普華永道：認識澳門網絡安全法及企業合規之路[8頁].pdf

1、認識澳門網絡安全法及企業合規之路澳門特別行政區行政長官于2019年6月17日簽署命令公布了第13/2019號法律網絡安全法 ， 該法律自公布滿180日起生效。眾多在澳門的企業、 以及有意來澳門新設立的企業， 都熱切地希望深入了解這部新的法律及其對自身的影響， 例如： 澳門網絡安全法立法的背景是什么? 世界上網絡安全立法趨勢是什么? 您的企業是否在 網絡安全法的管轄范圍內？ 作為關鍵基礎設施運營者， 您的企業需要承擔哪些責任和義務? 如果違反了 網絡安全法 ， 會面臨怎樣的處罰？ 企業為了落實網絡安全法下的義務， 可以如何準備?“1澳門網絡安全立法的背景網絡安全法的出臺是為了給社會的關鍵基礎設施

2、構建一個良好的防范管理體系， 更好地配合國家“一帶一路” 的發展倡議， 以及 澳門特別行政區五年發展規劃 （20162020） 有關建設智慧城市、 推動產業與互聯網融合的發展目標。 其立法的進程如下：法律草案向社會開展為期45天的公眾咨詢法案獲得立法會一般性通過立法會正式通過網絡安全法第13/2019號法律網絡安全法正式公布網絡安全法生效日在公布180日后生效2017年12月2018年10月18日2019年6月6日2019年6月24日2019年12月22日世界上網絡安全立法趨勢網絡安全法 的適用范圍網絡安全法 適用于關鍵基礎設施的公共及私人營運者?！瓣P鍵基礎設施” ： 是指對社會正常運作具有重

3、要意義， 且一旦遭到擾亂、 破壞、 數據資料泄漏、 停止運作或效能大幅降低， 可能嚴重危害社會福祉、 公共安全、 公共秩序或其他尤為重要的公共利益的資產、 資訊網絡和電腦系統?！瓣P鍵基礎設施營運者” ： 是指營運關鍵基礎設施及提供有關服務的公共或私人實體。其中關鍵基礎設施私人營運者包括：（一） 住所設于澳門特別行政區或外地， 且具資格以經營批給、 向行政當局提供服務、 準照、 執照或相同性質的憑證的方式， 在下列特定領域從事業務的私法實體：1. 供水；2. 銀行、 財務及保險業；3. 在醫院提供衛生護理；4. 污水處理和垃圾收集及處理；通過明確立法的方式來有效地實現和保障網絡安全是世界許多主要

4、國家和地區的普遍趨勢： 通過簡析以上國家和地區的的網絡安全相關立法， 可以見到一些主要特點：1. 網絡安全立法有一個漸進的過程， 而非一次性完成；2. 網絡安全法律體系是由一系列法律法規組成， 而不僅僅是單一法律；25. 燃料和受衛生檢疫及植物檢疫的食品的總批發供應；6. 法定屠宰場宰殺動物；7. 電力及天然氣的供應及分配；8. 按預定路線或航線、 班次、 時間表及收費提供的定期海、 陸、 空運輸的公共服務；9. 港口、 碼頭、 機場及直升機場的營運；10. 視聽廣播；11. 經營娛樂場幸運博彩；12. 經營固定或流動的公共電信網絡， 以及提供互聯網接入服務；（二） 全公共資本公司；（三） 活

5、動僅限于科學及技術領域的行政公益法人。2002年12月2016年11月2018年5月2018年8月2014年11月2018年2月2018年7月聯邦信息安全管理法案中華人民共和國網絡安全法網絡與信息系統法規 英國網絡空間安全法 葡萄牙網絡安全基本法日本網絡與信息系統安全法法國關鍵基礎設施安全法案澳大利亞中國美國3. 為了實現澳門網絡安全法要求的落地， 會逐步推出配套的法規、標準或指引。例如：澳門金融管理局(AMCM)于2019年12月公布了針對金融服務行業的 安全管理指引出臺。網絡防衛指引( “Guideline on Cyber Resilience”)， 預期澳門未來還會有更為具體的網絡3作

6、為關鍵基礎設施運營者， 您的企業需要承擔哪些責任和義務“關鍵基礎設施私人運營者” 的法定網絡安全義務包括以下四個方面：以 “1. 組織” 為例， 關鍵基礎設施私人營運者需要承擔以下網絡安全義務：組織方面的義務：（一） 設立具能力執行網絡安全內部保護措施的網絡安全管理單位；（二） 為網絡安全管理單位配置合適的人力、 財政、 物力及財產資源；（三） 從具備適當資格及專業經驗且以澳門特別行政區為常居地的人士中指定網絡安全主要負責人及其替代人；（四） 采取措施確保預警及應急中心能隨時聯絡網絡安全主要負責人及其替代人；（五） 建立網絡安全的投訴和舉報機制。網絡安全義務1. 組織3.自行評估及報告2. 程

7、序、預防及應變4. 合作網絡安全法以行政處罰追究不遵守網絡安全義務的責任。至于涉及網絡、 資訊、 電腦領域的刑事不法行為， 仍然由打擊電腦犯罪法進行規范。因作為或不作為而違反 網絡安全法規定的義務將面臨以下處罰：此外， 違反 網絡安全法 的有關規定， 可單獨或合幷科處下列附加處罰：（一） 剝奪參與公共部門、 機關及實體有關取得財貨或勞務的直接磋商、 限定對象咨詢或公開招標的權利；（二） 剝奪獲公共部門、 機關及實體發給津貼或優惠的權利。4如果違反了 網絡安全法 ， 會面臨怎樣的處罰？行政違法行為輕微者罰款澳門幣5萬至15萬 行政違法行為嚴重者罰款澳門幣15萬至500萬 澳門企業特別是關鍵基礎設

8、施運營者如何配合網絡安全法 、 滿足法定網絡安全義務已是企業日程上的重要任務。而落實該等義務需考慮以下的挑戰因素：作為澳門關鍵基礎設施運營者的企業， 如何應對以上挑戰、 有效推進網絡安全法義務的落地？我們給出以下四點建議：企業為了落實網絡安全法下的義務， 可以如何準備?1. 識別合規差距排查清楚企業的現狀及存在的差距， 對于治理架構、 政策和制度、 資源投入以及專業人員等容易存在短板的領域， 能夠做到了然于胸。2. 考慮尋求專業力量的幫助借助粵港澳大灣區的外部專業機構的力量， 彌補企業的人力資源缺口。 合作形式包括： 項目合作、 人力外包、 服務外包(如安全測試服務外包、 安全運營中心服務)等

9、等。3. 安全保護等級定級及風險評估評估各電腦系統在保密性, 完整性, 服務可用性及業務特征固有風險的影響， 進行安全等級定級和風險評估。4. 建立持續的網路安全培訓機制通過與專業機構(例如安全培訓公司、 行業協會、 高等院校等)合作， 建立網絡安全培訓課程和持續的再教育機制，提升企業的整體網絡安全意識和專業團隊的技術水平。01040302缺乏具有足夠經驗的網絡安全人力資源企業的網絡安全相關政策和制度不完善企業的治理架構未能符合要求安全管理和合規體系的成本限制5本文僅為提供一般性信息之目的，不應用于替代專業咨詢者提供的咨詢意見。 2020 羅兵咸永道。 版權所有。羅兵咸永道系指羅兵咸永道網絡及

10、/或羅兵咸永道網絡中各自獨立的成員機構。詳情請進入 獨有的業務特點、 獨特的組織架構而進行全面的網絡安全法差距測評和合規分析， 并且實施部署相應的合規落地工作， 歡迎聯系網絡安全與隱私保護咨詢服務團隊：黃景深羅兵咸永道中國內地、 澳門與香港網絡安全和隱私保護主管合伙人 電話： +852 2289 2719 郵箱： LinkedIn顏國定網絡安全和隱私保護合伙人 電話： +852 2289 1935 郵箱： LinkedIn吳冠豪網絡安全和隱私保護合伙人 電話： +852 2289 2967 郵箱： LinkedIn姚立網絡安全和隱私保護高級經理 電話： +86 (755) 8261 8954 郵箱： LinkedIn林家健網絡安全和隱私保護經理 電話： +853 8799 5139 郵箱： LinkedIn