O Conselho Executivo concluiu a discussão sobre a proposta da “Lei da Cibersegurança”.
Com o rápido desenvolvimento e ampla aplicação de Internet e de tecnologias das comunicações, a Região Administrativa Especial de Macau (RAEM) está a evoluir para ser desenvolvida como uma cidade inteligente, pelo que os computadores, as redes informáticas e a Internet tornaram-se ferramentas essenciais para a vida quotidiana. No entanto, o ambiente internacional de hoje é complexo e variável, os tipos de ataques cibernéticos e invasões de rede também estão a diversificar-se, e os governos dos diversos países e regiões, nesse sentido, têm avançado com a regulação da cibersegurança, através de leis próprias.
Para impulsionar o bom funcionamento do sistema da rede da sociedade de Macau, assegurando os dados da rede e a sua protecção em geral, o Governo da RAEM sentiu a necessidade de iniciar a legislação sobre a cibersegurança no intuito de prevenir as ameaças à rede informática. Tendo em vista que a actual Lei n.º 11/2009 (Lei de combate à criminalidade informática) é uma lei criminal contra actos de informática e cibercrime, tratando essencialmente sobre as medidas de investigação criminal pós-facto, o Governo da RAEM, a fim de regulamentar a gestão da segurança cibernética, e após o estudo das leis e regulamentos relevantes do Interior da China e de outros países ou regiões, de acordo com os princípios “proteger a segurança dos cidadãos e respeito pela privacidade pessoal” e depois de ouvidas as opiniões dos sectores e do público, elaborou a proposta de “Lei da Segurança Cibernética”.
A proposta de lei estabelece o sistema de cibersegurança da RAEM e regula o seu funcionamento, com o objectivo de reforçar a cibersegurança dos principais operadores das infraestruturas críticas, para assegurar os grandes interesses públicos como bem-estar, segurança pública e ordem pública.
Dentre os principais conteúdos da proposta de lei destacam-se nos seguintes:
1.Determinar claramente as definições relativas às redes informáticas, aos sistemas informáticos e de dados informáticos, segurança da rede, às infra-estruturas críticas, aos operadores das infra-estruturas críticas, aos actos ainda não autorizados, aos incidentes de cibersegurança e aos operadores da rede.
2. Âmbito subjectivo de aplicação – a proposta de lei recomenda que os operadores de infra-estruturas críticas incluam, nomeadamente, os serviços, órgãos e entidades públicos, bem como as entidades privadas de transportes, telecomunicações, bancos e seguros, cuidados de saúde e abastecimento de água e electricidade.
3. Enquadramento orgânico – o sistema de cibersegurança de Macau será composto pela Comissão Permanente para a Cibersegurança (CPC), Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC) e entidades supervisoras de cibersegurança. A CPC é um órgão decisório do Governo, competindo-lhe principalmente definir orientações, objectivos de ordem geral e de estratégias da cibersegurança. O CARIC é composto por entidades públicas com funções técnicas especiais em termos de segurança de rede, bem como é coordenado pela Polícia Judiciária, cabendo-lhe principalmente a gestão e execução das medidas de respostas em caso de emergência. As entidades supervisoras de cibersegurança fiscalizam o cumprimento das regras de cibersegurança por parte dos operadores de infra-estruturas críticas.
4. Deveres da cibersegurança – a proposta de lei define deveres de carácter orgânico, procedimental, preventivo e reactivo, o dever de proceder à auto-avaliação e elaboração do respectivo relatório, o dever de cooperação, bem como os deveres dos operadores públicos das infra-estruturas críticas. A proposta de lei impõe ainda a criação do posto do “principal responsável da cibersegurança”, exigindo que o responsável possua idoneidade e experiência profissional. Em situações de ocorrência de incidentes de cibersegurança, esse responsável deve avisar o CARIC e informar esses factos à entidade supervisora. A proposta de lei obriga os operadores a proceder regularmente à auto-avaliação, submetendo o respectivo relatório da cibersegurança à entidade supervisora.
5. A proposta de lei determina que os operadores de redes devem verificar e registar a identidade dos utilizadores; quanto aos cartões SIM pré-pagos comprados antes da entrada em vigor da lei e sem a obrigatoriedade de prestar os dados de identificação, os operadores de redes deverão solicitar, dentro de 60 dias após a entrada em vigor da nova lei, os dados de identificação dos adquirentes ou utilizadores de tais cartões.
6. Conservação e fornecimento de registos de tradução de endereços de rede – na proposta de lei, determina-se que os operadores de redes que prestam serviços de acesso à internet devem conservar, por um ano, o registo de tradução dos endereços de intranet privados dos utilizadores para os endereços da rede pública de internet.
7. Regime sancionatório administrativo – a proposta de lei prevê que as infracções dos deveres da cibersegurança são punidas com multa de $50,000 a $5,000,000 de patacas, sendo ainda aplicáveis sanções acessórias. Quando sejam detectadas situações não graves de incumprimento dos deveres da cibersegurança por parte dos operadores, a entidade supervisora pode emitir-lhes advertências para efectuarem correcções dentro do prazo determinado; na falta da sanação da irregularidade pelos operadores no prazo determinado, a entidade supervisora deve instruir o processo sancionatório relativamente à respectiva infracção.
Propõe-se, na proposta de lei, a sua entrada em vigor 180 dias após a publicação.