新加坡數據合規重點解讀

2022年08月30日 • 2萬次閱讀

根據世界銀行發布的《2020年營商環境報告》，新加坡營商環境高居世界第二。新加坡作為全球極具競爭力、開放性的經濟體，加之地緣及文化優勢，已成為中國企業重點考慮的出海地區。不少中國企業在新加坡設立法律實體，以便在亞洲地區展業。在全球數據保護日益嚴苛背景下，出海至新加坡的企業，特別是網際網路企業等處理大量數據的企業，需特別關注新加坡數據合規法律。

新加坡目前已建立了較為完善的數據法律體系，與歐盟GDPR相似，新加坡也設置了較高的處罰標準。例如，自2016年以來，新加坡個人數據保護委員會發布了一系列執法決定，其中Singapore Health Services Pte. Ltd.和Integrated Health Information Systems Pte. Ltd. 違反數據合規義務，被分別處以最高罰款250,000新加坡元和750,000新加坡元。

故而，本文將著重介紹新加坡數據法律體系。

01、數據保護概括

新加坡的數據保護法律體系以2012年的《個人數據保護法》（Personal Data Protection Act，以下簡稱「PDPA」）為主，該法是一部規範個人數據處理行為的綜合性立法。為了更好的執行PDPA，新加坡個人數據保護委員會（Personal Data Protection Commission ，以下簡稱「PDPC」）出台了一系列條例及指引，包括：《2021個人數據保護條例》（Personal Data Protection Regulations 2021，以下簡稱「PDPR」）、2021年《個人數據保護（數據泄露通知）條例》 [Personal Data Protection (Notification of Data Breaches) Regulations 2021]、2021年《個人數據保護（違法構成）條例》[Personal Data Protection (Composition of Offences) Regulations 2021]、2021年《個人數據保護（執行）條例》[Personal Data Protection (Enforcement) Regulations 2021]、2013年《個人數據保護（請勿致電登記處）條例》[Personal Data Protection (Do Not Call Registry) Regulations 2013]等。此外，PDPC還發布了諮詢指南，用以解釋PDPA以供企業合規參考。

02、適用範圍

PDPA適用的主體包括個人、公司、協會、社會團體等法人或非法人團體，無論該等自然人或實體是否依據新加坡法律設立，是否為新加坡居民或居民企業，或是否在新加坡具有辦事處或營業地，只要以上自然人或實體具備以下數據處理行為，均適用於PDPA：

在新加坡處理個人信息，無論是新加坡居民個人信息及非新加坡居民個人信息；

處理新加坡居民個人信息。

值得注意的是，如新加坡的組織收集非新加坡居民的個人數據，將其用於新加坡，並為自身目的使用或披露，該組織除需受到數據主體所在國家/地區的數據保護法律的約束外，還需要遵守PDPA的約束。

此外，PDPA第4條明確了不適用於PDPA的數據處理行為，如以個人或家庭身份行事的個人、受僱於某一組織工作的任何雇員、處理至少存在100年的記錄中的個人數據以及已故10年以上的個人數據等。

03、處理合法性基礎

新加坡關於數據處理合法性基礎與《個人信息保護法》存在相似之處，可以對標《個人信息保護法》第13條進行交叉理解。