近日,新加坡新修訂的個人資料保護條例在引入問責制後正式生效。條例規定,違例機構最高將被處以罰款100萬新元(摺合約516萬元人民幣)。自2012年以來,新加坡政府在個人資料保護方面,不斷創新和完善監管機制,已經走在亞洲國家的前列。
新條例生效
根據新加坡個人資料保護委員會(簡稱PDPC)8月發布的聲明,鑒於新修訂的個人資料保護條例從9月1日起正式生效,該委員會提醒商家和從業者在新條例生效後不能再任意收集、使用和公開個人身份證號碼或扣押顧客身份證,規定只有在法律規定或有必要證明身份時,才能向公眾索取身份證號碼。新修訂的個人資料保護條例生效後,違例機構將視情節處以罰款,最高100萬新元。
據了解,新條例規定的個人資料是指可以識別特定個人的任何信息,包括姓名、身份證號碼、指紋、護照、工作證、出生證、個人手機號碼以及外籍身份證等。根據新規定,公司必須在獲得消費者允許後,才能收集和使用消費者的個人信息,公司也需向消費者解釋他們收集和披露消費者個人信息的原因。
據此前報道,2013年新加坡《個人資料保護條例》正式生效,主要涵蓋兩個範圍:一是保護個人資料不被濫用;二是杜絕行銷來電和信息。
自《個人資料保護條例》實施以來,新加坡個人資料保護委員會一直致力於建立一套標準和規則,負責對公司有關經營管理活動的合規性進行監督。2019年新加坡修訂的新條例把這種監督機制從合規性監督轉變為問責制監督。
案件倒逼改革
新加坡歷史上最嚴重的個人數據泄露案是促使新加坡個人保護條例引入問責制的動因之一。
據報道,2018年7月,新加坡健康服務公司(SingHealth)的患者資料庫遭到網絡攻擊,導致150萬名患者的個人信息被泄露,16萬名患者的門診病歷遭入侵,其中包括新加坡總理李顯龍等多名政要。
根據新加坡個人資料保護委員會發布的通報,該事件是新加坡歷史上最嚴重的個人數據泄露事件,其間接到了大量的公眾投訴。此次網絡攻擊始於2017年8月一次對個人工作站的侵入,此後攻擊者利用病毒軟體獲得了其他工作站的遠程控制權限,並於2018年6月27日至7月4日設法盜取了150萬名患者信息包括診斷報告、藥物記錄等。這些都是高度敏感的個人數據,一旦被外人所知,將對當事人產生不小的影響。
事件發生後,新加坡個人數據保護委員會於2019年1月宣布,認定新加坡健康服務公司和技術供應商(IHis)負有主要責任,兩家公司被罰款100萬新元。其中技術供應商因未採取足夠的安全措施保障病患個人資料被罰款75萬新元,新保集團則是因負責處理安全事故的人員對事故應對程序不熟悉,且過度依賴技術供應商,被罰款25萬新元。該委員會勒令兩家公司在30天內繳納罰款。
針對該案的處罰結果,新加坡數據保護資訊委員會執行主席認為,在收集掌握大量個人信息後,數據控制者需要承擔法律責任,涉及到個人數據轉移時,必須保證數據接收方有同等的保護水平。
創新完善機制
除了引入問責制,新加坡政府通過加強培訓、手機應用服務等方式,創新完善監督機制。
新加坡個人資料保護委員會的代表稱,數據是數字化轉型的關鍵推動因素,但必須在數據保護和業務創新之間取得平衡。我們正採取堅定步驟,將新加坡定位為全球數字經濟中值得信賴的數據中心。
為加強保護消費者信息,新加坡個人資料保護委員會於去年8月宣布了這項新條例,並給商家和從業者留出一年時間改善運作模式以符合新條例要求。新條例允許商家和從業者在一些商業場景中可以繼續收集消費者個人信息。但同時規定,商家和從業者在收集消費者身份證或副本等證件時,必須向個人或政府個人資料保護委員會解釋其必要性。
新加坡個人資料保護委員會鼓勵商家和從業者按其商業模式和營運需求,選擇採用其他方式來識別消費者,比如採用電子政府密碼應用服務,以避免過度收集消費者的其他個人資料。為此,新加坡個人資料保護委員會率先推出了首個數據保護專員技能框架,旨在培訓有關人員兼具數據保護與數據創新兩種技能,便於商家和從業者穩妥收集與使用數據,利用新興科技推動創新。
