新加坡已經更新了其《個人數據保護法》(Personal Data Protection Act,PDPA),允許本地企業在未經事先同意的情況下就出于某些目的(例如業務改進和研究)使用消費者數據。同時修正案還規定對數據泄露處以更嚴厲的罰款,最高罰款可以高于先前的100萬新加坡元。
該法案由個人資料保護委員會(PDPC)管理,修訂于周一在議會獲得通過。此時,距離2012年10月該法案出台已有八年時間。
在討論修正案的演講中,新加坡通信和信息部長伊斯瓦蘭(S. Iswaran)表示,在數字經濟中,數據是一項重要的經濟資産,不僅提供了有價值的見解,還爲企業提供了信息和效率。
Iswaran說,數據還將增強創新能力,提高産品質量,成爲具有變革性潛力的人工智能(AI)等新興技術的關鍵資源。新加坡的監管架構必須與時俱進。
在談到建立數字經濟協議的努力時,他表示,這些舉措將亞洲國家定位爲“全球數字流動和交易網絡的關鍵節點”。PDPA的修正案還旨在確保其立法體制“適合”數據環境下複雜的數字經濟,法律必須建立在信任的基礎上。消費者必須相信他們的個人數據是安全的,並負責任地使用,即使他們正受益于數字機遇和數據驅動的服務。
Iswaran說,公司還需要確定以合法的商業目的利用個人數據,並且要有必要的保障和問責。
他指出,有關修訂力求取得平衡,以最大程度地提高收益並最大程度地減少收集和使用個人數據的風險。
其中關鍵的變化是“同意的例外”要求,現在允許企業爲“合法目的”、業務改進和更廣泛的研發範圍使用、收集和披露數據。除了爲了調查和應對緊急情況的現有同意外,現在還包括打擊欺詐、改進産品和服務以及爲了解潛在客戶群而開展的市場研究工作。
此外,根據PDPA“視爲同意”的進一步修訂,現在將允許組織與外部承包商共享數據,以履行客戶合同。他說,這符合“現代商業安排”和包括安全在內的基本目的。
企業還可以在未經同意的情況下使用數據來促進可能尚未標記爲生産的研究和開發(R&D)。
Iswaran解釋說,這可以適用于從事科學研發的研究機構或從事社會科學研究的教育機構,以及開展市場研究以識別和了解潛在客戶群的企業。但是除“被視爲”和“例外”之外,所有其他目的,如直接營銷信息,仍需事先獲得消費者的事先同意。
根據修正案,因數據被盜而面臨經濟處罰的機構現在可能不得不支付更高數額的罰款。該修正案規定,對數據被盜企業的罰款最高可達年營業額的10%,或100萬新加坡元(合735490美元),以金額更高者爲准。此前的罰款上限爲100萬新加坡元。
政府還出台了讓消費者在使用服務産生的數據方面擁有更大自主權,並在如何接收商業通信方面擁有更多控制權的修正案。新的數據可攜性規定允許個人要求將其資料的副本傳送給其他機構。預期這將鼓勵發展替代服務或正常服務,從而刺激競爭並使消費者受益。
Iswaran表示,由于數據可攜性在新加坡還是一個相對較新的概念,因此將分階段推出。他說,更多細節將在晚些時候公布,包括可攜帶的數據類別,以及其他技術和消費者保護指南。
令一些議員表示擔憂的是,這些修正案,特別是關于例外情況和被視爲同意的修正案,範圍太廣,可能會被組織濫用。例如,在考慮這些利益是否大于對個人的潛在不利影響時,可以從組織的角度、主觀的評估看待“合法利益”,這是修正案中概述的要求。
作爲回應,Iswaran表示,在被視爲同意或例外同意的情況下使用數據,將被貼上安全保護的標簽,比如要求企業進行風險評估,以確定哪些是“合法的”,並對數據的使用方式設置明確的限制。
“ [征得例外同意],組織必須進行評估,以消除或減少與收集、使用或披露個人數據有關的風險,並且必須確信這樣做的總體利益要大于對個人數據使用的任何潛在不利影響。”他補充說,PDPC將概述有關公司應如何進行風險評估的指南。
另外,即使在選擇退出期過後,個人仍可以撤回同意。
在總結修訂目標時,這位部長表示,“微妙的平衡”至關重要,因爲過度修正將導致消費者信任度下降,而反向修正將束縛企業,削弱政府希望實現的創新和經濟效益。
Iswaran指出,立法不是萬靈藥,也不能消除數據泄露的風險,新加坡必須保持靈活和互操作性。
他補充說,法律必須與良好的實踐相輔相成,這些實踐必須隨著時間的推移而不斷發展。他敦促每個人都要發揮作用,爲維護國家數據制度的安全和可用性承擔責任。
他說,政府制定和執行這些規則是爲了適應不斷變化的市場環境,以確保新加坡在新的數字要求中保持競爭力。企業也應該認識到,支持一個健壯的數據體系,並通過數據政策使自己合規,符合自己的利益。
消費者也應該爲他們自己的數據承擔責任,因爲他們終于可以選擇隨時退出了。
據這位部長說,PDPC去年調查了185起涉及數據泄露的案件,並發布了58項決定。政府下令39個機構支付170萬新幣的罰款,其中最高的分別是75萬新幣和25萬新幣,分別支付給綜合衛生信息系統和新加坡衛生服務機構。(本文出自SCA安全通信聯盟,轉載請注明出處。)