摘 要:新加坡的网络安全风险在新冠肺炎疫情期间呈扩大化和复杂化趋势,开展有效的网络安全治理对维持新加坡全球金融中心地位和东盟数字技术领先地位具有重要意义。通过对新加坡政府及相关行为主体的网络安全治理实践的类型化分析,探究疫情时期新加坡网络安全治理的新特征与新趋势。研究发现,新加坡构筑了法律政策更新为先,网络技术创新为要,关键设施重点防范的新治理格局。这一格局塑造了后疫情时期新加坡网络安全的治理方向,具体表现在:注重疫情应对的法治性,强调技术与公民权利保障相结合;保持人才培养的紧迫性,加强网络安全人才建设;寻求合作的前瞻性,强化国际合作机制。
得益于高度发达的经济贸易网络和长期推进的“智慧国家”建设,新加坡的信息化程度在全球处于前列,与此同时,也承受着巨大的网络安全风险。为了深化网络空间治理,新加坡于 2016 年 10 月发布了《新加坡网络安全战略》(Singapore’s Cyber-Security Strategy),形成了完善的政策体系和管理机制。2020 年,新冠肺炎疫情的暴发给全球网络安全治理带来了新挑战。面对新情况,新加坡如何进一步加强网络安全建设以应对网络安全威胁、保障国家和人民安全,对于把握国际网络安全治理动态具有重要意义。本文基于对新加坡网络安全新形势的考察,分析新加坡网络治理的应对措施和后疫情时期网络安全治理的发展趋势,以期在学理上丰富网络安全治理的案例,在实践中对完善我国网络安全保障体系提供启示。
01
新冠肺炎疫情给新加坡网络安全治理带来的新挑战
2020 年 1 月 23 日,新加坡确诊第一例新冠肺炎疫情(COVID-19)病例,同年 2 月 4 日,确诊首例本地传播病例。随着客工宿舍出现大规模感染,在同年 4 月 7 日,新加坡政府采取严格的“阻断”措施。截至 2021 年 7 月 11 日,新加坡累计确诊 62 684 例,治愈 62 397 例,死亡 36 例 。新冠肺炎疫情给新加坡的生产生活带来严重威胁的同时,网络安全隐患和威胁也与日俱增,这对新加坡的网络安全治理提出更高要求。
1.1 远程办公使得信息安全意识相对薄弱
第一,民众的网络安全意识有所减弱。新冠肺炎疫情危机导致封锁措施强化,迫使大量人员不得不转向远程办公,而工作的紧急性使得人们往往无暇顾及网络信息的安全性。正如新加坡网络安全局(Cyber Security Agency,CSA)首席执行官许智贤(David Koh)所言,“人们可能为了完成工作而更愿意承担不可预知的安全风险,如与同事在不加密的视频电话会议上讨论紧急的机密工作”。居家办公的常态化以及引入远程办公平台超出了企业的安全策略范围,增加了遭受攻击的概率。
第二,民众的网络安全能力有所下降。在新冠肺炎疫情防控期间,89%的远程工作者表示,他们认真接受了 IT 团队的技术指导,其中,71%的人意识到在公司设备上使用非工作应用程序会带来安全风险,但是这种认识并没有转变为实际的安全为。52%的人在公司网络设备上下载或使用非工作应用程序,39%的人经常使用非工作设备访问公司数据,16%的人会点击来路不明的网络链接。这便给网络犯罪者提供了可乘之机,通过仿冒常用网站(如DocuSign、Adobe 等)实施针对访问凭证的攻击,包括以“未清发票”伪造邮件为诱饵实施的商业电子邮件入侵。
1.2 数据滥用和网络攻击更为严重
面对疫情,收集个人相关信息是高效阻断疫情传播的必要手段,新加坡开发了联系人追踪应用程序 Trace Together,希望利用大数据提升疫情防控效率。但是,该程序上架不久,网络上出现了一款名为“COVID-19 Tracker”的安卓应用,伪装成实时新冠病毒追踪程序,窃取用户隐私信息,滥用用户权限,更改手机锁屏密码,并安装 CovidLock 勒索软件,以换取 100比特币赎金。
多技术应用环境不仅埋下了信息泄露的风险隐患,而且为攻击者提供了机会。阿里巴巴、微软、谷歌和亚马逊 4 家云服务供应商以及易昆尼克斯(Equinix)、数字房地产信托公司(Digital Realty)等数据运营商为新加坡提供了广泛的网络业务,“攻击者容易在这些网络供应商之间寻找攻击机会,并总能在执法者发现之前逃之夭夭”。2020 年 6 月 27 日,总部位于新加坡的加密货币交易所 Bitrue 被黑客入侵,最终导致用户资产损失 420 万美元;同年 10 月,阿里巴巴旗下电商平台、新加坡电子商务公司来赞达(Lazada)的网上超市约 110 万账号信息被窃取,顾客资料(如信用卡号码、家庭住址、会员账号密码等)在网上公开兜售。同一时期,一个黑客组织入侵了 5 万多个家用摄像头,大量视频影像被盗,并在网上出售,只要支付 150美元即可“终身访问”这些视频。除此之外,网络攻击者还利用民众恐慌情绪获得非法收益,以医疗保健机构的患者数据换取赎金,入侵生物技术公司获得病毒或疫苗数据等。
1.3 传统网络犯罪愈加活跃
电子商务网络诈骗案是新加坡最常见、受害 者 最 多 的 骗 局。2019 年, 受 害 者 的 损 失 高达 230 万新元,高于 2018 年的 190 万新元。2020 年上半年,在新加坡的中国公民遭遇多起电信和网络诈骗,累计受骗金额近百万元,受害人以留学生、务工人员居多 。同年 8 月,新加坡和香港联手捣毁了一个以新加坡为大本营的跨国网络爱情诈骗集团,该集团犯案 121 宗,涉及款项约 400 万新元,其中,300 万新元来自中国大陆受害者。新加坡警方进而展开为期 3周的全国执法行动,重点打击网络犯罪。行动中,警方共破获 786 起案件,受害者损失累计超过540 万新元,超过 420 名涉案人员接受调查。
如今,网络钓鱼问题日趋严重,网络犯罪者冒充重要机构,如世界卫生组织、联合国、美国疾病控制和预防中心、新加坡移民局、新加坡人力部等机构的官方电子邮件,向受害者发送疫情防范文件链接,受害者点击后,则会自动跳转至试图获取证书的恶意域名或捐赠网站。在新加坡实施阻断措施的第一个月,警方共接到 151 起网络钓鱼案件的举报,较之前 3 个月平均每月接到举报的案件(20 起)有显著增长。疫情防控期间,有组织的网络钓鱼活动也逐渐增多。2020 年 6 月 21 日,黑客组织“拉撒路”(Lazarus)对新加坡、日本、印度、英国、韩国和美国展开了以新冠肺炎疫情为主题的大规模网络钓鱼活动,攻击了新加坡 8 000 多个商业实体和个人。有组织的网络黑客攻击面更加广泛,这使新加坡的网络安全受到极大考验。
02
新加坡网络安全治理的新特征
2.1 更新法律政策框架,着力创造更加安全的网络空间
2.1.1 更新数据泄露准则和问责制度
2012 年,新加坡推出《个人数据保护法》(Personal Data Protection Act,PDPA),其中尚未对数据泄露和问责细节进行详细规定。新加坡政府于 2018 年和 2019 年颁布了《关于国民身份证及其他类别国民身份号码的(个人数据保护法令)咨询指南》和“重要案例”,并对相关细节进行了补充。新冠肺炎疫情的暴发使得新加坡政府和民众对数据隐私的关注更为强烈,凸显了该法案进一步修订的紧迫性和必要性。
2020 年 5 月 14 日,新加坡推出《个人数据保护法(修订)》草案的公开征求意见稿,要求新加坡企业必须在 30 天之内对可疑网络入侵和数据安全漏洞进行调查,并在完成评估后的72 小时内通知当局。为实施 PDPA,新加坡专门设立了“个人数据保护委员会”(Personal Data Protection Commission,PDPC)。PDPC 宣称,如果网络违规行为影响到 500 人以上,或者可能会对个人造成“重大伤害或影响”,企业有通知政府的义务;数据运营机构在发现可疑网络事件后 24 小时内,须向上级机构报告潜在的数据泄露;新加坡的公私部门应按照修正案的要求进行程序调整,以应对更加复杂的网络风险。为使征求意见稿顺利通过,PDPC 更新了自身职能,包括运用“快速决策程序”更主动地参与到网络数据泄露的监管行为中。该程序能够通过比较之前发生的重要案例,更清晰地界定数据泄露方的责任,以最有效率的方式完成对“明确数据泄露”案件的审查。
为 了 方 便 商 业 交 易, 新 加 坡 在 开 放 公 民数据的同时,更加注重消费者数据流动的安全 性。PDPC 建 议 将“ 数 据 可 移 植 性”(Data Portability)纳入征求意见稿,理由是“数据可移植性”能够使消费者对自己的数据拥有更大的控制权,允许数据在不同机构间流动,进而更好地支持行业内部和行业之间的数据共享,为消费者提供个性化的产品和服务。即将落地的修正案对“数据可移植性”的相关规定与澳大利亚、印度、日本和欧盟等的做法一致,对于提升新加坡全球数据中心地位具有积极意义。
2.1.2 严格执行《在线虚假信息与操纵规避法》
自新型病毒发酵以来,比病毒传播更快的便是各类谣言,似是而非的言论误导了人们的判断,制造了人为恐慌。基于此,新加坡政府运用《在线虚假信息与操纵规避法》(Protection from Online Falsehoods and Manipulation Act,POFMA)查处了多起谣言传播案件,有效打击了网络谣言,对维持社会秩序稳定做出了贡献。POFMA 规 定 在 新 加 坡 资 讯 通 信 媒 体 发展 局(Infocomm Media Development Authority,IMDA)专设办事处,为相关领域的部长提供技术咨询,确保不同政府部门应对在线虚假信息和操纵时保持行动一致。
第一,该法案确立了网络谣言的治理标准。法案认为在不影响公民表达的前提下,以修复谣言负面的影响为目的,封停传播虚假信息的账号。POFMA 不要求彻底“删除”虚假内容,而是在网站“虚假内容”旁边发布“真实内容”链接,这些链接可以将读者引导至政府或合法的第三方机构网站,只有在非常严重的情况下才会要求“立即删除”。
第二,明确了权责边界。该法案认为“网民是网络治理第一责任人”,对网民传谣造谣行为提出了具体的责任要求:“个人如不遵守网络账户限制指示,可处最高 2 万新元罚款和 /或最高 12 个月监禁;个人通过虚假账户故意在网上传播虚假信息,将面临最高 10 万新元的罚款和 / 或最高 10 年的监禁;制造或修改网络机器人以传播虚假信息的个人将面临最高 3 万新元的罚款和 / 或最高 3 年的监禁等”。POFAM标明了惩罚的界限,“刑事制裁只适用于故意发表或分享损害公众利益的谎言的人,也就是说,如果你没有意识到你在说谎,你将不承担刑事责任”。2020 年 1 月 26 日,新加坡热门网站 HardwareZone 出现了一则标题为“新加坡报告首例新冠病毒死亡”的帖子——网友“Potato_salad”称“一名 66 岁的男子因患严重肺炎死亡”,瞬间引发集体恐慌。1 月 27 日,防止网络资讯错误和操纵办公室(POFMA Office)宣布新加坡卫生部部长已经向 HardwareZone 网站的上级媒体 SPH 发布了一个总体纠正指示,并在Facebook 和 HardwareZone 等平台提供了准确信息的来源链接 。1 月 28 日,Facebook 发布消息称,因受新冠病毒的影响,伍德兰兹捷运站(Woodlands MRT Station)已关闭消毒,该办公室当天向 Facebook 发布了针对性的整改指示。
第三,注重法治程序。POFMA 法案细化了行政指令签发、司法授权审批、指令执行、更正、补充、撤销等规范,确保依法行政,优化企业和个人的申诉救济渠道,保证法治原则的贯彻落实。在线虚假信息和操纵行为一经认定,部长或部长指示的主管即会发布指令,命令互联网接入服务提供商采取合理措施,阻止新加坡终端用户访问服务和在线位置。
第四,重视公民媒介素养教育。为了提升全社会的谣言辨别能力,POFMA 优先使用“谣言打标”和“真伪对照”,最大限度消除谣言的负面效应的治理方式。此外,POFMA 还规定了政府部门治理谣言的指示要求、处置措施和依据,并要求及时在政府官网公示,确保执法的透明性。疫情防控期间,新加坡政府在官网开设了专题页面“事实”,专设与 POFMA 有关的纠错案例指南 。截至 2020 年 11 月 25 日,新加坡政府已经对 86 起涉及虚假陈述的案例发布了辟谣指令,收到指令的媒体必须在虚假内容上附上政府的“更正通知”。
POFMA 界定了公民表达权和政府管制权的边界,建立了民众对政府信任,有利于打击网络谣言,打造了政府部长、网络管理部门、网民、网络平台等协同参与的辟谣体系以及“部长—IMDA—互联网中介服务”的执法路径,提高了新加坡网络安全治理的反应能力。
2.1.3 利用国际网络周推出安全网络新规划
国际网络周是新加坡为开展网络治理而搭建的重要国际合作平台,新加坡政商学界借此平台与国际及区域合作伙伴就新兴的网络治理话题开展充分交流。2020 年 10 月,新加坡以“后疫情时代的未来合作”(Co-operation in a Post COVID Future)为主题举办了第五届国际网络周,并发布了《2020 年新加坡安全网络空间总蓝 图 》(Singapore’s Safer Cyberspace Masterplan 2020)。规划包括 3 个战略重点:保护核心数字基础架构、维护网络空间活动、增强民众对网络安全实践方面的应用能力。新加坡政府意识到,新冠肺炎疫情的出现愈加凸显了数字科技在经济与社会活动中的价值,但同时,数字科技带来的危险也与日俱增,包括科技应用的道德问题、用户的数字安全性以及日益加大的数字鸿沟等。新加坡通信及新闻部部长兼主管贸易关系部部长易华仁(S.Iswaran)在国际网络周的致辞中表示,“新加坡之前的网络安全措 施 聚 焦 在 信 息 与 通 信 技 术(Information and Communication Technology,ICT)领域,但其实操作技术(Operational Techniques,OT)系统同样值得关注,其中,电力、水源和交通领域的OT 系统对提供关键服务和支持经济发展尤为重要,因此新加坡在新的规划中将 OT 安全提升至国家与地区高度”。在新的蓝图中,新加坡将组建一个全新的、拥有国际专家的 OT 网络安全专家小组,围绕提高 OT 系统灵活性提出建议,帮助应对 OT 领域迅速发展所带来的安全挑战。新规划擘画了政府在新加坡创建更加安全的网络空间蓝图,有助于提升个人、社区、企业和社会组织的网络安全总体水平,彰显了新加坡在网络安全领域的治理能力。
2.2 提升数字科技水平,重点防范关键领域的信息设施
2.2.1 科技创新营造网络安全空间
新加坡政府认为应将科技纳入政府工作和公共服务的核心位置,在 2020 年 11 月举办的第 3 届新加坡科技论坛(Singapore Tech Forum)上,新加坡总理李显龙表示,“科技运用不该止于新冠肺炎疫情,所有公共部门领袖应更加重视科技,政府也须栽培更多精通科技和政策制定的公务员 。”随着新加坡数字化转型的基本完成,国家发展由要素驱动转变为创新驱动,数字技术在疫情中的应用,以及数字安全系统在疫情防控中的统一部署,受到格外重视。
为 了 提 前 预 测 疫 情, 新 加 坡 借 鉴 美 国 全景扫描系统的思路建立了“风险评估与扫描系统 ”(Risk Assessment and Horizon Scanning,RAHS),帮助本国在新冠病毒抵岸前 2 个月捕捉疫情暴发的迹象 。疫情出现后,一方面,新加坡卫生部每日在网站上公布新增病例及患者的性别、年龄、背景、旅行史、居住和工作地点等详细信息,便于排查近距离接触者;另一方面,政府部门利用各种渠道与公民开展良性互动,树立政府在疫情治理中的公信力。疫情暴发初期,新加坡政府通过社交软件 WhatsApp每天通过 4 种语言为居民推送最新信息,发布政府措施,提供防疫建议,对不实信息及时辟谣 。
针对网络攻击手段的升级化现象,新加坡政府采用量子信息、加密系统架构等最新通信技术以降低网络安全风险。CSA 和 IMDA 合作发布《物联网网络安全指南》,并启动适用于家庭路由器和智能家居集成系统的网络安全标签计 划(Cybersecurity Labelling Scheme,CLS)。该计划一方面帮助消费者选购更为安全的网络商品,提高消费者的产品安全意识;另一方面根据网络安全规定对智能产品进行评级,鼓励制造商设计出网络安全性能优化的产品。“网络安全标签计划”基于自愿原则,包含 4 个由不同星号数量代表的评估层级,每增加一个层级需要通过多一层的网络安全测试和评估。第一层级(1 星)是指产品符合基本的安全要求,比如确保默认密码的唯一性、可提供软件更新等;第二层级(2 星)是指遵循软件和硬件的安全设计原则;第三层级(3 星)是指不存在常见的软件安全漏洞;第四层级(4 星)是指产品须由获得批准的第三方测试实验室进行基础渗透测试。新加坡政府依靠不断升级的网络安全技术,提高了整体网络防御能力。新加坡网络安全局还希望说服东盟成员国认同 CLS,共同设立互认协议,提高东盟区域整体的网络安全能力。
2021 年 3 月,为了避免出示纸质检测报告的麻烦,新加坡政府开发了一套加密区块链技术的文件认证系统 Health Cert,作为检测结果呈阴性的证明 。Health Cert 与本地和全球标准兼容,旨在加快恢复跨境旅游进程,凡在新加坡境内接受新冠病毒测试的旅客,将接收到 Health Cert 颁发的健康证书,从而取代纸质文件。检测结果会被上传到政府网站并由卫生部门确认,可在机场入境检查站出示和扫描证书,兼具安全性和隐私性。
2.2.2 强化弹性的关键信息基础设施
关键领域的信息基础设施是国家的重要资产,一旦丧失功能或数据泄露,不仅会导致个人财产的损失,还会严重影响经济社会的平稳运行。由于处于全球和区域的重要经济和物流中心地位,新加坡将金融、海事、民航等领域列为关键网络基础设施。随着新冠肺炎疫情的不断蔓延,以海运、空运为代表的与外部社会的联系渠道逐渐收窄,教育、金融和民生领域的网络安全问题成为关注焦点。
优质教育是新加坡维持竞争力的必要条件,教育的可持续性和可获得性是关系新加坡生存和发展的重大议题。疫情防控期间,新加坡大中小学的数字设备占比高达 97%,远高于经合组织国家 68% 的均值。新加坡 90% 的学校拥有网络宽带和学习软件,具备全覆盖和高质量的在线教育条件。新加坡教师专业性强,师资队伍发展均衡,薄弱学校和优势学校的教师在运用数字设备技能上没有显著差异,有充足时间运用数字设备进行教学,从而实现了在疫情防控期间为每一名学生提供高质量的在线教学。
随着金融领域对信息网络依赖性的逐渐增强,网络罪犯针对金融基础设施的攻击力度也逐渐增强。2018 年,新加坡政府将金融信息基础设施界定为“关键部门”(Critical Information Infrastructures,CII),并对其采取重点安全防护措施。为防止疫情给新加坡金融系统带来不可预知的风险,新加坡金融管理局(Monetary Authority of Singapore,MAS)敦促金融机构实施“有效多层防御框架”(Effective Multi-Layered Defense Framework),防止网络的饱和式攻击给IT 供应链带来风险。金融管理局网络安全咨询小组建议该框架应包括源代码审查、系统完整性检查和网络异常检测,确保本地金融机构保持强大的网络韧性。通过培养金融科技人才、强化金融网络风险意识、增强金融机构网络风险预测能力,新加坡大多数金融机构在疫情期间对网络威胁状况具有“良好的态势感知 ”。
金融管理局直接参与金融企业的网络威胁应对行动,为小规模金融企业设立“数字加速拨 款 项 目”(Digital Acceleration Grants), 帮助其采用数字化技术,增强运营韧性、流程效率和风险管理。金融管理局还与新加坡金融科技协会合作建立《数字能力自我评估框架》,帮助金融科技公司评估数字化软件的质量 。
为应对新冠肺炎疫情带来的挑战,推动亚洲范围 内 的 金 融 韧 性 建 设,2020 年 6 月, 金 融 管理局发起了“MAS 全球金融科技创新挑战赛”(MAS Global FinTech Innovation Challenge),设立了金融管理局“金融科技奖”(MAS FinTech Awards)和“全球金融科技黑客加速器项目”(MASGlobal FinTech Hackcelerator),旨在通过网罗金融科技人才的方式构建安全可信的金融网络空间。
因疫情而兴起的“无接触经济”(在线商店购物和送餐服务、在线社区生活平台等)关系着普通民众的日常生活与生产。金融管理局呼吁个人和企业尽可能使用数字金融服务和电子支付(如 Pay Now、Pay Now Corporate 和新加坡付款码 SGQR),最大限度地确保安全社交距离,避免新冠肺炎的大规模传播。众多商家自动暂停现金或硬币交易,要求顾客以电子扫码方式付款。在疫情阻断措施实施期间,新加坡的网络零售业占社会消费品零售的比重大幅增长,从 2021 年 3 月的 8.5% 攀升至 5 月的 24.5%;民众网购电脑等家庭办公设备的比率从 41.2% 增至90%;实体超市产品的网络销售率从 3 月的 7.5%上涨到 6 月的 10.7%。据 Lazada 的数据显示,新加坡民众线上购买的主食相当于之前的 4~10倍,纸制用品相当于之前的 3.5~5 倍,个人护理和家庭清洁用品相当于之前的 2~6 倍。可以说,新加坡在重视 CII 部门作用的同时,更加关注民生领域的网络安全技术和服务,注重加快形成网络安全治理的长效机制。
03
新加坡网络安全治理的发展趋势
3.1 突出疫情应对的法治性和公民权利的保障
疫情之下,部分国家在技术应用和公民权利保护之间出现失衡状况,新加坡吸取经验教训,制定了完备的数据保护制度,既维护政府合法使用网络数据的权力,又保护民众的合法权益不受政府权力侵害。例如,在疫情防控期间,为了给民众提供真实、有效和完整的网络身份认证服务,新加坡政府开发了一款名为 Safe Entry的身份登记系统,其数据仅存储于政府服务器上,当 PDPC 及其他机构需要通过 Safe Entry 进行数据收集时,必须遵守 PDPA 数据保护规定,即合理管理数据以保护其拥有的个人数据不会受到未经授权的访问或泄露;确保未经法律的同意或授权,不得将个人数据用于其他目的;当不再需要数据时,组织应及时删除数据 。为了更好地保障民众的身份属性信息,PDPC 和政府数据办公室联合发布了“负责任使用生物识别技术指南”(Guides on the Responsible Useof Biometric Technology)。政府划定了 3 条指导原则以保护公民数据:(1)仅当有使公众受益的特定目的时,政府才与非政府机构(Non Government Entities,NGEs)共享数据;(2)仅共享未标识的数据,且政府在与 NGEs 的合同中声明访问控制和保障措施;(3)营造可信赖的网络身份体系。
新加坡政府在政策出台前后都会进行听证咨询活动,即使政策出台之后也会及时作出调整。在严格防疫的要求上,新加坡秉持一贯的法治作风,要求人与人之间至少保持 1 米的社交距离;政府在公共场所派出监督人员,并张贴提醒标识或图片,帮助民众养成保持 1 米社交距离的习惯。对于违反规定的商家,政府将对其进行罚款或勒令停业整顿,违反规定的个人也将被罚款,外国人甚至会被剥夺工作准证。新加坡政府部门开发手机 App 强化接触者追踪,派出机器狗到公园巡逻,通过语音提醒民众严守社交距离。
新 加 坡 政 府 开 发“ 合 力 追 踪 ”(Trace Together)应用程序和数据采集安全系统“Safe Entry”来规范各防控环节的涉疫数据采集、共享流程,以保持程序的操作性、安全性和可控性。“合力追踪”推出的当天便有超过 50 万人次下载,新加坡成为最早将蓝牙技术用于病毒追踪的国家之一。从该应用中采集的个人数据来看,新加坡对通信设备中的个人数据收集遵循“最小必要原则”,即不收集或使用任何类型的位置数据,不访问用户的通讯录,不存储联系发生地点的信息。数据不上传到政府,只将其存储至本地用户的手机,且进行加密。此外,如果确认某人感染了新冠病毒,政府将要求其本人上传数据,方便追踪其近亲;如果用户未与新冠患者密切联系,其数据只会保存21 天。新加坡还提供该程序的源代码,使其他国家或地区可以在本地建设类似的安全系统,为未来进行跨区域联通提供了可能性。该程序的技术设计及其应用实践体现了新加坡在公民权利和政府权力之间的平衡。随着经济活动的逐步恢复和边境措施的日渐松绑,强化接触者追踪尤为重要,新加坡政府又研发了可携带的追踪记录器,并发配给全国居民。对未在指定设施隔离的入境者也配以“追踪电子表”,有利于政府高效落实监控隔离措施。隔离者在隔离期间须下载 FWMOMCare App,每天上报 3 次体温数据。新加坡民众起初会担心科技措施涉及隐私的问题,但是新加坡政府用防疫的实际效果向民众展示了科技与民众生活的高度契合,促使民众更加愿意配合政府的防疫政策。
3.2 注重网络安全人才培养
新加坡对数字经济方面人才的需求更为紧迫,尤其是网络安全、用户界面、用户体验以及财务合规方面的人才皆为高需求人士。为应对日益复杂化的网络威胁,2020 年 3 月,新加坡网络安全局推出“网络专才计划”(SG Cyber Talent),力争在未来 2~3 年内建立一支两万余人的网络安全专才队伍,该计划新设“新加坡网络奥林匹克选手”(SG Cyber Olympians)和“新加坡网络领袖”(SG Cyber Leaders)两个项目,前者面向大学生等年轻人才,为他们提供网络安全竞赛、导师辅导和定制培训,后者为企业的网络安全领袖提供技术分享和交流机会,促使网络安全领导者参与到全球最佳实践中。2020 年,新加坡网络安全局成立了运营技术网络安全专家小组(Operational Technology Cybersecurity Expert Panel,OTCEP),由 11 名本地和国际运营技术网络安全专家组成,协助网罗全球科技专业人才,提升新加坡 OT 及工业控制系统(Industrial Control Systems,ICS)应对网络威胁的能力。2021 年,新加坡政府推出“科技准证”计划(Tech.Pass),这一计划适用于多达 500 名的“科技企业家、领导者和技术人才”。与工作签证不同的是,“科技准证”针对的是个人,而不是特定公司,意味着签证持有者可以独立工作或自由更换雇主。
新加坡政府注重与行业协会和私营部门在人才培养上的合作。根据“职业指南倡议”(Career Compass Initiative),新加坡计算机学会与劳动力协会达成合作,由经验丰富的信息和通信技术专家为普通职员提供网络安全指导。新加坡科技行业协会与著名软件商 Salesforce 开展“专业转换项目”,培训员工从事数据保护官(Data Protection Officer,DPO)和网络安全专员等工作;PDPC 与全国职工总会合作推出网络安全课程,计划于 2021 年培训 500 名数据保护官。各类计划与 CSA 的“网络安全专业计划”和“网络安全能力框架”共同为新加坡网络安全治理补给人才。由新加坡网络安全局和新加坡信息安全专业人员协会开发的“学生志愿者表 彰 计 划 ”(Student Volunteerand Recognition Programme,SVRP)得到了新加坡网络青年组织(Cyber Youth Singapore)以及 Ensign InfoSecurity和 GovTech 等组织的积极配合,旨在提升青年的网络维护技能。2020 年,SVRP 的近 100 名学生志愿者为网络安全社区贡献了 9 000 多个小时的志愿工作,推动更多年轻人融入网络安全生态系统,这是新加坡在数字时代发挥重要作用的积极手段。
在学校教育方面,为了让本地的教育工作者能够更好地了解网络安全和职业前景,充分发挥教师对学生的引导作用,2020 年 11 月,新加坡网络安全局主办了新加坡网络安全教育研讨会(Singapore Cybersecurity Education Symposium,SCES),以“激活、赋能、参与(Excite,Empower,Engage,3E)”模式培训教师 ,要求教师重点培养学生的网络安全意识,激发学生对网络安全职业的兴趣,为培养下一代网络安全人才奠定基础。
3.3 注重合作的前瞻性,继续强化国际联动机制
新加坡认为开展网络安全国际合作能够提高国家的安全性和信任度,对维持基于规则的网络空间国际秩序具有重要作用。新加坡在全球和区域层面开展合作,尤其是注重东盟区域网络安全的机制构建。
在 全 球 层 面, 新 加 坡 十 分 重 视 联 合 国 在网络空间治理中的作用,积极参与联合国政府 专 家 组(UN Group of Governmental Experts,UNGGE)和不限成员名额工作组讨论,主张国家不论大小,在网络空间治理中皆有发言权,寻求为网络空间的负责任行为建立“道路规则”(Rules of the Road)或共同规范。
在区域层面,新加坡积极推动东盟内部的合作。2018 年,新加坡在担任东盟轮值主席期间,东盟领导人发表了首份“网络安全合作声明”,呼吁东盟内部在网络政策、规范、信任措施和能力建设等方面加强协调。2019 年,参加东盟网络安全非正式部长级会议的东盟部长和高级官员签署了“2015 年联合国政府专家组共识报告”(2015 UNGGE Consensus Report),其中建议的 11 项准则使东盟成为第一个,也是迄今为止唯一一个签署的地区组织。2020 年 9 月,新加坡通信及新闻部部长易华仁(S. Iswaran)与越南公安部部长苏林出席两国关于网络安全问题的部长级视频会议上,讨论了各自的网络空间战略及网络空间安全准则制定和完善的过程。新加坡表示将打击网络犯罪和高科技犯罪确定为与越南及东盟各国加强合作的主要阵地,并通过加强与越南的网络安全合作打造东盟范例。2020 年 10 月,新加坡及东盟各国在“日本 - 东盟网络安全政策会议”上就各自的网络安全政策和在新型冠状病毒疫情蔓延状况下所采取的努力举措交换了意见,并对联合网络演习、提高联合意识、加强能力建设等合作活动进行了确认。在新加坡政府的大力推动下,2021 年 1 月 21 日—22 日,首届东盟数字部长会议及相关会议召开,会议强调加强区域网络安全合作的必要性,并对通过建立东盟计算机紧急响应小组信息交流机制来加强东盟网络安全合作的提议表示认同。该机制将促进信息和最优实施方案的交流,帮助协调东盟计算机紧急响应小组能力建设计划。为了塑造东盟国家网络安全共同体,新加坡还启动了 1 000 万新元的东盟网络能力项目,力争到 2023 年投资 3 000万新元建立东盟网络安全卓越中心,通过提升该地区网络能力和基础设施以应对新兴网络威胁。
04
结论与展望
由于网络安全问题的多样性和变动性,我国在提升网络安全治理水平的问题上同样刻不容缓,可以从以下 3 个方面借鉴新加坡经验:
第一,实施主体方面,形成政府主导、多元主体协同配合局面。我国需要继续完善网络安全治理体制,提升治理效能。加强网络安全治理必须要充分发挥政府的作用,充分调动社会各类主体的力量,共同应对网络安全威胁。基于对本国网络安全形势的评估,新加坡开始从“全能型”向“合作型”政府转变,以提升网络安全治理的行政效能,更好地应对网络安全威胁。新加坡一方面增强了政府的指挥作用和监管能力,成立网络安全局,重组资讯通信媒体发展局和政府科技局;另一方面积极动员社会参与,通过“全国网络安全研发计划”(National Cybersecurity R & D Programme),推动政府机构与网络企业、技术社群、民间组织和公民个人开展密切合作,进行多方面的技术研发工作,构筑了严密的网络安全保障体系。我国亦高度重视网络安全治理的体制建设,2018年成立了中央网络和信息化委员会,进一步强化了国家层面的网络安全治理统筹能力,在此基础上,应进一步探索涉及网络安全治理相关机构之间的合作与分工体系建设,加强网络安全治理体制的变革,提升在网络安全治理领域的协调能力。
第二,在技术能力上,强调网络技术在网络安全治理中的作用。新加坡政府高度重视科技的自主创新,不仅制定了发展规划,成立了扶持机构,还投入了大量资金,使新加坡网络安全技术的发展与应用处于世界领先位置。新加坡着力构建网络安全生态系统,确保网络安全技术能够及时回应行业和社会的网络安全需求。新加坡通过 3 所大学研究不同方向的网络安全技术:新加坡国立大学——可信赖软件系统,新加坡管理大学——移动系统安全,新加坡科技大学——关键基础设施的网络安全。这些高校与新加坡网络安全协会以及国家项目紧密合作,进一步铸牢新加坡的网络安全能力 。“核心技术是‘国之重器’,必须加速推动信息领域核心技术突破。”对于我国而言,一是加大技术研发力度,突出网络安全治理技术的自主创新。我国虽然在智能终端制造、新技术应用领域取得了一定成就,但在基础性研发投入、专业人才培养和技术人才储备方面仍存在不足,需要通过网络安全高等教育、产学合作、职业资格认证等途径培养合格的专业人才。二是遵循技术发展规律,做好体系化技术布局,优中选优,重点突破。三是打通基础研究和技术创新的衔接通道,以基础研究带动应用技术群体突破。
第三,在价值导向上,构建政府与民众间的信任关系。有效的网络安全治理必须建立在民众对政府充分信任的基础之上。新冠肺炎疫情暴发以来,部分国家政府在网络领域中遇到了信任危机,集中表现在政府以网络安全为由侵犯公民隐私权。但是,新加坡政府主动公布相关软件获取信息的权限边界,将民众对政府的猜忌降到最低限度,政府网络安全措施的透明化赢得了民众的信任,从而使得网络安全监管更加从容。在疫情防控期间落实网络安全措施的过程也是构建民众对政府信任的过程,尽管绝大多数的网络安全措施没有超出合理范围,但是海量信息的集合仍然容易造成安全信息的部分泄露,导致不法分子打网络犯罪的“擦边球”。在后疫情时代,我国亟须建立信任机制,充分考虑到民众对网络安全措施限度的疑虑心理,将隐私访问控制在合理范围内,采取积极措施减少民众疑虑,确保民众相信其信息在网络系统中是安全的,并在道德信任的基础上建构有效的网络安全监控体系,以保证国家网络安全治理的敏感性。
选自《信息安全与通信保密》2022年第7期(为便于排版,已省去参考文献)
商务合作 | 开白转载 | 媒体交流 | 理事服务
请联系:15710013727(微信同号)
《信息安全与通信保密》杂志投稿
联系电话:13391516229(微信同号)
《通信技术》杂志投稿
联系电话:15198220331(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):后疫情时代新加坡网络安全治理的动态与趋势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论