按:在全球化以及電子商務和跨境貿易迅速發展的時代背景下,大量的個人信息數據由於各種原因被第三方主體收集和使用,各國對數據安全問題都高度重視,均通過頒布政策法規、加強監管執法、提升安全治理技術能力等舉措,全面強化數據安全保護。
新加坡在個人數據保護方面的立法已有10年的歷史,2012年10月,新加坡議會即通過了《個人數據保護法》(Personal Data Protection Act,簡稱「PDPA」或者「《個保法》」),自2013年1月開始分階段生效,該法令賦予公民個人數據被保護的權利,並詳細規範了機構/企業對於個人信息數據收集、利用或披露的要求,確保公民的個人數據不被濫用,且在受到侵害時可尋求法律保護。
一、新加坡數據保護法律體系的立法過程及監管部門
(一)新加坡的數據保護法律體系
新加坡的數據保護體系以2012年的《個人數據保護法》為主,該法是一部規範個人數據的收集、使用和披露的綜合性立法。為了更好地執行《個人數據保護法》,新加坡還配套出台了針對特定領域(如電信業、房地產行業、教育行業、醫療行業、社會公益服務行業)的各項個人數據保護的條例及指引(附屬立法),以指導企業更好地對個人數據進行保護,且不斷根據現實情況對之前的立法進行修訂和完善。
其中,2014年《個人數據保護條例》是《個保法》的主要附屬立法,重點規制查閱、更正個人數據和轉移個人數據等內容。2018年以來,新加坡在個人數據保護法的立法方面又有一些頗受矚目的新進展,比較重要的有2019年1月14日頒布的重要案例,而2018 年 8 月 31 日頒布的《關於國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉諮詢指引》和 2020 年 5 月 14 日《個人數據保護法(修訂)草案》徵求意見稿,體現了新的立法動向。
1、條例
2013年《個人數據保護(違法構成)條例》[Personal Data Protection (Composition of offences) Regulations]、
2013年的《個人數據保護(禁止調用註冊表)條例》[Personal Data Protection (Do Not Call Registry) Regulations]、
2014年的《個人數據保護(執行)條例》[Personal Data Protection (Enforcement) Regulations],
2014年的《個人數據保護條例》(Personal Data Protection Regulations)
上述四項條例一起於2014年7月2日起實施。
2015年1月23日開始實施的《個人數據保護(上訴)條例》[Personal Data Protection (Appeal) Regulations]。
2、指引
新加坡個人資料保護委員會根據《個人數據保護法》第49(1)條發出的諮詢指引(下稱「指引」),就委員會如何解釋《個人數據保護法》的條文提供指引。
主要的諮詢指引共7項:
2019年10月9日修訂的《個人數據保護法》主要概念的諮詢指引;
2019年10月9日修訂的《個人數據保護法》選定專題的諮詢指引;
2017年7月27日修訂的關於謝絕來電的諮詢指引;
2015年5月8日發布的關於市場推廣需要徵得同意的諮詢指引;
2016年4月21日發布的數據保護規定執行的諮詢指引;
2017年8月8日發布的將PDPA應用於選舉活動的諮詢指引;
2018年8月31日發布的關於國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉諮詢指引
此外,新加坡個人數據保護委員會認識到不同的行業部門可能存在特定於部門的問題,因此制定了針對特定部門的諮詢指引來解決此類問題。這些諮詢指引是根據PDPC從相關行業成員那裡收到的有關查詢和反饋,並與相關行業監管機構密切合作而制定的。主要包括以下7項:
2014年5月16日發布的電訊行業諮詢指引;
2014年5月16日發布的房地產中介行業諮詢指引;
2018年8月31日修訂的教育行業諮詢指引;
2017年3月28日修訂的醫療保健行業諮詢指引;
2018年8月31日修訂的社會服務業諮詢指引;
2018年5月22日修訂的運輸服務出租汽車記錄諮詢指引;
2019年3月11日發布的公司管理諮詢指引。
新加坡個人數據保護委員會對行業協會針對《個人數據保護法》制訂的行業指引提供意見和建議。到目前為止發布的行業指引包括以下兩項:
2015年4月1日發布的LIA關於《新加坡個人數據保護法》的人壽保險公司業務守則;
2015年4月1日發布的LIA關於《新加坡個人資料保護法令》固定保險代理人行為守則。
此外,新加坡個人數據保護委員會出版了一系列其他指引以供參考:
2019年9月26日修訂的通知指引;
2017年1月20日修訂的電子媒介中的個人數據保護指引;
2016年4月21日發布的通過讀卡器進行支付卡磁條傳遞的實踐指引;
2016年6月9日發布的處理訪問請求的指引;
2016年7月20日發布的關於個人數據處理協議的數據保護條款指引;
2018年7月10日修訂的中小企業網站建設指引;
2017年1月20日修訂的物理媒介上個人數據處理指引;
2017年1月20日發布的處理和發送個人數據時防止意外泄露的指引;
2019年7月15日發布的制定數據保護管理計劃指引;
2017年11月1日發布的數據保護影響評估指引;
2018年1月25日發布的基本數據匿名化技術指引;
2018年5月3日發布的機構印刷流程指引;
2019年8月26日修訂的有關NRIC和其他國民身份證號碼的PDPA諮詢準則的技術指引;
2019年5月22日發布的數據泄露管理指引2.0;
2019年5月22日發布的積極執法指引;
2019年5月31日出版的資訊及通訊科技系統設計保護資料指引;
2019年7月15日出版的個人數據保護法問責指引。
(二)數據保護的監管機構 — 個人數據保護委員會 PDPC
為了更好的管理和執行PDPA,新加坡政府於2013年1月2日成立了個人數據保護委員會(Personal Data Protection Commission,簡稱「PDPC」或「個保委」),負責管理和執行《個人數據保護法》的相關事項,在企業和用戶之間建立可信環境,為新加坡經濟的蓬勃發展做出貢獻,並代表新加坡政府處理有關數據保護相關的國際事務。
此外,PDPC還負責監督「謝絕來電」(Do Not Call, DNC)登記處的開發和運營,禁止任何機構向謝絕來電登記簿登記的新加坡電話號碼發送營銷信息,以確保個人只收到他們想要的電話營銷信息,並通過增加消費者信心和信任來協助企業提升客戶關係等。
二、《個人資料保護法》主要內容和運用
(一)新加坡PDPA與歐盟GDPR的對比
2018年5月25日,歐盟的《通用數據保護條例》(General Data Protection Regulation,簡稱「GDPR」)開始生效。GDPR高度重視個人數據保護與監管,為之設置了一系列的保護門檻和機制,被業界與學界稱為「史上最嚴」的個人數據保護法案。下面我們對PDPA與GDPR進行簡單的對比:
(二)PDPA的數據處理原則
PDPA共規定了9條原則,各組織在處理個人數據時必須遵守。
1)同意義務 在收集、使用或披露個人信息時,各組織必須先徵得個人的授權同意, 並且在個人給予合理的通知後,允許個人撤銷同意。在撤銷同意後,各組織必須停止收集、使用和/或披露這些個人資料。
2)目的限制義務 各組織只可收集、使用或披露個人同意的用途,這些個人數據只可被 使用在適用於各組織提供的產品或服務的合理範圍內。
3)告知義務 各組織必須在收集、使用或披露您的個人資料之前向個人解釋收集個人資料的原因及使用目的和範圍。
4)訪問權限及更正義務 在接到相關個人的請求後,組織應當向其提供其個人數據被使用和被披露的有關信息,如果個人要求更正其個人資料中的任何錯誤或遺漏,組織必須儘快接受該要求。
5)準確性義務 組織需確保個人資料的完整和準確性。
6)保護義務 各組織應制定必要的安全措施,以保護個人數據的安全,以防止個人數據遭受未經授權的訪問、收集、使用、披露、複製、更改、處置或其他類似的風險威脅。
7)存儲限制義務 各組織只可在法律或業務的所需的目的之下保留個人數據。如果數據儲存對商業目的的實現或者收集個人資料的目的已不再是必需時,則相關組織必須停止存儲這些個人數據,或移除個人數據與特定個人的關聯。
8)傳輸限制義務 如果各組織需要將個人數據轉移到海外,例如將數據存儲在雲中,需要確保將數據傳送到的國家可提供與PDPA同等級別的數據保護標準。這一相當性標準可根據以下的方式來實現:
• 組織與數據接收者簽訂數據處理協議,以要求接收者為個人數據提供與 PDPA 規定相當的數據保護標準;
• 證明個人數據將被轉移到的國家/地區的適用法律提供了與PDPA規定相對應的數據保護標準;
• 取得數據主體對於傳輸的同意,該同意應當滿足特定的條件。
9)公開義務 組織應當採取適當的措施以及政策以確保其行為符合 PDPA 所規定的義務,並向社會公開有關其政策與實際操作的信息。實踐中,應至少委任一名數據保護專員負責確保該實體符合PDPA,並提供專員的聯繫方式,讓希望了解該組織數據保護政策的個人可以與數據保護專員進行聯繫。
(三)PDPA在僱傭關係中的運用
1、企業是否需要徵得求職者的同意才能收集和使用他的個人資料?
1)當個人以求職的形式自願向某一企業提供其個人資料時,他們被視為同意該企業以評估其工作申請而收集、使用和披露這些個人資料。
2)當該員工被僱傭時,企業繼續使用工作申請表中提供的個人資料來管理與該個人的關係是合理的。
3)如果該企業希望將個人數據用於上述情況以外的地方時,或者在PDPA沒有適用的例外情況下,則該企業必須通知員工並為此取得同意。
2、企業能否保存未被僱傭的求職者的個人資料?
1)這些資料只可保存在以法律為目的所需的時間內。
2)各企業還應注意到,求職者有權查閱及要求更正應聘企業所持有的有關其的個人資料。
3)根據要求,企業還必須向個人通報過去一年內使用其個人信息數據的方式。
4)如果最終沒有聘用此人,所涉個人信息數據是僅以評價為目的而保存的評論信息,則不要求各企業向個人提供此類信息。在這種情況下,企業不需要將在確定是否聘任的過程中所產生的評價意見通知到個人。
3、企業是否可以使用名片中的信息進行招聘?
PDPA第4條第5款規定,為商業用途提供的個人姓名、職位信息、工作電話或傳真號、工作地址、工作電子郵件地址及其他類似「業務聯繫方式」不在機構保護責任範圍之內。
4、PDPA如何適用於雇員的僱傭記錄?
1)應告知雇員:信息收集的目的、需要使用和披露其個人資料的情況並在收集、使用和披露之前取得同意 。
2)在許多情況下,僱主需要在關係開始時 ( 任命新雇員時 ) 獲得收集、使用和披露員工的個人信息數據的同意。在僱傭關係的不同階段,當需要更多個人資料時,應再次取得雇員的同意。雇員可選擇根據PDPA條 款規定撤回他們的同意。
3)如果所收集、使用或披露的信息是以評價為目的而收集、使用或披露的,即(除其他事項外)確定個人是否適合就業、在就業中晉升或繼續 就業的目的、資格證書等,則無須經過個人的同意,例如:從前僱主處獲得一份推薦信,以確定是否合適;或者獲取業績記錄或其他相關信息,以確定雇員的業績。
