盧寳俊
澳門以高安全指數和低暴力犯罪發生率著稱,在吸引投資、貿易和旅遊方面發揮關鍵作用,推動發展和提振本地經濟。
然而,縱使傳統上澳門環境安全,本澳面臨的網絡挑戰卻日益遞增,網絡釣魚、勒索軟件或數據洩露等威脅的網絡攻擊和欺詐持續增加。
保安司司長2月總結時指出,2024年澳門當局開立了共992宗電腦犯罪刑事專案調查案卷。保安司司長辦公室數據指出,自2020年起對關鍵基礎設施營運者的網絡攻擊增加了兩倍,2024年間達到日均6,400宗攻擊。
自2019年12月第13/2019號法律《網絡安全法》生效以來,立法者著重透過結構性和預防性方式保護關鍵基礎設施。將實體範圍涵蓋娛樂場幸運博彩經營承批公司、管理及維持服務實體,以及醫療、能源、金融機構、通訊和政府部門等中斷運作會威脅到社會福祉、安全和公共秩序的本地社會及經濟運作關鍵基礎設施。
第13/2019號法律規定的要件包括加入網絡安全事故預警及應急中心(亦稱“網安中心”)發出的策略方針和強制性技術規範,落實嚴重事故的特定應對措施和數據監測,以預防和打擊網絡威脅。該法的立法理由是透過為資訊網絡、電腦系統及電腦數據資料建立有力的安全程序和機制,確保這些關鍵基礎設施對網絡攻擊的韌性。因此,要求關鍵基礎設施營運者藉監管實體和相關營運者間的緊密合作,落實具規範性、有效營運且能夠確保其活動網絡安全的框架。
為履行法律規定,現規定持續作出監察和科處處罰,處罰方面可科處定額罰款澳門幣五萬至五百萬元,以及科處附加處罰,例如剝奪參加公共採購程序,或取得財貨或勞務直接磋商的權利,以及剝奪獲政府津貼或優惠的權利。
另外,由於沒有安全政策適於黑客的先進攻擊手段,故中小企業尤其容易受到相關威脅。鑑於不熟悉現時黑客進行的網絡犯罪和利用的新型工具(即運用先進的生成式人工智能工具和軟件(GenerativeAI)欺騙消費者),以及欠缺對網絡安全政策的投入和缺乏聘用人員的特定培訓,中小企業沒有能保障其業務的有效工具和措施。這種脆弱性可能導致資訊洩露、支付賠償和失去客戶。
對此,需指出澳門個人資料保護方面的現行規定。特區公報刊登的第8/2005號法律《個人資料保護法》(簡稱《個資法》) 對個人資料保護,即對可確定某人身份的任何資訊保護作出規範。企業方面,這些資料可能具有個人身份識別資訊(姓名、出生日期、居所或聯絡電話)、財務資料(銀行資訊、薪金和支付記錄)、健康資料(因病缺勤及病假的相關資訊)或客戶資料(購買及交易記錄;產品和服務取向;意見回饋和投訴)等性質。
《個人資料保護法》卻未有規定自動通報安全事故予當局或受影響人士的章程義務,但負責處理資料的實體有該法一般原則產生的隱含義務和責任,包括:
1. 保障資料安全性(第十五條)
負責處理的實體應採取適當的技術和組織措施保護個人資料,避免資料的未經許可查閱、遺失、損壞或更改。如資料受侵犯,負責實體應評估及降低損害,並確保繼續履行義務。
2. 透明度和善意(第五條)
《個人資料保護法》要求以透明的方式和遵守善意原則下處理資料。如有侵犯損害資料當事人權利,負責實體則有道德(及潛在的法律)責任告知受影響人士,特別在影響到其權利、自由或保障的情況下。
3. 部分情況通知個資辦
縱使沒有通知侵犯的一般義務,負責處理的實體應就處理個人資料,預先通知個人資料保護辦公室(簡稱“個資辦”) (第二十一條),且在特定情況下(如資料互聯或處理敏感資料)請求個資辦許可(第二十二條)。如預先通知的安全措施不足以應對侵犯,個資辦可作出調查且要求修正,否則科處行政處罰。
4. 不履行的處罰
不履行安全義務可致科處行政罰款澳門幣二千至十萬元(視乎負責實體屬自然人還是法人),或如涉及不當查閱或損壞資料的嚴重情況,則科處刑事處罰(第三十三條及續後條文)。
因此,中小企業並未受有效的網絡安全政策保護,使其曝露於網絡攻擊的危險之中,面臨可能危及企業營運持續性的後果,相關風險如下:
1. 財務影響
由於欠缺有力的網絡安全措施,中小企業遭受勒索軟件、網絡釣魚或未經許可查閱系統的攻擊,直接對其造成財務損失,有關事故可能涉及索取贖金、復原系統資料費用,以及聘請專業人士應對相關事故的費用。倘個資辦認定疏於保護個人資料,違反安全義務(第十五條),則另科處行政違法罰款(根據第十三條,澳門幣二千至十萬元)。
2. 經濟影響
經濟方面,網絡攻擊導致企業暫停營運,可引致商業活動癱瘓、合同損失或商品服務交付的延誤,從而影響中小企業在市場上的競爭力。澳門的經濟多元化很大程度依賴投資者及旅客的信心,若維持穩健營商的能力不足,則可造成收益顯著下降,在極端情況下甚至可造成企業破產。
3. 聲譽影響
當資料因披露客戶敏感信息而受侵犯,中小企業的聲譽可受到影響,失去顧客、商業夥伴及供應商的信心可造成客戶流失及錯失商機。澳門作為一個以鄰里經濟及本地人員實體高度相互依賴的市場,一旦具聲望的企業主形象嚴重受損,基本上難以扭轉。
4. 社會影響
因網絡安全政策不足洩露客戶或人員個人資料,在社群內會普遍引發不信任感,影響支撐本地營商網絡的人際商業關係。另外,遭受資料洩露的個體可向個資辦投訴或提出爭議,從而放大社會負面影響及引起與中小企業有關的不安感。
5. 法律及營商影響
除了《個資法》規定的行政處罰外,疏於落實安全措施可造成行政違法或觸法,在非法查閱或毁壞資料的情況下需負起刑事責任(第三十四條及續後條文)。營商方面,特別是對於某些受嚴格監管或按照特定要求的行業,欠缺應對事故的備案可延長停工時間,復原成本上揚,而且難以履行合同義務。
儘管《個資法》並無規定就侵犯資料通知第三方或個資辦的一般義務,但第十四條規定,因不法處理或任何違反保護個人資料法律規定的行為,資料持有人有權獲得所受損失的賠償。受損害的第三方,包括客戶、商業夥伴或因網絡安全失誤(如未能採取適當的技術和組織措施保護個人資料,避免遺失、損壞、更改或未經許可查閱(第十五條))而遭受機密資料洩漏(如個人、財務或合同資料)的其他人士,以及要求補償之人士均可根據《個資法》第十四條向中小企業採取法律行動。
另外,澳門民法典(第四百七十七條及續後條文)規定,因過錯行為或不作為的非合同責任,可彌補因欠缺保護敏感資料的措施而造成的直接損害(如財務損害)或間接損害(如精神損害),倘缺乏網絡安全政策導致資料受侵犯,受損害的第三方可主張中小企業因未採取必要措施保護機密資料而作出過失行為,尤其是那些符合數字化趨勢預期的保護措施。
總括而言,防範網絡世界的威脅,需要企業採取積極防預的結構性措施,從持續全面監控企業活動着手,利用實時通報迅速偵測網絡空間問題。相關監管應配合人員培訓及發展網絡安全政策,以及配置預防工具,如防範及降低網絡風險的專門技術。
聘用網絡安全服務台(Cybersecurity Desk Service)可加強保護,確保擁有一個常設專業應對團隊,能快速有效地作出介入,阻止事故造成損害,從而降低對營運和財務的影響,避免客戶和收益損失,亦確保遵照適用的規範性框架。
面對數字領域的新興挑戰和持續威脅,欠缺有效的網絡安全政策使中小企業和關鍵基礎設施營運者變得極度脆弱,令其遭受各方面的影響。在愈加先進的網絡攻擊形勢下,除慎重小心外,積極採取預防措施才是保障企業利益的急切需求,確保履行法定義務和保持顧客及夥伴的信任。在資訊逐漸發達和業務模式數字化的背景下,網絡安全是當代組織保障其堅韌性和可持續性的重要一環。
Paulo Rowett 盧寳俊, 法律顧問
rowett@ccadvog.com