按:在全球化以及電子商務和跨境貿易迅速發展的時代背景下,大量的個人信息數據由於各種原因被第三方主體收集和使用,各國對數據安全問題都高度重視,均通過頒布政策法規、加強監管執法、提升安全治理技術能力等舉措,全面強化數據安全保護。
新加坡,作為亞洲的商業中心,因其地理位置優越和基礎設施完善,吸引了眾多電信和網際網路服務商在此部署伺服器和數據中心。這使得新加坡成為亞洲網絡流量的樞紐和全球網際網路的關鍵交換點之一。同時,新加坡的數據立法完善,數據保護水平居世界前列。
對於中國企業來說,在進入新加坡市場時,需特別注意遵守新加坡的數據合規要求,避免違反監管要求。本文旨在介紹新加坡的數據保護、違規處罰案例及數據風控的建議,為企業出海前策劃新加坡數據合規的布局及日常經營合規提供參考。
一、新加坡數據保護法律體系概覽
新加坡在個人數據保護方面的立法已有12年的歷史,其數據保護體系以2012年的《個人數據保護法》(Personal Data Protection Act,簡稱「PDPA」或者「《個保法》」)為主,該法是一部規範個人數據的收集、使用和披露的綜合性立法。自2013年1月開始分階段生效,該法令賦予公民個人數據被保護的權利,並詳細規範了機構/企業對於個人信息數據收集、利用或披露的要求,確保公民的個人數據不被濫用,且在受到侵害時可尋求法律保護。
為了更好地執行《個人數據保護法》,新加坡還配套出台了針對特定領域(如電信業、房地產行業、教育行業、醫療行業、社會公益服務行業)的各項個人數據保護的條例及指引(附屬立法),以指導企業更好地對個人數據進行保護,且不斷根據現實情況對之前的立法進行修訂和完善。
其中,2014年《個人數據保護條例》(Personal Data Protection Regulations)是《個保法》的主要附屬立法,重點規制查閱、更正個人數據和轉移個人數據等內容。2018年以來,新加坡在個人數據保護法的立法方面又有一些頗受矚目的新進展,比較重要的有2019年1月14日頒布的重要案例,而2018 年 8 月 31 日頒布的《關於國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉諮詢指引》和 2020 年 5 月 14 日《個人數據保護法(修訂)草案》徵求意見稿,體現了新的立法動向。
1、條例
2013年《個人數據保護(違法構成)條例》[Personal Data Protection (Composition of offences) Regulations]、
2013年《個人數據保護(禁止調用註冊表)條例》[Personal Data Protection (Do Not Call Registry) Regulations]、
2014年《個人數據保護(執行)條例》[Personal Data Protection (Enforcement) Regulations],
2014年《個人數據保護條例》(Personal Data Protection Regulations)
上述四項條例一起於2014年7月2日起實施。
2015年1月23日開始實施的《個人數據保護(上訴)條例》[Personal Data Protection (Appeal) Regulations]。
2、指引
新加坡個人資料保護委員會根據《個人數據保護法》第49(1)條發出的諮詢指引(下稱「指引」),就委員會如何解釋《個人數據保護法》的條文提供指引。
主要的諮詢指引共7項:
2019年10月9日修訂的《個人數據保護法》主要概念的諮詢指引;
2019年10月9日修訂的《個人數據保護法》選定專題的諮詢指引;
2017年7月27日修訂的關於謝絕來電的諮詢指引;
2015年5月8日發布的關於市場推廣需要徵得同意的諮詢指引;
2016年4月21日發布的數據保護規定執行的諮詢指引;
2017年8月8日發布的將PDPA應用於選舉活動的諮詢指引;
2018年8月31日發布的關於國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉諮詢指引
此外,新加坡個人數據保護委員會認識到不同的行業部門可能存在特定於部門的問題,因此制定了針對特定部門的諮詢指引來解決此類問題。這些諮詢指引是根據PDPC從相關行業成員那裡收到的有關查詢和反饋,並與相關行業監管機構密切合作而制定的。主要包括以下7項:
2014年5月16日發布的電訊行業諮詢指引;
2014年5月16日發布的房地產中介行業諮詢指引;
2018年8月31日修訂的教育行業諮詢指引;
2017年3月28日修訂的醫療保健行業諮詢指引;
2018年8月31日修訂的社會服務業諮詢指引;
2018年5月22日修訂的運輸服務出租汽車記錄諮詢指引;
2019年3月11日發布的公司管理諮詢指引。
新加坡個人數據保護委員會對行業協會針對《個人數據保護法》制訂的行業指引提供意見和建議。到目前為止發布的行業指引包括以下兩項:
2015年4月1日發布的LIA關於《新加坡個人數據保護法》的人壽保險公司業務守則;
2015年4月1日發布的LIA關於《新加坡個人資料保護法令》固定保險代理人行為守則。
此外,新加坡個人數據保護委員會出版了一系列其他指引以供參考:
2019年9月26日修訂的通知指引;
2017年1月20日修訂的電子媒介中的個人數據保護指引;
2016年4月21日發布的通過讀卡器進行支付卡磁條傳遞的實踐指引;
2016年6月9日發布的處理訪問請求的指引;
2016年7月20日發布的關於個人數據處理協議的數據保護條款指引;
2018年7月10日修訂的中小企業網站建設指引;
2017年1月20日修訂的物理媒介上個人數據處理指引;
2017年1月20日發布的處理和發送個人數據時防止意外泄露的指引;
2019年7月15日發布的制定數據保護管理計劃指引;
2017年11月1日發布的數據保護影響評估指引;
2018年1月25日發布的基本數據匿名化技術指引;
2018年5月3日發布的機構印刷流程指引;
2019年8月26日修訂的有關NRIC和其他國民身份證號碼的PDPA諮詢準則的技術指引;
2019年5月22日發布的數據泄露管理指引2.0;
2019年5月22日發布的積極執法指引;
2019年5月31日出版的資訊及通訊科技系統設計保護資料指引;
2019年7月15日出版的個人數據保護法問責指引。
二、數據保護的監管機構——個人數據保護委員會 PDPC
為了更好的管理和執行PDPA,新加坡政府於2013年1月2日成立了個人數據保護委員會(Personal Data Protection Commission,簡稱「PDPC」或「個保委」),負責管理和執行《個人數據保護法》的相關事項,在企業和用戶之間建立可信環境,為新加坡經濟的蓬勃發展做出貢獻,並代表新加坡政府處理有關數據保護相關的國際事務。
此外,PDPC還負責監督「謝絕來電」(Do Not Call, DNC)登記處的開發和運營,禁止任何機構向謝絕來電登記簿登記的新加坡電話號碼發送營銷信息,以確保個人只收到他們想要的電話營銷信息,並通過增加消費者信心和信任來協助企業提升客戶關係等。
三、新加坡PDPA《個人資料保護法》主要內容和運用
(一)新加坡PDPA與歐盟GDPR的對比
2018年5月25日,歐盟的《通用數據保護條例》(General Data Protection Regulation,簡稱「GDPR」)開始生效。GDPR高度重視個人數據保護與監管,為之設置了一系列的保護門檻和機制,被業界與學界稱為「史上最嚴」的個人數據保護法案。下面我們對PDPA與GDPR進行簡單的對比:
(二)PDPA的適用範圍
PDPA的核心在於如何定義「個人數據」,該法將其定義為與在世或已故的個人相關的數據,不論數據的真實性如何,只要該數據獨立或與組織已獲取或可能獲取的其他信息相結合後,能夠識別出個體即可。
對於適用主體,PDPA使用「組織」一詞,包括所有在新加坡境內外收集、使用或披露個人數據的自然人、個體工商戶、合夥企業、公司或其他形式的組織。然而,以下主體不適用於此法規:
個人或家庭生活中行事的個人;
員工在受僱於組織過程中的行為;
政府機構。
此外,PDPA適用於以電子或非電子形式存儲的所有個人數據,但不包括以下數據:
已存在至少100年的記錄中的個人數據;
已故個人逾10年的個人數據;
商務聯繫信息,例如個人姓名、職務、工作電話、地址和電子郵件等。
總體來說,PDPA對在新加坡內外收集、使用或披露個人數據的自然人和企業實體都適用,但不對個人或家庭的私人行為、員工在職務執行中的行為以及政府行為施加約束。該法律對個人數據的解釋相對寬泛,側重於可識別性的抽象規則,未具體列舉哪些數據屬於個人數據,保護的範圍既包括在世的個人也包括符合條件的已故個人的數據,但不包括商務聯繫信息。
(三)授權同意
在新加坡的PDPA法規中,個人數據處理的合法性主要基於信息主體的同意。根據PDPA第14條,除非法律有特別豁免或視為同意的規定,組織在收集、使用或披露個人數據時,原則上必須履行告知義務並取得個人的明確同意。個人在提供同意後,還保留隨時撤回同意的權利,可以向組織發出撤回同意的通知。
值得注意的是,PDPA允許在滿足特定條件下,組織可以不經過同意,直接為商業改進目的收集、使用、披露個人數據。這一點與中國的《個人信息保護法》有所不同,後者僅在處理已公開的個人信息和涉及公共利益的情況下允許豁免同意,而以商業改進為目的處理個人信息則需要獲得信息主體的明示同意。
儘管PDPA在允許為商業目的使用個人數據方面較為寬鬆,但為防止濫用這一規定,非以商業改進為目的的處理活動並不能豁免同意。例如,PDPA明確指出,在使用個人數據進行直接營銷、發送營銷信息等活動時,必須獲得個人的明示同意,這些情況下不能使用豁免同意的方式進行。這些規定旨在確保個人數據的處理活動在合理、透明的基礎上進行,保護數據主體的權益。
(四)PDPA的數據處理原則
PDPA共規定了9條原則,各組織在處理個人數據時必須遵守。
1)同意義務 在收集、使用或披露個人信息時,各組織必須先徵得個人的授權同意, 並且在個人給予合理的通知後,允許個人撤銷同意。在撤銷同意後,各組織必須停止收集、使用和/或披露這些個人資料。
2)目的限制義務 各組織只可收集、使用或披露個人同意的用途,這些個人數據只可被 使用在適用於各組織提供的產品或服務的合理範圍內。
3)告知義務 各組織必須在收集、使用或披露您的個人資料之前向個人解釋收集個人資料的原因及使用目的和範圍。
4)訪問權限及更正義務 在接到相關個人的請求後,組織應當向其提供其個人數據被使用和被披露的有關信息,如果個人要求更正其個人資料中的任何錯誤或遺漏,組織必須儘快接受該要求。
5)準確性義務 組織需確保個人資料的完整和準確性。
6)保護義務 各組織應制定必要的安全措施,以保護個人數據的安全,以防止個人數據遭受未經授權的訪問、收集、使用、披露、複製、更改、處置或其他類似的風險威脅。
7)存儲限制義務 各組織只可在法律或業務的所需的目的之下保留個人數據。如果數據儲存對商業目的的實現或者收集個人資料的目的已不再是必需時,則相關組織必須停止存儲這些個人數據,或移除個人數據與特定個人的關聯。
