按:在全球化以及电子商务和跨境贸易迅速发展的时代背景下,大量的个人信息数据由于各种原因被第三方主体收集和使用,各国对数据安全问题都高度重视,均通过颁布政策法规、加强监管执法、提升安全治理技术能力等举措,全面强化数据安全保护。
新加坡,作为亚洲的商业中心,因其地理位置优越和基础设施完善,吸引了众多电信和互联网服务商在此部署服务器和数据中心。这使得新加坡成为亚洲网络流量的枢纽和全球互联网的关键交换点之一。同时,新加坡的数据立法完善,数据保护水平居世界前列。
对于中国企业来说,在进入新加坡市场时,需特别注意遵守新加坡的数据合规要求,避免违反监管要求。本文旨在介绍新加坡的数据保护、违规处罚案例及数据风控的建议,为企业出海前策划新加坡数据合规的布局及日常经营合规提供参考。
一、新加坡数据保护法律体系概览
新加坡在个人数据保护方面的立法已有12年的历史,其数据保护体系以2012年的《个人数据保护法》(Personal Data Protection Act,简称“PDPA”或者“《个保法》”)为主,该法是一部规范个人数据的收集、使用和披露的综合性立法。自2013年1月开始分阶段生效,该法令赋予公民个人数据被保护的权利,并详细规范了机构/企业对于个人信息数据收集、利用或披露的要求,确保公民的个人数据不被滥用,且在受到侵害时可寻求法律保护。
为了更好地执行《个人数据保护法》,新加坡还配套出台了针对特定领域(如电信业、房地产行业、教育行业、医疗行业、社会公益服务行业)的各项个人数据保护的条例及指引(附属立法),以指导企业更好地对个人数据进行保护,且不断根据现实情况对之前的立法进行修订和完善。
其中,2014年《个人数据保护条例》(Personal Data Protection Regulations)是《个保法》的主要附属立法,重点规制查阅、更正个人数据和转移个人数据等内容。2018年以来,新加坡在个人数据保护法的立法方面又有一些颇受瞩目的新进展,比较重要的有2019年1月14日颁布的重要案例,而2018 年 8 月 31 日颁布的《关于国民身份号码及其他类别国民身份号码的〈个人数据保护法令〉咨询指引》和 2020 年 5 月 14 日《个人数据保护法(修订)草案》征求意见稿,体现了新的立法动向。
1、条例
2013年《个人数据保护(违法构成)条例》[Personal Data Protection (Composition of offences) Regulations]、
2013年《个人数据保护(禁止调用注册表)条例》[Personal Data Protection (Do Not Call Registry) Regulations]、
2014年《个人数据保护(执行)条例》[Personal Data Protection (Enforcement) Regulations],
2014年《个人数据保护条例》(Personal Data Protection Regulations)
上述四项条例一起于2014年7月2日起实施。
2015年1月23日开始实施的《个人数据保护(上诉)条例》[Personal Data Protection (Appeal) Regulations]。
2、指引
新加坡个人资料保护委员会根据《个人数据保护法》第49(1)条发出的咨询指引(下称“指引”),就委员会如何解释《个人数据保护法》的条文提供指引。
主要的咨询指引共7项:
2019年10月9日修订的《个人数据保护法》主要概念的咨询指引;
2019年10月9日修订的《个人数据保护法》选定专题的咨询指引;
2017年7月27日修订的关于谢绝来电的咨询指引;
2015年5月8日发布的关于市场推广需要征得同意的咨询指引;
2016年4月21日发布的数据保护规定执行的咨询指引;
2017年8月8日发布的将PDPA应用于选举活动的咨询指引;
2018年8月31日发布的关于国民身份号码及其他类别国民身份号码的〈个人数据保护法令〉咨询指引
此外,新加坡个人数据保护委员会认识到不同的行业部门可能存在特定于部门的问题,因此制定了针对特定部门的咨询指引来解决此类问题。这些咨询指引是根据PDPC从相关行业成员那里收到的有关查询和反馈,并与相关行业监管机构密切合作而制定的。主要包括以下7项:
2014年5月16日发布的电讯行业咨询指引;
2014年5月16日发布的房地产中介行业咨询指引;
2018年8月31日修订的教育行业咨询指引;
2017年3月28日修订的医疗保健行业咨询指引;
2018年8月31日修订的社会服务业咨询指引;
2018年5月22日修订的运输服务出租汽车记录咨询指引;
2019年3月11日发布的公司管理咨询指引。
新加坡个人数据保护委员会对行业协会针对《个人数据保护法》制订的行业指引提供意见和建议。到目前为止发布的行业指引包括以下两项:
2015年4月1日发布的LIA关于《新加坡个人数据保护法》的人寿保险公司业务守则;
2015年4月1日发布的LIA关于《新加坡个人资料保护法令》固定保险代理人行为守则。
此外,新加坡个人数据保护委员会出版了一系列其他指引以供参考:
2019年9月26日修订的通知指引;
2017年1月20日修订的电子媒介中的个人数据保护指引;
2016年4月21日发布的通过读卡器进行支付卡磁条传递的实践指引;
2016年6月9日发布的处理访问请求的指引;
2016年7月20日发布的关于个人数据处理协议的数据保护条款指引;
2018年7月10日修订的中小企业网站建设指引;
2017年1月20日修订的物理媒介上个人数据处理指引;
2017年1月20日发布的处理和发送个人数据时防止意外泄露的指引;
2019年7月15日发布的制定数据保护管理计划指引;
2017年11月1日发布的数据保护影响评估指引;
2018年1月25日发布的基本数据匿名化技术指引;
2018年5月3日发布的机构印刷流程指引;
2019年8月26日修订的有关NRIC和其他国民身份证号码的PDPA咨询准则的技术指引;
2019年5月22日发布的数据泄露管理指引2.0;
2019年5月22日发布的积极执法指引;
2019年5月31日出版的资讯及通讯科技系统设计保护资料指引;
2019年7月15日出版的个人数据保护法问责指引。
二、数据保护的监管机构——个人数据保护委员会 PDPC
为了更好的管理和执行PDPA,新加坡政府于2013年1月2日成立了个人数据保护委员会(Personal Data Protection Commission,简称“PDPC”或“个保委”),负责管理和执行《个人数据保护法》的相关事项,在企业和用户之间建立可信环境,为新加坡经济的蓬勃发展做出贡献,并代表新加坡政府处理有关数据保护相关的国际事务。
此外,PDPC还负责监督“谢绝来电”(Do Not Call, DNC)登记处的开发和运营,禁止任何机构向谢绝来电登记簿登记的新加坡电话号码发送营销信息,以确保个人只收到他们想要的电话营销信息,并通过增加消费者信心和信任来协助企业提升客户关系等。
三、新加坡PDPA《个人资料保护法》主要内容和运用
(一)新加坡PDPA与欧盟GDPR的对比
2018年5月25日,欧盟的《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)开始生效。GDPR高度重视个人数据保护与监管,为之设置了一系列的保护门槛和机制,被业界与学界称为“史上最严”的个人数据保护法案。下面我们对PDPA与GDPR进行简单的对比:
(二)PDPA的适用范围
PDPA的核心在于如何定义“个人数据”,该法将其定义为与在世或已故的个人相关的数据,不论数据的真实性如何,只要该数据独立或与组织已获取或可能获取的其他信息相结合后,能够识别出个体即可。
对于适用主体,PDPA使用“组织”一词,包括所有在新加坡境内外收集、使用或披露个人数据的自然人、个体工商户、合伙企业、公司或其他形式的组织。然而,以下主体不适用于此法规:
个人或家庭生活中行事的个人;
员工在受雇于组织过程中的行为;
政府机构。
此外,PDPA适用于以电子或非电子形式存储的所有个人数据,但不包括以下数据:
已存在至少100年的记录中的个人数据;
已故个人逾10年的个人数据;
商务联系信息,例如个人姓名、职务、工作电话、地址和电子邮件等。
总体来说,PDPA对在新加坡内外收集、使用或披露个人数据的自然人和企业实体都适用,但不对个人或家庭的私人行为、员工在职务执行中的行为以及政府行为施加约束。该法律对个人数据的解释相对宽泛,侧重于可识别性的抽象规则,未具体列举哪些数据属于个人数据,保护的范围既包括在世的个人也包括符合条件的已故个人的数据,但不包括商务联系信息。
(三)授权同意
在新加坡的PDPA法规中,个人数据处理的合法性主要基于信息主体的同意。根据PDPA第14条,除非法律有特别豁免或视为同意的规定,组织在收集、使用或披露个人数据时,原则上必须履行告知义务并取得个人的明确同意。个人在提供同意后,还保留随时撤回同意的权利,可以向组织发出撤回同意的通知。
值得注意的是,PDPA允许在满足特定条件下,组织可以不经过同意,直接为商业改进目的收集、使用、披露个人数据。这一点与中国的《个人信息保护法》有所不同,后者仅在处理已公开的个人信息和涉及公共利益的情况下允许豁免同意,而以商业改进为目的处理个人信息则需要获得信息主体的明示同意。
尽管PDPA在允许为商业目的使用个人数据方面较为宽松,但为防止滥用这一规定,非以商业改进为目的的处理活动并不能豁免同意。例如,PDPA明确指出,在使用个人数据进行直接营销、发送营销信息等活动时,必须获得个人的明示同意,这些情况下不能使用豁免同意的方式进行。这些规定旨在确保个人数据的处理活动在合理、透明的基础上进行,保护数据主体的权益。
(四)PDPA的数据处理原则
PDPA共规定了9条原则,各组织在处理个人数据时必须遵守。
1)同意义务 在收集、使用或披露个人信息时,各组织必须先征得个人的授权同意, 并且在个人给予合理的通知后,允许个人撤销同意。在撤销同意后,各组织必须停止收集、使用和/或披露这些个人资料。
2)目的限制义务 各组织只可收集、使用或披露个人同意的用途,这些个人数据只可被 使用在适用于各组织提供的产品或服务的合理范围内。
3)告知义务 各组织必须在收集、使用或披露您的个人资料之前向个人解释收集个人资料的原因及使用目的和范围。
4)访问权限及更正义务 在接到相关个人的请求后,组织应当向其提供其个人数据被使用和被披露的有关信息,如果个人要求更正其个人资料中的任何错误或遗漏,组织必须尽快接受该要求。
5)准确性义务 组织需确保个人资料的完整和准确性。
6)保护义务 各组织应制定必要的安全措施,以保护个人数据的安全,以防止个人数据遭受未经授权的访问、收集、使用、披露、复制、更改、处置或其他类似的风险威胁。
7)存储限制义务 各组织只可在法律或业务的所需的目的之下保留个人数据。如果数据储存对商业目的的实现或者收集个人资料的目的已不再是必需时,则相关组织必须停止存储这些个人数据,或移除个人数据与特定个人的关联。
