A lei de cibersegurança, em consulta pública, pode pÔr em causa princípios da Lei Básica. Especialistas de diferentes áreas deixam o alerta para o perigo da Polícia Judiciária estar entre as entidades supervisoras.
Parece um assunto distante e técnico, mas lidamos com a cibersegurança todos os dias. A utilização de meio eletrónicos como o acesso à Internet, ao Facebook, Twitter, a autorização de ‘cookies’, entre outros, faz com que geremos informação sobre nós e, por consequência, essa informação esteja disponível. O Governo quer criar uma lei que visa prevenir os ataques ao ciberespaço. A lei da cibersegurança está em de consulta pública até à próxima quarta-feira. O secretário para a Segurança garante que os serviços estão impedidos de interferir na rede, descodificar informação, e que a liberdade e a privacidade dos residentes estão protegidas. Especialistas ouvidos pelo PLATAFORMA estão preocupados e alertam para os perigos que podem surgir se o diploma entrar em vigor como está agora.
O deputado Pereira Coutinho diz que o diploma está em desconformidade com o ordenamento jurídico da RAEM, “podendo, eventualmente, consubstanciar uma violação da Lei Básica”, defendendo essa opinião na carta que enviou ao secretário para a Segurança e para o Gabinete para a Proteção de Dados Pessoais.
Pereira Coutinho fundamenta com o artigo 32º da Lei Básica – que protege a liberdade e o sigilo dos meios de comunicação dos residentes, e só permite a intromissão por necessidades de segurança pública ou para fins de investigação criminal – e diz que “deve ser eliminada qualquer ingerência e controlo por uma entidade pública, quer pela Polícia Judiciária ou outra”.
O deputado entende que a monitorização dos dados informáticos deve estar a cargo dos operadores públicos e privados, que devem ser obrigados a comunicar sempre que haja um ataque aos seus sistemas informáticos e redes.
O jurista Marques da Silva considera que legislar sobre a matéria é uma necessidade já que é essa a tendência mundial – China continental, Rússia, Singapura, Hong Kong e Taiwan, por exemplo, já têm leis em vigor –, e porque se vem assistindo a um incremento e diversificação de ataques informáticos a órgãos públicos e entidades prestadoras de serviços essenciais à vida em comunidade. “É imperioso prevenir e combater” esses ataques, vinca.
Ainda assim, o jurista partilha da preocupação de Pereira Coutinho e ressalva: “A pretexto da lei da cibersegurança não podem as autoridades controlar de forma generalizada ou aleatória os emails ou as comunicações telefónicas dos residentes”.
A cibersegurança é o conjunto de meios e tecnologias que procuram proteger de danos ou intrusão ilícita, programas, computadores, redes e dados. É uma aposta crescente das entidades públicas e privadas, tendo em conta a informatização das sociedades. A tendência é para que toda a informação esteja cada vez mais em rede e isso faz com que os riscos a que os utilizadores estão sujeitos sejam cada vez maiores.
“A diversificação dos ataques e das invasões na rede e a ligação da cibersegurança com a segurança nacional e a segurança pessoal passaram a ser o foco de atenção dos governos dos diversos países e regiões desenvolvidos, os quais têm avançado com a regulação da cibersegurança, através de leis próprias. A RAEM já não pode manter-se à parte desta situação”, lê-se no documento em consulta pública, elaborado pelo Executivo.
Para proteger de danos e intrusão ilícita, programas, computadores, redes e dados – ciberespaço -, a cibersegurança implica, necessariamente, o acesso a base de dados pessoais nas mais diferentes áreas, como serviços médicos, públicos, bancários, transportes, etc. É a facilidade no acesso à informação que preocupa, sobretudo tendo em conta os organismos públicos com poderes de supervisão e as infraestruturas consideradas “críticas” e, assim, suscetíveis de serem monitorizadas.
Caso o diploma seja aprovado, haverá três entidades responsáveis pela cibersegurança: a Comissão Permanente para a Cibersegurança, órgão de decisão a quem compete supervisionar e definir orientações. Tem como presidente o Chefe do Executivo e como vice o secretário para a Segurança; vários serviços do Governo, que terão como missão inspecionar as infraestruturas públicas e privadas da respetiva tutela (por exemplo, a Direção de Inspeção e Coordenação de Jogos estará responsável por supervisionar os operadores de jogo); e, finalmente, o Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC), que trabalhará sobretudo no sentido da prevenção. O organismo está a cargo dos Serviços de Administração e Função Pública, dos Serviços dos Correios e Telecomunicação, e da Polícia Judiciária (PJ).
“Num Estado de Direito (…) e conforme a prática comum a nível internacional não pode ser atribuída a uma entidade policial ou administrativa a atividade de monitorização do tráfego de dados informáticos (…) para efeitos de prevenção de incidentes cibernéticos”, aponta Pereira Coutinho.
O deputado quer que seja acrescentado na lei um artigo sobre a proteção de dados pessoais. O objetivo é limitar o acesso arbitrário a dados pessoais ou sensíveis pela Polícia Judiciária e outras entidades públicas, sem a “autorização, controlo e fiscalização” de um outro órgão independente.
Éric Sautedé, académico que estuda o controlo da informação da Internet na China, recorda que o acesso a dados pessoais pelas entidades supervisoras, especialmente pela Polícia Judiciária, só terá lugar quando houver investigação. “Por isso, não se trata de um caso de vigilância massiva, mas apenas de se facilitar o acesso a informação crucial no contexto de uma investigação”, afirma.
Ainda assim, concorda com Pereira Coutinho e confessa que ficaria mais descansado se houvesse uma comissão da Assembleia Legislativa – “verdadeiramente plural” – ou uma instância judicial – constituída por exemplo por três juízes do Tribunal de Segunda Instância – com as funções que terá o Centro de Alerta e Resposta a Incidentes de Cibersegurança.
Marques da Silva também discorda que a PJ coordene o Centro de Alerta e Resposta a Incidentes de Cibersegurança, pela “promiscuidade que daí pode advir”. “A PJ já intervém no âmbito da Criminalidade Informática e isso é natural, legal e suficiente”, realça.
O jurista sugere que a coordenação seja da responsabilidade dos Serviços de Correios, tendo em conta a “experiência na área”, por exemplo, ao nível da certificação eletrónica de assinaturas e de regulação das telecomunicações.
As entidades privadas, a par das públicas, também terão responsabilidades. “Por serem detentores de licenças para operar a rede de telecomunicação fixa pública ou móvel, e entidades que prestam serviço de acesso à internet têm, indubitavelmente um papel muito importante na cibersegurança”, lê-se na proposta em consulta.
O Governo quer por isso que implementem o sistema “real-name”, que pressupõe pedir os dados de identificação dos utilizadores quando celebram contratos e as empresas confirmem a prestação de serviço de acesso à Internet. Quando da apresentação da proposta em consulta, o secretário para a Segurança garantiu que os dados pessoais só vão ser pedidos às entidades quando houver situação de crime e mediante autorização do tribunal.
“Não vai incomodar os cidadãos. Macau tem liberdade e não vai haver esse problema”, fez questão de frisar Wong Sio Chak.
O responsável esclareceu ainda que a transferência de informações por parte das entidades não inclui as comunicações na internet e não abrange aplicações móveis e redes sociais.
“Não é exigido o uso de dados de identificação verdadeiros ao divulgar discursos na Internet”, por isso, “não incomoda nem prejudica a liberdade de expressão na Internet”, sublinha o secretário.
Éric Sautedé realça que, tendo em conta o aumento do terrorismo global, a decisão de avançar com legislação sobre cibersegurança segue a tendência mundial.
O académico considera um “progresso bastante positivo” que passe a haver entidades, como a Comissão Permanente para a Cibersegurança e o Centro de Alerta e Resposta a Incidentes de Cibersegurança, que vão contribuir para a existência de peritos e criar condições para que entidades possam ser responsabilizadas em caso de abusos.
Para o professor, não há motivos para alarme em Macau. O perigo mora ao lado. “O principal motivo de preocupação é o facto de a lei de cibersegurança da China, aprovada em 2016, continuar a ser vaga no que diz respeito aos atos que podem ser considerados suscetíveis de colocar o Estado em perigo, atingirem a segurança nacional ou simplesmente irem contra o ‘interesse público’”, realça.
Sautedé defende que em Macau, e por enquanto, o problema não reside nas eventuais condicionantes que uma lei como a de cibersegurança poderá criar à liberdade de expressão. “Não há liberdade de expressão na China, enquanto Macau ainda goza de um ambiente liberal. Não é democrático, mas é liberal. Não acredito que a nova lei de cibersegurança indicie, de alguma maneira, o crescimento de uma sociedade ‘Big Brother’.”
E vinca: “O que é importante é haver equilíbrios e em Macau, muito frequentemente, o que leva a erros crassos tem mais que ver com uma incompetência total do que com má intenção”.
Marques da Silva subscreve que os benefícios de haver uma lei de cibersegurança “são evidentes”, e dá como exemplos a possibilidade de evitar ataques informáticos que afetem a segurança da população ou o funcionamento da economia.
Mas, e ao contrário de Sautedé, tem dúvidas quanto à preservação da liberdade de expressão.
“Um dos perigos que não posso deixar de assinalar é o da inclusão, no documento de consulta, dos meios de teledifusão e radiodifusão como infraestruturas críticas, logo a carecerem de ser monitorizadas, e os inerentes perigos de intromissão na Liberdade de Imprensa e de expressão, consagradas na Lei Básica”, avisa.
O jurista enfatiza que a proposta afirma que os representantes do CARIC e as entidades de supervisão podem entrar nas instalações de rádio e televisão e solicitar informações. “Estas informações englobam as fontes dos jornalistas?”, questiona Marques da Silva, que defende que a proposta de lei tem ser clara sobre a matéria, respondendo negativamente.
Marques da Silva insiste que, tendo em conta que pode interferir com os direitos e liberdades, a legislação também deve ”ser clara” relativamente à garantia do direito à privacidade e à reserva da vida privada. O jurista reforça que a lei deve atribuir as funções de supervisão a entidades sobre as quais não possa recair qualquer tipo de suspeita de aproveitamento abusivo, por não terem poderes de investigação criminal ou de polícia. «A ocasião faz o ladrão», afirma.
O jurista salienta que o só o facto de os governos terem a possibilidade de monitorizar o tráfego na internet implica “sempre riscos” e que há que ter cuidados. “Estamos perante uma lei melindrosa que não pode ser aprovada de ânimo leve, sobretudo naquilo que respeita às instâncias de controlo de aplicação da lei”, diz.
A proposta prevê que o pessoal que faça a leitura ilegal do conteúdo das comunicações seja punido, com sanções administrativas. Pelas infrações menos graves está prevista uma multa de 50 mil a 150 mil patacas, e pelas graves entre 150 mil a cinco milhões.
China tem o maior sistema de videovigilância do mundo
É o maior sistema de vigilância do mundo e está aqui ao lado. O Continente tem 170 milhões de câmaras de circuito fechado de TV atualmente. Segundo uma reportagem realizada pela BBC, o sistema vai ter mais de 400 milhões nos próximos tempos. A estação de televisão britânica diz que as câmaras de inteligência artificial são usadas por todo o país. Algumas já conseguem e podem fazer leitura facial, estimar a idade, género e etnia. Num teste à eficácia do sistema, um repórter da BBC pediu para as autoridades o sinalizarem como suspeito e ver quanto tempo demoravam a encontrá-lo. Levou sete minutos a ser encontrado nas ruas de Guiyang . As autoridades do continente garantem que só usam os dados pessoais quando os cidadãos precisam de ajuda, e que a expansão da rede de vigilância tem como objetivos impedir e prevenir a criminalidade.
Videovigilância por toda a cidade
A segurança tem sido o argumento para a aplicação de outras leis e sistemas de vigilância e controlo, como é o caso da videovigilância cada vez mais presente na cidade. No site dos Serviços de Polícia Unitários, lê-se que o Governo pretende instalar mais de 1600 câmaras pela cidade nos próximos cinco anos. Numa primeira fase, serão instaladas 219 nos arredores dos postos fronteiriços da região; depois, serão postas mais cerca de 600 nos pontos negros de segurança, principais vias rodoviárias, locais turísticos, instalações críticas, entre outros locais; na última fase, vão ser colocadas outras 800 câmaras em lugares isolados e com risco de segurança. No mesmo site, os serviços explicam que o sistema respeita o Regime jurídico da videovigilância em espaços públicos. Questionado pelo PLATAFORMA, o Gabinete para a Proteção de Dados Pessoais esclarece que, depois de a câmara ser instalada, as informações sobre o local, o ângulo e a cobertura de cada câmara são submetidas ao Gabinete, que deve aprovar, tendo em conta que a privacidade dos cidadãos não é violada. Sobre a forma como funcionam as câmaras e que tipo de dados recolhem, o Gabinete para a Proteção de Dados Pessoais afirma que o sistema “destina-se exclusivamente a garantir a segurança e ordem públicas, nomeadamente prevenir a prática de crimes, e a auxiliar a investigação criminal”.
O mesmo organismo reforça que, “quando as forças e serviços de segurança recolhem e tratam dados derivados de sistemas de videovigilância, devem observar rigorosamente a Lei da Proteção de Dados Pessoais e respeitar a reserva da intimidade da vida privada e direitos fundamentais dos residentes”. Nenhum dos organismos públicos revelou, no entanto, quantas câmaras tem a cidade agora. Marques da Silva alerta: “Assistimos, cada vez mais, a câmaras por tudo onde é lado, pelo que tenho dúvidas sobre se não se estará a ir além dos fins expressamente previstos na lei”.
Sou Hei Lam 19.01.2018
