随着经济全球化的持续发展,以及中国经济地位在全球范围内的不断提升,越来越多的中国企业开始选择“走出去”的发展新规划。
面对欧美市场高饱和竞争态势,新加坡正处于增量市场阶段,具备坚实增长基础,已成为中国扩展企业的重要拓展方向。
但全球数据保护日益严苛背景下,扩展至新加坡的企业,特别是互联网企业等处理大量数据的企业,需特别关注新加坡数据合规法律。
新加坡目前已建立了较为完善的个人数据保护法(PDPA),与欧盟GDPR相似,新加坡也设置了较高的处罚标准。
故而,本文将向您着重介绍个人数据保护法律体系,到底在新加坡有多重要~
新加坡的数据保护体系以2012年的《个人数据保护法》为主,该法是一部规范个人数据的收集、使用和披露的综合性立法。
根据PDPA,任何机构不得将任何个人数据传输到新加坡以外的国家或地区,除非能够根据本法规定的要求,确保对传输的个人数据提供与本法相当的保护标准。
PDPA适用的主体包括个人、公司、协会、社会团体等法人或非法人团体。
根据PDPA第2条、第3条,PDPA既适用于在新加坡收集、使用和披露个人数据的组织,也适用位于新加坡境外或在新加坡境外成立的组织收集、使用和披露新加坡自然人个人数据。
只要以上自然人或实体具备以下数据处理行为,均适用于PDPA:
在新加坡处理个人信息,无论是新加坡居民个人信息及非新加坡居民个人信息 也就是说,扩展企业为总部管理需要将新加坡用户个人数据传回中国统一处理,或以新加坡作为扩展各国数据集中存储地,将自其他扩展目的地收集用户个人数据传输至新加坡处理,均应适用PDPA。
当个人以求职或被雇佣的形式自愿向某一企业提供其个人资料时,他们被视为同意该企业以评估其工作申请而收集、使用和披露这些个人资料。
这些资料只可保存在以法律为目的所需的时间内,求职者有权查阅及要求更正应聘企业所持有的有关其的个人资料,企业也必须向个人通报过去一年内使用其个人信息数据的方式。
如果最终没有聘用此人,所涉个人信息数据是仅以评价为目的而保存的评论信息,则不要求各企业向个人提供此类信息。
在这种情况下,企业不需要将在确定是否聘任的过程中所产生的评价意见通知到个人。
另外,PDPA第4条第5款规定,为商业用途提供的个人姓名、职位信息、工作电话或传真号、工作地址、工作电子邮件及其他类似“业务联系方式”不在机构保护责任范围之内。
如果该企业希望将个人数据用于上述情况以外的地方时,或者在PDPA没有适用的例外情况下,则该企业必须通知员工并为此取得同意。
应告知雇员信息收集的目的、需要使用和披露其个人资料的情况并在收集、使用和披露之前取得同意 。
在许多情况下,雇主需要在关系开始时 ( 任命新雇员时 ) 获得收集、使用和披露员工的个人信息数据的同意。
在雇佣关系的不同阶段,当需要更多个人资料时,应再次取得雇员的同意,雇员也可选择根据PDPA条款规定撤回他们的同意。
如果所收集、使用或披露的信息是以评价为目的而收集、使用或披露的,即(除其他事项外)确定个人是否适合就业、在就业中晋升或继续就业的目的、资格证书等,则无须经过个人的同意。
如果数据是在不确定的目的下和不确定的时间范围内,则会相应增加违反PDPA条例的风险。
如果员工不遵守PDPA,公司需要承担对雇员在受雇期间所造成的任何违反行为负责 。
特别是,在该雇佣过程中由雇员从事的任何行为,不论其是否在此之前得到雇主的批准,均应由企业负责。
PDPA对“雇员”的定义中包括志愿人员,对“雇佣”的定义中包括在无偿志愿服务关系下的工作。
对于违反PDPA数据保护义务的机构,可能受到以下处罚:
①停止违法收集、使用或披露个人数据;
②删除违法收集的个人数据;
③向被侵害人提供个人数据的访问和纠正权限;
④PDPA后续修订,将罚款的最高额提升至组织年度总营业额的 10%,或100 万新币。
除此之外,个人也有权向 PDPC 的主管部门进行投诉,以寻求有效的司法救济、 获得禁止令或从组织处就其法所造成的损失获得赔偿。
新加坡个人数据保护立法的目的,就是为了增强公众信任、提升企业竞争力,提供更广泛的组织问责制以保障消费者合法权益,为数据经济发展提供强有力的支撑。
总体而言,新加坡采较为宽松的数据合规政策,为中国企业出海提供更大的便利及发展空间。
在未来可预期的一段时间里,新加坡仍然是中国企业扩展的热门国家。
但新加坡主管部门活跃的执法也提醒扩展的企业严格审查自身数据合规情况。
