作者:王小敏 高级联席合伙人,聂昊 律师助理
本文正文共2723字,预计阅读时间3分钟。
01
前言
2016年10月10日,在为期3天的新加坡国际网络周(SICW)开幕式上,《网络安全战略》(Cybersecurity Strategy)[1]正式发布。
《网络安全战略》提出了建立强健的关键信息基础设施网络、创造更加安全的网络空间、发展具有活力的网络安全生态系统、加强国际合作四个目标。
02
《网络安全法》概述
为落实《网络安全战略》,新加坡议会于2018年2月5日通过了《网络安全法》(Cybersecurity Act)。
《网络安全法》的颁布为新加坡国家网络安全的监督和维护建立了法律框架[2]。
在《网络安全法》颁布之前,新加坡就已经制定了《计算机滥用和网络安全法》(Computer Misuse and Cybersecurity Act,CMCA)《个人数据保护法》(Personal Data Protection Act)《电信法》(Telecommunications Act)等多部法律保障网络与数据的安全。
但在《网络安全法》颁布之前的法律皆为新加坡不同的部门所制定,法律与法律之间存在不协调,例如在《计算机滥用和网络安全法》中虽然规定允许政府采取紧急措施来应对对基本服务或国家安全的严重或迫在眉睫的威胁,但是并未要求关键信息基础设施(Critical Information Infrastructure,CII)所有者应当采取预防措施来保护CII以确保持续提供服务。在《网络安全法》中则很好的解决了这个问题。
在《网络安全法》中确立了四个主要的目标:
(1)加强对CII的保护,防范网络攻击;
(2)授权新加坡网络安全局(Cyber Security Agency of Singapore,CSA)预防和应对网络安全威胁和事件,并且CSA可以根据网络安全威胁或事件的严重程度以及响应所需的措施来调整可行使的权力;
(3)建立共享网络安全信息的框架;
(4)为网络安全服务提供商设立许可证制度。
03
网络安全标准的制定
新加坡的政府和个人组织可以共同制定或采用新的网络安全标准,以此来缩小新加坡在网络安全标准方面与其他国家的差距。
例如在2013年,信息通信媒体发展管理局(InfoComm Media Development Authority,IMDA)、企业新加坡(Enterprise Singapore,ESG)以及业界人士合作开发了世界上第一个多层云计算标准,以解决政府机构和社会私营组织提供的云服务的安全问题。
此云计算标准根据云服务提供商为用户提供的服务级别的不同,设立了不同等级的安全保护要求。
此外,新加坡标准委员会(Singapore Standards Council)也在积极的制定目前国际上尚未提供的新标准。其中包括自动驾驶汽车的网络安全标准和新加坡智能国家项目的物联网安全的一般要求。
新加坡于2018年1月推出了工业控制系统(Industrial Control Systems,ICS)《网络安全指南》(Cybersecurity Guidelines),ICS《网络安全指南》是由依赖ICS的不同部门的组织和监管机构共同开发的。《网络安全指南》的颁布为ICS运营商提供了改善其ICS环境中的网络安全流程和控制的推荐做法。
04
网络安全保障机构及措施
在机构设置方面,新加坡网络安全局(CSA)在《网络安全战略》颁布后,成为一个独立的国家机构,负责监督所有网络安全事务,包括网络安全战略、运营、教育、外展和生态系统发展。
如《国家网络安全战略》中所述,作为中央机构,CSA负责监督关键信息基础设施部门的保护、公共教育和外联、行业发展和国际合作。
CSA的设立不仅能够维持对国家网络安全的集中监督和维护,并能够通过其三层模式[3]保持对不同部门需求的灵活应对。
新加坡政府部门为了应对网络威胁也在积极的采取各种措施,例如政府在应对高级持续性威胁[APT(Advanced Persistent Threats)]时,采取的是互联网基础设施与政府网络相分离的措施。
在2018年1月,新加坡国防部(Ministry of Defence,MINDEF)发起了一项名为Bug Bounty的网络安全活动,该活动表明了社会公众可以通过部署管理型漏洞发现方法,对传统的漏洞发现方法作出完善。同时它也为网络安全从业者提供了一个帮助测试和验证政府网络安全状况的平台。
在国际上新加坡也通过与其他国家签订谅解备忘录(Memoranda of Understanding,MoUs)的方式,建立了有关网络威胁和事件的信息交流渠道。
这为新加坡提供了有关世界各地真实网络威胁和事件的预警信息。
例如在2017年5月WannaCry勒索软件爆发时,CSA就收到了来自英国GCHQ-NCSC的初步警报[4]。
05
网络安全与数据合规法律法规
战略(Strategy)
《新加坡网络安全战略》(Singapore Cybersecurity Strategy)
法律(Act)
1.《网络安全法》(Cybersecurity Act)
2.《个人数据保护法》(Personal Data Protection Act)
3.《信息通信媒体发展局法》(Info-communications Media Development Authority Act)
4.《政府技术局法》(Government Technology Agency Act)
5.《电子交易法》(Electronic Transactions Act)
6.《电信法》(Telecommunications Act)
7.《计算机滥用和网络安全法(修正案)》[Computer Misuse and Cybersecurity (Amendment) Act]
8.《计算机滥用法》(Computer Misuse Act)
条例(Regulation)
1.《网络安全(信息保密处理)条例》[Cybersecurity (Confidential Treatment Of Information) Regulations]
2.《网络安全(关键信息基础设施)条例》[Cybersecurity (Critical Information Infrastructure) Regulations]
3.《个人数据保护(上诉)条例》[Personal Data Protection (Appeal) Regulations]
4.《个人数据保护(违法构成)条例》[Personal Data Protection (Composition Of Offences) Regulations]
5.《个人数据保护(执行)条例》[Personal Data Protection (Enforcement) Regulations]
6.《个人数据保护(禁止调用注册表)条例》[Personal Data Protection (Do Not Call Registry) Regulations]
7.《个人数据保护条例》(Personal Data Protection Regulations)
—–—–
新加坡网络安全与数据合规法律法规原文获取方式
请点击文末左下角的“阅读原文”
输入提取码“uuk3”即可下载
06
参考文献
[1] www .csa .gov .sg/ news/ publications/ singapore -cybersecurity -strategy
[2] sso .agc .gov .sg/ Acts -Supp/ 9 -2018/ Published/ 20180312 ?DocDate = 20180312
[3] 新加坡《国家网络安全战略》第16-17页
[4] www .csa .gov .sg/ news/ press -releases/ csa -inks -partnerships -with -local -and -foreign -industry -players
END
声明:本文由深圳王小敏云端律师团队原创,仅代表作者本人观点,不得视为德和衡律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
聂昊
律师助理聂昊,北京德和衡(深圳)律师事务所云端律师团队律师助理,毕业于西南政法大学经济法学院法律硕士专业,并具有计算机专业背景。聂昊曾经参与过多款App项目的开发与制作,具备计算机与法律双重教育背景,善于以法律与技术相结合的形式为客户提供法律服务。曾服务的客户包括中粮、周黑鸭、人民教育出版社等。
往期精彩回顾: