Exmo. Senhor

Dr. Wong Sio Chak

M.I. Secretário para a Segurança

 

 

Ofício Nº 05/ATFPM/2018 de 09.01.2018

 

 

Assunto: Monitorização do tráfego de dados informáticos entre os operadores públicos e privados de infra-estruturas críticas e a Internet pela Polícia Judiciária.

 

Em referência ao assunto supramencionado e tendo em conta o conteúdo do respectivo documento de consulta (páginas 7 e 14), consideramos que a monitorização do tráfego de dados informáticos, mesmo sob a forma de linguagem máquina, entre as redes dos operadores públicos e privados das infra-estruturas críticas e a Internet no âmbito da Lei da Cibersegurança está em desconformidade com o ordenamento jurídico da RAEM, podendo, eventualmente, consubstanciar uma violação do artigo 32.º da Lei Básica da RAEM.

A referida monitorização do tráfego de dados informáticos é arbitrária, desproporcional e ilegal por não estar em conformidade com o artigo 32.º da Lei Básica da RAEM, o qual não permite a ingerência e a quebra do sigilo dos meios de comunicação dos residentes de Macau, salvo nos casos de necessidade de segurança pública ou de investigação em processo criminal e sem o controlo, prévio ou à posterioriem casos de urgência e necessidade, por uma autoridade judicial, principalmente para efeitos de prevenção, devendo ser eliminada qualquer ingerência e controlo por uma entidade pública, quer pela Polícia Judiciária ou outra, nessa actividade, a qual deve ser deixada na responsabilidade dos gestores da cibersegurança dos operadores públicos ou privados das infra-estruturas críticas e recaíndo sobre estes o dever de comunicar a ocorrência de qualquer ataque cibernético às suas redes e sistemas informáticas.

Num Estado de Direito com um regime de direitos, liberdades e garantias como o que vigora em Macau e conforme a prática comum a nível internacional não pode ser atribuída a uma entidade policial ou administrativa a actividade de monitorização do tráfego de dados informáticos sob a forma de linguagem máquina entre as redes dos operadores de infra-estruturas críticas e a Internet para efeitos de prevenção de incidentes cibernéticos.

Essa actividade a ser exercida pela Polícia Judiciária, em conformidade com o proposto no documento de consulta (cfr. página 14) mesmo que sob a forma de “linguagem máquina”, pois esta, sendo a linguagem do processador constituída por sequências de 0 e de 1 (dados binários), facilmente pode ser convertida e tornar-se compreensível ao ser humano através de outras linguagens informáticas, representará sempre uma violação da liberdade e do sigilo dos meios de comunicação dos residentes de Macauconsagrada e garantida nos termos do artigo 32.º da Lei Básica da RAEM, por permitir o acesso directo, permanente e em tempo real às redes dos operadores públicos ou privados das infra-estruturas críticas, sugerindo assim, a sua eliminação na futura Lei da Cibersegurança!

Num Estado de Direito com um regime de direitos, liberdades e garantias como o que vigora em Macau e conforme a prática comum a nível internacional essa monitorização apenas deve ser permitida após um ataque cibernético com o objectivo de evitar a sua propagação a outras infra-estruturas críticas, para além da necessária investigação na procura dos respectivos responsáveis pelo ataque cibernético, e tem sido essa a prática seguida a nível internacional, nomeadamente no âmbito da União Europeia, em conformidade com o previsto na sub-alínea i), da alínea a) do n.º 2 do Anexo I (Obrigações e Atribuições das Equipas de Resposta a Incidentes de Segurança Informática (CSIRT), da Directiva (EU) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de Julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, que a seguir se transcreve:

- «2. Atribuições das CSIRT

a) As atribuições das CSIRT devem incluir o seguinte:

i) monitorizar os incidentes a nível nacional»

Se forem acolhidas as referidas sugestões, parece-nos que a futura elaboração da Lei da Cibersegurança poderá considerar-se em conformidade com o ordenamento jurídico da RAEM, nomeadamente, com o artigo 32.º da Lei Básica da RAEM, bem como, com o disposto na Lei n.º 16/92/M, de 28 de Setembro (Sigilo das comunicações e reserva da intimidade privada), e no artigo 30.º do Decreto-Lei n.º 2/89/M, de 9 de Janeiro (Aprova o novo Regulamento Orgânico da Direcção dos Serviços de Correios e Telecomunicações) e na alínea 1) do artigo 7.º da Lei n.º 14/2001 (Lei de Bases das Telecomunicações), que consagram expressamente os direitos ao sigilo e à inviolabilidade das comunicações, os quais representam garantias fundamentais dos utilizadores dos serviços de telecomunicações.

No entanto e tendo em conta que a actividade de cibersegurança implica uma intromissão na liberdade e sigilo dos meios de comunicação dos residentes de Macau e o acesso a bases de dados pessoais ou sensíveis, bem como, a dados protegidos pelo segredo médico, segredo bancário ousegredo profissional, para garantir que essa restrição dos direitos, liberdades e garantias dos residentes de Macau não seja arbitrária, desproporcional ou ilegal, sugere-se que sejam aditados três artigos para prevenir ou evitar o perigo de abuso de acesso indevido a essas bases de dados, como por exemplo, as existentes nos sectores bancário, financeiro e segurador, em hospitais ou nas entidades licenciadas a operar redes de telecomunicações e a prestar serviços de acesso à internet e, neste caso, por se tratar de telecomunicações estamos perante comunicações privadas, isto é, comunicações entre um emissor e um receptor, cuja intromissão arbitrária ou ilegal é proibida, mesmo para as autoridades públicas, podendo a sua violação implicar a prática do crime de violação de telecomunicações previsto no artigo 188.º do Código Penal.

Aditamento de um artigo que delimite o âmbito de aplicação da futura Lei da Cibersegurança, o qual, foi elaborado, com as devidas adaptações, com base no artigo 2.º da Lei n.º 2/2012 (Regime jurídico da videovigilância em espaços públicos), no sentido de limitar exclusivamente a actividade de cibersegurança à garantia da segurança das redes e sistemas informáticos essenciais utilizadas pelosoperadores públicos e privados de infra-estruturas críticas, bem como, garantir que a futura Lei da Cibersegurança respeite os direitos, liberdades e garantiasdos residentes de Macau, sugerindo-se a seguinte proposta de redacção:

- «Artigo ...º

Âmbito de aplicação

1. O sistema de cibersegurança destina-se exclusivamente a garantir a segurança das redes informáticas essenciais utilizadas pelas entidades, públicas ou privadas, que operam infra-estruturas críticas.

2. A aplicação da presente lei, nomeadamente, no tratamento dos incidentes de cibersegurança, deve observar e respeitar a reserva da vida privada, a liberdade de expressão e informação, a liberdade de imprensa, a liberdade e o sigilo dos meios de comunicação, a protecção de dados pessoais e os demais direitos, liberdades e garantias fundamentais estabelecidos na Lei Básica da RAEM e demais legislação aplicável.»

Aditamento de um artigo sobre a protecção de dados pessoais, com o objectivo de limitar a possibilidade de acesso arbitrário a dados pessoais ou sensíveis pela Polícia Judiciária ou outras entidades públicas a redes e a sistemas informáticos dos operadores públicos ou privados das infra-estruturas críticas sem a devida autorização e sem o controlo ou a fiscalização por parte de uma entidade independente, sugere-se a criação de um dever de notificação e de cooperação com o Gabinete para a Protecção de Dados Pessoais ao abrigo da Lei n.º 8/2005 (Lei de Protecção de dados Pessoais), sugerindo-se assim, a seguinte proposta de redacção:

- «Artigo ...º

Dados pessoais

1. Quando os incidentes de cibersegurança causarem um dano ou prejuízo à confidencialidade, integridade e disponibilidade de dados pessoais, o Centro de alerta e resposta a incidentes de cibersegurança (CARIC) notifica imediatamente o facto ao Gabinete para a Protecção de Dados Pessoais, aplicando-se o disposto na Lei n.º 8/2005 (Lei da Protecção de Dados Pessoais).

2. O Centro de alerta e resposta a incidentes de cibersegurança (CARIC) elabora um código de conduta destinado a contribuir, em função da natureza e das características dos dados pessoais, para a boa execução do disposto na presente lei em conformidade com a defesa dos direitos fundamentais ligados à protecção da privacidade e envia ao Gabinete para a Protecção de Dados Pessoais para efeitos de registo.»

Aditamento de um artigo relativo à criminalidade informática, com o objectivo de consagrar expressamente aaplicação subsidiária da Lei n.º 11/2009 (Lei de combate à criminalidade informática) à actividade de monitorização dos incidentes de cibersegurança, legitimando a intervenção da Polícia Judiciária em matéria de prevenção criminal, bem como, para salvaguardar a legalidade da recolha das provas necessárias à investigação criminal no caso de terem sido praticados crimes informáticos, sugerindo-se a seguinte proposta de redacção:

- «Artigo ...º

Criminalidade informática

Quando os incidentes de cibersegurança indiciarem a prática de crimes informáticos, a Polícia Judiciária após a recolha dos dados informáticos que indiciem factos com relevância criminal elabora o respectivo auto de notícia e comunica imediatamente à autoridade judiciária competente para validação no prazo máximo de 72 horas, aplicando-se o disposto na Lei n.º 11/2009 (Lei de combate à criminalidade informática).»

Face ao exposto, concluímos que só com a aceitação das sugestões efectuadas, bem como, com os aditamentos dos artigos relativos ao âmbito de aplicação, protecção de dados pessoais e criminalidade informática a futura Lei da Cibersegurança poderá estar em conformidade com o sistema de garantia dos direitos e liberdades fundamentais e a liberdade e o sigilo dos meios de comunicação dos residentes de Macau nos termos, respectivamente, dos artigos 11.º e 32.º da Lei Básica da RAEM!

 

 

Associação dos Trabalhadores da Função Pública de Macau, 09 de Janeiro de 2018.

 

A DIRECÇÃO,

 

 

José Pereira Coutinho                               Ché Sai Wang

Presidente                                                    Vice-Presidente

 

 

Leong Veng Chai                                                          Arnaldo Ernesto S. G. Martins

Vice-Presidente                                        Vice-Presidente

 

 

Armando de Jesus                                    Luís Correia Gageiro

Vice-Presidente                                        Secretário Geral

 

 

Tam Leng I, Melina                                  Lai Pou San, Pauline

Secretária Geral Adjunta                        Secretária Geral Adjunta

 

 

Ng Kin Pan                                                Ieong Man I, Lidia

Tesoureiro                                                 Tesoureira-Adjunta

 

 

Américo Martins de Jesus                       Chan Chi Wai

Secretário Executivo                                Secretário Executivo

 

 

António Armando J. da R. Teixeira        José Miguel Sales da Silva

Secretário Executivo                                 Secretário Executivo

                                                                  

 

Pou Sio Wa                                                Roberto Jorge da Silva

Secretário Executivo                                 Secretário Executivo

 

 

Lam Ut Fao

Secretário Executivo   

 

-------------------------------------------------------------------------------

Exmo. Senhor

Dr. Yang Chongwei

M.I. Coordenador do Gabinete para a Protecção de Dados Pessoais

 

 

Ofício Nº 07/ATFPM/2018 de 09.01.2018

 

 

Assunto: Monitorização do tráfego de dados informáticos entre os operadores públicos e privados de infra-estruturas críticas e a Internet pela Polícia Judiciária.

 

Em referência ao assunto supramencionado e tendo em conta o conteúdo do respectivo documento de consulta (páginas 7 e 14), consideramos que a monitorização do tráfego de dados informáticos, mesmo sob a forma de linguagem máquina, entre as redes dos operadores públicos e privados das infra-estruturas críticas e a Internet no âmbito da Lei da Cibersegurança está em desconformidade com o ordenamento jurídico da RAEM, podendo, eventualmente, consubstanciar uma violação do artigo 32.º da Lei Básica da RAEM.

A referida monitorização do tráfego de dados informáticos é arbitrária, desproporcional e ilegal por não estar em conformidade com o artigo 32.º da Lei Básica da RAEM, o qual não permite a ingerência e a quebra do sigilo dos meios de comunicação dos residentes de Macau, salvo nos casos de necessidade de segurança pública ou de investigação em processo criminal e sem o controlo, prévio ou à posterioriem casos de urgência e necessidade, por uma autoridade judicial, principalmente para efeitos de prevenção, devendo ser eliminada qualquer ingerência e controlo por uma entidade pública, quer pela Polícia Judiciária ou outra, nessa actividade, a qual deve ser deixada na responsabilidade dos gestores da cibersegurança dos operadores públicos ou privados das infra-estruturas críticas e recaíndo sobre estes o dever de comunicar a ocorrência de qualquer ataque cibernético às suas redes e sistemas informáticas.

Num Estado de Direito com um regime de direitos, liberdades e garantias como o que vigora em Macau e conforme a prática comum a nível internacional não pode ser atribuída a uma entidade policial ou administrativa a actividade de monitorização do tráfego de dados informáticos sob a forma de linguagem máquina entre as redes dos operadores de infra-estruturas críticas e a Internet para efeitos de prevenção de incidentes cibernéticos.

Essa actividade a ser exercida pela Polícia Judiciária, em conformidade com o proposto no documento de consulta (cfr. página 14) mesmo que sob a forma de “linguagem máquina”, pois esta, sendo a linguagem do processador constituída por sequências de 0 e de 1 (dados binários), facilmente pode ser convertida e tornar-se compreensível ao ser humano através de outras linguagens informáticas, representará sempre uma violação da liberdade e do sigilo dos meios de comunicação dos residentes de Macauconsagrada e garantida nos termos do artigo 32.º da Lei Básica da RAEM, por permitir o acesso directo, permanente e em tempo real às redes dos operadores públicos ou privados das infra-estruturas críticas, sugerindo assim, a sua eliminação na futura Lei da Cibersegurança!

Num Estado de Direito com um regime de direitos, liberdades e garantias como o que vigora em Macau e conforme a prática comum a nível internacional essa monitorização apenas deve ser permitida após um ataque cibernético com o objectivo de evitar a sua propagação a outras infra-estruturas críticas, para além da necessária investigação na procura dos respectivos responsáveis pelo ataque cibernético, e tem sido essa a prática seguida a nível internacional, nomeadamente no âmbito da União Europeia, em conformidade com o previsto na sub-alínea i), da alínea a) do n.º 2 do Anexo I (Obrigações e Atribuições das Equipas de Resposta a Incidentes de Segurança Informática (CSIRT), da Directiva (EU) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de Julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, que a seguir se transcreve:

- «2. Atribuições das CSIRT

a) As atribuições das CSIRT devem incluir o seguinte:

i) monitorizar os incidentes a nível nacional»

Se forem acolhidas as referidas sugestões, parece-nos que a futura elaboração da Lei da Cibersegurança poderá considerar-se em conformidade com o ordenamento jurídico da RAEM, nomeadamente, com o artigo 32.º da Lei Básica da RAEM, bem como, com o disposto na Lei n.º 16/92/M, de 28 de Setembro (Sigilo das comunicações e reserva da intimidade privada), e no artigo 30.º do Decreto-Lei n.º 2/89/M, de 9 de Janeiro (Aprova o novo Regulamento Orgânico da Direcção dos Serviços de Correios e Telecomunicações) e na alínea 1) do artigo 7.º da Lei n.º 14/2001 (Lei de Bases das Telecomunicações), que consagram expressamente os direitos ao sigilo e à inviolabilidade das comunicações, os quais representam garantias fundamentais dos utilizadores dos serviços de telecomunicações.

No entanto e tendo em conta que a actividade de cibersegurança implica uma intromissão na liberdade e sigilo dos meios de comunicação dos residentes de Macau e o acesso a bases de dados pessoais ou sensíveis, bem como, a dados protegidos pelo segredo médico, segredo bancário ousegredo profissional, para garantir que essa restrição dos direitos, liberdades e garantias dos residentes de Macau não seja arbitrária, desproporcional ou ilegal, sugere-se que sejam aditados três artigos para prevenir ou evitar o perigo de abuso de acesso indevido a essas bases de dados, como por exemplo, as existentes nos sectores bancário, financeiro e segurador, em hospitais ou nas entidades licenciadas a operar redes de telecomunicações e a prestar serviços de acesso à internet e, neste caso, por se tratar de telecomunicações estamos perante comunicações privadas, isto é, comunicações entre um emissor e um receptor, cuja intromissão arbitrária ou ilegal é proibida, mesmo para as autoridades públicas, podendo a sua violação implicar a prática do crime de violação de telecomunicações previsto no artigo 188.º do Código Penal.

Aditamento de um artigo que delimite o âmbito de aplicação da futura Lei da Cibersegurança, o qual, foi elaborado, com as devidas adaptações, com base no artigo 2.º da Lei n.º 2/2012 (Regime jurídico da videovigilância em espaços públicos), no sentido de limitar exclusivamente a actividade de cibersegurança à garantia da segurança das redes e sistemas informáticos essenciais utilizadas pelosoperadores públicos e privados de infra-estruturas críticas, bem como, garantir que a futura Lei da Cibersegurança respeite os direitos, liberdades e garantiasdos residentes de Macau, sugerindo-se a seguinte proposta de redacção:

- «Artigo ...º

Âmbito de aplicação

1. O sistema de cibersegurança destina-se exclusivamente a garantir a segurança das redes informáticas essenciais utilizadas pelas entidades, públicas ou privadas, que operam infra-estruturas críticas.

2. A aplicação da presente lei, nomeadamente, no tratamento dos incidentes de cibersegurança, deve observar e respeitar a reserva da vida privada, a liberdade de expressão e informação, a liberdade de imprensa, a liberdade e o sigilo dos meios de comunicação, a protecção de dados pessoais e os demais direitos, liberdades e garantias fundamentais estabelecidos na Lei Básica da RAEM e demais legislação aplicável.»

Aditamento de um artigo sobre a protecção de dados pessoais, com o objectivo de limitar a possibilidade de acesso arbitrário a dados pessoais ou sensíveis pela Polícia Judiciária ou outras entidades públicas a redes e a sistemas informáticos dos operadores públicos ou privados das infra-estruturas críticas sem a devida autorização e sem o controlo ou a fiscalização por parte de uma entidade independente, sugere-se a criação de um dever de notificação e de cooperação com o Gabinete para a Protecção de Dados Pessoais ao abrigo da Lei n.º 8/2005 (Lei de Protecção de dados Pessoais), sugerindo-se assim, a seguinte proposta de redacção:

- «Artigo ...º

Dados pessoais

1. Quando os incidentes de cibersegurança causarem um dano ou prejuízo à confidencialidade, integridade e disponibilidade de dados pessoais, o Centro de alerta e resposta a incidentes de cibersegurança (CARIC) notifica imediatamente o facto ao Gabinete para a Protecção de Dados Pessoais, aplicando-se o disposto na Lei n.º 8/2005 (Lei da Protecção de Dados Pessoais).

2. O Centro de alerta e resposta a incidentes de cibersegurança (CARIC) elabora um código de conduta destinado a contribuir, em função da natureza e das características dos dados pessoais, para a boa execução do disposto na presente lei em conformidade com a defesa dos direitos fundamentais ligados à protecção da privacidade e envia ao Gabinete para a Protecção de Dados Pessoais para efeitos de registo.»

Aditamento de um artigo relativo à criminalidade informática, com o objectivo de consagrar expressamente aaplicação subsidiária da Lei n.º 11/2009 (Lei de combate à criminalidade informática) à actividade de monitorização dos incidentes de cibersegurança, legitimando a intervenção da Polícia Judiciária em matéria de prevenção criminal, bem como, para salvaguardar a legalidade da recolha das provas necessárias à investigação criminal no caso de terem sido praticados crimes informáticos, sugerindo-se a seguinte proposta de redacção:

- «Artigo ...º

Criminalidade informática

Quando os incidentes de cibersegurança indiciarem a prática de crimes informáticos, a Polícia Judiciária após a recolha dos dados informáticos que indiciem factos com relevância criminal elabora o respectivo auto de notícia e comunica imediatamente à autoridade judiciária competente para validação no prazo máximo de 72 horas, aplicando-se o disposto na Lei n.º 11/2009 (Lei de combate à criminalidade informática).»

Face ao exposto, concluímos que só com a aceitação das sugestões efectuadas, bem como, com os aditamentos dos artigos relativos ao âmbito de aplicação, protecção de dados pessoais e criminalidade informática a futura Lei da Cibersegurança poderá estar em conformidade com o sistema de garantia dos direitos e liberdades fundamentais e a liberdade e o sigilo dos meios de comunicação dos residentes de Macau nos termos, respectivamente, dos artigos 11.º e 32.º da Lei Básica da RAEM!   

 

Associação dos Trabalhadores da Função Pública de Macau, 09 de Janeiro de 2018.

 

A DIRECÇÃO,

 

 

José Pereira Coutinho                               Ché Sai Wang

Presidente                                                    Vice-Presidente

 

 

Leong Veng Chai                                                          Arnaldo Ernesto S. G. Martins

Vice-Presidente                                        Vice-Presidente

 

 

Armando de Jesus                                    Luís Correia Gageiro

Vice-Presidente                                        Secretário Geral

 

 

Tam Leng I, Melina                                  Lai Pou San, Pauline

Secretária Geral Adjunta                        Secretária Geral Adjunta

 

 

Ng Kin Pan                                                Ieong Man I, Lidia

Tesoureiro                                                 Tesoureira-Adjunta

 

 

Américo Martins de Jesus                       Chan Chi Wai

Secretário Executivo                                Secretário Executivo

 

 

António Armando J. da R. Teixeira        José Miguel Sales da Silva

Secretário Executivo                                 Secretário Executivo

                                                                  

 

Pou Sio Wa                                                Roberto Jorge da Silva

Secretário Executivo                                 Secretário Executivo

 

 

Lam Ut Fao 

Secretário Executivo