网络安全法案的修订主要针对关系到国家安全、国防、外交、经济、公共卫生等重要方面的信息设施和机构加强监管,不影响其余大部分企业与商业机构。
网络安全(修正)法案(Cybersecurity(Amendment)Bill)星期二(5月7日)在国会由通讯及新闻部兼卫生部高级政务部长普杰立医生提出二读。
普杰立指出,技术不断发展,商业模式也随之改变。云计算即服务(Cloud computing as-a-Service)已广泛普及,如今新加坡约60%的企业在运营中都使用某种形式的云计算技术。
为确保我国在网安方面与时俱进,法案将“电脑”和“电脑系统”的涵盖范围扩大,包括“虚拟电脑”和“虚拟电脑系统”,以监管越发普及的虚拟系统和云服务设施。
除了自身系统,关键信息基础设施(Critical Information Infrastructure,简称CII)经营者不仅须为供应链中的第三方外包和离岸基础设施负责,部分或完全设立在海外的新加坡CII也将受到我国网络安全局监管。
关键信息基础设施包括必要服务,如能源、水供、医疗、银行、媒体等关键领域的基础设施。
不过,普杰立说,当局将不披露受监管的关键设施和系统的具体实例。“这么做不符合新加坡的国家安全利益,因为公开这些系统可能让它们面临更多风险。”
他提到,数码科技现已成为生活中不可或缺的一部分:超过90%本地居民现在上网交流;企业也大量应用科技,使用率从2018年的74%增至2022年的94%。
他说:“越来越多的人上网时间越来越长,上网目的也越来越多样。这意味着我们面临着更多的网络风险。”
新法案将新增受监管设施,它们是拥有敏感信息、关系到国家安全、国防、外交、经济、公共卫生、公共秩序等方面的网安特受关注机构 (Entities of Special Cybersecurity interest,简称ESCI),例如六所自主大学;以及与国人日常生活息息相关的数码基础设施(Foundational Digital Infrastructure),例如新电信和谷歌云。若遭遇网安事件,它们须向当局通报。
为应对威胁形势的演变,当局也将监管临时网安关注系统(Systems of Temporary Cybersecurity Concern,简称STCCs),包括冠病疫情期间支援追踪及分发疫苗的系统,以及2018年特金会、2010年青奥会等国际活动。
法案赋予网安局审查权力
普杰立指出,法案将赋予网安局审查权力,要求受监管机构提供记录、账目和文件;无正当理由拒不配合者构成刑事犯罪。由于监管范围扩大,当局可在检察官同意下,对肆意不履行通报义务的机构,向法院提起民事赔偿诉讼。
他也提到,法案仅针对上述四类机构,这是一个已知且有限的范围,并未对企业界强加网安合规义务,不会造成企业合规成本增加。
国会星期二已经三读通过这项修正法案。
通讯及新闻部长兼内政部第二部长杨莉明在法案通过后发文说,这是新加坡加强国家网络安全和网络韧性的一个重要里程碑。“这些修订不是被动措施,而是放眼未来,专为应对瞬息万变的网络安全环境而设计的。”
赞
