数据泄露之后：网络安全事件引发的法律风险

遭受黑客攻击已足够令人烦恼。但对许多机构而言，更大的挑战始于攻击之后。

Add BT as a preferred source

除了财务和声誉损失外，数据外泄事件也会使受害组织面临法律责任。图片来源：FREEPIK

DeeperDive is a beta AI feature. Refer to full articles for the facts.

Leow Jiamin

Published Thu, Mar 26, 2026 · 07:00 AM

本文由AI辅助翻译

查看原文

想象一下：您公司的电子邮件服务器被黑客入侵，具有商业价值的敏感数据现已落入不明身份的攻击者手中。

事后，您花费数周时间应对监管机构的质询和董事会的担忧，而恢复系统完整性的工作则进一步扰乱了业务的连续性。然后，您收到了来自受影响客户的法律索赔。

数据外泄是众多令组织措手不及的常见网络攻击之一。虽然此类事件造成的财务和声誉损失已是广为人知，但很少有人意识到，它们还会使受害组织面临法律责任。

以下四个真实场景说明了网络事件会如何意外地导致法律风险和责任敞口。

当数据泄露导致客户损失时：当一家企业的系统被黑客攻击，其客户数据（如姓名、联系方式和支付信息）被泄露并在暗网上共享时，该公司及其客户都是受害者。

遭受损失或损害的客户可能会向收集并持有其个人数据的组织寻求解释或赔偿。

DECODING ASIA

Navigate Asia in
a new global order

Get the insights delivered to your inbox.

根据新加坡法律，个人可就因数据泄露直接造成的损失或损害向相关组织寻求赔偿。法院已认可，为支持索赔，此类损害也可包括因个人信息被曝光而引起的情感困扰。

当您的IT供应商被黑，后果却波及您时：许多组织依赖第三方软件或外部IT服务提供商来管理其数据和业务系统。当这些供应商遭遇安全漏洞时，客户委托的数据就面临风险。

即使漏洞源于供应商的失误，客户仍可能向收集其数据的组织追问事发经过以及如何处理损害。

OpenClaw’s rapid rise exposes ‘shadow AI’ risks in Singapore firms

If your corporate chatbot “hallucinates” and misrepresents or misleads a consumer, your business could be held directly responsible as the publisher of that information.

Chatbot glitches: When disclaimers won’t save you in court

Regulators in major markets are starting to take a tougher stance and demand greater accountability from companies that suffer cyber lapses.

Regulators should step up cybersecurity accountability

这反映了当今数字生态系统的一个更广泛的现实。互联系统中的漏洞可能会对供应链中的多个组织产生连锁影响。

当您付错款，却仍对收款方负有债务时：您收到一封看似来自长期供应商的常规电子邮件，要求为即将支付的款项更新其银行账户信息。您随即向新账户转账。

几周后，您的供应商前来催款。结果发现，您落入了冒充供应商的钓鱼式诈骗陷阱。

此类诈骗是增长最快的网络犯罪形式之一，其目标涵盖个人和大型组织。

在这种情况下，法律通常认为支付给诈骗者的款项仍属拖欠，因为它并未转入供应商的银行账户。因此，该组织在蒙受诈骗损失的同时，还需解决与供应商之间悬而未决的付款纠纷。

当您的系统被用于伤害他人时：网络犯罪分子也可能利用您的网络来攻击他人，例如发送诈骗信息、传播恶意软件或利用被盗信息欺骗您的客户或商业伙伴。

如果他人因此遭受经济损失，外界可能会质疑贵组织是否采取了足够的网络安全措施。尽管组织本身也是网络攻击的受害者，但其被攻破的系统所造成的更广泛损害仍可能导致审查和潜在的法律风险。

随着数字系统在客户、供应商和合作伙伴之间的互联程度越来越高，这种风险也在不断增加。

在问题发生前做好准备

网络事件随时可能发生，任何规模的组织都可能受到影响。以下是降低风险的实用步骤。

了解您在个人数据方面的义务：在新加坡收集或存储个人数据的组织必须遵守《个人数据保护法》，该法规定了保护信息的明确义务。

最重要的是，限制您保留的数据，并保护必须保留的数据。定期审计贵组织持有的个人数据，并删除不再需要的信息。

进行供应商尽职调查：在与供应商合作之前，应进行尽职调查，了解其安全控制措施和事件响应程序等细节。

合同中应明确规定发生数据泄露时的责任，包括通知义务、事件管理角色和成本分摊。

进行供应商尽职调查：在与供应商合作之前，应进行尽职调查，了解其安全控制措施和事件响应程序等细节。

合同中应明确规定发生数据泄露时的责任，包括通知义务、事件管理角色和成本分摊。

培训和测试员工：将基本的网络卫生习惯视为整个组织内不容商量的实践。实施要求使用强密码、唯一密码和双重身份验证的政策。

许多网络事件始于一个简单的人为错误，例如点击恶意链接或回复欺诈性电子邮件。定期的网络安全培训和模拟钓鱼演习可以帮助员工识别常见威胁并做出适当反应。

制定明确的内部规程：实施明确的内部程序来管理敏感信息、控制系统访问和报告可疑活动。这些能够显著降低风险的规程应在全组织范围内传达并定期审查。

制定事件响应计划：数据泄露后的最初几个小时至关重要。组织应制定计划，用于控制事件、保全证据以及协调与利益相关者的沟通。

考虑网络安全保险：这有助于缓冲事件带来的财务冲击。应考虑是要求供应商维持足够的网络安全保险，还是由贵组织自行投保。由于承保范围差异很大且免责条款很常见，请确保保单覆盖范围与贵组织的风险相符。

网络安全现已成为一种法律风险

网络事件很少只影响一方。一次数据泄露就可能扰乱业务运营，泄露商业敏感信息，并影响那些依赖组织保护其数据的客户和合作伙伴。

在当今高度互联的数字环境中，网络安全不仅是一个技术问题，更是一个关乎治理和风险管理的问题。

当一次点击就可能导致数据泄露时，保护我们自己的最负责任的做法就是为此做好准备。

本文作者是新加坡法律学会（法律系）副主任，也是《Foundations of Cybersecurity Law in Singapore》一书的合著者。

Decoding Asia newsletter: your guide to navigating Asia in a new global order. Sign up here to get Decoding Asia newsletter. Delivered to your inbox. Free.

此翻译对您是否有帮助？

Legal industry Cybersecurity Singapore law

Reuse this content Feedback

TRENDING NOW

Kapa's pair of semi-detached houses in Westlake Avenue were rebuilt from a bungalow. Rather than produce a mirrored pair, the two homes were designed as a considered whole to look like part of an evolving streetscape.

Costly renewals: Transforming an old landed house into your dream home is getting harder

The RTS Link, which is expected to begin operations on Jan 1, 2027, could add a “new dimension” to spending patterns in JB towards the end of 2026.

RTS Link unlikely to topple Singapore retail despite JB’s appeal: OCBC

Goi Kok Ming is a graduate of California State Polytechnic University, Pomona. He has a bachelor's degree in computer information systems.

Popiah King Sam Goi’s son to be CEO of PSC Corp

Visitors at the KL Tower. Industry observers say inbound trip cancellations have surged to approximately 5,000 in the past month.

Malaysia tourism hit by fuel shock; tour prices may jump 50%