2019年6月24日澳门特别行政区颁布了第13/2019号法律《网络安全法》（“澳门网安法”），该法已于2019年12月22日正式生效。本文将结合与中国内地地区《网络安全法》（“内地网安法”）的比较，对澳门网安法试做简要的分析解读。

一、立法目的和范围

澳门网安法仅仅针对保护关键基础设施营运者的网络、系统及数据（第一条目标及宗旨）。为确保关键基础设施营运者所使用的信息网络及计算机系统正常运作，以及计算机数据的完整性、保密性及可用性而开展的长期性跨领域活动，尤其防止该等网络、系统及数据因未经许可的行为而受到不利影响。

适用主体。相比于综合规定网络运行安全和网络信息安全的内地网安法，澳门网安法的立法目的和范围更为单一，仅适用于关键信息基础设施运营者。如果单纯从标题上来说，相当于将内地网安法第三章第二节“关键信息基础设施的运行安全”单独拉出来进行立法——当然，澳门网安法作为一部立法还有其他通用条款。其作用类似于内地的《关键信息基础设施安全保护条例（征求意见稿）》。

适用对象之信息网络。澳门网安法是根据《澳门特别行政区基本法》而制定的，其规范对象为计算机系统、信息网络及数据。其中计算机系统指未联网的单个装置或者系统，信息网络指使计算机装置及计算机系统互联的电子通讯网络，尤其是第14/2001号法律《电信纲要法》所指的电信网络。

中国网安法下的网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。其定义是类似的。澳门网安法的适用需要结合《电信纲要法》，如同适用中国网安法需要结合《电信条例》一样，电信均包括有线或者无线以及在此基础上的增值电信服务，例如固话、移动通讯和互联网。但是，澳门《电信纲要法》不适用於地面或卫星广播服务，尤其是电视广播及电台广播服务，而中国的《电信条例》是包含卫星通讯并属于基础电信服务的一种。澳门网安法明确亦明确规定，该法不适用于其业务仅限于娱乐节目广播的视听广播业营运者。

适用对象之数据。除计算机系统和信息网络外，澳门网安法适用对象还包括数据，即在计算机系统和信息网络中储存、处理、交换或传输的计算机数据数据，以确保其运作、使用、保护及维护，其具体定义需要引述《打击计算机犯罪法》的规定。《打击计算机犯罪法》对数据的规定很广泛，包括机器电子数据、也包括个人信息。同时，澳门还有专项个人信息保护立法《个人资料保护法》，包括自动或者非自动化处理的个人资料。

内地网安法下网络信息安全范围比较窄，仅指个人信息保护，且仅适用于网络运营者。严格的字面解释为：内地网安法不适用于个人信息之外的机器电子数据，尽管宽泛的理解可以将所有机器电子数据与个人相关联；内地网安法不适用于网络运营者之外的主体，尽管宽泛的理解可以将所有主体都解释为网络运营者。后来的《数据安全管理办法（征求意见稿）》将适用范围扩展至个人信息之外的其他数据。同时，中国专门保护个人信息的法律《个人信息保护法》还在议定之中。

三、组织架构“三级跳”

澳门的网络安全体系由三级组成：网络安全委员会、网络安全事故预警及应急中心、网络安全监管实体。

网络安全委员会由行政长官直接领导，主要负责制定网络安全的标准及方针政策；监督另外“两级”实体；为提高澳门网络安全标准，建议政府签订相关协议或议定书。所以可见，网络安全委员会是澳门网络安全的决策机构。

网络安全事故预警及应急中心由司法警察局统筹，主要负责接收有关信息；应对网络安全事故或预防网络安全事故的发生，包括实时检视信息网络与互联网之间传输的计算机数据数据的流量及特征；确保并促进组织间合作，包括与外地的同类实体合作；按严重性等级对网络安全事故分级，并按有关等级制定预警及应对程序；就网络安全事故发出预警；应监管实体的要求，在其履行职责时给予技术支持。

网络安全监管实体（对公共营运者，由行政公职局行使；私人营运者，由行政法规指定的公共实体行使）：确保本法律及技术规范所定的义务获履行，但不影响预警及应急中心在第三条第一款（四）项所指情况下的本身权限；监察关键基础设施营运者有关其网络安全的计划及行动；行使本法律规定的处罚权限。

中国网络安全管理体系由国家互联网信息办公室牵头，工业和信息化部、公安部和市场监督管理总局均具有执法权。如果某行业具有行业主管部门，还要遵守行业主管部门的规定，例如健康医疗行业由卫生和健康委员会管理，金融行业由人民银行等管理。中国法的管理体制和澳门网安法类似，即统一领导下，多部门协同管理。

四、适用主体“两大类六小类”

澳门网安法将关键基础设施的营运者以列举的方式分为公共营运者与私人营运者两大类，两大类中又各分为三个小类。

公共营运者包括：

1) 行政长官办公室、主要官员的办公室、立法会辅助部门、终审法院院长办公室及检察长办公室；

2) 澳门特别行政区公共部门；

3) 以任何形式设立的公务法人及自治基金。

私人营运者包括：

1) 住所设于澳门特别行政区或外地，且具资格以经营批给、向行政当局提供服务、准照、执照或相同性质的凭证的方式，在特定领域从事业务的私法实体；

2) 全公共资本公司；

3) 活动仅限于科学及技术领域的行政公益法人。

澳门网安法下，公共部门和提供公共服务的私营部门均有可能构成关键信息基础设施，不提供公共服务的私营部门不是关键信息基础设施。只要是全资国有资本公司或者科研领域的行政公益法人，均属于关键信息基础设施。

内地网安法下的网络运营者，是指网络的所有者、管理者和网络服务提供者，对于重要行业的网络运营者，内地网安法结合内地实际情况，并未以“公共”与“私人”为标准对关键基础设施运营者加以区分，而仅是按涉及领域进行了列举。

五、关键基础设施涉及领域

内地网安法列举的关键基础设施涉及领域共有八项（包括一项兜底条款），澳门网安法列举的私人运营者关键基础设施涉及领域有十二项（第四条适用主体范围第三款第一项）。澳门网安法的“十二项”有些和内地网安法重合，有些为澳门独有，有些是内地网安法未详细描述而澳门网安法详细列举的。但澳门网安法和内地网安法整体对关键信息基础设施的范围划定区别不大。

需要特别指出的是，澳门网安法列举的关键基础设施领域是指对私人营运者而言的，有些领域为公共营运者负责，所以列举中不会出现。私人运营者中的“全公共资本公司”和“活动仅限于科学及技术领域的行政公益法人”也不会出现。

笔者对两部法律的列举内容做了一个对应列表，为了方便对照，笔者打乱了澳门网安法原有的排序。

此外，内地《国家网络安全检查操作指南》还对关键信息基础设施的判定做出了具体规定。包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、单子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视传播系统等。

此外，澳门网安法明确规定，“不使用信息网络或计算机系统，又或根据适用的组织法规或行政长官批示的规定，仅使用由其他公共实体负责网络安全的信息网络或计算机系统的澳门特别行政区公共部门、机关或实体”不是关键信息基础设施、不受澳门网安法管辖。中国网安法并没有这样的例外规定。

六、网络安全义务“4+1”

澳门网安法单列一章用以规定网络安全义务（第三章网络安全义务），多条列举了私人营运者的网络安全义务四大类（第十至第十三条），并单列一条规定公共营运者的义务（第十四条关键基础设施公共营运者的义务）。

私人营运者的四大类义务包括：组织性义务；程序性、预防性及应变性义务；自行评估及报告义务；合作义务。

组织性义务中花了比较大的篇幅对“网络安全主要负责人”的资格进行了规定，主要是排除了因违反《维护国家安全法》和计算犯罪而受过刑事处罚的人，以及被处以五年以上徒刑的人在禁止期间担任“网络安全主要负责人”。

程序性、预防性及应变性义务，要求私人营运者建立网络安全制度及操作程序；根据规范采取措施保护网络安全、检视、预警及应对网络安全事故；在发生事故时，及时采取应对措施，并通知预警及应急中心，并告知相关监管实体；检视和记录其信息网络的运作状况。

自行评估及报告义务，要求私人营运者自行评估其系统的安全性与风险性，并每年向监管实体报告其评估结果及改善措施。

合作义务，要求私人营运者需配合预警及应急中心和监管实体，允许相关部门代表进入设施及信息网络并提供相应资料，以及其他确保网络安全的妥善管理所需的支持与合作。

公共营运者的网络安全义务内容基本与私人营运者相当，并无太多本质差异，可能由于公共营运者的工作人员都经过筛选，所以对网络安全负责人没有特别规定其资格限制。特别要求在领导及主管人员中，指定一名网络安全负责人。但对公共营运者特别强调了其需检视与私人实体订立网络安全服务合同的执行情况，并在私人实体不履约的情况下需自行执行网络安全服务。

网络安全负责人。内地网安法明确要求关键信息基础设施运营者设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查。《数据安全管理办法（征求意见稿）》还将这一义务扩展至“以经营为目的收集重要数据或个人敏感信息的”网络运营者，国家标准《个人信息安全规范》进一步扩展至“主要业务涉及个人信息处理，且从业人员规模大于200人；或者处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；或者处理超过10万人的个人敏感信息的”的网络运营者。澳门网安法和内地网安法均明确要求设置岗位专人负责安全管理并设定条件，值得指出的是，澳门网安法对于不得任职的要求有更加具体的规定。

自评估及报告义务。内地网安法和澳门网安法在原则上是一致的，即要求关键信息基础设施运营者开展自评估，并每年向主管部门报告。

关键信息基础设施公共运营者的特殊义务。澳门网安法明确要求，私人实体不履行有关合同时，在不影响可予归责的情况下，执行与该私人实体以合同订定的网络安全服务。在内地网安法中没有类似规定。

七、处罚制度

违反澳门网络安全法，处罚措施包括罚款、附加处罚和劝诫，并对单出或者并处惩罚以及处罚权限做出规定，受到处罚仍有持续履行义务等。就罚款来讲，可处罚款澳门币五万元至五百万元（约为人民币四万至四百万）。

由于内地与澳门的行政法体系不同，所以行政处罚的内容并无太多值得比较的地方，但澳门网安法处罚制度中对“累犯”（第十九条累犯）予以了特别规定。

澳门网安法规定，自行政处罚决定转为不可申诉起一年内（注：应当是指被处罚人已穷尽了法律申诉手段，行政处罚决定正式生效），且距上一次的行政违法行为实施日不足五年，再次实施第十五条规定（违反网络安全义务）的行政违法行为者，视为累犯。

如属累犯的情况，罚款的最低限额提高四分之一，最高限额则维持不变。

八、其他规定

澳门网安法还规定 “网络营运者应自本法律生效之日起一百二十日内采取措施，以便对在本法律生效前售出的无须预先提供身份数据的预付式用户身份模块卡（下称“SIM卡”）用户的身份数据进行登记。如SIM卡用户在上款所指的期间届满时仍不提供其身份资料，网络营运者应中止有关服务，但不影响在用户提供身份数据之日重新激活该卡。”这和内地网安法确立的“网络实名制”原则是一致的。

九、总结

综上，澳门特别行政区《网络安全法》和内地《网络安全法》的相同之处在于：

1. 均保护计算机系统和连接计算机系统形成的信息网络，以及在此基础上产生的数据；

2. 对关键信息基础设施进行特殊保护，要求设立数据保护官；

3. 均要求自评估及向政府部门报告；

4. 负责网络安全管理的体系多层级，涉及多个部门协同管理和执法；

5. 均要求网络实名制；

6. 均要求配合政府调查，依照法定程序和条件开放系统或提供数据。

澳门特别行政区《网络安全法》和内地《网络安全法》的不同之处在于：

1. 澳门网安法仅适用于关键信息基础设施运营者，并且对个人信息保护适用专门的《个人资料保护法》；内地网络安全法适用于包括关键信息基础设施在内的所有网络运营者，同时通过《关键信息基础设施安全保护条例（征求意见稿）》和拟定中的《个人信息保护法》对关键信息基础设施和个人信息保护进行专门规定；

2. 澳门网安法适用于计算机和网络产生的电子数据，不限于包含个人信息的电子数据，就数据而言，中国网安法仅适用于保护个人信息，非个人信息的其他数据的保护在《数据安全管理办法（征求意见稿）》中有所体现；

3. 澳门网安法明确规定技术规范具有强制效力，而中国网安法下的技术标准仅具有推荐性适用的指导作用；

4.澳门网安法理论上明确了界定关键信息基础设施运营者的方法，即通过《澳门特别行政区公报》公布，中国网安法及配套规定也有原则性判定方法，但具体是否属于关键信息基础设施的确定方法和流程目前并不明确；

5. 对于关键信息基础设施运营者本身的定义，澳门和内地有所不同。澳门基本区分为私营主体和公共主体，在此基础上进行界定和列举，权利义务也不同，例如，关键基础设施公共营运者有法定义务履行私营主体未能履行的合同，娱乐节目广播的视听广播业营运者不适用澳门网安法。内地网安法没有做这样的区分及例外规定，统一按照行业进行列举；

6. 对于违反网安法的规定，澳门的最高处罚金额比内地高很多，且明确规定“累犯”不得担任网络安全负责人。

说明：该文系合著，经其他作者同意，分别署名发表。该文非法律意见。

来源：关键基础设施安全应急响应中心