配合特區政府《二零一八年財政年度施政報告》中所列舉的法案提交規劃,當局於上週開展為期四十五天有關制定《網絡安全法》的公開諮詢。在咨詢文本中當局表示,資訊科技與澳門特別行政區各行各業及市民的生活已經分不開,電腦、手機等資訊設備及互聯網成為日常生活不可或缺的工具,「移動互聯網」、「互聯網+」、「雲服務」、「物聯網」和「人工智慧」等新興技術迅速發展且廣泛應用,網絡已成為訊息傳播的新管道、生產生活的新空間、經濟發展的新引擎、文化傳承的新載體、社會治理的新工具、交流合作的新平臺及國家主權的新疆域。然而,當今國際形勢複雜多變,恐怖主義瀰漫全球,各種犯罪亦乘勢衝破地域限制,利用資訊系統的高危漏洞,實現跨境化及全球化,網絡攻擊及網絡入侵的種類亦層出不窮,網絡安全涉及國家安全及個人安全,成為了世界先進國家及地區政府的關注焦點,紛紛就網絡安全專門立法規範。在這方面,澳門也不能獨善其身,有必要配合全球趨勢,為促進澳門社會的網絡系統良好運作,以及確保網絡數據完整及得到充分保障進行立法,從而為社會的關鍵基礎設施構建一個良好的防範管理體系,以更好地配合國家「一帶一路」的發展倡議,以及《澳門特別行政區五年發展規劃(2016-2020)》有關建設智慧城市、推動產業與互聯網融合的發展目標。
為此,行政長官於2015年指示成立跨部門網絡安全工作小組,由保安司司長統籌協調各相關部門開展澳門特別行政區網絡安全立法及部門構建等工作。小組在2016年訂定了網絡安全工作計劃和網絡安全總體框架後,隨即啟動網絡安全框架法律的立法工作,並遵從下
列三大原則構思網絡安全法:1.保障市民安全,尊重個人隱私;2.適度立法(尤其在立法對象方面和技術措施方面);3.架構設置精簡有效。
而且從文本可知,為保障網絡安全,當局建議網絡安全監察系統為三層架構,頂層的網絡安全常設委員會是決策機關,由行政長官任主席;中層為網絡安全事故預警及應急中心,底層為各領域的監察實體。
保安司司長辦公室顧問陳軒志形容,三層架構是無縫對接、上下貫通。諮詢文本建議最高層的「網安會」為決策機關,主席由行政長官擔任,副主席為保安司司長,其他委員為各司司長及網安監察實體的領導。職責包括訂定網安總體方向及策略,訂定網安法規,向監察實體發出指引等。
中層的「網安中心」屬協調行動架構,由司警局、公職局及郵電局組成,肩負上下情報通達、內外交流的任務。該中心將廿四小時運作,由司警局統籌,三局各派員參與監察。中心將根據國際普遍做法,監察關鍵基礎設施資訊系統與互聯網之間以機器碼(0和1)傳輸的資訊數據,防範、偵察及打擊入侵及攻擊網絡,其他職能包括發出網安預警訊息,提供技術支援等。
底層為網絡安全監察實體,公職局將負責監察全部公共實體,十一個公共部門將監察各自領域的私營實體,如博監局監察娛樂場、衛生局監察醫院等。郵電局直接監察公共網絡經營者、視聽廣播經營者及全資公司等。司警局負責總體監察網絡安全情況。各監察實體職權包括監察網安規則的履行情況、收集營運者網安報告等。
而且諮詢文本建議全部公共實體及一百一十六個私營實體(統稱「關鍵基礎設施營運者」)須負起四大網安義務。包括:一、組織義務:設置網安部門及負責人,聘請此等負責人時審查背景等(公共實體則由一領導層或等同職級人員擔任網安負責人);二、程式、預防及應變義務:制訂網安管理制度及內部操作程式,落實內部網安保護、監測、預警及應急措施,當發生網安事故時向監察實體通報。三、自行檢測評估及報告義務:自行或委託專業機構檢測評估本身的網絡安全及風險,每年向所屬監察實體提交報告;四、合作義務:允許監察實體人員進入設施,並提供所需資料及支援。另外,公共網絡經營者負有兩項特別義務,包括電話實名制及日誌保存。
公私營實體倘不遵守義務會有不同的罰則。私營實體輕則警告,或罰款五萬至十五萬元,嚴重者可科處十五萬至五百萬元。亦設有附加處罰,如剝奪公開競投權利及獲取津貼等,中止許可、准照、執照或判給合同等部分或全部效力。公共實體負責人違反網安義務須負起紀律責任,處分十日至二百四十日停職,嚴重者以撤職論處。
其實,從長達23版的咨詢文本中可以清晰看出當局對《網絡安全法》的立法原意,以及希望該法所能發揮的作用。而環顧周邊區域,以及世界各國都有相類似的法律訂定,並且都發揮了重要的作用。相信對該法的重要性,全社會都能理解並支持。惟咨詢文本建議電話實名制,將來在澳購買電話預付卡享用上網及電話服務時,須向電訊營運商提供真實身份資料引來非議,有意見擔憂「電話實名制」會削弱網上言論自由,保安司司長黃少澤多次強調,「電話實名制」不等於「網絡實名制」,不會要求網發言時必須使用真實身份資料,故不妨礙亦不損害網上言論自由。不過一旦涉及犯罪,若屬公罪,刑事員警機關在獲得司法機關批准,可獲取相關資料;若是準公罪,則在受害人追究下,刑事員警機關立案並得到司法機關批准,才可取得相關資料。故實名制並非約束居民,亦不是可隨時取得相關資料,網民繼續用任何網名都可以,與現時無分別。至於電訊營運商及零售點保護購買電話預付卡的個人資料問題,個資辦主任楊崇蔚稱,當推行電話實名制後,售賣預付卡的店舖在處理個人資料時需要遵守「個資法」,一旦違反「個資法」,輕則構成行政違法,最高罰款二十萬元;重則可構成犯罪。例如店舖若將所得資料作其他目的處理,有可能被判最高一年徒刑及一百二十日罰金。
從內地和其他國家、地區實名制實施的情況來看,該做法確實是在一定程度上起到了應有的作用。加之本澳是較晚實行該制度,當可廣泛借鑒經驗。特別是隨之配套的限制條件和罰則應該能夠消除社會上這些無謂的擔心。況且,真正從《網絡安全法》的立法根本上講似乎實名制只能算作是一個社會和市民應盡的義務,也是為了更好維護特區和自身安全,並不應該盲目的上綱上線,甚至於人權、言論自由等相關聯。
首先說「網絡安全」的含義,網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、洩露,系統連續可靠正常地運行,網路服務不中斷。這是現在通說的觀點,筆者認為也是狹義的理解,僅僅是從網絡本身的運作安全方面進行考量,而沒有涵蓋將網絡作為工具,進而行為人開展不法活動,危害社會安全的內容。當然,以網絡為工具的危害安全的行為所依靠的仍舊是網絡的存在,該等行為或會利用網絡的漏洞,甚至威脅到網絡本身的安全運行;更多的或許是根本不會對網絡本身運行產生影響,只是作為行為實施和傳播的載體工具,而實施的行為和傳播的內容才是真正威脅社會的安全。所以說,網絡安全應該是兩個層次的問題,一是基礎的網絡作為載體的運行安全;二是網絡作為工具,所承載的內容帶來的安全影響。對於後者,世界各地都是以專門法律進行規範,而且一般都是與現行的刑事法律所關聯,作為一般刑事規範的擴展與延伸理解。而前者既有可以包含在已有刑事法規規範的內容,又會有不斷出現的新問題、新情況,所以多數時候都是傾向於以防範為主,避免網絡安全問題的發生。
也正因為如此,當局也強調,政府擬制定的《網絡安全法》將是一部以「守護」、「防範」及「管理」為主的法律,透過監察關鍵基礎設施營運者是否履行網絡安全義務,以及監察關鍵基礎設施營運者資訊系統與互聯網之間的資訊數據流量以及其數據包特徵等,瞭解網絡安全狀況,達至防範、偵察及打擊網絡入侵及攻擊,確保關鍵基礎設施網絡安全,保障本澳公共安全、公共利益或公共秩序;應對網絡安全事故,推行網絡安全義務及措施,進一步完善網絡安全防範管理制度;發出預警資訊,防止或減少關鍵基礎設施的網絡安全事故;以及開展針對性的宣傳教育活動,提升關鍵基礎設施營運者的網絡安全意識等目的。可見完全是局限於網絡安全的第一層次上而且也明確「至於涉及網絡、資訊、電腦領域的刑事不法行為,仍然由《打擊電腦犯罪法》進行規範。」因此,此次訂定的網絡安全法不僅是填補澳門的法律空白,也是在遵照「保障市民安全、尊重個人隱私」的原則下,真正構建屬於澳門的網絡安全防護體系。同時,清楚訂明有關體系屬於防範性行政管理體系,以及當中各方在網絡安全方面的義務和責任需。另外因應網絡安全的具體防護機制及措施因應不同情勢,需隨時進行更新和調整,強調專業性和技術性,遵照適度立法的原則,建議《網絡安全法》法案不直接規範維護網絡安全的具體措施,例如防火牆、加密系統、電子認證和病毒入侵檢測系統的採用標準等技術標準,此類措施將按照政府所訂定的總體方向透過監察實體的指示及傳閱文件作出規範。
誠如當局所言,網絡與國家安全及民生密切相關,預防勝於一切。然而,預防工作不可能單靠政府,而是需要社會各界的積極參與。只有政府、社會各界和廣大市民上下齊心,彼此配合,方可有效地防護網絡的安全。回到實名制的問題上,市民實名制購卡入網,不僅是配合對網絡安全維護和預防,也能有助於出現問題時盡快查找源頭,避免損失。倘非一開始就抱有欲侵犯特區網絡運行安全想法的人士當可理解。
實際上,立法清晰體系和責任,並不僅僅是對網絡運行的安全要求。更是現代社會的最重要需求。尤其是在澳門規劃智慧城市建設的過程中,資訊安全將成為智慧城市應用推廣的突出問題。大數據時代裡數據資產化成為趨勢,智慧城市將充分運用物聯網、雲計算、大數據、空間地理資訊系統等新一代資訊技術,為智慧城市建設提供強大的後臺依據和支援。智慧城市的發展在促進城市建設、規劃、管理和服務走向智慧化的同時,也帶來了資訊安全風險與挑戰。從城市管理角度而言,智慧城市的資訊安全一旦防護不當,還很可能造成城市管理局部混亂,政府管理應急決策失誤,甚至引發社會局部動盪。所以防範合法使用者數據的意外洩露,是消除安全隱患的重要手段。
其二,隱私保護將成為智慧城市應用中的首要問題。智慧治理確實使城市變得更為智慧,也提高了城市政府治理的效能,提高了便民服務的水準。但在綜合集成的物聯網、雲計算、大數據發展環境下,智慧城市中資訊技術的應用與發展所面臨的網路環境將會更加複雜,個人資訊將會缺乏系統的安全防護,這將成為大數據時代下智慧城市建設的挑戰之一。
目前,網路承載了公民太多的個人資訊。在智慧城市社會管理應用中,公民個人的眾多資訊也都存儲在雲平臺中。一旦這些服務平臺中發生安全性漏洞,必將引發公民個人資訊的洩露,使違法分子有機可趁,不僅公民對智慧建設的自覺性會遭受打擊,同時也會對政府失去信任,以後資訊的採集就會非常困難。此外,隨著網路銀行、電子商務、互聯網金融等服務的興起.網路徹底改變了人們的生活、消費方式,擴大了公民生活的軌跡內容,加之近年來各種移動終端的普及,進一步擴大了公民生活的軌跡內容,這些軌跡反映了公民個人在物理世界的行為,如活動範圍、社會關係、行為偏好、情緒狀態等,而這些都是個人資訊洩露面臨的潛在危機。
所以說,從現在和未來的網絡利用、資訊處理當中也更加關注安全性的問題、隱私性的問題。也證明有部分的擔心是完全沒有必要的。
另外,我們在認識到網絡安全的重要性的同時,一方要加快立法,確立維護網絡安全的規範。但也不容忽視維護網絡安全的形勢是十分嚴峻的。首先一點就是澳門的基礎建設和人才儲備。這一點上,過往幾年多次的斷網事故已經讓市民深受其害,需要努力的地方多不勝數。而要維護網絡安全將更多的需求相關的專業人才,澳門是否足夠仍值得重點關注。就以早前的斷網事故中,相關網絡服務提供商竟然需要緊急從外地招請專家前來處理就可見一斑。保安司司長黃少澤雖然表示,大部分的公私營實體已有網安部門及人員負責工作。或有機構缺乏人手,相信機構會不斷加強網安力量,確保機構的網絡安全。但究竟能做到什麼程度仍有待觀察。或許將澳門網絡安全的維護融入到國家網絡安全當中,藉助國家力量,充分利用區域人才才是好出路。
除此之外,為什麼說網絡安全的形勢嚴峻,國家電腦網絡應急技術處理協調中心總工程師雲曉春在全國工信系統擴大和升級資訊消費廳局級專題培訓班上的闡述或許能令人有直觀的感受:2016年約9.7萬個木馬和僵屍網路控制伺服器,控制了我國境內1699萬餘臺主機,控制伺服器數量較2015年下降8.0%,但是這種控制伺服器多年來被持續打擊,控制伺服器數量逐年下降,總體保持平穩的趨勢。
而且我國基礎資源受制於人,關鍵資訊基礎設施風險重重,抗攻擊能力弱。雲曉春表示,我國互聯網安全狀況仍然存在痛點。「還存在哪些潛在的攻擊者?具備哪些未知的攻擊能力與手段?有哪些聯網的關鍵資訊基礎設施?它們到底有多少漏洞?安全防護狀況如何?網路空間中有多少攻擊行為在發生?它們將會帶來什麼影響與後果?這些問題的答案目前沒有人知道,而且我們的基礎資源受制於人,關鍵資訊基礎設施風險重重,抗攻擊能力弱。」雲曉春說。
他指出,我國網路空間基礎資源三大部分受制於人,首先是IP地址,截至2014年3月,我國擁有的IP地址數量僅為美國的1/5,綜合考慮人口因素,我國的IP資源處於嚴重缺乏狀態。其次,是CA信任,我國處於美國公司VeriSign的信任壟斷體系之中。官方數據顯示,全球財富500強企業中超過95%的企業和全球最大的40家銀行業都以VeriSign作為SSL證書提供商,我國目前使用的操作系統、流覽器大部分都是國外的,其中預埋了大量根CA證書,且絕大部分都由國外認證機構頒發。最後是功能變數名稱命脈,全球13個根功能變數名稱伺服器,美國獨佔10個,且所有伺服器都需要與美國掌握的伺服器同步。「全世界一共13臺伺服器,10個在美國,沒有一個在中國,一旦出了問題,可能造成什麼呢?就是網路沒有辦法訪問了。」
此外,針對工控系統的網路攻防對抗研究將成為各國政府、安全界乃至暴恐組織的關注重點,相關的安全事件將持續增加。「美俄兩個主要大國均已具備很強的針對工控系統的網路攻擊能力,並在持續增強其攻擊能力。世界主要的資訊強國,如英、德、日、以色列等也在將加強相關研究,發展其網路攻防能力。無論是從攻擊效果,還是攻擊成本、攻擊隱蔽性乃至攻擊可控性看,針對工控網路的網路攻擊將有可能逐步取代傳統的軍事戰爭,成為各國政府的優先選擇手段之一。」雲曉春說。
國家層面尚且如此重視網絡安全,又面臨如此嚴峻的形勢。何況澳門?!