新加坡國會11月2日三讀通過《個人資料保護法令》(Personal Data Protection Act,簡稱PDPA)修正法案,力求從加強問責、加強執法、加強消費者自主權以及鼓勵企業創新這四大面向著手,提升個人資料的潛在效益,同時降低安全風險,使新加坡的數據監管架構更完善。這是國會2012年通過PDPA後,新加坡政府首次修法。
未來一旦發生涉及至少500人的個資外泄事件,涉事機構除了得通知政府和受影響的用戶,還可被處以更高的罰款,相當於在新加坡高達10%的年度營業額或100萬元,以較高者為準。
不過,考慮到新冠疫情對新加坡公司的巨大經濟衝擊,新加坡政府將在新條例生效至少一年後,才實施相關罰款。修正後的條例預計今年底之前生效,換言之,罰款最快要到明年底才可能實行。
儘管罰則加重,新條例卻也為企業提供更大空間使用個人數據,以鼓勵創新。只要符合機構的「合法利益」,如防止詐欺和改良產品等,機構無須獲取個人同意,即可收集、使用或披露個人數據,但須先進行風險和影響評估。
打造數碼經濟
最新的個人資料保護法令修正案強調,配合打造數碼經濟而修法的同時,也加強管理資料外泄事件,包括處理不當導致資料外泄時,涉及的機構將面對更高刑罰。
在打造數碼經濟的進程中,數據是重要資產之一,也凸顯了數據採集和分析的重要性。新加坡通訊及新聞部長易華仁在國會提出《個人資料保護法令》修正案二讀時說,這方面的相關監管機制必須跟上變化的腳步,並強調互信是打造數碼經濟的重要基礎。
「 「消費者必須有信心他們的個人數據受到保護,而使用者會負責使用資料,即使他們也從數碼商機以及相關數據服務中受益,機構為了正當商業目的必須搜集資料也必須有相應的保護措施並承擔起責任。」
加重懲罰力度
根據修正條例,機構在發生大規模數據外泄事件時,必須在三天內向個人資料保護委員會通報。有關機構也必須通知利益可能因此嚴重受損的個人,讓他們能及時採取措施保護自己。
法案的一項關鍵條文,是調高違例機構所面對的罰款,處理個人數據不當而導致資料外泄的機構將面臨更高刑罰,最高罰金調高到相等於機構在新加坡一年營業額的10%或100萬元。牴觸謝絕來電相關條文的機構,面對最高罰金則相等於一年營業額5%或100萬元,個人則可面對最高20萬元罰款。
更好的保護消費者個人信息
13名議員參與辯論《個人資料保護法令》修正案。他們多數贊同對外泄事故採取更嚴厲的刑罰,並提出各種意見和疑問,包括如何幫助受新冠衝擊的企業過渡到新條例,給予個人更多選擇刪除資料等等。
其中,工人黨的盛港集選區議員蔡慶威、淡濱尼集選區議員朱倍慶等人,對企業只須符合「合法利益」,即可在不必獲得個人同意的情況下,收集、使用個資提出疑問。他們質疑企業和個人之間不平等的對價關係,以及企業可能從利己的角度出發,對「合法利益」採取過於主觀的定義。
個人信息外泄如何處理?
各平台上數碼身份相互連接越來越普遍。有議員提議數據外泄事件發生時,除了通報新加坡政府,也應該通知受影響的人及時防範。
消費者對他們的個人資料如何被收集、使用和分享,有著越來越高的意識,也日益關切。他們要求方便、快捷、個性化的用戶體驗和靈活性,同時在保護和使用其個人資料方面,要求得到更多的信心和保證。
丹戎巴葛集選區議員祖安清心說:
「
「應該有一個明確的期限,這樣各個受影響的人才能夠有效地採取保護自己的防範措施。通知他們的時間越長,潛在損害就更大。」
易華仁對此表示,新加坡政府將嚴格監管相關程序,包括明確規範如何使用數據,並規定機構進行風險和影響評估。他也提到,消費者可隨時撤銷同意,個人資料保護委員會也有權要求機構銷毀不當取得的數據。為強化新加坡民眾對個資安全的意識,個人資料保護委員會迄今已向7萬人進行相關宣導。
「 「雖然立法和監管很重要,但它不是萬能的,更不是萬無一失……我們須輔以良好做法,並隨時間推移演進。」
詐騙簡訊如何防範?
也有議員針對新加坡民眾仍繼續面對各種不必要的簡訊和電話困擾,向部長提問和提建議。
盛港集選區議員蔡慶威說:
「 「我們怎樣才能更好保護新加坡民眾不受來自犯罪集團的詐騙簡訊和電話困擾,尤其是容易受騙的年長者。委員會打算如何對在新加坡行騙的外國詐騙集團採取行動。」
國會修改了《垃圾電子信息管制法令》(Spam Control Act)和「謝絕來電」(Do Not Call)條例,將為消費者提供更大的保護,讓他們在電話、簡訊、即時通信和電郵等所有直接通信平台上,避免收到不必要的信息。
同時,有了數據流通(data portability)的新規定,消費者再也不用擔心被綁定在單一的服務供應商,而可以輕鬆地轉換到另一家服務供應商。
拉丁馬士區議員楊益財說:
「 「許多垃圾簡訊和電話來自海外的詐騙集團或非法放貸人。我希望新加坡政府能與電信公司合作,探討如何使用科技來禁止這類信息。」
易華仁部長在回應提問時表示,電信業者已經從今年4月起,在海外來電前顯示「+」符號,協助新加坡民眾識別來電,不過他認同必須採納更多科技方案來打擊海外詐騙行為。至於是否在指定時間內通知受資料外泄影響的個人,部長表示這雖然重要,但各種資料外泄情況不一,必須考慮到機構面臨的合規成本問題。部長也說首要考量是在消費者和企業之間取得適當平衡。
數碼化幫助企業振興
面對新冠疫情,企業不得不走向數碼化,以度過這場風暴,並在競爭中脫穎而出。數據使用和跨境數據流動的更大便捷性和確定性,將使企業在創新過程中占得先機。這反過來將有助於提升新加坡的經濟競爭力。
但是,企業須要展現它們對數據保護的承諾。結合與全球數據保護框架的互操作性,修正案將加強新加坡作為數據中心的地位,促進經濟振興和創造就業機會。
在符合機構的合法利益,且對公眾的益處大於對個人的不利影響的情況下,企業也可以收集、使用和披露個人資料。這將促進資訊科技和網絡安全,以及防止欺詐和洗黑錢等非法活動。要以「合法利益」作為收集、使用和披露個人資料的理由,企業必須滿足某些要求,例如按照《個人資料保護法令》的規定,進行風險和影響評估。
隨著企業積極推動利用跨領域的數據流通,來滿足消費者的體驗和期望,這為通過新的職業機會和職業發展途徑,以吸引和進一步培養一批數據保護專家和專業人員,提供了機會。
易華仁說:
「 「如果我們修改條例時過於偏向一方,消費者可能會失去對整個系統的信心和信任。如果我們過於偏向另一邊,那又會把企業綁得太緊,我們力求為消費者和整體經濟創造的效益,也會因此流失。」
