Macau, uma região urbana autônoma na costa sul da China está atualmente desenvolvendo uma Lei de Cibersegurança baseada em uma consulta pública realizada em dezembro de 2017.
Críticos políticos observaram que a proposta atual não protege de modo suficiente a privacidade dos cidadãos e cria uma estrutura legal para vigilância em massa.
Ex-colônia portuguesa, Macau unificou-se à China em 1999, mas manteve um alto grau de autonomia como uma região administrativa especial (semelhante a Hong Kong) com sua própria constituição, conhecida como “Lei Básica” e elaborada sob os princípios da ideia “Um país, dois sistemas.”
A Lei Nacional de Segurança de Macau criminalizou atos sediciosos, incluindo certos tipos de discursos. A cidade está agora a caminho de revisar a proposta Lei de Cibersegurança. Uma longa “lista de vigilância” política de indivíduos que se expressaram pela democracia em Hong Kong foram rotulados como “ameaça” à estabilidade da cidade e banidos de entrar em Macau durante períodos críticos, como em visitas de líderes da China continental ou em meses de campanhas eleitorais.
Em 11 de dezembro de 2017 o governo de Macau iniciou uma consulta pública de 45 dias sobre a Lei de Cibersegurança proposta. Líderes de setores comerciais e cidadãos comuns foram convidados a dar opinião, por escrito, em formulários.
Sob a lei proposta, operadores de telecomunicação e provedores de serviço de internet (ISPs) seriam responsáveis por implantar um sistema de registro de “nome real”, incluindo cartões SIM ou “módulo de identificação do assinante” pré-pagos. A lei também propõe que os ISPs retenham registros de atividades on-line de seus usuários por pelo menos um ano.
Com a atual proposta, a lei autorizaria a instituição de um comitê permanente de cibersegurança e um sistema de alerta de incidentes de cibersegurança, bem como um centro de emergência para cuidar de ameaças ligadas à cibersegurança. O comitê estará autorizado a monitorar o tráfego de dados on-line em código binário, e também acompanhar e investigar futuros ataques cibernéticos.
O documento também propõe que empresas que operam em 11 setores cruciais reforcem medidas de proteção, incluindo operadores de internet e mídia de massa, fornecimento de água e energia, sistemas financeiros, games e saúde, entre outros, segundo o Documento de Consulta (CD) 4.2. Tais setores estariam sob supervisão de departamentos e autoridades do governo. Por exemplo, a Autoridade Monetária de Macau, ao receber instruções do centro de emergência de cibersegurança, seria responsável por supervisionar a implantação de medidas em sistemas bancários e financeiros.
Representantes do centro de emergência de cibersegurança teriam autorização para entrar em escritórios e instalações de operadores de serviços de internet (dos setores privado e público) para inspeção. Os operadores deveriam atender a todas as solicitações razoáveis dos representantes e seguir as instruções que recebessem para manter as redes de comunicação (CD 5.2).
Ao contratar funcionários para posições-chave, os operadores desses setores teriam que fazer uma consulta junto às autoridades policiais sobre o histórico do candidato (CD 5.1), dando poder irrestrito à polícia.
Penalidades para operadores que não cumpram a lei podem alcançar 500 milhões MOP (patacas de Macau) ou aproximadamente US$ 62 milhões.
Cibersegurança ou vigilância em massa?
Wong Sio Chak, secretário de segurança, enfatizou que as autoridades não monitorariam atividades on-line de indivíduos e nem restringiriam a liberdade dos residentes em Macau. Mas os cidadãos estão preocupados.
A Associação de Funcionários Públicos de Macau (MCSA) redigiu uma carta aberta demonstrando preocupação de que o monitoramento e a vigilância de dados on-line através de código binário é um ato “arbitrário, desproporcional e ilegal”.
Segundo o Artigo 32 da constituição de Macau, “nenhuma autoridade pública ou indivíduo pode violar a liberdade e a confidencialidade das comunicações dos residentes por nenhuma razão”, exceto em casos de necessária segurança pública ou investigações criminais conduzidas e autorizadas por autoridades locais.
A MCSA destacou que o código binário “pode facilmente ser convertido em dados detalhados” e, portanto, não deve ser monitorado por autoridades, a não ser que exista uma ameaça real:
In accordance with international standards, monitoring of such data [by the authorities] should only be allowed after cyber attacks, in order to avoid spreading over critical city infrastructures, or in the following up of investigations.
De acordo com os padrões internacionais, o monitoramento de tais dados [pelas autoridades] só deveria ser permitido após um ataque cibernético, para evitar a propagação em infraestruturas críticas de cidades, ou no acompanhamento das investigações.
E ainda argumenta que a responsabilidade pelo monitoramento de dados só deve ser dada a operadores individuais de cibersegurança de infraestruturas críticas e não através de um sistema centralizado.
A Nova Sociedade de Macau também criticou essa proposta por ser draconiana, já que só destaca a responsabilidade dos cidadãos e setores de negócio, e não define nenhum mecanismo para que se monitore e equilibre o poder da Polícia de Cibersegurança para evitar atos abusivos.
O ativista político Jason Chao acredita que assim que for decretada, a Lei de Cibersegurança autorizaria uma “estrutura legal de vigilância em massa”.
Chao enfatiza que autorizar a Polícia de Cibersegurança a monitorar códigos binários da internet, fluxo de dados e formatos de pacotes de dados concede a ela poder excessivo para interceptar dados de comunicação.
Chao acredita que ampliar ainda mais o poder da polícia pode minar o privilégio de jornalistas com relação à proteção de fontes de informação e destacou que os veículos de mídia estão definidos como uma das 11 infraestruturas críticas.
Como uma cidade turística, Macau emitiu 1.38 milhão de cartões SIM pré-pagos vendidos em máquinas automáticas e lojas de conveniência. Com a implantação da lei de registro com nome real, os turistas teriam que registrar as identidades ao comprar um cartão SIM. Chao frisou que a nova lei não só afetaria os moradores de Macau, mas também os turistas.
Assim que o processo de consulta esteja concluído, o governo elaborará um projeto de lei para mais deliberações sobre a legislação.