傳新澳門就《網安法》諮詢提三點意見
特區政府正就《網絡安全法》公開諮詢,當局強調修法目標是確保關鍵基礎網絡設施應對攻擊和突發事故的能力,並會尊重個人隱私和適度立法。綜觀諮詢文本,《網安法》確會建立機制讓網安部門掌握所有基礎網絡的日常運作數據,也會有相應的網安規範要求,提升整體網絡安全水平,而社會最關心的網絡資訊監控和截取,文本也沒有提出要放寬。文本建議的電話實名制在不少地區已經推行,目的是減少偵查罪案時的難度,但這與內地網站帳戶需實名登記的網絡實名不同,也不是要在本澳推動網絡實名制。本會認同,整體而言確實符合適度立法的原則。
不過,因為「往績」的關係,社會確有不少意見質疑《網安法》會否讓保安部門擁有更多監控權力監控私人通訊?甚至以實名制收緊網上言論?客觀而言,由於當局從沒公布足夠資訊,社會對於當局包括監聽電話等具體操作有否嚴格依法進行早有很多疑問!甚至在政界及傳媒之中,「深信」自己被監聽的人士絕非少數!《網安法》提出對網絡安全作全面監控,實難免惹起個人通訊會否被不法截取的憂慮!
監聽監控應有獨立監督機制然而,根據《刑事訴訟法典》第111至113條及172條的規定。目前保安當局必須首先取得法官的批准,才可進行電話監聽,且只有可處以逾3年徒刑的犯罪;涉及販賣麻醉品;禁用武器、爆炸裝置或材料;走私;又或透過電話實施侮辱、恐嚇、脅迫或侵入私人生活等犯罪才可進行監聽取證,否則監聽行為屬違法,證據也無效。
保安司司長辦公室2007年回覆議員質詢時亦明確承認,司法警察局依法設有電話監聽設備,強調只會在司法當局嚴格監督和電訊營運商的配合下進行電話監聽工作,也有依法將有關資料傳達予命令及許可行動的法官,並有嚴格指引規範專責人員。
然而,礙於當局從未公開目前監聽機制的實際操作,社會對其有否嚴格依法進行的質疑甚多!例如電信公司的配合是開放「後門」,還是逐一個案按照法官批准的時段作配合?保安當局使用系統監聽的所有活動日誌是否得到有效保存?有何機制確保相關日誌不被篡改?有何獨立第三方會審查相關日誌確保無任何人在未有法官批准下被監聽?另外,依法監聽的相關統計數據,包括每年向法院申請多少次的電話監聽?多少被同意和拒絕?
這些統計數據既不影響個別案件審理,亦有助公眾增加對當局監聽情況了解,當局沒有理由不公開!就算不公開,任何議員也可根據《立法會議事規則》第二條d)項之規定,要求政府提供有關數據及資料,但至今有關資訊公眾仍一無所知,猜度自然沒完沒了。
監聽電話統計數據應公開另一個公眾關心是《網安法》立法後,當局在監控網絡安全的同時,會否截取通訊侵犯巿民私隱。目前法律僅容許法官在特定情況下批准電話監聽,法律上是不容許截取或監控網絡通訊,法官也無權批准任何網絡通訊的監控和截取。但諮詢文本卻指出,監察實體依法有必要時才蒐集資訊系統及網絡上的數據,該數據只是0與1的電腦代碼,除非得到司法機關批准,否則監察實體不會亦不可能介入任何網絡內容、解碼網絡內容或言論。首先,文本指得到司法機關批准可介入網絡內容或解碼,似乎與現有法律相牴觸。另外,當局在蒐集資訊系統及網絡數據包時,應是有一定特徵(包括DNS資訊)的數據包,不能簡單說只讀到0與1,但從網絡安全而言,監察數據包及其特徵確有需要。
到底《網安法》未來執行時,有何機制確保執法當局不會、也不能非法介入網絡內容或解碼?單憑當局自律當然不夠說服力!為此,政府若要恢復公眾的信心,必須針對現有電話監聽,以及在未來《網安法》的恆常監控,應該參考歐盟的機制,要求當局建立監控活動記錄日誌及確保相關日誌不能被篡改的機制,同時要有具公信力的獨立第三方審查和監督機制的運作情況,也要定期向公眾發布足夠的統計數據和監督情況,以實際和開誠布公的行動,爭取公眾的信任和減少猜疑,否則只靠政府強調自律和依法,根本難以取得公眾信任,也只會令《網安法》的討論失焦!
網安法執行不應影響新聞自由至於文本建議「視聽廣播經營者」有義務配合和《網安法》相關執行人員指派代表進入其設施及辦公地點,並提供職務範圍內所要求的資訊。有意見擔心,這會否影響新聞自由及傳媒工作的保密性。當然,目前沒有具體法律條文,但本澳法律所指的視聽廣播機構,僅應包括澳廣視電台電視台,及數間衛星電視牌照,且從《網安法》的角度,即使派員進入設施及要求提供的資訊,只屬確保視聽廣播運作正常,不應涉及任何新聞自由或來源之保密,且如報紙雜誌或其他網媒,更不能和絕不應屬此範圍。當局有責任澄清相門關條文避免誤解,傳媒更要明晰相關定義,確保新聞自由。
另外,就今次《網安法》公眾諮詢,本會不認同當局不接受以電話、傳真電子郵件方式遞交意見的做法,且僅容許公眾以郵寄、直接遞交和電子表格提交意見的做法,亦違反了第224/2011號行政長官批示公布澳門特別行政區《公共政策諮詢規範性指引》「附件5.5.5除透過書面、電話、傳真及電郵等方式外,還應採用其他不同形式的諮詢方法,包括第5.3所列的方式,廣泛收集公眾意見。」之規定。期望當局今後能糾正有關錯誤,保障公眾多渠道發表意見的權利!
就諮詢文本,本會有以下具體意見:一、建立網絡安全防護體系、關鍵基礎設施和網絡安全的相關定義及網絡安全防護體系的適用對象:礙於目前相關基礎網絡安全只是依靠公共部門或機構自行維護及負責網絡保安,保障程度參差,對網絡安全及公眾資料保存的安全性十分參差,本會認同制訂《網安法》建立統一的網絡安全防護體系及相應的規範,並設立相應的監管部門,有助提升本澳基礎網絡的整體安全性。
文本中對確保基礎網絡安全分成3個層次,最上層的網絡安全委員會更由特首出任主席,成員包括5位司長,其他層級還包括網絡安全事故預警及應急中心,以及各監察實體,3層架構最底層是多個獨立部門,當局有何舉措和機制有效協調廣受社會詬病的跨部門協作,將是《網安法》執行成敗的關鍵。
此外,《網安法》亦應針對所有關鍵基礎設施訂立個人資料保護的明晰指引,避免個人資料被私自存取或網絡入侵被盜取。不過,本會對關鍵設施的私人營運者定義有不同意見,例如,若以行政准照經營的受衛生檢疫及植物檢疫的食品批發、運輸業者等,其營運及系統安全對公眾影響相對較少,且經營者規模可能不大,其系統的安全標準難與涉及大量個人或敏感資料的大系統相比,更遑論要自行檢測評估網安,最終必令法律上執行困難,本會建議關鍵設施的私人營運者的對象應該收窄,集中資源確保重要基礎網絡設施的安全。
二、政府的監察實體──「網絡安全常設委員會」、「網絡安全事故預警及應急中心」、各領域的監察實體的意見:文本將本澳網絡安全防護體系分成3個層次,最上層的網絡安全委員會更由特首出任主席,成員包括5位司長;第二層為網絡安全事故預警及應急中心;第三層則為各領域的監察實體。本會認為,防護體系架構上已基本覆蓋所有重要的基礎網絡設施。但重點是第三層的各個監察實體眾多,加上跨部門協作的成效長期為社會詬病,當局有何辦法令《網安法》得到有效執行,將是《網安法》成敗的關鍵。然而,文本並沒提出具體可行辦法,相反,更要求各關鍵基礎設施營運者自行制訂及落實安全管理制度,且要自行評估及檢查網安工作是否到位等,相信屆時要落實執行並不容易,當局必須在《網安法》立法時充分考慮執行及監管機制,並必須考慮在有限資源下作出取捨,將監管資源投放在最重要的位置上。
三、對不遵守義務的行政處罰和紀律責任、生效日期的特別考慮及細則性規定的意見:本會對文本相關建議基本認同,但針對生效日期有保留,因為除「實名制」及「日誌保存」需要一定的過渡期外,其餘關鍵基礎網絡設施經營者,特別是系統規模較大的,同樣都需要合理時間落實和配合法律的要求,本會建議,《網安法》通過後應設立3個月到半年的過渡期。同時「實名制」亦應可選擇通過網上申請方式實施,減少對一般巿民及旅客的不便。
傳新澳門協會 理事長 林宇滔2018年1月24日
