新加坡《网络安全法2018》法案正式通过（附解读）

2017年7月10日，新加坡通信部和网络安全局发布《网络安全法案2017》（草案），并就此征求公众意见。2017年11月，MCI和CSA将公众针对新网络安全法的反馈意见整理成报告发布，并对CII的认定以及CIIO的义务等具体问题做出了回应。2018年1月8日，新加坡议会对新《网络安全法》进行一读。2018年2月5日，法案最终通过。

与2017年7月10日发布的《网络安全法》征求意见稿相比，本次最终通过的版本在整体框架上并未改动。但部分内容有所调整，主要修订内容包括：

1）关键信息基础设施的认定

在2017年11月的报告中，为回应公众对于CII范围过于宽泛的的担忧，新加坡官方明确表示，关键信息基础设施计算机系统供应链上的，为其运行提供支持的计算机系统不会被认定为关键信息基础设施，意味着在上述情形下的数据中心以及云服务不会被认定为关键信息基础设施。

2）关键信息基础设施所有者的认定

终版对于关键信息基础设施所有者（CIIO）的认定更为狭隘。根据终版的规定，CIIO是指关键信息基础设施的法定所有者（legal owner）。之前的草案中则将其拓展至了对“关键信息基础设施具有实际控制力及对其持续运行负责”的主体。

3）网络安全审查和风险评估机制

终版对于网络安全审查和风险评估机制有所调整。根据草案的规定，关键信息基础设施的网络安全审查和风险评估频率一般为每3年至少一次。终版修改为，网络安全审查每2年至少一次，风险评估每年至少进行一次。

4）网络安全服务许可机制

与草案相比，终版明确了个人从事网络安全服务的不再需要许可证。进言之，仅在企业中从事网络安全服务的人员才需获得网络安全服务许可证。

5）网络威胁监测机制

根据草案的规定，CIIO应当建立的监测机制以监测“任何网络安全威胁”。终版则修改为，CIIO仅对“行业行为准则（code of practice）中列明的威胁”应当建立监测机制。

在《网络安全法》征求意见稿时期，新加坡国内就有观点认为该法案规定的网络安全许可机制、网络安全信息共享机制等增加了企业的负担。再者，该法案赋予了政府诸多新的权利，例如网络安全委员的信息获取权、网络安全委员对于关键信息基础设施的指定权等，如何保障政府能够合理行使这些权力而不侵犯公民和企业的合法利益也是新加坡民众的重要关注点。此外，草案对于关键信息基础设施，关键信息基础设施所有者等一系列的属于界定并不清晰，也是新加坡国内《网络安全法》草案存在争议焦点问题。

此次通过的最终版本中，新加坡立法者在一定程度上吸纳了公众意见。例如为减轻网络安全服务人员的负担，《网络安全法》明确了个人从事网络安全服务的不再需要许可证。在网络安全委员要求获取信息以确定设施是否属于关键信息基础设施时，企业或个人有权根据法律、合同以及职业行为准则等的要求，不予披露。而在此之前的草案中，合同约定以及职业行为准则并不属于免于履行信息披露义务依据。另外，CIIO建立网络安全监测机制的义务也仅限于针对特定的威胁，一定程度上减轻了CIIO的义务。这一系列的改变，体现了新加坡立法者试图在网络安全保护需求和行业发展需求之间谋求平衡。

虽然，最终通过的版本相较于之前的草案无论是在概念界定和义务设置上有所进步，但是新加坡仍有观点认为，《网络安全法》的诸多规定较为抽象，相关的配套规范尚未出台。CII的认定、CIIO的行为准则、CIIO的职责、需向网络安全委员报告的CII的“实质性变更”情形等仍有待进一步的明确。