# 新加坡數據合規重點解讀 URL: https://www.shicheng.news/zh-hant/v/wBpnO Published: 2022-08-30 Source: 獅城新聞 根據世界銀行發布的《2020年營商環境報告》,新加坡營商環境高居世界第二。新加坡作為全球極具競爭力、開放性的經濟體,加之地緣及文化優勢,已成為中國企業重點考慮的出海地區。不少中國企業在新加坡設立法律實體,以便在亞洲地區展業。在全球數據保護日益嚴苛背景下,出海至新加坡的企業,特別是網際網路企業等處理大量數據的企業,需特別關注新加坡數據合規法律。 新加坡目前已建立了較為完善的數據法律體系,與歐盟GDPR相似,新加坡也設置了較高的處罰標準。例如,自2016年以來,新加坡個人數據保護委員會發布了一系列執法決定,其中Singapore Health Services Pte. Ltd.和Integrated Health Information Systems Pte. Ltd. 違反數據合規義務,被分別處以最高罰款250,000新加坡元和750,000新加坡元。 故而,本文將著重介紹新加坡數據法律體系。 **01、數據保護概括** 新加坡的數據保護法律體系以2012年的《個人數據保護法》(Personal Data Protection Act,以下簡稱「PDPA」)為主,該法是一部規範個人數據處理行為的綜合性立法。為了更好的執行PDPA,新加坡個人數據保護委員會(Personal Data Protection Commission ,以下簡稱「PDPC」)出台了一系列條例及指引,包括:《2021個人數據保護條例》(Personal Data Protection Regulations 2021,以下簡稱「PDPR」)、2021年《個人數據保護(數據泄露通知)條例》 \[Personal Data Protection (Notification of Data Breaches) Regulations 2021\]、2021年《個人數據保護(違法構成)條例》\[Personal Data Protection (Composition of Offences) Regulations 2021\]、2021年《個人數據保護(執行)條例》\[Personal Data Protection (Enforcement) Regulations 2021\]、2013年《個人數據保護(請勿致電登記處)條例》\[Personal Data Protection (Do Not Call Registry) Regulations 2013\]等。此外,PDPC還發布了諮詢指南,用以解釋PDPA以供企業合規參考。 **02、適用範圍** PDPA適用的主體包括個人、公司、協會、社會團體等法人或非法人團體,無論該等自然人或實體是否依據新加坡法律設立,是否為新加坡居民或居民企業,或是否在新加坡具有辦事處或營業地,只要以上自然人或實體具備以下數據處理行為,均適用於PDPA: 在新加坡處理個人信息,無論是新加坡居民個人信息及非新加坡居民個人信息; 處理新加坡居民個人信息。 值得注意的是,如新加坡的組織收集非新加坡居民的個人數據,將其用於新加坡,並為自身目的使用或披露,該組織除需受到數據主體所在國家/地區的數據保護法律的約束外,還需要遵守PDPA的約束。 此外,PDPA第4條明確了不適用於PDPA的數據處理行為,如以個人或家庭身份行事的個人、受僱於某一組織工作的任何雇員、處理至少存在100年的記錄中的個人數據以及已故10年以上的個人數據等。 **03、處理合法性基礎** 新加坡關於數據處理合法性基礎與《個人信息保護法》存在相似之處,可以對標《個人信息保護法》第13條進行交叉理解。 ![新加坡數據合規重點解讀](https://www.shicheng.news/images/image/1704/17043365.avif?1679368618) **04、數據控制者義務** PDPC關鍵信息諮詢指南概括了PDPA項下數據控制者的主要義務,具體如下: ![新加坡數據合規重點解讀](https://www.shicheng.news/images/image/1704/17043366.avif?1679368617) **05、同意要求** 「同意」為最廣泛的數據處理行為的合法性基礎。值得注意的是,新加坡的「同意」包括「視為同意」(Deemed Consent),PDPA將「視為同意」區分成視為行為同意、根據合同必要性被視為同意以及通過通知視為同意,下表將簡述上述三種「視為同意」的要求。 ![新加坡數據合規重點解讀](https://www.shicheng.news/images/image/1704/17043367.avif?1679368617) **06、數據主體權利與保護** 新加坡數據保護法律體系下的數據主體權利、行權及數據控制者行權響應詳見下表: ![新加坡數據合規重點解讀](https://www.shicheng.news/images/image/1704/17043368.avif?1679368617) **07、跨境傳輸** 對於涉及數據跨境的企業而言,跨境傳輸為一重大合規要點。根據PDPA,數據控制者不得將任何個人數據轉移到新加坡以外的國家/地區,除非根據PDPA要求,轉移組織採取適當的步驟確保個人數據的接收方受法律強制義務的約束,為傳輸的個人數據提供至少與PDPA相當的保護標準,具體詳見下表: ![新加坡數據合規重點解讀](https://www.shicheng.news/images/image/1704/17043369.avif?1679368616) **08、法律責任承擔** 數據控制者違法違規處理個人數據,需要承擔法律責任,主要包括以下方面: 1.停止違反 PDPA 收集、使用或披露個人數據的行為; 2.銷毀違反 PDPA 收集的個人數據; 3.提供訪問或更正個人數據的權限; 4.最高罰款:100萬新元;如果在新加坡年營業額超過1000萬新元,罰款為其在新加坡的年營業額的10%。 以上為我們對新加坡數據合規的重點解讀,我們也將以新加坡為起始點,陸續推出聚焦東南亞各國的數據合規重點解讀文章,以期為出海東南亞地區的企業提供參考。 來源:蘭迪律師事務所 丁學明律師