close
企業趨勢

新加坡擬立法規管雲端及數據中心 最高罰款近 600 萬港元


123

新加坡政府近日就《數碼基礎設施法案》(Digital Infrastructure Bill)展開公眾諮詢,擬向大型數據中心及雲端服務供應商引入發牌制度,並要求相關業者履行網絡安全、業務持續運作及事故通報等法定責任。若違反規定,營運商最高可被罰款 100 萬坡元(約港幣 585 萬元),或該公司在新加坡年度營業額 10%,以較高者為準。法案由新加坡數碼發展及新聞部(MDDI)與資訊通信媒體發展局(IMDA)聯合發布,標誌當地數碼基建監管由過往「自願指引」正式轉向「法定責任」。

由「自願」變「強制」 監管範圍涵蓋甚麼

過去新加坡對數據中心及雲端業者在網絡安全、防災備援等方面要求,主要透過行業指引推行,並無法律約束力。雖然 2024 年網絡安全法修訂已針對主要基礎數碼設施服務網絡安全風險訂立要求,但當地一直缺乏法定框架,確保更廣泛營運韌性。今次新法案正是要填補這個缺口,要求受規管業者確保服務安全及具韌性。

受規管業者須落實措施確保服務安全,包括實體安全及網絡安全;同時須實施業務持續及災難復原計劃,確保業務活動或流程中斷後能及時恢復服務,並要向 IMDA 通報網絡安全事故或服務中斷情況。換言之,單靠一份流於形式應變文件已經不足夠,監管機構日後將更重視業者在實際事故發生時應變能力。

哪些公司要領牌?門檻設在哪裏?

新法案設有兩級發牌制度,主要針對具規模、對經濟影響深遠業者:

為第三方客戶提供服務、關鍵 IT 負載達 10 兆瓦或以上雲端及託管數據中心,以及每年從新加坡客戶賺取至少 1 億坡元(約港幣 5.85 億元)收入基礎設施即服務(IaaS)及平台即服務(PaaS)雲端供應商,均須申請「主要基礎數碼設施」牌照。至於規模較細但同樣具一定影響力數據中心,營運至少 3 兆瓦電力數據中心營運商,則須申請另一種數據中心牌照,當中訂明最低能源使用效率(PUE)要求。

值得留意是,審批準則並非只看網絡安全與備援能力。當局亦會考慮用水效率、可再生能源來源、溫室氣體排放,以及業者對新加坡經濟貢獻等因素。

為何要立法?2023 年冷氣故障累 250 萬宗交易受影響

今次修例其實有前車可鑑。新加坡於 2023 年 10 月曾發生一宗事故,一個供 2 間銀行使用數據中心因冷卻系統故障,導致逾 250 萬宗支付及提款機交易受阻。事件並非黑客攻擊,但依然波及一般市民及企業使用基本金融服務。

這類「非網絡攻擊」實體故障,例如冷氣(Cooling)失靈、電力中斷、火災、水浸甚至備援機制失效,同樣可以令服務全面癱瘓。新法案正將這類實體風險一併納入監管範圍,涵蓋業務持續運作、災難復原、實體保安及事故通報。

監管機構有甚麼權力?企業又應如何應對?

法案通過後,IMDA 將可向持牌人發出業務守則及指示,包括要求遵守適用守則;亦可就違規個案處以罰款,並授權執法人員展開執法及調查行動。不過分析普遍認為,法案實際成效將取決於日後細則,例如多少時間內須通報事故、復原標準如何計算、審計程序如何運作等,這些內容仍要留待後續規例及業務守則訂明。

值得一提是,企業不應將所有責任外判予持牌供應商便視為萬無一失。企業本身仍需了解自身工作負載在哪裏運行、備份機制如何運作,以至一旦服務中斷,需要多久才可以復原。尤其當企業將 AI 系統應用於客戶服務、詐騙監測等關鍵業務流程時,對雲端服務依賴已直接影響業務連續性。

總結:立法只是第一步 細節決定成敗

新加坡今次修例方向正確,反映政府意識到雲端及數據中心已經深度嵌入國家經濟命脈,單靠自願指引已不足以應對風險。法案由 MDDI 與 IMDA 於 7 月 1 日發布,公眾諮詢期至 7 月 22 日截止。不過法案能否真正提升問責性,關鍵在於日後具體通報門檻、復原要求及審計機制,能否推動業者實際改善應變能力,而非淪為另一堆「交功課式」合規文件。隨著法案進入立法程序,預計未來將有更多技術細節及業界回應陸續浮現,亦可能牽動區內其他國家跟進類似監管框架。

資料來源: Tech Edition