個人資料保護法令修正案昨天在國會通過,其中,涉及個資外泄事件的機構罰款額上調。不過,爲免疫情下給企業帶來過重負擔,政府將在新條例生效至少一年後才實施相關罰款,因此最快明年底才可能實行。
國會昨天通過個人資料保護法令修正案,未來一旦發生涉及至少500人的個資外泄事件,涉事機構除了得通知政府和受影響的用戶,還可被處以更高的罰款,相當于在本地高達10%的年度營業額或100萬元,以較高者爲准。
不過,考慮到冠病疫情對本地公司的巨大經濟沖擊,政府將在新條例生效至少一年後,才實施相關罰款。修正後的條例預計今年底之前生效,換言之,罰款最快要到明年底才可能實行。
盡管罰則加重,新條例卻也爲企業提供更大空間使用個人數據,以鼓勵創新。只要符合機構的“合法利益”,如防止詐欺和改良産品等,機構無須獲取個人同意,即可收集、使用或披露個人數據,但須先進行風險和影響評估。
國會昨天三讀通過《個人資料保護法令》(Personal Data Protection Act,簡稱PDPA)修正法案,力求從加強問責、加強執法、加強消費者自主權以及鼓勵企業創新這四大面向著手,提升個人資料的潛在效益,同時降低安全風險,使我國的數據監管架構更完善。這是國會2012年通過PDPA後,政府首次修法。
法案的一項關鍵條文,是調高違例機構所面對的罰款,從原本的最高100萬元,調高至多達10%的年度營業額或100萬元,以較高者爲准。政府也規定,當數據外泄事件涉及至少500人,或是會對個人造成嚴重影響如身份盜竊或欺詐時,機構須在三天內通知個人資料保護委員會,並盡快通知受影響者。
多名議員質疑設定通報人數門檻
然而,有國會代議士如丹戎巴葛集選區議員祖安清心認爲,政府不該爲強制通報設定人數門檻,機構也須在明確時限內通知受影響的用戶。
對此,易華仁爲辯論總結時回應說,政府是根據過去的執法案件,以及參考其他司法管轄區如澳大利亞和歐盟等地做法,設置500人的“合理”門檻。他也提到,當局制定標准時,也須考慮機構因遵行各項管制而得承擔的成本。
“我們首先要意識到,這是個微妙的動態平衡,因爲如果我們向一個方向過度糾正,消費者可能無法保持對制度的信心和信任。如果往另一個方向傾斜,則可能鉗制我們的企業,而我們試圖爲消費者和經濟創造的利益會隨之減少。”
個人資料保護委員會去年共調查185起案件,並對其中58宗祭出處分。這當中,委員會共對39家機構開罰170萬元,包括去年分別被罰款75萬元和25萬元的綜合保健信息系統公司和新加坡保健服務集團。這兩家機構前年因內部疏失,導致約150萬病人的個人資料被盜。
共13名後座議員和政治職務者參與昨天的辯論。其中,工人黨的盛港集選區議員蔡慶威、淡濱尼集選區議員朱倍慶等人,對企業只須符合“合法利益”,即可在不必獲得個人同意的情況下,收集、使用個資提出疑問。他們質疑企業和個人之間不平等的對價關系,以及企業可能從利己的角度出發,對“合法利益”采取過于主觀的定義。
易華仁指出,當局將嚴格監管相關程序,包括明確規範如何使用數據,並規定機構進行風險和影響評估。他也提到,消費者可隨時撤銷同意,個人資料保護委員會也有權要求機構銷毀不當取得的數據。爲強化國人對個資安全的意識,個人資料保護委員會迄今已向7萬人進行相關宣導。
“雖然立法和監管很重要,但它不是萬能的,更不是萬無一失……我們須輔以良好做法,並隨時間推移演進。”
國會今天繼續開會。