作者:王小敏 高級聯席合夥人,聶昊 律師助理
本文正文共2723字,預計閱讀時間3分鍾。
01
前言
2016年10月10日,在爲期3天的新加坡國際網絡周(SICW)開幕式上,《網絡安全戰略》(Cybersecurity Strategy)[1]正式發布。
《網絡安全戰略》提出了建立強健的關鍵信息基礎設施網絡、創造更加安全的網絡空間、發展具有活力的網絡安全生態系統、加強國際合作四個目標。
02
《網絡安全法》概述
爲落實《網絡安全戰略》,新加坡議會于2018年2月5日通過了《網絡安全法》(Cybersecurity Act)。
《網絡安全法》的頒布爲新加坡國家網絡安全的監督和維護建立了法律框架[2]。
在《網絡安全法》頒布之前,新加坡就已經制定了《計算機濫用和網絡安全法》(Computer Misuse and Cybersecurity Act,CMCA)《個人數據保護法》(Personal Data Protection Act)《電信法》(Telecommunications Act)等多部法律保障網絡與數據的安全。
但在《網絡安全法》頒布之前的法律皆爲新加坡不同的部門所制定,法律與法律之間存在不協調,例如在《計算機濫用和網絡安全法》中雖然規定允許政府采取緊急措施來應對對基本服務或國家安全的嚴重或迫在眉睫的威脅,但是並未要求關鍵信息基礎設施(Critical Information Infrastructure,CII)所有者應當采取預防措施來保護CII以確保持續提供服務。在《網絡安全法》中則很好的解決了這個問題。
在《網絡安全法》中確立了四個主要的目標:
(1)加強對CII的保護,防範網絡攻擊;
(2)授權新加坡網絡安全局(Cyber Security Agency of Singapore,CSA)預防和應對網絡安全威脅和事件,並且CSA可以根據網絡安全威脅或事件的嚴重程度以及響應所需的措施來調整可行使的權力;
(3)建立共享網絡安全信息的框架;
(4)爲網絡安全服務提供商設立許可證制度。
03
網絡安全標准的制定
新加坡的政府和個人組織可以共同制定或采用新的網絡安全標准,以此來縮小新加坡在網絡安全標准方面與其他國家的差距。
例如在2013年,信息通信媒體發展管理局(InfoComm Media Development Authority,IMDA)、企業新加坡(Enterprise Singapore,ESG)以及業界人士合作開發了世界上第一個多層雲計算標准,以解決政府機構和社會私營組織提供的雲服務的安全問題。
此雲計算標准根據雲服務提供商爲用戶提供的服務級別的不同,設立了不同等級的安全保護要求。
此外,新加坡標准委員會(Singapore Standards Council)也在積極的制定目前國際上尚未提供的新標准。其中包括自動駕駛汽車的網絡安全標准和新加坡智能國家項目的物聯網安全的一般要求。
新加坡于2018年1月推出了工業控制系統(Industrial Control Systems,ICS)《網絡安全指南》(Cybersecurity Guidelines),ICS《網絡安全指南》是由依賴ICS的不同部門的組織和監管機構共同開發的。《網絡安全指南》的頒布爲ICS運營商提供了改善其ICS環境中的網絡安全流程和控制的推薦做法。
04
網絡安全保障機構及措施
在機構設置方面,新加坡網絡安全局(CSA)在《網絡安全戰略》頒布後,成爲一個獨立的國家機構,負責監督所有網絡安全事務,包括網絡安全戰略、運營、教育、外展和生態系統發展。
如《國家網絡安全戰略》中所述,作爲中央機構,CSA負責監督關鍵信息基礎設施部門的保護、公共教育和外聯、行業發展和國際合作。
CSA的設立不僅能夠維持對國家網絡安全的集中監督和維護,並能夠通過其三層模式[3]保持對不同部門需求的靈活應對。
新加坡政府部門爲了應對網絡威脅也在積極的采取各種措施,例如政府在應對高級持續性威脅[APT(Advanced Persistent Threats)]時,采取的是互聯網基礎設施與政府網絡相分離的措施。
在2018年1月,新加坡國防部(Ministry of Defence,MINDEF)發起了一項名爲Bug Bounty的網絡安全活動,該活動表明了社會公衆可以通過部署管理型漏洞發現方法,對傳統的漏洞發現方法作出完善。同時它也爲網絡安全從業者提供了一個幫助測試和驗證政府網絡安全狀況的平台。
在國際上新加坡也通過與其他國家簽訂諒解備忘錄(Memoranda of Understanding,MoUs)的方式,建立了有關網絡威脅和事件的信息交流渠道。
這爲新加坡提供了有關世界各地真實網絡威脅和事件的預警信息。
例如在2017年5月WannaCry勒索軟件爆發時,CSA就收到了來自英國GCHQ-NCSC的初步警報[4]。
05
網絡安全與數據合規法律法規
戰略(Strategy)
《新加坡網絡安全戰略》(Singapore Cybersecurity Strategy)
法律(Act)
1.《網絡安全法》(Cybersecurity Act)
2.《個人數據保護法》(Personal Data Protection Act)
3.《信息通信媒體發展局法》(Info-communications Media Development Authority Act)
4.《政府技術局法》(Government Technology Agency Act)
5.《電子交易法》(Electronic Transactions Act)
6.《電信法》(Telecommunications Act)
7.《計算機濫用和網絡安全法(修正案)》[Computer Misuse and Cybersecurity (Amendment) Act]
8.《計算機濫用法》(Computer Misuse Act)
條例(Regulation)
1.《網絡安全(信息保密處理)條例》[Cybersecurity (Confidential Treatment Of Information) Regulations]
2.《網絡安全(關鍵信息基礎設施)條例》[Cybersecurity (Critical Information Infrastructure) Regulations]
3.《個人數據保護(上訴)條例》[Personal Data Protection (Appeal) Regulations]
4.《個人數據保護(違法構成)條例》[Personal Data Protection (Composition Of Offences) Regulations]
5.《個人數據保護(執行)條例》[Personal Data Protection (Enforcement) Regulations]
6.《個人數據保護(禁止調用注冊表)條例》[Personal Data Protection (Do Not Call Registry) Regulations]
7.《個人數據保護條例》(Personal Data Protection Regulations)
—–—–
新加坡網絡安全與數據合規法律法規原文獲取方式
請點擊文末左下角的“閱讀原文”
輸入提取碼“uuk3”即可下載
06
參考文獻
[1] www .csa .gov .sg/ news/ publications/ singapore -cybersecurity -strategy
[2] sso .agc .gov .sg/ Acts -Supp/ 9 -2018/ Published/ 20180312 ?DocDate = 20180312
[3] 新加坡《國家網絡安全戰略》第16-17頁
[4] www .csa .gov .sg/ news/ press -releases/ csa -inks -partnerships -with -local -and -foreign -industry -players
END
聲明:本文由深圳王小敏雲端律師團隊原創,僅代表作者本人觀點,不得視爲德和衡律師事務所或其律師出具的正式法律意見或建議。如需轉載或引用本文的任何內容,請注明出處。
王小敏高級聯席合夥人18617198262
[email protected]王小敏,北京德和衡(深圳)律師事務所高級聯席合夥人,西南政法大學法學院畢業,前騰訊及騰訊音樂娛樂集團(TME)高級法律顧問/公司資深法務,QQ音樂&全民K歌産品線法務負責人,雲端律師團隊創始人。王小敏律師先後在知識産權代理公司、律師事務所、知名互聯網公司工作,具有十余年跨行業(律師&公司法務)、跨領域(知識産權&互聯網)、跨産品(IP&科技硬件&網絡廣告&音樂&直播&短視頻&社交&電商等)的多元複合型法律實務經驗。曾服務的客戶包括蘇泊爾、方太、九陽、步步高、騰訊、TCL、深交所、深圳第26屆大運會執行局等。
聶昊
律師助理聶昊,北京德和衡(深圳)律師事務所雲端律師團隊律師助理,畢業于西南政法大學經濟法學院法律碩士專業,並具有計算機專業背景。聶昊曾經參與過多款App項目的開發與制作,具備計算機與法律雙重教育背景,善于以法律與技術相結合的形式爲客戶提供法律服務。曾服務的客戶包括中糧、周黑鴨、人民教育出版社等。
往期精彩回顧: