǐng)域是指對私人營(yíng)運者而言的，有些領(lǐng)域為公共營(yíng)運者負責，所以列舉中不會(huì )出現。私人運營(yíng)者中的“全公共資本公司”和“活動(dòng)僅限于科學(xué)及技術(shù)領(lǐng)域的行政公益法人”也不會(huì )出現。

筆者對兩部法律的列舉內容做了一個(gè)對應列表，為了方便對照，筆者打亂了澳門(mén)網(wǎng)安法原有的排序。

此外，內地《國家網(wǎng)絡(luò )安全檢查操作指南》還對關(guān)鍵信息基礎設施的判定做出了具體規定。包括網(wǎng)站類(lèi)，如黨政機關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等；平臺類(lèi)，如即時(shí)通信、網(wǎng)上購物、網(wǎng)上支付、搜索引擎、單子郵件、論壇、地圖、音視頻等網(wǎng)絡(luò )服務(wù)平臺；生產(chǎn)業(yè)務(wù)類(lèi)，如辦公和業(yè)務(wù)系統、工業(yè)控制系統、大型數據中心、云計算平臺、電視傳播系統等。

此外，澳門(mén)網(wǎng)安法明確規定，“不使用信息網(wǎng)絡(luò )或計算機系統，又或根據適用的組織法規或行政長(cháng)官批示的規定，僅使用由其他公共實(shí)體負責網(wǎng)絡(luò )安全的信息網(wǎng)絡(luò )或計算機系統的澳門(mén)特別行政區公共部門(mén)、機關(guān)或實(shí)體”不是關(guān)鍵信息基礎設施、不受澳門(mén)網(wǎng)安法管轄。中國網(wǎng)安法并沒(méi)有這樣的例外規定。

六、網(wǎng)絡(luò )安全義務(wù)“4+1”

澳門(mén)網(wǎng)安法單列一章用以規定網(wǎng)絡(luò )安全義務(wù)（第三章網(wǎng)絡(luò )安全義務(wù)），多條列舉了私人營(yíng)運者的網(wǎng)絡(luò )安全義務(wù)四大類(lèi)（第十至第十三條），并單列一條規定公共營(yíng)運者的義務(wù)（第十四條關(guān)鍵基礎設施公共營(yíng)運者的義務(wù)）。

私人營(yíng)運者的四大類(lèi)義務(wù)包括：組織性義務(wù)；程序性、預防性及應變性義務(wù)；自行評估及報告義務(wù)；合作義務(wù)。

組織性義務(wù)中花了比較大的篇幅對“網(wǎng)絡(luò )安全主要負責人”的資格進(jìn)行了規定，主要是排除了因違反《維護國家安全法》和計算犯罪而受過(guò)刑事處罰的人，以及被處以五年以上徒刑的人在禁止期間擔任“網(wǎng)絡(luò )安全主要負責人”。

程序性、預防性及應變性義務(wù)，要求私人營(yíng)運者建立網(wǎng)絡(luò )安全制度及操作程序；根據規范采取措施保護網(wǎng)絡(luò )安全、檢視、預警及應對網(wǎng)絡(luò )安全事故；在發(fā)生事故時(shí)，及時(shí)采取應對措施，并通知預警及應急中心，并告知相關(guān)監管實(shí)體；檢視和記錄其信息網(wǎng)絡(luò )的運作狀況。

自行評估及報告義務(wù)，要求私人營(yíng)運者自行評估其系統的安全性與風(fēng)險性，并每年向監管實(shí)體報告其評估結果及改善措施。

合作義務(wù)，要求私人營(yíng)運者需配合預警及應急中心和監管實(shí)體，允許相關(guān)部門(mén)代表進(jìn)入設施及信息網(wǎng)絡(luò )并提供相應資料，以及其他確保網(wǎng)絡(luò )安全的妥善管理所需的支持與合作。

公共營(yíng)運者的網(wǎng)絡(luò )安全義務(wù)內容基本與私人營(yíng)運者相當，并無(wú)太多本質(zhì)差異，可能由于公共營(yíng)運者的工作人員都經(jīng)過(guò)篩選，所以對網(wǎng)絡(luò )安全負責人沒(méi)有特別規定其資格限制。特別要求在領(lǐng)導及主管人員中，指定一名網(wǎng)絡(luò )安全負責人。但對公共營(yíng)運者特別強調了其需檢視與私人實(shí)體訂立網(wǎng)絡(luò )安全服務(wù)合同的執行情況，并在私人實(shí)體不履約的情況下需自行執行網(wǎng)絡(luò )安全服務(wù)。

網(wǎng)絡(luò )安全負責人。內地網(wǎng)安法明確要求關(guān)鍵信息基礎設施運營(yíng)者設置專(zhuān)門(mén)安全管理機構和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進(jìn)行安全背景審查?！稊祿踩芾磙k法（征求意見(jiàn)稿）》還將這一義務(wù)擴展至“以經(jīng)營(yíng)為目的收集重要數據或個(gè)人敏感信息的”網(wǎng)絡(luò )運營(yíng)者，國家標準《個(gè)人信息安全規范》進(jìn)一步擴展至“主要業(yè)務(wù)涉及個(gè)人信息處理，且從業(yè)人員規模大于200人；或者處理超過(guò)100萬(wàn)人的個(gè)人信息，或預計在12個(gè)月內處理超過(guò)100萬(wàn)人的個(gè)人信息；或者處理超過(guò)10萬(wàn)人的個(gè)人敏感信息的”的網(wǎng)絡(luò )運營(yíng)者。澳門(mén)網(wǎng)安法和內地網(wǎng)安法均明確要求設置崗位專(zhuān)人負責安全管理并設定條件，值得指出的是，澳門(mén)網(wǎng)安法對于不得任職的要求有更加具體的規定。

自評估及報告義務(wù)。內地網(wǎng)安法和澳門(mén)網(wǎng)安法在原則上是一致的，即要求關(guān)鍵信息基礎設施運營(yíng)者開(kāi)展自評估，并每年向主管部門(mén)報告。

關(guān)鍵信息基礎設施公共運營(yíng)者的特殊義務(wù)。澳門(mén)網(wǎng)安法明確要求，私人實(shí)體不履行有關(guān)合同時(shí)，在不影響可予歸責的情況下，執行與該私人實(shí)體以合同訂定的網(wǎng)絡(luò )安全服務(wù)。在內地網(wǎng)安法中沒(méi)有類(lèi)似規定。

七、處罰制度

違反澳門(mén)網(wǎng)絡(luò )安全法，處罰措施包括罰款、附加處罰和勸誡，并對單出或者并處懲罰以及處罰權限做出規定，受到處罰仍有持續履行義務(wù)等。就罰款來(lái)講，可處罰款澳門(mén)幣五萬(wàn)元至五百萬(wàn)元（約為人民幣四萬(wàn)至四百萬(wàn)）。

由于內地與澳門(mén)的行政法體系不同，所以行政處罰的內容并無(wú)太多值得比較的地方，但澳門(mén)網(wǎng)安法處罰制度中對“累犯”（第十九條累犯）予以了特別規定。

澳門(mén)網(wǎng)安法規定，自行政處罰決定轉為不可申訴起一年內（注：應當是指被處罰人已窮盡了法律申訴手段，行政處罰決定正式生效），且距上一次的行政違法行為實(shí)施日不足五年，再次實(shí)施第十五條規定（違反網(wǎng)絡(luò )安全義務(wù)）的行政違法行為者，視為累犯。

如屬累犯的情況，罰款的最低限額提高四分之一，最高限額則維持不變。

八、其他規定

澳門(mén)網(wǎng)安法還規定 “網(wǎng)絡(luò )營(yíng)運者應自本法律生效之日起一百二十日內采取措施，以便對在本法律生效前售出的無(wú)須預先提供身份數據的預付式用戶(hù)身份模塊卡（下稱(chēng)“SIM卡”）用戶(hù)的身份數據進(jìn)行登記。如SIM卡用戶(hù)在上款所指的期間屆滿(mǎn)時(shí)仍不提供其身份資料，網(wǎng)絡(luò )營(yíng)運者應中止有關(guān)服務(wù)，但不影響在用戶(hù)提供身份數據之日重新激活該卡?！边@和內地網(wǎng)安法確立的“網(wǎng)絡(luò )實(shí)名制”原則是一致的。

九、總結

綜上，澳門(mén)特別行政區《網(wǎng)絡(luò )安全法》和內地《網(wǎng)絡(luò )安全法》的相同之處在于：

1. 均保護計算機系統和連接計算機系統形成的信息網(wǎng)絡(luò )，以及在此基礎上產(chǎn)生的數據；

2. 對關(guān)鍵信息基礎設施進(jìn)行特殊保護，要求設立數據保護官；

3. 均要求自評估及向政府部門(mén)報告；

4. 負責網(wǎng)絡(luò )安全管理的體系多層級，涉及多個(gè)部門(mén)協(xié)同管理和執法；

5. 均要求網(wǎng)絡(luò )實(shí)名制；

6. 均要求配合政府調查，依照法定程序和條件開(kāi)放系統或提供數據。

澳門(mén)特別行政區《網(wǎng)絡(luò )安全法》和內地《網(wǎng)絡(luò )安全法》的不同之處在于：

1. 澳門(mén)網(wǎng)安法僅適用于關(guān)鍵信息基礎設施運營(yíng)者，并且對個(gè)人信息保護適用專(zhuān)門(mén)的《個(gè)人資料保護法》；內地網(wǎng)絡(luò )安全法適用于包括關(guān)鍵信息基礎設施在內的所有網(wǎng)絡(luò )運營(yíng)者，同時(shí)通過(guò)《關(guān)鍵信息基礎設施安全保護條例（征求意見(jiàn)稿）》和擬定中的《個(gè)人信息保護法》對關(guān)鍵信息基礎設施和個(gè)人信息保護進(jìn)行專(zhuān)門(mén)規定；

2. 澳門(mén)網(wǎng)安法適用于計算機和網(wǎng)絡(luò )產(chǎn)生的電子數據，不限于包含個(gè)人信息的電子數據，就數據而言，中國網(wǎng)安法僅適用于保護個(gè)人信息，非個(gè)人信息的其他數據的保護在《數據安全管理辦法（征求意見(jiàn)稿）》中有所體現；

3. 澳門(mén)網(wǎng)安法明確規定技術(shù)規范具有強制效力，而中國網(wǎng)安法下的技術(shù)標準僅具有推薦性適用的指導作用；

4.澳門(mén)網(wǎng)安法理論上明確了界定關(guān)鍵信息基礎設施運營(yíng)者的方法，即通過(guò)《澳門(mén)特別行政區公報》公布，中國網(wǎng)安法及配套規定也有原則性判定方法，但具體是否屬于關(guān)鍵信息基礎設施的確定方法和流程目前并不明確；

5. 對于關(guān)鍵信息基礎設施運營(yíng)者本身的定義，澳門(mén)和內地有所不同。澳門(mén)基本區分為私營(yíng)主體和公共主體，在此基礎上進(jìn)行界定和列舉，權利義務(wù)也不同，例如，關(guān)鍵基礎設施公共營(yíng)運者有法定義務(wù)履行私營(yíng)主體未能履行的合同，娛樂(lè )節目廣播的視聽(tīng)廣播業(yè)營(yíng)運者不適用澳門(mén)網(wǎng)安法。內地網(wǎng)安法沒(méi)有做這樣的區分及例外規定，統一按照行業(yè)進(jìn)行列舉；

6. 對于違反網(wǎng)安法的規定，澳門(mén)的最高處罰金額比內地高很多，且明確規定“累犯”不得擔任網(wǎng)絡(luò )安全負責人。

說(shuō)明：該文系合著(zhù)，經(jīng)其他作者同意，分別署名發(fā)表。該文非法律意見(jiàn)。

來(lái)源：關(guān)鍵基礎設施安全應急響應中心