Debates Parlamentares - Diário 182, p. 10 (2025-02-14)

O texto apresentado é obtido de forma automática, não levando em conta elementos gráficos e podendo conter erros. Se encontrar algum erro, por favor informe os serviços através da página de contactos.

Não foi possivel carregar a página pretendida. Reportar Erro

II SÉRIE-A — NÚMERO 182

redação atual, com a seguinte redação:

«Artigo 8.º-A

Atos não puníveis por interesse público de cibersegurança

1 – Não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção

ilegítima previstos, respetivamente, nos artigos 6.º e 7.º, se verificadas, cumulativamente, as seguintes

circunstâncias:

a) O agente atue com a intenção única de identificar a existência de vulnerabilidades em sistema de

informação, produtos e serviços de tecnologias de informação e comunicação, que não tenham sido criadas por

si ou por terceiro de quem dependa, e com propósito de, através da sua divulgação, contribuir para a segurança

do ciberespaço;

b) O agente não atue com o propósito de obter vantagem económica ou promessa de vantagem económica

decorrente da sua ação, sem prejuízo da remuneração que aquele obtenha como contrapartida da sua atividade

profissional;

c) O agente comunique, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas, ao

proprietário ou pessoa por ele designada para gerir o sistema de informação, produto ou serviço de tecnologias

de informação e comunicação, ao titular de quaisquer dados obtidos e que se encontrem protegidos ao abrigo

da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o Regulamento Geral de

Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do

Conselho, de 27 de abril de 2016, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019,

de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto;

d) A atuação do agente seja proporcional aos seus propósitos e estritamente limitada pelos mesmos,

bastando-se com as ações necessárias à identificação das vulnerabilidades e não provocando:

i) Uma perturbação ou interrupção do funcionamento do sistema ou serviço em causa;

ii) A eliminação ou deterioração de dados informáticos ou a sua cópia não autorizada;

iii) Qualquer efeito prejudicial, danoso ou nocivo sobre a pessoa ou entidade afetada, direta ou

indiretamente, ou sobre quaisquer terceiros, excluindo os efeitos correspondentes ao próprio acesso

ilegítimo ou interceção ilegítima, nos termos previstos nos artigos 6.º e 7.º, e ainda os que resultariam

já, com elevada probabilidade, da própria vulnerabilidade detetada ou da sua exploração.

e) A atuação do agente não consubstancie a violação de dados pessoais protegidos ao abrigo da legislação

aplicável em matéria de proteção de dados pessoais, designadamente, do Regulamento (UE) 2016/679, do

Parlamento Europeu e do Conselho, de 27 de abril de 2016, da Lei n.º 58/2019, de 8 de agosto e da Lei

n.º 59/2019, de 8 de agosto.

2 – A comunicação prevista na alínea c) do número anterior, deve ser feita também à autoridade nacional

de cibersegurança, que a remete à Polícia Judiciária sempre que revista relevância criminal.

3 – Para efeitos de determinação da proporcionalidade da atuação do agente, tomar-se-á em conta se a

mesma era necessária à deteção da vulnerabilidade e se a extensão dos sistemas ou dados informáticos

acedidos, consultados e/ou copiados era imposta pelo interesse em contribuir para a segurança do ciberespaço,

sendo expressamente vedado o uso das seguintes práticas:

a) Mecanismos de negação de serviço (DoS) ou negação de serviço distribuída (DDoS);

b) Engenharia social, definido como facto de enganar de responsáveis ou utilizadores dos sistemas de

informação com vista à disponibilização de informação sensível ou sigilosa;

c) «Phishing» e variantes;

d) Roubo ou furto de palavras-passe ou outras informações sensíveis;

e) Eliminação ou alteração dolosa de dados informáticos;

f) Inflição dolosa de danos ao sistema de informação;

II SÉRIE-A — NÚMERO 182 10 redação atual, com a seguinte redação: «Artigo 8.º-A Atos não puníveis por interesse público de cibersegurança 1 – Não são puníveis factos suscetíveis de consubstanciar os crimes de acesso ilegítimo e de interceção ilegítima previstos, respetivamente, nos artigos 6.º e 7.º, se verificadas, cumulativamente, as seguintes circunstâncias: a) O agente atue com a intenção única de identificar a existência de vulnerabilidades em sistema de informação, produtos e serviços de tecnologias de informação e comunicação, que não tenham sido criadas por si ou por terceiro de quem dependa, e com propósito de, através da sua divulgação, contribuir para a segurança do ciberespaço; b) O agente não atue com o propósito de obter vantagem económica ou promessa de vantagem económica decorrente da sua ação, sem prejuízo da remuneração que aquele obtenha como contrapartida da sua atividade profissional; c) O agente comunique, imediatamente após a sua ação, as eventuais vulnerabilidades identificadas, ao proprietário ou pessoa por ele designada para gerir o sistema de informação, produto ou serviço de tecnologias de informação e comunicação, ao titular de quaisquer dados obtidos e que se encontrem protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, o Regulamento Geral de Proteção de Dados (RGPD), aprovado pelo Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, a Lei n.º 26/2016, de 22 de agosto, na sua redação atual, a Lei n.º 58/2019, de 8 de agosto e a Lei n.º 59/2019, de 8 de agosto; d) A atuação do agente seja proporcional aos seus propósitos e estritamente limitada pelos mesmos, bastando-se com as ações necessárias à identificação das vulnerabilidades e não provocando: i) Uma perturbação ou interrupção do funcionamento do sistema ou serviço em causa; ii) A eliminação ou deterioração de dados informáticos ou a sua cópia não autorizada; iii) Qualquer efeito prejudicial, danoso ou nocivo sobre a pessoa ou entidade afetada, direta ou indiretamente, ou sobre quaisquer terceiros, excluindo os efeitos correspondentes ao próprio acesso ilegítimo ou interceção ilegítima, nos termos previstos nos artigos 6.º e 7.º, e ainda os que resultariam já, com elevada probabilidade, da própria vulnerabilidade detetada ou da sua exploração. e) A atuação do agente não consubstancie a violação de dados pessoais protegidos ao abrigo da legislação aplicável em matéria de proteção de dados pessoais, designadamente, do Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho, de 27 de abril de 2016, da Lei n.º 58/2019, de 8 de agosto e da Lei n.º 59/2019, de 8 de agosto. 2 – A comunicação prevista na alínea c) do número anterior, deve ser feita também à autoridade nacional de cibersegurança, que a remete à Polícia Judiciária sempre que revista relevância criminal. 3 – Para efeitos de determinação da proporcionalidade da atuação do agente, tomar-se-á em conta se a mesma era necessária à deteção da vulnerabilidade e se a extensão dos sistemas ou dados informáticos acedidos, consultados e/ou copiados era imposta pelo interesse em contribuir para a segurança do ciberespaço, sendo expressamente vedado o uso das seguintes práticas: a) Mecanismos de negação de serviço (DoS) ou negação de serviço distribuída (DDoS); b) Engenharia social, definido como facto de enganar de responsáveis ou utilizadores dos sistemas de informação com vista à disponibilização de informação sensível ou sigilosa; c) «Phishing» e variantes; d) Roubo ou furto de palavras-passe ou outras informações sensíveis; e) Eliminação ou alteração dolosa de dados informáticos; f) Inflição dolosa de danos ao sistema de informação;

Descarregar páginas