商訊 Feb | 老大哥在看著呢!


文:黎祖賢 


如果,你現在正在網上閱讀這篇文章,你有沒有想過,有人知道你的舉動?當然是除了你自己之外的人,你的互聯網服務供應商可能正監視你的在線流量。還有誰呢?政府──也有人擔心,正草擬的網絡安全法案或授予政府權力,實施大規模的網絡監控。 

為確保完善本地網絡安全法規,降低公私機構網絡遭受網絡攻擊的風險,澳門當局1月份就《網絡安全法》展開為期45天的公開諮詢。目前,澳門只有《打擊電腦犯罪法》規範網絡犯罪及其刑責。 

條例草案提議設立三級網絡安全管理架構:分別設立以行政長官為首的頂層決策機關——網絡安全常設委員會、負責推行網絡安全義務及措施的網絡安全事故預警及應急中心、不同領域公私營部門組成的監察實體。以司法警察局為首的網絡安全事故預警及應急中心將全天24小時運作,除了調查網絡安全事件外,還會以二進制代碼實時監控網絡資訊數據。法案還建議實施電信業務實名登記制度,即網絡供應商與用戶簽訂合約、確認提供互聯網接入服務、域名註冊服務、公用固定或流動電訊服務時,要求用戶提供真實身份資料。 

本地社運人士周庭希表示:“考慮到公民社會薄弱,面對一個擁有強大監控能力的政府,網絡用戶實名制不值支持。”最令他擔心的是條例賦予司警的權力。 

耍嘴皮 

由於司警有權攔截在線數據以防止網絡攻擊與入侵,周庭希認為該法案授權司警可隨時截取互聯網數據的權力。同時,他對其他建議亦持質疑態度,包括允許司警對私營關鍵基礎設施負責人進行進行強制性背景審查的提議,以及賦予司警權力進入運行關鍵基礎設施的私營實體進行審查,包括娛樂場運營商、銀行、電力和水供應商、醫院、電視台和廣播電台。 

他說:“諮詢文件對‘尊重私隱’只有提及,但絕無真實反映尊重私隱。”他補充道,沒有提出公眾監督和上訴的機制,“如果沒有有效的措施來防止政府濫用權力,任何單單提到‘私隱’的字眼都不過是美化”。 

“基於澳門政府在透明度,問責性和尊重法治方面的不良記錄,”他還認為,“法案或被看作設立大規模監控法律框架的一次嘗試。” 

言論自由 

目前缺乏網絡安全法案並不意味著政府沒有對網絡資訊進行監控。去年颱風“天鴿”襲擊澳門至10人遇害後,警方逮捕了兩名人士,理由是通過社交媒體平台微信發佈謠言。 

政治評論員蘇文欣說:“政府必須監控網絡資訊:每當某種信息出現時,警方就能迅速處理。電信服務實名登記制度等措施,為當局進行追踪(個人)提供便利。” 

然而,從防範網絡攻擊的角度來看,蘇文欣認為政府有正當的理由去制定法案。 “但這將不可避免地打擊言論自由。”他指出,“這使網民不寒而慄……他們都害怕冒犯當局而不願意發表自己的意見。” 

他補充說,政府應該在維護網絡安全的同時爭取平衡,社會的言論自由無需成為犧牲品。 

需要更多人才 

澳門在過去十年成為全球賭場中心,更是全球經濟表現最佳的經濟體之一。有觀察人士警告,這座城市或成為黑客攻擊的目標,並敦促當局改善相關規定,對網絡攻擊保持警惕。作為市內最大型的電信服務供應商,澳門電訊公司(CTM)支持政府制定網絡安全法的提議,這在其他司法管轄區亦屬司空見慣。 

CTM行政總裁潘福禧最近公開表示,網絡安全和個人私隱可並存,無需作出任何犧牲。他以CTM為例,說到:“我們關注網絡服務的流量,但我們從未探尋客戶溝通的細節:過去一直如此……以後亦將如此。” 

電腦商會理事長歐家輝同樣支持立法,認為這有助於遏製網絡詐騙、電話詐騙和其他網絡犯罪行為。司警公佈的最新數字,2016年共進行466宗涉及電腦罪案調查,2015年及2014年的有關數字分別是607宗及605宗,降幅達23%。2016年發生的466宗個案中,8.37%,即39宗涉及惡意使用電腦系統及不當使用電腦資料,同比下降37.1%。 

由於本澳失業率低,歐家輝擔心當局是否有足夠的人力資源推行網絡安全法案的實施。 “當談到網絡安全時,立法只是第一步。” 他表示,“在電子商務越來越受歡迎的情況下,提高公眾網絡安全意識同樣重要,包括中小企業在內。” 

澳門政府最近提出打造智慧城市的設想。有聲音指,除了與中國電子商務巨頭阿里巴巴集團控股有限公司合作之外,一部完善的法律制度有助澳門達成目標。內地企業阿里巴巴去年8月與當局簽署《構建智慧城市戰略合作框架協議》,為澳門提供信息技術(IT)基礎設施和大數據服務等解決方案,覆蓋從旅游業到城市管理,到運輸管理等多個不同領域。 

惡法 

然而,這個合作關係對於保護個人的隱私和個人資料的安全已經構成了問題。泛民主陣營的新澳門學社在當時便表達了關注,草案提出後,該組織也發表了批評。新澳門學社副理事長、議員蘇嘉豪認為: “當局強調《網安法》監控對象是關鍵基礎設施營運者,非任何個人。然而,建議受監控的關鍵基礎設施涵蓋所有公共機關,以及牽涉財務金融、幸運博彩、醫院、運輸、公共網絡等私人實體,意味著其管理設備近乎全方位掌握所有網絡活動和數據,《網安法》間接地監控全體居民以至遊客。” 

他批評該法案缺乏保障居民權利的措施,亦未能提高相關法規的透明度。他補充說:“《網安法》應加入相關條文,例如:當局須承擔強制責任,包括實時公布曾向關鍵基礎設施營運者索取數據的時間、數量、次數等資訊,當局向營運者發出的指引內容,以及當局因應《網安法》使用的監控設備規格與功能等。” 

“《基本法》第32條明訂:‘澳門居民的通訊自由和通訊秘密受法律保護。’”他指出,“若不作出任何改變……這樣的法律難免淪為一部假安全之名的‘惡法’。”。 

澳門司法警察局針對這項法案的批評,駁斥了部分人士提出“主觀且失准的指控”,這種“非理性和情緒化”的行為無助於改善法案。 

聲明中寫道:“大多數居民和行業代表在諮詢會上表示支持立法。網絡安全事故預警及應急中心的運作將仿效西方國家的先進做法。” 


澳門近年來遭受到的已知網絡攻擊 

2014 年2月—博彩運營商金沙(中國)有限公司的網站因其母公司拉斯維加斯金沙公司的網站遭到網絡攻擊而崩潰。 

2015年3月 —本地電信服務提供商CTM報稱,其防火牆系統受到罕見的網絡攻擊,導致固網和移動電話網絡中斷一小時 

2017年早期 —儘管收到多宗查詢,然而,未有任何公共機構稱遭到勒索軟件WannaCry攻擊。這是全球性的電腦勒索病毒攻擊事件,黑客以計算機為目標,要求付款以恢復文件。網絡攻擊影響了150多個地區的30多萬台電腦 


新加坡網絡 

國際電信聯盟調查顯示,新加坡的網絡安全是全球193個國家中表現最出色的。 

在去年發布的全球網絡安全指數中,新加坡排在首位,其次是美國和馬來西亞。該份報告從法律框架、技術手段、組織架構、能力建設和相關合作五個方面,考察各國在加強網絡安全方面所做出的努力和承諾。中國排名第32位,未有對澳門和香港的表現作出評價。