新加坡作為全球領先的國際金融中心,數據保護合規性已成為企業日常運營的關鍵部分。自2012年《個人數據保護法》(PDPA)實施以來,新加坡政府不斷增強對個人數據隱私的保護力度,確保數據處理活動的透明度和安全性。該法案不僅對企業如何處理個人數據設定了明確的要求,還賦予了個人對其數據的控制權,包括同意權、訪問權和更正權等。
《個人數據保護法》(PDPA)簡介
隨著數字經濟的迅猛發展,新加坡對PDPA進行了多次修訂,以提升數據隱私保護的標準。2020年11月,新加坡對PDPA的最新修訂版於2021年2月1日開始實施,其中一項重要變化是引入了強制性數據泄露通知制度。這一制度要求,一旦發生數據泄露事件,組織必須及時通知個人數據保護委員會(PDPC)及受影響的個人。
到了2024年,新加坡個人數據保護委員會再次強調企業任命數據保護官(DPO)的重要性。根據《2012年個人數據保護法》(PDPA) (2024年8月22日修訂)的第11(3)條和11(5)條,在新加坡設立的企業必須指定一名或多名數據保護官,並向公眾公開其業務聯繫信息。PDPC鼓勵企業在2024年9月30日前通過ACRA Bizfile+網站提交公司DPO的相關信息。以下是PDPA的概述改寫:
個人數據的定義:個人數據是指能夠直接或與其他信息結合識別特定自然人的數據。
PDPA的目標:PDPA旨在平衡個人數據保護的需求與組織合法、合理使用個人數據的必要性。該法案旨在防止個人數據被濫用,維持個人對管理其數據的組織的信任,並通過規範個人數據流動,鞏固新加坡作為企業信賴中心的地位。
PDPA的適用範圍
PDPA適用於電子和非電子格式存儲的個人數據,通常不適用於個人或家庭用途、組織員工、公共機構以及商業聯繫信息。
數據保護義務:組織開展涉及個人數據的活動時,需遵守以下義務:
問責義務:確保組織履行PDPA規定的義務,如指定DPO並向公眾提供業務聯繫信息。
通知義務:告知個人收集、使用或披露其個人數據的目的。
同意義務:僅在個人同意的情況下收集、使用或披露其個人數據。
目的限制義務:僅用於個人同意的適當目的。
準確性義務:確保個人數據的準確性和完整性。
保護義務:採取合理措施保護個人數據。
保留限制義務:不再需要時停止保留個人數據。
轉讓限制義務:根據法律規定轉移個人數據。
訪問和更正義務:提供個人數據的訪問權限,並在必要時進行更正。
數據泄露通知義務:發生數據泄露時,及時通知PDPC和受影響的個人。
數據可移植性義務:根據個人要求,將個人數據傳輸給其他組織。
