2022 年 6 月 14 日是加拿大数据保护历史上的一个分水岭:对旨在保护关键基础设施普遍适用的联邦网络安全法的初读。 到目前为止,加拿大已经有了完整(未必完善)的隐私法律制度,但在涉及隐私法律制度之外的网络安全的普遍适用立法方面却寥寥无几。 C-26法案,一项关于网络安全的法案,对《电信法》进行修订并对其他法进行相应的修订,在现有隐私法律的要求之外采取了两个重要步骤:
其修订了《联邦电信法》的部分内容,授权政府对电信服务提供商施加义务,以“保护加拿大电信系统安全”,且更为广泛地,
其实施了《关键网络系统保护法》(CCSPA),该法授权政府将服务或系统指定为至关重要的,并对其运营商施加数据保护义务,要求强制报告网络安全事件,并促进“ 相关方之间”威胁信息的交换。
CCSPA 的附表 1 将若干服务和系统指定为至关重要,即:
电信服务
跨省或国际管道和电网系统
核能系统
议会立法权限内的交通系统
银行业系统
清算与结算系统
CCSPA具有详细的执行机制,包括:
发出合规令的权力;
命令运营商进行内部审计以协助监管机构确定运营商遵守CCSPA 和相关规定之程度的权力;
对场所进行搜查的权力(明确无需搜查令,除非搜查的是“住宅”,即私人住所),以检查是否合规或防止违反 CCSPA 和法规,以及在该搜查过程中进入位于该场所的任何“网络系统”并访问该等系统中所包含的信息,复制和/或删除位于其中的文件或记录;
获得单方面搜查令以搜查住宅的权力;
在有搜查令授权的情况下,有权使用武力搜查住宅;
有权课以行政罚金,最高达:
每个个人100万加元(即“指示、授权、同意、默许或参与实施[某]违法行为”的高管或董事),或
每个机构1500万加元。
任何罚金的确切数额将根据CCSPA和法规来确定,这表明在具体情况下的罚金金额将需要出台进一步的指导意见。
CCSPA还对违反CCSPA规定的采用简易程序审理的犯罪行为 (summary offence)和有陪审团参与的犯罪行为(indictable offence)。(例如:未能回应信息请求是一种summary offence,而未能建立、实施和维护网络安全计划则可为可公诉的犯罪)。CCSPA将该等权力赋予了主管附表1中被列为 “至关重要” 的系统和服务的现有监管机构,即:
金融机构监管署;
工业部部长;
加拿大银行;
加拿大核安全委员会;
加拿大能源监管署;和
交通部
CCSPA规定了诚信履行CCSPA项规定的免责,以及对违反CCSPA之行为可进行勤勉尽职的辩护,关键系统和服务运营商的高管和董事们可能感觉如释重负。
CCSPA似乎并没有直接对提供关键服务和系统的供应商或供货商施加义务。然而,它的确在应对 “与供应链和使用第三方产品和服务所关联的风险”,要求关键服务和系统的运营商对供应商/供货商的漏洞负责,要求运营商:
建立网络安全计划,以 “识别和管理”与“指定运营商的供应链及其使用的第三方产品和服务相关联的”风险;
向监管机构提供运营商供应链或使用第三方产品和服务发生重大变化的通知;
采取“合理的步骤” 以减少与供应链和使用第三方产品和服务所关联的风险;和
保留所采取以上步骤的记录
尽管该法没有明确规定,但似乎可以合理地预期,对与供应商和供货商相关联的风险的管理将包括网络安全准备方面对供应商和供货商施加合同义务,以及授予运营商审计权以确保合规。该等步骤是隐私法规中常见的工具。如果拟议法案无需重大修改被通过,C-26法案将使加拿大加入到通过严格立法保护关键基础设施免受网络攻击的国家之中。[1]
在加拿大可能即将出台更多关于应对网络安全的立法。联邦政府在介绍C-26法案的新���稿中还表示,如果获得通过,C-26法案“也可作为各省、地区和市政当局的范本,以帮助其与联邦政府合作保护其关键基础设施”。[2]
