隨著經濟全球化的持續發展,以及中國經濟地位在全球範圍內的不斷提升,越來越多的中國企業開始選擇「走出去」的發展新規劃。
面對歐美市場高飽和競爭態勢,新加坡正處於增量市場階段,具備堅實增長基礎,已成為中國擴展企業的重要拓展方向。
但全球數據保護日益嚴苛背景下,擴展至新加坡的企業,特別是網際網路企業等處理大量數據的企業,需特別關注新加坡數據合規法律。
新加坡目前已建立了較為完善的個人數據保護法(PDPA),與歐盟GDPR相似,新加坡也設置了較高的處罰標準。
故而,本文將向您著重介紹個人數據保護法律體系,到底在新加坡有多重要~
新加坡的數據保護體系以2012年的《個人數據保護法》為主,該法是一部規範個人數據的收集、使用和披露的綜合性立法。
根據PDPA,任何機構不得將任何個人數據傳輸到新加坡以外的國家或地區,除非能夠根據本法規定的要求,確保對傳輸的個人數據提供與本法相當的保護標準。
PDPA適用的主體包括個人、公司、協會、社會團體等法人或非法人團體。
根據PDPA第2條、第3條,PDPA既適用於在新加坡收集、使用和披露個人數據的組織,也適用位於新加坡境外或在新加坡境外成立的組織收集、使用和披露新加坡自然人個人數據。
只要以上自然人或實體具備以下數據處理行為,均適用於PDPA:
在新加坡處理個人信息,無論是新加坡居民個人信息及非新加坡居民個人信息 也就是說,擴展企業為總部管理需要將新加坡用戶個人數據傳回中國統一處理,或以新加坡作為擴展各國數據集中存儲地,將自其他擴展目的地收集用戶個人數據傳輸至新加坡處理,均應適用PDPA。
當個人以求職或被僱傭的形式自願向某一企業提供其個人資料時,他們被視為同意該企業以評估其工作申請而收集、使用和披露這些個人資料。
這些資料只可保存在以法律為目的所需的時間內,求職者有權查閱及要求更正應聘企業所持有的有關其的個人資料,企業也必須向個人通報過去一年內使用其個人信息數據的方式。
如果最終沒有聘用此人,所涉個人信息數據是僅以評價為目的而保存的評論信息,則不要求各企業向個人提供此類信息。
在這種情況下,企業不需要將在確定是否聘任的過程中所產生的評價意見通知到個人。
另外,PDPA第4條第5款規定,為商業用途提供的個人姓名、職位信息、工作電話或傳真號、工作地址、工作電子郵件及其他類似「業務聯繫方式」不在機構保護責任範圍之內。
如果該企業希望將個人數據用於上述情況以外的地方時,或者在PDPA沒有適用的例外情況下,則該企業必須通知員工並為此取得同意。
應告知雇員信息收集的目的、需要使用和披露其個人資料的情況並在收集、使用和披露之前取得同意 。
在許多情況下,僱主需要在關係開始時 ( 任命新雇員時 ) 獲得收集、使用和披露員工的個人信息數據的同意。
在僱傭關係的不同階段,當需要更多個人資料時,應再次取得雇員的同意,雇員也可選擇根據PDPA條款規定撤回他們的同意。
如果所收集、使用或披露的信息是以評價為目的而收集、使用或披露的,即(除其他事項外)確定個人是否適合就業、在就業中晉升或繼續就業的目的、資格證書等,則無須經過個人的同意。
如果數據是在不確定的目的下和不確定的時間範圍內,則會相應增加違反PDPA條例的風險。
如果員工不遵守PDPA,公司需要承擔對雇員在受僱期間所造成的任何違反行為負責 。
特別是,在該僱傭過程中由雇員從事的任何行為,不論其是否在此之前得到僱主的批准,均應由企業負責。
PDPA對「雇員」的定義中包括志願人員,對「僱傭」的定義中包括在無償志願服務關係下的工作。
對於違反PDPA數據保護義務的機構,可能受到以下處罰:
①停止違法收集、使用或披露個人數據;
②刪除違法收集的個人數據;
③向被侵害人提供個人數據的訪問和糾正權限;
④PDPA後續修訂,將罰款的最高額提升至組織年度總營業額的 10%,或100 萬新幣。
除此之外,個人也有權向 PDPC 的主管部門進行投訴,以尋求有效的司法救濟、 獲得禁止令或從組織處就其法所造成的損失獲得賠償。
新加坡個人數據保護立法的目的,就是為了增強公眾信任、提升企業競爭力,提供更廣泛的組織問責制以保障消費者合法權益,為數據經濟發展提供強有力的支撐。
總體而言,新加坡采較為寬鬆的數據合規政策,為中國企業出海提供更大的便利及發展空間。
在未來可預期的一段時間裡,新加坡仍然是中國企業擴展的熱門國家。
但新加坡主管部門活躍的執法也提醒擴展的企業嚴格審查自身數據合規情況。
