
1. 法律法规概述
1.1 网络安全监管战略
墨西哥没有专门的网络安全法,但多项法律条文间接地规范着这一领域,涉及多个监管机构。例如,有关于银行业、个人数据保护、犯罪行为和电信的法规。这些法律通过提供机构和企业必须遵守的框架来保护数字资产和个人信息,从而塑造了网络安全格局。
此外,多个政府机构也发布了各自的网络安全指南。例如,墨西哥中央银行(Banxico)发布了其2024-2027年网络安全战略(Estrategia de Ciberseguridad del Banco de México 2024 -- 2027),概述了其指导原则并明确了内部网络安全部门的职责。此举凸显了金融网络安全的重要性以及监管机构在确保银行安全环境方面所发挥的作用。此外,金融机构还必须遵守严格的网络安全协议,以防止可能损害国家金融稳定的欺诈、数据泄露和网络攻击。
多项网络安全法律提案已提交国会讨论。然而,目前尚无任何提案获得通过,仍停留在提案阶段,可作为未来立法讨论的基础。这些提案通常旨在应对与金融资产、个人自由、知识产权、金融系统和信息系统等相关的网络犯罪。鉴于网络威胁日益频繁且手段愈加复杂,亟需一部全面的网络安全法,明确规定网络犯罪的规章制度和处罚措施。该领域的立法进展对于加强墨西哥的网络安全态势,确保个人和企业免受网络威胁至关重要。
最后,就墨西哥现行法律框架而言,个人数据保护法规与网络安全最为直接相关。个人数据保护仍然是重中之重,因为未经授权的访问、数据泄露和身份盗窃仍然构成重大风险。加强数据保护法规并强制执行,对于营造更安全的数字环境和建立公众对网络安全措施的信任至关重要。
1.2 网络安全法律
以下法律文书虽然并非详尽清单(有关金融领域的其他规定,请参阅3.1 金融部门运营弹性监管范围),但包含截至 2026 年初与墨西哥网络安全相关的条款。
- 联邦刑法典(Código Penal Federal)和各州刑法典规定了网络犯罪的法律后果,包括未经授权访问系统、欺诈、身份盗窃、非法拦截通信、黑客攻击、数据泄露和网络金融犯罪。
- 《联邦私人持有个人数据保护法》(Ley Federal de Protección de Datos Personales en Posesión de los Particulares,简称DPR)于2025年进行了修订,旨在规范私人实体对个人数据的收集、处理、存储和保护。该法强制要求采取充分的安全措施来保护敏感信息,包括基于风险的方法和违规通知义务。执法工作已从现已撤销的国家透明度、信息获取和个人数据保护研究所(该机构已于近期作为更广泛的行政改革的一部分解散)转移到特定行业机构。
- 《公共信息透明度和获取总法》(Ley General de Transparencia y Acceso a la Información Pública)及相关改革(也于2025年进行了修订)。这些改革包括关于公共机构信息安全的条款,要求政府实体负责任地处理和保护敏感数据,并确保对网络安全事件追究责任。
- 《金融科技法》(Ley para Regular las Instituciones de Tecnología Financiera)规定了金融科技公司的合规要求,强制要求采取措施保障金融交易安全,并降低快速发展的数字金融服务领域的风险。
- 《适用于信贷机构的一般规定》(Disposiciones de Carácter General Aplicables a las Instituciones de Crédito)。该规定由墨西哥银行(Banxico)和国家银行证券委员会(CNBV)发布,对银行和金融机构施加了严格的标准,要求其建立风险管理框架、安全控制措施、事件响应机制,并采取措施保护客户数据和交易安全。
- 第 8/2019 号通函(及相关更新)。本规定针对墨西哥银行间电子支付系统 (SPEI) 的参与者,通过对实时支付的加密、强身份验证、实时监控和欺诈防范提出要求,加强网络安全。
- 加强网络安全以确保金融系统稳定的原则(Principios para reforzar la seguridad de la información en el sistema financiero)。这些代表了金融当局(例如 Banxico 和 CNBV)的最佳实践和监管指南,旨在促进金融部门基于风险的网络安全弹性。
- 墨西哥官方标准(Normas Oficiales Mexicanas,简称NOMs)。多项NOMs对网络安全和信息保护提出了强制性要求,其中包括:
- NOM-151-SCFI-2016(数据信息保存和文件数字化要求)仍然有效(2021年曾讨论过一项拟议修改,但截至2026年尚未发现重大废除或完全替代),该条例规范数字数据信息的保存和数字化,以确保电子文档保持真实、可靠和未被篡改;这对网络安全、电子商务和法律合规至关重要;
- NOM-004-SSA3-2012。该标准确立了医疗记录的创建、管理和保存标准,加强了医疗保健服务中的数据保护、保密性和安全性。
数字转型和电信局 (ATDT) 成立于 2024 年,根据其组织结构和监管框架,通过其网络安全总局领导联邦网络安全政策。
2025年,墨西哥国家网络安全和通信技术司(ATDT)发布了《2025-2030年国家网络安全计划》,这是墨西哥首个统一的国家网络安全政策框架。该计划旨在加强国家网络韧性,协调联邦层面的网络安全事件响应,并将墨西哥打造成为区域网络安全领域的领导者。
该计划的战略组成部分之一是推动向国会提交一份《网络安全总法》,作为国家框架的一部分。
鉴于这些持续发展,密切关注这些法规的演变至关重要,尤其要关注专门的网络安全法的潜在颁布以及2025-2030年计划的全面实施。政府的改革和新机构的设立可能会在未来几年显著改变执法、协调和全行业网络安全政策。
1.3 网络安全监管机构
墨西哥的网络安全监管分散在各个政府机构,这主要是由于缺乏全面的法律框架和具有广泛监管职责的中央机构。因此,多个实体在网络安全领域扮演着不同的角色,各自专注于不同的领域,例如执法、金融和数据保护。整个形势仍在不断变化。
执法和网络犯罪调查
西班牙总检察长办公室(Fiscalía General de la República,简称FGR)和地方检察官办公室在网络犯罪调查中发挥着核心作用。《联邦刑法典》对各种犯罪行为进行了定义,包括未经授权访问信息系统、数据泄露和非法披露敏感信息。网络犯罪调查通常需要各州和联邦机构之间的协调合作。
在墨西哥城,地方检察官办公室下属的网络犯罪调查部门专门负责调查网络犯罪。这些犯罪包括侵犯性隐私的犯罪,例如未经授权在社交媒体上分享私密内容,这在数字时代是一个日益令人担忧的问题。
金融领域网络安全监管
巴西国家银行和证券委员会(CNBV)负责监管金融领域的安全事件。CNBV确保金融机构降低可能损害银行系统机密性、完整性或可用性的风险。它监控并监督对安全漏洞、数据丢失和其他违反金融安全法规行为的应对措施。
作为中央银行,墨西哥央行在保障金融业免受网络威胁方面发挥着至关重要的作用。面对全球金融系统日益增多的网络攻击,墨西哥央行与金融机构、行业监管机构和执法部门密切合作。2018年,墨西哥央行牵头成立了网络安全事件响应小组,该小组与总检察长办公室和其他利益相关方合作,以加强对重大安全事件的协调应对。
数据保护
墨西哥国家透明度、信息获取和个人数据保护研究所(INAI)历来是墨西哥负责个人数据保护和公众信息获取权的主要独立机构。由于个人数据保护与更广泛的网络安全目标密切相关,INAI在其2025年之前的独立职权范围内,在制定数字隐私保护和透明度实践方面发挥了关键作用。
根据2024年公布的宪法改革和2025年颁布的新透明度和数据保护法,国家信息与信息管理局(INAI)被解散,其法定权力和职能移交给反腐败和善治部(Secretaría Anticorrupción y Buen Gobierno,简称MAGG)。在新法律框架下,该部负责监管数据保护事务,取代了INAI的独立职能。此外,一个新的分散式行政机构------人民透明度管理局(Transparencia para el Pueblo)成立,作为联邦层面的信息获取权保障机构,而数据保护职能仍保留在反腐败和善治部内。
这一制度转变引发了公民社会、隐私倡导者和法律评论员的担忧,他们担心这会对机构独立性、执法效力和数据保护政策的稳健性产生潜在影响,尤其考虑到隐私权、问责机制和不断演变的网络安全威胁之间的密切联系。从自主监管机构向部委主导模式的过渡,对网络安全治理和隐私执法产生的长期影响正在逐步显现。
关键基础设施的网络安全
国民警卫队(Guardia Nacional)设有一支专门的网络安全部队,致力于为管理关键基础设施的机构提供支持。该部队的职责包括:
- 识别和评估网络安全威胁;
- 网络安全事件管理;
- 作为国家网络威胁联络点;
- 进行数字取证,以协助执法机构调查网络犯罪。
此外,国民警卫队还向州政府提供网络安全援助,加强对联邦和地区基础设施的保护。这种协调旨在建立统一的应对机制,以保护国家安全和关键系统免受网络攻击。
其他政府参与
虽然上述机构是墨西哥网络安全监管领域的主要参与者,但其他政府机构也间接地为网络安全工作做出贡献。例如,基础设施、通信和交通部(Secretaría de Infraestructura, Comunicaciones y Transporte)负责监管数字基础设施并监督通信网络的完整性。
2. 关键基础设施网络安全监管
2.1 关键基础设施网络安全监管范围
如前所述,墨西哥目前没有专门针对关键基础设施的网络安全法律。然而,《国家安全法》(Ley de Seguridad Nacional)包含强调保护关键基础设施重要性的条款,但并未详细界定何为关键基础设施。此外,在上届政府执政期间,墨西哥实施了《国家网络安全事件管理标准化协议》(Protocolo Nacional Homologado de Gestión de Incidentes Cibernéticos)。虽然该协议并非法律文件,但它为政府机构和私营部门制定加强网络安全的条款和程序提供了参考。此举旨在确保对网络安全事件进行持续、协调的管理,从而提高整体韧性和应对新兴威胁的能力。
2.2 关键基础设施网络安全要求
在墨西哥,目前尚无针对关键基础设施保护的具体网络安全义务。尽管已有多种监管框架涉及网络安全问题,但尚无全面立法明确规定管理关键基础设施(例如能源、电信和交通运输)的实体必须采取的措施。由于缺乏明确的法律框架来保护关键基础设施免受网络威胁,负责这些关键领域的机构虽然拥有一定的自主权,但也造成了监管漏洞,可能危及国家应对网络事件的能力。
2.3 事件响应和通知义务
目前尚无针对关键基础设施网络安全事件的具体报告义务。然而,如**2.1节"关键基础设施网络安全监管范围"**所述,该协议包含一系列关于如何向国民警卫队(Guardia Nacional)报告高级别、关键且影响重大的网络安全事件的建议。例如,该协议概述了事件通知机制,明确了事件的分类方式以及政府机构应如何执行报告流程。
通过新的法规赋予该协议强制性地位来加强该协议,可以显著提高应对网络安全事件的能力,为墨西哥的关键基础设施部门提供更好的保护。
2.4 国家责任和义务
如上所述,政府在增强韧性和识别威胁方面负有义务,这些义务已在相关协议或指南中列明,例如前文提及的指南。然而,这些义务并未在任何具体法律中明确规定。这种分散的做法可能导致难以实施有效的安全措施,因为政府部门和私营实体可能对指南的解读存在差异,或者可能没有法律义务统一采纳这些指南。
为改善现状,墨西哥应尽快制定相关法律,明确关键基础设施网络安全韧性和威胁识别的义务。这将有助于更协调一致地管理网络风险,确保所有相关方遵循一套共同的规则,从而加强网络安全事件的防护和应对。更正式的立法也有助于改善公共部门和私营部门之间的合作,提升应对网络安全挑战的能力。
3. 金融领域的运营韧性
3.1 金融部门运营韧性监管的范围
墨西哥金融业的运营韧性主要受以下因素监管:
- CNBV;
- 墨西哥银行;以及
- 国家金融服务用户保护和辩护委员会(CONDUSEF)。
墨西哥没有独立的运营韧性监管条例。然而,银行、金融科技公司、保险公司和其他市场参与者等金融机构必须遵守一系列旨在确保业务连续性、网络安全和风险管理的法律、法规和监管准则。这些监管规范和规定包括:
- CNBV 颁布的适用于信贷机构的一般规定 ( Disposiciones de Carácter General Aplicables a las Instituciones de Crédito );
- CNBV网络安全和信息安全指南;
- 金融科技法(Ley para Regular las Instituciones de Tecnología Financiera );
- 支付系统法 ( Ley de Sistemas de Pagos );
- 墨西哥银行发布的第 8/2019 号通函,致银行间电子支付系统参与者;
- Banxico 发布的加强金融系统内信息安全的原则(Principios para reforzar la seguridad de la información en el sistema financiero );
- 由财政部(SHCP)、Banxico、CNBV、CONDUSEF 和其他政府机构和市场参与者建立的信息安全协调基地(Bases de Coordinación en Materia de Seguridad de la Información );和
- 墨西哥银行 2024-2027 年网络安全战略(Estrategia de Ciberseguridad del Banco de México 2024-2027)。
此外,墨西哥积极参与多项国际条约、协定和框架,这些条约、协定和框架侧重于网络安全、金融部门韧性和数字犯罪预防。墨西哥尚未正式批准《布达佩斯网络犯罪公约》,但已通过金融行动特别工作组(FATF,西班牙语简称GAFI)(墨西哥是其成员)、巴塞尔协议III关于运营风险和网络韧性的指导方针以及二十国集团(G20)倡议等框架,使其金融网络安全法规与国际标准接轨。此外,区域和双边合作,特别是与美国、美洲国家组织和太平洋联盟的合作,也增强了其金融部门的运营和网络韧性。
3.2 信息通信技术服务提供商合同要求
在墨西哥,信息通信技术服务提供商与金融机构合作时,必须满足特定的合同和监管要求。这些要求主要涉及网络安全、数据保护、运营弹性、第三方风险管理以及承担监管责任的能力。请注意,由于近期宪法改革,后两项机构的权限和职能正在逐步移交给联邦政府的其他机构。
与金融机构合作的信息通信技术服务提供商必须遵守墨西哥国家银行和证券委员会 (CNBV) 以及墨西哥银行 (Banxico) 发布的外包和网络安全法规,其中包括对处理以下业务的信息通信技术提供商的网络安全要求:
- 银行系统;
- 数据加密;
- 访问控制和身份验证措施;
- 服务水平协议;
- 审计权;以及
- 事件响应义务。
- 此类服务提供商还必须遵守 Banxico 的网络安全和运营弹性标准,并允许 Banxico 进行监管和审计。
根据墨西哥《数据保护法》,信息通信技术(ICT)合同必须明确数据保护义务,供应商必须实施技术和组织安全措施。如果信息通信技术供应商代表金融机构处理个人数据,则合同必须明确处理目的和允许的活动、数据保留政策以及数据泄露通知义务。
预计墨西哥将出台更完善的ICT供应商外包法规,类似于欧盟《数字运营弹性法案》(DORA)中规定的法规。
3.3 关键运营韧性义务
如前所述,墨西哥目前没有像欧盟那样专门针对数字运营韧性的法规,但它拥有多个监管框架,共同规范金融机构和信息通信技术提供商的运营韧性、网络安全和事件报告。此类法规的主要目标包括:
- 确保业务连续性和系统可用性;
- 加强网络安全和IT风险管理;
- 降低与第三方供应商和云计算相关的风险;
- 提高危机管理和事件应对能力;
- 在保障个人数据和财务信息安全的同时,加强消费者保护和数据安全;
- 遵循国际标准。
此外,墨西哥的金融机构和其他参与者,例如信息通信技术服务提供商、支付处理商和云服务提供商,都必须履行事件报告义务。此类报告义务涵盖网络安全漏洞、运营中断、金融欺诈和网络钓鱼攻击以及第三方信息通信技术故障。金融机构还必须保存日志和取证报告,以备监管机构进行潜在的审计。
3.4 运营韧性执行
在墨西哥,监管机构通过监管审计、合规检查、处罚评估和强制性事件报告等方式,对关键信息通信技术服务提供商的运营弹性义务进行监管。负责监管执法的主要机构包括墨西哥国家银行(CNBV)、墨西哥中央银行(Banxico)和墨西哥通信和信息技术部(MAGG)。
3.5 国际数据传输
国际数据传输必须遵守《数据保护条例》(DPR)、金融部门规则和贸易协定的规定。这些规则适用于在墨西哥境外处理或存储个人或敏感数据的金融机构、信息通信技术提供商和一般企业。墨西哥企业有义务实施合同保障措施、同意机制和网络安全措施,以确保合规。请注意,《美国-墨西哥-加拿大协定》(USMCA)包含有关跨境数据流动和数据本地化的条款。
3.6 威胁主导的渗透测试
墨西哥没有正式的TLPT法规;然而,根据墨西哥银行(Banxico)和墨西哥国家银行和证券委员会(CNBV)的规定,金融机构和信息通信技术(ICT)供应商必须进行渗透测试、网络弹性评估和模拟网络攻击(红队演练),以符合监管要求。特别是对于处理电子支付、金融科技平台和银行基础设施的金融机构,CNBV和Banxico强制要求进行渗透测试和网络安全评估,以评估其抵御网络威胁的能力。
4. 网络韧性
4.1 网络韧性立法
墨西哥的韧性义务主要与金融服务业相关。请参阅第3部分"金融部门的运营韧性"。
4.2 法律规定的主要义务
墨西哥的韧性义务主要与金融服务业相关。请参阅第3部分"金融部门的运营韧性"。
5. 信息通信技术产品、服务和流程的安全认证
5.1 关键网络安全认证法规
在墨西哥,没有法律强制要求公司或个人获得网络安全认证。虽然该国已制定了一些数据保护法规,特别是通过《数据保护条例》(DPR),但这些法规并未强制要求组织或专业人士获得网络安全认证。相反,这些法规通常要求企业实施适当的技术安全措施,以保护个人数据免受未经授权的访问、篡改或销毁等风险。
尽管墨西哥法律并未强制要求认证,但许多公司都认识到网络安全的重要性,并自愿寻求各种认证以提升其安全态势。这些认证,例如 ISO/IEC 27001,通常被视为最佳实践,能够证明公司致力于保护敏感信息和降低网络威胁。
鉴于网络攻击日益复杂且频繁,墨西哥最终可能会出台更严格的法规,强制要求在特定行业运营的公司或专业人士(尤其是负责管理关键基础设施或敏感数据的人员)获得网络安全认证。在相关法规生效之前,自愿认证仍然是旨在降低风险并加强网络安全措施的组织的重要工具。
6. 其他法规中的网络安全
6.1 网络安全和数据保护
墨西哥的数据隐私法规与网络安全密切相关,这主要是由于当代社会个人数据处理的复杂性日益增加。然而,目前的法律框架并未明确专门针对网络安全问题。相反,它概述了一些通用原则和义务,要求组织实施安全措施,而这些措施隐含地将网络安全措施纳入更广泛的数据保护战略中。
墨西哥《人民代表法》下的安全措施和义务
墨西哥数据保护条例要求数据控制者(负责处理个人数据的实体)采取技术安全措施,以保护个人数据免受各种威胁。这些威胁包括损坏、丢失、更改、销毁以及未经授权使用、访问或处理敏感信息。条例明确规定,这些措施的设计应充分考虑不断发展的技术,并反映网络安全挑战的动态特性。
然而,相关法规并未就"技术安全措施"的构成提供清晰明确的指导,也未阐明具体的网络安全义务。这些条款较为模糊,留有解释空间,并且没有明确规定数据控制者应采取的网络安全实践类型及其具体要求或标准。这种缺乏明确性的做法,给确保不同行业和组织之间全面合规和实践统一带来了挑战。
数据泄露通知要求
一旦发生数据泄露事件,处理个人数据的公共机构有义务通知受影响的个人(数据主体)。这是确保数据泄露事件透明度和问责制的关键步骤。
另一方面,私人数据控制者的义务则更为有限。他们只需通知那些直接受到数据泄露影响的数据主体,而无需进行更广泛的公开通知。
在通知受影响的个人时,数据控制者必须提供详细信息,包括:
- 对事件性质的描述;
- 被泄露的个人数据;
- 向数据主体提出在数据泄露后保护自身利益的建议;
- 对发现违规行为后立即采取的纠正措施进行概述;
- 有关个人如何获取有关该事件更多详细信息的信息。
尽管有这些要求,墨西哥数据保护条例(DPR)并未提供详细、标准化的数据泄露通知程序。由于缺乏关于通知格式、时间和渠道的明确指导,可能导致各组织在管理和沟通数据泄露事件方面存在不一致。
公共部门和私营部门义务的差异
墨西哥的《个人数据保护条例》(DPR)区分了公共部门和私营部门实体在处理个人数据方面的义务。公共部门实体承担的义务更为广泛。相比之下,私营部门实体的要求较为宽松,仅需通知受数据泄露直接影响的个人。这种区别可能导致个人数据保护水平的不平衡,具体取决于其数据是由公共部门还是私营部门实体处理。
需要更全面的法律框架
墨西哥现行法律中缺乏明确、全面的网络安全法律框架,表明未来需要进行改革。鉴于网络威胁日益频繁且愈加复杂,法律框架必须与时俱进,应对不断涌现的风险。更详细、更清晰地阐明具体的网络安全义务,将有助于各组织实施更稳健、更一致的网络安全措施,从而提升整体数据保护水平,并降低遭受网络攻击的风险。
总之,尽管墨西哥的数据隐私法规为个人数据保护提供了必要的保障,但在网络安全义务方面却缺乏明确具体的规定。这些法规通常要求数据控制者实施安全措施,但未能就何为充分的网络安全提供详细指导。这一缺陷使得各组织机构拥有很大的解释空间,并可能导致做法不一致。
随着墨西哥不断应对日益数字化的社会带来的挑战,将更具体的网络安全要求纳入数据隐私法规至关重要。加强这些规定将有助于降低网络威胁带来的日益增长的风险,并提升墨西哥在互联互通的世界中保护个人数据的整体能力。
6.2 网络安全与人工智能
目前,墨西哥尚未制定专门针对人工智能(AI)的网络安全法规。尽管人工智能技术正在显著改变从医疗保健到金融等众多领域,但该国的法律框架尚未充分应对人工智能系统带来的独特网络安全挑战。然而,处理个人数据的人工智能系统仍须遵守现有的数据保护法规,特别是墨西哥的《数据保护条例》(DPR),该条例主要侧重于保护个人信息。数据保护与人工智能的交汇点,构成了墨西哥人工智能治理和网络安全领域一个至关重要但又相对薄弱的环节。
为了应对这些新出现的挑战,墨西哥可以借鉴人工智能治理和网络安全方面的国际框架和准则。例如,欧盟等组织已通过《人工智能条例》对人工智能进行监管,其中包括针对高风险人工智能系统的条款,并专门针对网络安全措施。此外,全球网络安全专家论坛(GFCE)等全球网络安全机构正在努力制定保护人工智能系统的国际规范和最佳实践,这是人工智能治理的关键组成部分。
通过与国际合作,墨西哥可以采纳人工智能网络安全方面的最佳实践和标准,从而为新兴技术营造更强大的监管环境。参与国际论坛还能让墨西哥与其他国家合作,分享人工智能系统安全方面的知识、风险和解决方案,确保其在有效应对人工智能固有的网络安全挑战的同时,保持竞争力。
6.3 医疗保健领域的网络安全
由于涉及个人健康相关的敏感个人数据,数据保护法规便开始发挥作用。此外,官方标准中也包含其他强制性规定。例如,墨西哥官方标准NOM-004-SSA3-2012规定了墨西哥医疗记录的创建、管理和保存标准。其主要目标是在保护患者权利和提高医疗保健质量的同时,确保医疗信息的妥善记录、保密性和可访问性。
- 范围和应用------本标准适用于公立和私立医疗机构及专业人员。它涵盖医院、诊所、实验室和私人诊所的医疗记录。
- 医疗记录内容------医疗记录必须包含患者个人信息、病史、诊断、治疗方案、实验室检查结果和病程记录。住院、手术、急诊和特殊治疗需要特定的文件记录。
- 保密性和患者权利------医疗记录属于保密信息,除法律另有规定外,只有授权人员或经患者同意方可查阅。患者有权查阅自己的医疗记录并要求更正。
- 保存和存储------医疗记录必须在最后一次患者就诊后至少保存五年。电子记录和纸质记录都必须遵守安全和数据保护协议。
- 法律和道德责任------医疗保健专业人员有责任提供准确、完整和及时的文档记录。医疗机构必须实施内部政策,以确保符合相关标准。