7月10日，新加坡通信部（Ministry of Communications and Information）與網絡安全局（Cyber Security Agency，以下簡稱“CSA”）共同發布了《網絡安全法案2017》（草案）征求公眾意見，公眾咨詢時間為7月10日至8月3日。該草案是新加坡繼去年10月宣布的旨在加強全球合作伙伴關系的“網絡安全戰略”之后又一網絡安全舉措。CSA花了將近兩年的時間來制定該法案。

　　草案共分為六個部分，第一部分為序言，明確了法案的名稱、生效起始時間、適用范圍，對草案中的一些術語進行概念界定；第二部分為監管，主要規定了網絡安全官員的任命和職責；第三部分為關鍵信息基礎設施，主要規定了關鍵信息基礎設施的認定與撤回、關鍵信息基礎設施所有者的義務；第四部分為網絡安全事件的預防及響應；第五部分為網絡安全服務提供者；最后一部分為一般規定。此外,還附有基礎服務（essential service）及需許可的網絡安全服務（licensable cybersecurity service）兩個目錄。

　　公安部第三研究所網絡安全法律研究中心組織了對該法案的翻譯，現對該草案的出臺背景、主要內容和爭議焦點進行全面解讀。

　　法案出臺背景

　　隨著網絡的發展，在全球范圍內，如勒索、網絡盜竊、銀行詐騙、網絡間諜和破壞互聯網服務等網絡安全事件數量激增，新加坡也同樣受到此類事件的影響。面對日益嚴重的網絡安全威脅，新加坡亟需加強對網絡安全的保護，尤其是對關鍵信息基礎設施的保護。2015年4月，新加坡成立了新加坡網絡安全局（CSA），作為監督和協調國家網絡安全工作的中央機構。2016年10月，李顯龍總理啟動了新加坡網絡安全戰略（Cybersecurity Strategy），旨在為新加坡創造一個充滿活力和可信的網絡環境。根據該戰略規劃，新的網絡安全法案將在2017年出臺，本次草案的出臺正是落實該戰略規劃的重要舉措。

　　此前，新加坡已經頒布了一些網絡安全法律法規，例如2013年修訂的“計算機濫用和網絡安全法”（the Computer Misuse and Cybersecurity Act），但該法側重于規范網絡犯罪活動。也有一些關鍵信息基礎設施的監管機構（例如MAS and IMDA），出臺了相應的規范，但基于歷史、技術水平等諸多因素的差異，不同部門之間的規范有很大的差異性。隨著網絡威脅態勢的發展，新加坡需要一個綜合的、統一的法案來監督整個提供基本服務的網絡安全，《網絡安全法案2017》（草案）在此背景下應運而生。

　　法案主要內容

　　草案要求設立專門的網絡安全官員，并授予網絡安全官員管理和應對網絡安全威脅和事件的權利 ；明確了關鍵信息基礎設施的概念及認定程序，確立了11類關鍵信息基礎服務設施；建立網絡安全事件的響應和預防機制，賦予網絡安全官員對于網絡安全事件或風險調查和預防權利；建立了針對關鍵信息基礎設施所有者的監管框架，明確了關鍵信息基礎設施所有者的網絡安全風險評估義務、審查義務、網絡安全事件報告義務、重大事項變更告知義務等；確立了網絡安全信息共享機制，賦予網絡安全官員除法律禁止披露信息外的諸多信息的獲取權。引入網絡安全服務許可機制，規范網絡安全服務提供商。

　　1確立關鍵信息基礎設施的認定機制

　　1）CII的定義

　　“關鍵信息基礎設施”（critical information infrastructure，以下簡稱“CII”）是指為國家依賴的基礎服務（essential services）提供持續支撐所必要的，喪失或受損會削弱國家安全、國防、外交關系、經濟、公共健康、公共安全或者公共秩序的計算機或計算機系統。

　　CII可能由公共部門所有也可能為私人組織所有。該草案在附錄中明確了11類關鍵信息基礎服務設施，包括：能源；信息通信；水；醫療；銀行和金融；安保及應急服務；航空；陸運；海運；政府；媒體。

　　詳情參見目錄1。

　　2）CII的認定主體

　　CII的認定由網絡安全委員（Commissioner of Cybersecurity）負責。其他官員，例如網絡安全副委員（Deputy Commissioner）、網絡安全助理委員（Assistant Commissioner）、網絡安全專員（cybersecurity officers）均無權認定。

　　3）CII認定條件

　　CII認定的條件是網絡安全委員（Commissioner）認為：

　?。?）計算機或計算機系統符合CII的認定標準;

　?。?）該計算機或計算機系統全部或部分位于新加坡境內。

　　4）CII的認定程序

　　網絡安全委員認定CII后，應當通過書面通知的形式告知CII所有者。通知內容包括：

　?。?）確定被認定為CII的計算機或計算機系統；

　?。?）確定被認定為CII的計算機或計算機系統的所有者；

　?。?）通知被認定為CII的計算機或計算機系統的所有者，并告知其相關義務和責任；

　?。?）提供負責監管該CII的網絡安全助理委員的姓名及聯系方式；

　?。?）告知被認定為CII的所有者有權在收到通知后的14日內有權申述；

　?。?）告知被認定為CII的所有者可以向部長申訴，并告知反對該認定的渠道以及程序。

　　5）CII認定的有效期及撤回

　　CII認定的有效期為五年。在關鍵信息基礎設施認定有效期內，如果網絡安全委員認為該計算機或計算機系統不再符合關鍵信息基礎設施標準時，可以以書面形式隨時撤回認定。

　　2建立關鍵信息基礎設施所有者的監管機制

　　1）CIIO的認定

　　關鍵信息基礎設施所有者（the owner of critical information infrastructure ，以下簡稱“CIIO”）是指能有效控制或有權利、有能力改變關鍵基礎設施的人，或者負責確保關鍵基礎設施的持續運行的人。為政府或法定機構所有的關鍵信息基礎設施的所有者是指該政府機構的、負責批準與關鍵信息基礎設施有關的預算和支出的常務秘書或者法定機構的首席執行官。

　　2）CIIO的義務

　　針對網絡安全，草案建立了CIIO事前的網絡安全審查制度、風險評估制度、演習制度；事后的網絡安全事故報告制度。

　?。?）網絡安全合規性審查及網絡安全風險評估

　　草案規定 CIIO每3年至少進行1次網絡安全的合規性審查，審查人員由網絡安全長官任命。每3年至少進行1次網絡安全風險評估。并向網絡安全委員提交審查和評估報告。CII發生實質變更的，網絡安全委員可能會另外要求 CIIO進行合規性審查及網絡安全風險評估。

　?。?）重大網絡安全事故報告制度

　　在發生以下網絡安全事故時，CIIO應當向網絡安全委員報告：

　?。╝）CII出現重大網絡安全事故（significant cybersecurity incident）；

　?。╞）CIIO控制的、不屬于關鍵信息基礎設施，但與關鍵信息基礎設施互聯或者有交流的設施或系統發生重大網絡安全事故；

　?。╟）網絡安全長官書面確定的其他應當報告的網絡安全事故。

　?。?）國家網絡安全演習

　　為測試不同 CIIO在應對國家級重大網絡安全事件的戰備狀態及應急能力，網絡安全委員可進行國家網絡安全演習，CIIO必須參加上述演習。

　　3）CIIO的監管主體

　　草案要求設立專門的網絡安全官員負責對國家網絡安全的監督和維護。網絡安全官員包括網絡安全委員、副委員（Deputy Commissioner）、助理委員（Assistant Commissioner）等。此外，在必要的情況下，部長還可以書面任命臨時性或長期性的網絡安全官員（Cybersecurity Officer）。

　　4）CIIO的上訴機制

　　CIIO認為受到關鍵信息基礎設施認定、參加國家網絡安全演習的指示、行為守則或操作標準等侵害時，可以向部長上訴。

　　3建立網絡安全服務許可制

　　草案引進了網絡安全服務許可機制。針對調查性的網絡安全服務（investigative cybersecurity service）建立了雙重許可機制，即從事調查性網絡安全服務的人員應當獲得調查性網絡安全服務從業資格（investigative cybersecurity service practitioner’s licence）；從事為他人提供具備調查性網絡安全服務從業資格人員的活動也應當獲得相應的許可證。對于非調查性的網絡安全服務（non-investigative cybersecurity service），草案規定從事非調查性網絡安全服務的人員應當獲得非調查性網絡安全服務從業資格證。

　　調查性的網絡安全服務是指本質上具有調查性的服務，包括：避免其他計算機或計算機系統的遠程控制；要求執行該服務的人員獲得對計算機或計算機系統正在執行的服務的深度訪問權限，或對計算機或計算機系統的網絡安全防御進行測試；通過搜索漏洞或者損害計算機或計算機系統的安全防御，評估、測試計算機或計算機系統的網絡安全；通過對計算機或計算機系統進行徹底掃描和檢查來調查和應對網絡安全事故，以查明和根除網絡安全事故，并找出事故發生的根本原因，以及參與遠程控制的計算機或計算機系統；對計算機或計算機系統進行徹底檢查，以檢測任何可能已經滲透到計算機或計算機系統的網絡安全防御的，可能規避了傳統的網絡安全解決方案的檢測的網絡安全威脅。

　　非調查性的網絡安全服務是指不具有調查性的服務，包括：一個或多個網絡安全解決方案的設計、銷售、進口、出口、安裝、維護、修理或維修服務；監測計算機或計算機系統的網絡安全，或通過識別和掃描存儲在計算機或計算機系統上的信息來識別計算機或計算機系統的網絡安全威脅；通過有效的管理、操作和技術控制維持對計算機或計算機系統的網絡安全的控制，以防止未經授權的訪問對計算機或計算機系統的網絡安全產生不利影響；提供有關網絡安全解決方案的建議；評估或監測是否遵守網絡安全政策；為加強網絡安全提供建議；提供與任何網絡安全服務有關的培訓或指導等。

　　關于需許可的網絡安全服務參見目錄2。

　　4建立網絡安全信息共享框架

　　草案除了規定CIIO網絡安全事故報告義務、風險評估及審查結果報告義務，CIIO重要事項變更的告知義務外，還賦予了CSA官員一系列的信息獲取權，以共享網絡安全信息。

　　草案規定當網絡安全委員有理由懷疑該計算機或計算機系統屬于關鍵信息基礎設施時，網絡安全委員有權利要求該計算機或計算機系統的運行者提供與計算機或計算機系統有關的信息，包括具體功能、服務對象、技術信息及其他網絡安全委員要求提供的信息，法律禁止披露的信息除外。

　　其中，技術信息（Technical information）是指：

　　1）與CII有關的設計、配置、安全信息；

　　2）與CII互相連接或者交流的計算機或者計算機系統有關的設計、配置、安全信息；

　　3）CII、與CII互相連接或者交流的計算機或者計算機系統的運行信息；

　　4）為認定CII所需的，網絡安全委員要求提供的其他信息。

　　5建立網絡安全事件的響應和預防機制

　　為判定網絡安全威脅或網絡安全事件的影響，預防進一步的損害。草案根據網絡安全事件或風險的嚴重性程度，賦予了網絡安全官員不同程度的調查和預防權利。

　　針對一般性的網絡安全事件或風險，網絡安全官員有權：

　　1）要求相關在合理的時間，在調查官指定的地點回答與網絡安全威脅或事件有關的問題或提供相關書面聲明。

　　2）要求相關人員出示其擁有的、相關的實物或電子記錄、文件或副本，或提供調查人員認為與調查有關的信息。調查人員可以免費檢查、復制或提取這些信息。

　　3）對可能知曉與網絡安全事件或威脅有關事實和情況的人進行口頭審查，并做成書面聲明。

　　針對重大網絡安全事件和風險，網絡安全官員有權：

　　1）指示相關人員采取補救措施，或停止特定的與計算機或計算機系統相關的活動，如果調查人員有合理理由懷疑該計算機或計算機系統已經受到或正在受到網絡安全事件影響，以盡量減少網絡安全漏洞。

　　2）要求計算機或計算機系統的所有者采取措施協助調查，包括但不限于：不使用計算機以保持計算機或計算機系統的狀態；對計算機或計算機系統進行一段時間的監測；對計算機或計算機系統進行掃描以檢測網絡安全漏洞；允許調查人員在計算機或計算機系統上安裝任何軟件程序，或將任何設備連接到計算機或計算機系統，以便進行調查。

　　3）訪問、監測和檢查計算機的運行情況，如果調查人員有合理的理由懷疑或受到網絡安全事件的影響；或使用該計算機來搜索計算機中所載的或可用的相關數據。

　　4）復制或摘錄計算機中的相關電子記錄，如果調查人員有合理的理由懷疑該計算機或計算機系統或受到網絡安全事件的影響；

　　5）經所有人同意，為進行進一步的檢查或分析，占有相關計算機或其他設備。

　　其中，所謂重大網絡安全事件或風險是指：

　　1）給關鍵信息基礎設施帶來了重大損害的實際風險；

　　2）給基礎服務帶來了實際的中斷風險；

　　3）給新加坡的國家安全、國防、外交、經濟、公共衛生、公共安全或公共秩序帶來了實際威脅；

　　4）就網絡安全風險可能造成的損害的嚴重程度，處于風險中的計算機的數量或處于風險中的信息的價值而言，網絡安全風險本質上是非常危險的，無論該計算機或者計算機系統是否屬于關鍵信息基礎設施。

　　爭議焦點

　　新加坡國內認為，作為新加坡首個全面規范網絡安全的法案，本次網絡安全法草案在解決許多問題方面邁出了重大一步，但仍然存在諸多問題：

　　首先，關于關鍵信息基礎設施的認定和撤回問題。草案賦予了網絡安全委員決定權。只要其認為該計算機或計算機系統符合關鍵信息基礎設施的標準即可認定為關鍵信息基礎設施，只要其認為不再符合認定標準也可以隨時撤銷該認定。將關鍵信息基礎設施的認定和撤回權責置于在一個人（或其辦公室）之下既不可持續也難以保障該決策的公正性和科學性。

　　其次，關于網絡安全許可制度。網絡安全的許可制度將會影響到整個專業人員的生態系統，包括后端運營人員、漏洞評估員以及鑒定分析師。許可機制可能會為白帽黑客帶來福音，他們無需再冒著游離于法律紅線邊緣的風險去尋找和匯報漏洞。對于企業而言，也能夠雇用更可靠的人才去修補軟件。但也有觀點指出，許可可能會造成虛假的安全感，減損對于網絡安全服務提供者進行監督的積極性。此外，也可能會導致一些擁有更好的網絡安全能力的小公司，因負擔不起該合規成本在與大公司的競爭中處于劣勢地位。

　　最后，關于網絡安全官員的權限問題。草案設立了專門的網絡安全官員，并賦予了網絡安全官員一系列的權利，該做法符合目前國際上的通行做法。但是在網絡安全事件調查中如何保護企業的商業秘密，防止政府權力濫用是需要進一步解決的問題。

　　目錄一 基礎服務

　　目錄二 需許可的網絡安全服務

　　(licensable cybersecurity service )

　　第一部分

　　需許可的調查性網絡安全服務(licensable investigative cybersecurity services)

　　基于本法案的目標，下列調查性的網絡安全服務屬于需許可的調查性網絡安全服務：

　?。╝）滲透測試服務（penetration testing service）。

　　第二部分

　　需許可的非調查性網絡安全服務（non-investigative cybersecurity services）

　　基于本法案的目標，下列非調查性的網絡安全服務屬于需許可的非調查性網絡安全服務：

　?。╝）安全管理運營中心監測服務（managed security operations centre monitoring service）

　　第三部分

　　解釋

　　在此目錄中，安全管理運營中心監測服務是指為預防、檢測、應對網絡安全風險或者計算機或計算機系統出現的網絡安全事故，包括未經授權的訪問，篡改或復制計算機（或計算機系統）里存儲的信息而為計算機或者計算機系統提供的監測、評估、防御服務。

　　滲透測試服務是指對通過搜索計算機或計算機系統中的漏洞或者危機計算機或計算機系統安全防御體系的風險,對計算機或計算機系統的網絡安全以及計算機或計算機系統中存儲的信息的完整性進行評估（assessing）、檢測（testing）、評價（evaluating）的服務，包括以下任一行為：

　　(a)判定計算機或計算機系統中的網絡安全弱點，并演示這樣的弱點可能被如何利用以及如何有效利用；

　　(b)通過對計算機或計算機系統的（網絡安全防御體系）進行模擬攻擊，以判定該系統對于網絡安全事故的識別和應對能力；

　　(c)識別或量化計算機或計算機系統的網絡安全漏洞，指出弱點并提供消除該弱點或將該弱點降低到可接受的風險水平所需的適當的緩解程序。

　　(d)利用社會工程學來評估該系統應對網絡安全威脅的脆弱性程度。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇