8)傳輸限制義務 如果各組織需要將個人數據轉移到海外,例如將數據存儲在雲中,需要確保將數據傳送到的國家可提供與PDPA同等級別的數據保護標準。這一相當性標準可根據以下的方式來實現:
• 組織與數據接收者簽訂數據處理協議,以要求接收者為個人數據提供與 PDPA 規定相當的數據保護標準;
• 證明個人數據將被轉移到的國家/地區的適用法律提供了與PDPA規定相對應的數據保護標準;
• 取得數據主體對於傳輸的同意,該同意應當滿足特定的條件。
9)公開義務 組織應當採取適當的措施以及政策以確保其行為符合 PDPA 所規定的義務,並向社會公開有關其政策與實際操作的信息。實踐中,應至少委任一名數據保護專員負責確保該實體符合PDPA,並提供專員的聯繫方式,讓希望了解該組織數據保護政策的個人可以與數據保護專員進行聯繫。
(五)PDPA在僱傭關係中的運用
1、企業是否需要徵得求職者的同意才能收集和使用他的個人資料?
1)當個人以求職的形式自願向某一企業提供其個人資料時,他們被視為同意該企業以評估其工作申請而收集、使用和披露這些個人資料。
2)當該員工被僱傭時,企業繼續使用工作申請表中提供的個人資料來管理與該個人的關係是合理的。
3)如果該企業希望將個人數據用於上述情況以外的地方時,或者在PDPA沒有適用的例外情況下,則該企業必須通知員工並為此取得同意。
2、企業能否保存未被僱傭的求職者的個人資料?
1)這些資料只可保存在以法律為目的所需的時間內。
2)各企業還應注意到,求職者有權查閱及要求更正應聘企業所持有的有關其的個人資料。
3)根據要求,企業還必須向個人通報過去一年內使用其個人信息數據的方式。
4)如果最終沒有聘用此人,所涉個人信息數據是僅以評價為目的而保存的評論信息,則不要求各企業向個人提供此類信息。在這種情況下,企業不需要將在確定是否聘任的過程中所產生的評價意見通知到個人。
3、企業是否可以使用名片中的信息進行招聘?
PDPA第4條第5款規定,為商業用途提供的個人姓名、職位信息、工作電話或傳真號、工作地址、工作電子郵件地址及其他類似「業務聯繫方式」不在機構保護責任範圍之內。
4、PDPA如何適用於雇員的僱傭記錄?
1)應告知雇員:信息收集的目的、需要使用和披露其個人資料的情況並在收集、使用和披露之前取得同意 。
2)在許多情況下,僱主需要在關係開始時 ( 任命新雇員時 ) 獲得收集、使用和披露員工的個人信息數據的同意。在僱傭關係的不同階段,當需要更多個人資料時,應再次取得雇員的同意。雇員可選擇根據PDPA條 款規定撤回他們的同意。
3)如果所收集、使用或披露的信息是以評價為目的而收集、使用或披露的,即(除其他事項外)確定個人是否適合就業、在就業中晉升或繼續 就業的目的、資格證書等,則無須經過個人的同意,例如:從前僱主處獲得一份推薦信,以確定是否合適;或者獲取業績記錄或其他相關信息,以確定雇員的業績。
5、以管理或終止僱傭關係為目的的收集、使用及披露個人資料的法律範圍
1)雖然雇員不需要表示同意,但僱主必須通知其雇員其收集、使用 或披露個人信息數據的目的,但PDPA沒有規定通知的形式和方式。
2)為避免產生疑問,企業應具備向員工提供提出收集、使用和披露數據的目的的一般通知(例如:性能評估),企業應在每次收集員工個人信息前提供相應通知。
3)屬於「管理或終止僱傭關係」目的的個人信息數據範圍:
- 利用雇員的銀行帳戶信息對其發放工資
- 監查雇員在上班期間如何使用電腦網絡資源及公司內部網絡資源
- 管理工作人員福利計劃(例如:培訓/教育補貼)。
4)只要是有效或合法的目的情況下,企業可以繼續保留關於前雇員的個人數據。但是,在沒有明確界定的目的的情況下,不應保留個人數據信息。如果數據是在不確定的目的下和不確定的時間範圍內,則會相應增加違反PDPA條例的風險。
6、如果員工不遵守PDPA,公司需要承擔哪些「責任」?
1)企業對雇員在受僱期間所造成的任何違反行為負責 。特別是,在該僱傭過程中由雇員從事的任何行為或行為,不論其是否在此之前得到僱主的批准,均應由企業負責。
2)PDPA對「雇員」的定義中包括志願人員,對「僱傭」的定義中包括在無償志願服務關係下的工作。
(六)違反PDPA的法律後果
對於違反PDPA數據保護義務的機構,可能受到以下處罰:
1、停止違法收集、使用或披露個人數據;
2、刪除違法收集的個人數據;和/或
3、向被侵害人提供個人數據的訪問和糾正權限;
4、PDPA後續修訂,將罰款的最高額提升至組織年度總營業額的 10%,或 100 萬新加坡幣(二者中取其高)。
除此之外,個人也有權向 PDPC 的主管部門進行投訴,以尋求有效的司法救濟、 獲得禁止令或從組織處就其法所造成的損失獲得賠償。
三、《關於國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉諮詢指引》的使用範圍
2018年8月31日,PDPC頒布了《關於國民身份證及其他類別國民身份號碼的(個人數據保護法令)諮詢指引》(以下簡稱《身份號碼指引》),並自2019年9月1日起正式生效。《身份號碼指引》特彆強調對於新加坡國民身份證及身份證號的收集、使用和披露行為的規範。
根據《身份號碼指引》,機構一般不得收集、使用或披露國民身份證號碼或複印件。針對國民身份證號碼的規定,亦適用於出生證明號碼、外國人身份號碼和工作準證號碼(以上號碼在該《身份號碼指引》中統稱為「其他類別國民身份號碼」)、以及護照號碼。如確有需要收集護照號碼的,機構應將其收集限於非完整護照號碼上,並確保適當程度的安全以保護所收集的護照號碼,但法律允許的除外。這裡擇要列舉用處:
需要使用新加坡身份證號的情況:
✓ 新員工入職企業時
✓ 酒店入住登記時
✓ 在診所/醫院求醫時
✓ 申請行動電話號碼套餐時
✓ 報讀私人教育機構時
不需使用新加坡身份證號的情況:
x 免費泊車贖回服務時
x 加入任何零售會員俱樂部時
x 註冊任何服務或提交服務反饋時
x 在線購買電影票時
x 參加抽獎活動時
四、處罰案例
對違反新加坡PDPA的行為,將處以高額的罰款,最高罰款額為100萬新元(約等於535萬元人民幣)或一個機構組織在新加坡年營業額的10%,以金額最高者為準。因違反 PDPA 中的數據保護義務而遭受損失或損害的個人擁有私人訴訟權,並可以對該組織提起民事訴訟。自PDPA生效以來,PDPC已對未盡到保護個人數據義務或侵犯個人數據的多家機構作出了處罰。
據2019年8月6日公開消息,PDPC對五家機構未遵守《個人信息保護法》的行為作出了罰款。其中,
1、CDP未經授權披露CDP帳戶持有人的個人數據,被處以24,000美元的罰款;
2、Toppan Security Printing未經授權披露CDP帳戶持有人的個人數據,被處以18,000美元的罰款;
3、Horizon Fast Ferry因未能制定和實施數據保護政策,未能執行合理的安全措施來保護其客戶的個人數據而被處以54,000美元的罰款;
4、Genki Sushi由於未能實施合理的安全措施保護其員工的個人數據導致被勒索軟體攻擊而被處以16,000美元的罰款;
5、Championtutor因未聘用數據保護官以及未制定合規政策而被處以5,000美元的罰款。
而,處罰最重、影響最大的個人數據遭泄露的案例,是2019年的新康集團集群案。2018年6月27日至7月4日期間,新加坡健康服務私人有限公司(以下簡稱新康公司)的病例資料庫系統遭到網絡攻擊,黑客從公司資料庫中非法訪問和複製近150萬病人的個人數據和近160萬門診病人的處方記錄,導致大規模的病人數據泄露,是新加坡歷史上個人信息泄露最為嚴重的案件。PDPC遂依受害人的投訴啟動了調查程序,並在綜合考慮證據、當事人陳述,以及公司方面事後所採取的有效補救措施等減輕情節後,對新康公司和綜合健康信息系統公司分別作出了25萬新加坡元(約125萬元人民幣)和75萬新加坡元(約375萬元人民幣)罰款指令。PDPC認為,新康公司作為醫療機構可以將部分業務外包給服務供應商,但不能將其PDPA規定的法定義務亦轉移給他人。上述兩公司最終自願承認病例數據遭到泄露的事實,接受個保委的調查結果,同意按照個保委的指令承擔責任,並認為上述指令的處罰力度合理適當。
2022年1月14日,非政府組織新加坡自然協會(Nature Society)因違反新加坡《個人數據保護法》(PDPA),被新加坡個人數據保護委員會(PDPC)處以1.4萬新元(約合人民幣6.6萬元)的罰款。新加坡自然協會被PDPC提出多項違法指控:一是其網站資料庫未能採取合理措施對個人數據進行保護;二是未任命個人數據保護官;三是缺少遵守PDPA的書面政策和操作規程。
2023 年 11 月 10 日,PDPC 對 Ascentis Pte Ltd 施以一萬新元(摺合人民幣 約53,539 元)的罰款,因公司在持有或控制的個人數據保護方面未採取足夠的安全措施。此次罰款源於 2022 年發生的一起數據泄露事件。2022 年 9 月 13 日,PDPC 接到新加坡計算機應急工作組通知,指出星巴克咖啡新加坡分公司(星巴克 SG)電子商務平台泄露了 332,774 名用戶的個人數據,這些數據在網絡上被交易。PDPC 展開調查後發現,作為平台開發者的 Ascentis 違反了個人數據保護法(PDPA)第 24 條的「保護義務」。
PDPC 於 2023 年 11 月 10 日對東京世紀租賃(新加坡)有限公司(以下簡稱「東京世紀租賃」)實施了 82,000 新元(摺合人民幣約 439,025 元)的罰款,原因是公司未能遵循個人數據保護法(PDPA)第 24 條規定的保護義務,即未採取適當的安全措施來保護其持有或控制的個人數據。
五、新加坡企業數據合規,在哪些方面自查問題?
1、個人數據存儲是否儲存在內部系統或雲端(通過第三方供應商)?
2、數據存儲在以下前提下:
a)當前的IT基礎架構是否支持
b)有足夠的安全和網絡安全措施來防止數據被破壞
3、如果數據是通過第三方雲端儲存的,那麼有什麼安全措施?例如:每年進行獨立滲透測試,ISO 27001 信息安全管理系統認證和其他相關認證等。
4、在停電的情況下,是否有適當的後備措施來檢索和恢復「丟失的」 數據?包括第三方雲端提供的備份等措施。
5、在傳輸個人數據時,數據是否出於安全目的進行加密,它們是否符合相關的PDPA和/或GDPR策略?
6、其他內部措施:
- 進行風險評估,以確定信息安全安排是否適當
- 使用web應用防火牆
- 使用帶有自動更新的反病毒軟體
- 定期應用作業系統及軟體的安全更新
- 定期審查用戶訪問情況
注意,各企業必須遵守「2012個人信息保護條例」的以下條例:在PDPA於2014年7月2日生效之前收集的個人信息數據(原始收集的個人資料)可繼續使用,除非個人已撤回同意。如果在2014年7月2日之後獲得的個人信息數據,企業須通知並獲得收集、使用和披露的確認同意後方可使用個人信息數據。
六、對中資企業數據風控的建議
新加坡基礎設施完善、投資環境優越,對中國企業具有較強吸引力。但新加坡法制體系嚴密,建議中資企業應格外注意避免因運營不當或違規而導致處罰風險。
(一)增強保護所在國公民權利的意識
數字經濟時代偏見與歧視、數據隱私、數據控制權等社會問題頻發,就新加坡市場而言,一方面,新加坡社會公民的權利意識近年來在不斷上升。另一方面,新加坡政府也在加強針對新技術的監管,如在2018年11月新加坡金融管理局(MAS)發布了其原則,以加強針對金融領域AI的公平、道德、問責制和透明度的監管(FEAT)。因此,對相關領域的中國投資者來說,一旦交易、整合和日常經營觸及數據泄露等敏感社會問題,不但面臨被法律制裁的風險,還可能引發市場信任損失,令企業經營陷入不利地位。
(二)加強合規管理
充分理解客戶個人數據安全的重要性,尊重和保護客戶隱私權利。企業應從全面的視角,加強個人信息安全和隱私保護的能力,將數據保護要求嵌入公司制度的設立階段。除此之外,就獲取個人信息的授權以及用戶體驗的平衡點將是企業產品或服務的設計考慮中不可或缺的一部分。對於多地區經營的企業,為實現各地區開展的業務符合當地隱私保護法規的要求,應持續洞察相關法律法規的更新,並將法規的新要求轉換為公司內部的規定,優化內部流程,以保證公司開展的各類活動符合新加坡PDPA的要求。
最後,小編想說,新加坡不愧為「世界上最安全的國家之一」,不僅體現在個人人身安全,也體現在了個人信息安全的保障。為了竭儘可能保護大家的個人資料,新加坡政府還在不斷完善法律,加大法規的嚴謹性。
