随着信息技术的普及,网络安全问题日益凸显,对国家安全、经济发展构成严重威胁。新加坡作为国际金融、贸易中心,关键信息基础设施的安全至关重要。因此,为了加强网络安全监管和防御能力,新加坡政府提出了一系列网络安全战略和计划,于2018年2月5日,新加坡议会正式通过了《网络安全法2018》,这部法律的出台为新加坡网络安全提供了坚实的法律保障。本文将为大家解答新加坡网络安全法相关问题。
问
新加坡是否有专门的网络安全相关法律?其立法结构如何?
答
新加坡主要的网络安全立法是《2018年网络安全法》(网络安全法)。附属立法包括《2018年网络安全 (关键信息基础设施)法规Critical Information Infrastructure》“CII”和 《2018年信息保密处理Confidential Treatment of Information法规》。最近,在 2022 年 4 月 11 日,网络安全服务提供商的许可框架连同2022年(网络安全服务提供商)法规(CSPR)一起生效。该许可框架涵盖了提供渗透测试服务和托管安全运营中心监控服务的网络安全服务提供商,旨在提高网络安全服务提供商的标准,解决消费者和服务提供商之间的信息不对称问题。
问
新加坡企业负责人和董事对于了解组织网络和数据保护的充分性有哪些义务?他们可能因为网络安全不足而受到怎样的责任追究?
答
根据《网络安全法》,在某些情况下,个人可能因其所在企业所犯的罪行而承担个人责任。此类违法行为包括,CII 所有者未能在第 14 条规定的知悉规定网络安全事件的规定期限内通知专员,以及 CII 所有者未能按照第 15 条规定的频率定期进行网络安全审计和风险评估。
就公司犯罪而言,《网络安全法》第36条规定,高级职员、成员(在公司事务由其成员管理的情况下)以及参与公司管理并能够影响公司行为的个人就公司根据《网络安全法》实施的犯罪承担个人责任,如果此人同意、纵容或与他人合谋实施犯罪;以任何其他方式明知或参与违法行为;或参与实施该犯罪;或者知道或应该合理地知道公司的违法行为将会或正在发生,并未采取一切合理的措施来预防或制止该违法行为的发生。
此外,《关键信息基础设施网络安全行为规范(第二版)》要求董事会和高级管理层有效领导建立正确的网络安全组织文化、思维模式和结构,并针对重要的网络安全事项及时有效地进行经营决策。例如,关键信息基础设施所有者应确保其董事会(或类似机构)中至少有一名具备网络安全知识和意识的成员,以监督关键信息基础设施的网络安全风险,并就系统性网络安全风险管理向高级管理层提供指导。
根据一般公司法,董事未能适当管理组织的网络安全安排的行为可能构成违反其董事职责的行为,例如《1967年公司法》第157条项下要求董事合理勤勉地履行其职责的行为。
问
新加坡的网络安全法律如何影响在新加坡开展业务的外国企业?外国企业的监管义务是否与本地企业不同?
答
《网络安全法》和《PDPA》(个人信息保护法)可适用于在新加坡开展业务的外国组织。与本地组织相比,这些框架通常不会对其适用的外国组织施加不同的监管义务标准。《网络安全法》下对 CII 的保护框架适用于全部或部分位于新加坡的任何 CII(《网络安全法》第 3 条)。此外,《网络安全法》第 7 条允许全部或部分位于新加坡的计算机或计算机系统被指定为 CII,CII 所有者需要遵守《网络安全法》的要求。此外,未在新加坡注册但向新加坡市场提供许可网络安全服务的海外公司需要根据《网络安全法》第 5 部分申请网络安全服务供商许可证。
此外,根据 PDPA,“组织”一词的定义包括任何个人、公司、协会或团体、法人或非法人(无论是否根据新加坡法律成立或认可,或在新加坡居住或拥有办事处或营业地点)。因此,PDPA 可能适用于属于该“组织”定义的外国实体。
问
关于网络安全最常见的执法问题是什么?新加坡监管机构和私营部门是如何解决这些问题的?
答
在涉及个人资料的外泄方面,PDPC 一直积极执行《PDPA》。截至 2022 年 12 月 6 日,PDPC 共发布了 223 项决定,其中很大一部分决定与违反保护义务有关,即要求组织做出“合理的安全安排”,以防止这些组织持有或处理的个人数据未经授权的访问、收集、使用、披露、复制、修改、处置或类似风险以及遗失任何储存个人资料的储存媒介或装置(根据《PDPA》第 24 条)。
值得注意的是,迄今为止,PDPC 对组织施加的最大罚款(75 万新元)是由于该组织未能采取足够的安全措施或作出必要安排,以保护个人数据免遭未经授权的访问。
问
企业在发生网络安全违规后,根据监管要求有哪些通知义务?必须通知数据主体吗?通知的时机是什么时候?
答
根据新加坡《网络安全法》第14条规定,国家关键信息基础设施(CII)的所有者必须在规定的期限内,按规定的形式和方式,向监察员报告以下事件:
•关于CII的规定的网络安全事件;
•涉及CII的所有者控制的与之相互连接或通信的计算机或计算机系统的规定的网络安全事件;
•监察员已经书面指示所有者向CII指定的其他类型的网络安全事件。
根据《网络安全(关键信息基础设施)条例2018》,规定的网络安全事件包括:
•对CII的未授权入侵;
•在CII上安装或执行未经授权的软件或代码;
•中间人攻击、会话劫持或其他未经授权的干扰CII和授权用户之间通信的行为;
•拒绝服务攻击。
至于数据泄露方面,根据2021年2月1日生效的《个人数据保护法》(PDPA)的最新修订,引入了强制性的数据泄露通知制度。企业将被要求向个人数据保护委员会(PDPC)通报可能对受影响个人造成重大损害的数据泄露,即泄露的个人数据属于《个人数据保护(数据泄露通知)条例2021》规定的某些特定类别; 或者泄露涉及500名或更多个体。根据这一新制度,在企业有理由相信其所控制或拥有的个人数据存在泄露时,企业必须以合理和迅速的方式进行评估,确定该泄露是否是可通知的数据泄露。然后,企业必须在最迟三个日历日内向PDPC通报,并尽快通知,除非适用以下任何例外情况:
•企业在评估该数据泄露是否属于可通知的数据泄露后,根据规定要求采取行动,以减少对受影响个人造成重大损害的可能性;
•在发生可通知的数据泄露之前,企业已经实施了技术措施,减少对受影响个人造成重大损害的可能性;
•企业被指定的执法机构或PDPC要求不通知受影响个人;
•经企业的书面申请,PDPC豁免通知要求,但视PDPC认为合适的任何条件而定。
问
未遵守关于报告威胁和违规行为的规定可能会面临什么样的处罚?
答
新加坡《网络安全法》的第14条规定,如果CII(关键信息基础设施)的所有者未经正当理由,在指定期限内未能遵守报告所规定的任何网络安全事件的责任,一经定罪可处以不超过10万新元的罚款,或最长不超过两年的监禁,或两者兼施。
注:本文所提供的法律解读仅供参考,来源于律意通过法律检索,整理了新加坡网络安全律师专家的建议、并进行中文翻译及校对后的内容。然而,这些解读不应被视为正式的法律意见或建议。我司不对任何由于本文提供的信息或读者的理解差异而引起的任何后果承担责任。由于新加坡法律动态的变化,本文涉及的法律问题的准确性和适用性可能会因特定情况的变化而发生改变。最后,未经我们公司明确授权,任何对本文内容的复制、修改、再发表或其他形式的使用均不被允许。
关于我们
律意是一家创新型综合性跨境法律服务平台。基于创始团队在法律大数据及法律服务行业近20年的经验,拥有覆盖全球151个国家和地区的资深律师网络及各行业法律专家资源,已经为数十家跨境制造与消费类企业节约了50%的时间与经济成本。致力于为企业出海提供专业、完善、便捷的一站式法律服务。
联系电话:+86 21 31200806
邮箱:inquiry@lawpurpose.com
地址:上海市静安区愚园路108号7层728
编辑/排版:Elina
关注我,让我为你带来更多原创好文!
