新加坡的個人數據保護立法已有8年多曆史,主要意在保護公民的個人數據不受機構的侵犯,並確保公民在個人數據受到侵害時可尋求法律保護。其《個人數據保護法令》(以下簡稱《個保法令》)于2012年10月由議會通過,該法主體部分于2014年7月生效。隨後該國又制定九部配套的附屬立法,其中重要的有2014年《個人數據保護規例》等。
2018年以來,新加坡在個人數據保護法的立法方面又有一些頗受矚目的新進展,其中主要有2019年1月14日頒布的重要案例、2018年8月31日頒布的《關于國民身份證及其他類別國民身份號碼的(個人數據保護法令)咨詢指南》和2020年5月14日《個人數據保護法(修訂)草案》的公開征求意見稿等。
個人數據保護立法的
主要內容
《個保法令》第2條對個人數據采用開放式定義,是指真實或者不真實的可用來識別個體的特定數據,或者機構可以查閱的或有可能查閱的可用來識別個體的特定數據與其他信息,包括全名、身份證或護照號碼、個人照片或視頻圖像、手機號碼、電子郵件地址、指紋和住址等。
根據該法第4條第5款規定,爲商業用途提供的個人姓名、職位名稱或職銜、工作電話號碼、工作地址、工作電子郵件地址或工作傳真號碼及其他類似“業務聯系方式”不在機構保護責任範圍之內。另外,上述數據的保存已達一百年以上的或死者的個人數據不予保護,但有關死亡十年或十年以下個體的個人數據應適用個人數據披露規定與第24條規定的除外。
《個保法令》的立法目的在于限制和規範收集、使用或披露個人數據的行爲。但特別需要指出的是,根據該法第4條規定,新加坡個人數據保護責任並不適用于公共機構,或受公共機構委托協助收集、使用或披露個人數據的商業機構。《個保法令》第三部至第六部詳細規定了各類機構關于收集、使用或披露個人數據的範圍、條件或要求,各類機構的義務可以概括總結爲以下幾項:
第一,遵守個人數據保護的一般規則義務。例如機構須對其占有或控制的個人數據負責;機構應當指定一名或一名以上負責人保障執行本法;機構應當推動形成受理與答複個人數據保護法令實施過程中産生的投訴的程序等。
第二,獲得個體同意義務。機構僅可收集、使用或披露獲得同意收集、使用或披露的個人數據,而該同意可以被撤回。機構不得以提供産品或服務爲條件,要求個體作出收集、使用或披露其個人數據的同意,超出向該個體提供産品或服務的合理範圍;或者通過提供有關收集、使用或披露個人數據的虛假或誤導信息,或使用欺騙性或誤導性做法,獲得或企圖獲得收集、使用或披露個人數據的同意。
第三,承擔告知目的與目的限制義務。機構收集、使用或披露個人數據限于特定情形下理性人認爲適當的目的與範圍。機構應當在收集個人數據之時或之前,告知個體收集、使用或披露其個人數據的目的;在個體需要的情形下,告知其收集、使用或披露個人數據問題之人的業務聯系方式。機構未經個體同意自其他機構收集個人數據之時或之前,應當向其他機構提供關于收集目的的充分信息,使該其他機構確定披露是否符合本法。
上述三項義務要求機構向個體告知機構收集、使用和披露其個人數據的目的,並征得其同意,但法律另有要求或《個保法令》有適用例外規定的除外。個體出于某種目的自願向機構提供其個人數據且自願提供這些數據系合理的,則該個體被視作同意機構收集、使用或披露其個人數據。
第四,提供查閱和更正義務。應個體申請,機構應當合理可行地盡快提供其占有或控制的個人數據;個體可以要求機構糾正其占有或控制的個人數據中的錯誤或遺漏。除機構信納有合理理由不予更正外,機構應當在可行範圍內盡快更正個人數據,將更正後的個人數據發送至該機構在更正日期前一年內披露的所有機構,但對象機構無需更正後個人數據用作任何法律或商業用途的除外。
第五,對數據進行維護和保護義務。機構應當盡到合理努力義務,保障機構或機構代表所收集個人數據的准確性和完整性。機構應當采取合理安全措施,保護其占有或控制的個人數據,防止未經授權的查閱、收集、使用、披露、複制、修改、處置或其他類似風險。
該項義務要求機構采取合理的安全措施,以保護其占有或受其控制的個人數據。例如,在確定機構對國民身份證號碼的收集、使用或披露是否達到必要的合理性標准時,必須考慮任何未經授權使用或披露國民身份證號碼行爲的敏感性及其對于個體帶來和潛在的不利影響。機構對于未經授權使用或披露與國民身份證號碼相關個人數據的風險和潛在影響已有考慮的,應提供更高級別的安全措施,以保護其占有或受其控制的國民身份證號碼或複印件。
第六,承擔保留期限限制義務。一旦保留的個人數據不再符合收集個人數據的目的,且保留對于商業或法律目的屬于不必要的,機構不得繼續保留包含個人數據的文檔,或必須刪除可將個人數據與特定個體關聯到的手段。例如,機構應定期核實其占有或受其控制的國民身份證號碼或複印件以確定是否仍然需要該數據,對于已經不符合原先收集用途或已無任何法律或商業用途的個人數據,不再予以保留。
第七,承擔轉移限制義務。機構不得將任何個人數據轉移至新加坡以外的國家或地區,但符合本法訂明要求的除外。
除以上重要內容外,《個保法令》還設立了全國謝絕來電登記簿,禁止任何機構向謝絕來電登記簿登記的新加坡電話號碼發送營銷信息。
有關個人數據保護的
重要案例
爲實施上述《個保法令》,新加坡專門設立了個人數據保護委員會(以下簡稱個保委)。根據該法第6條規定,個保委的主要職能是:提升新加坡的數據保護意識;提供有關數據保護的咨詢、建議、技術、管理或其他專業服務;對任何關于數據保護的事宜向政府提供意見;代表政府處理有關數據保護的國際事務;開展研究、調查,促進有關數據保護的教育活動,包括組織、舉辦相關研討會、講習班及專題研討會,並支持開展該類活動的其他機構;自行或代表政府同其他機構(包括外國數據保護機構、國際或政府間組織)開展關于數據保護領域的技術合作和交流;執行其他任何成文法律授予個保委的職能;以及從事或履行部長通過《政府公報》可能批准或委派個保委行使的其他活動或職權。
自《個保法令》生效以來,新加坡個保委已對未盡到保護個人數據義務或侵犯個人數據的多家機構作出了處罰。其中,處罰最重同時也是影響最大的個人數據遭泄露的案例,是2019年的新康集團集群案。2018年6月27日至7月4日期間,新加坡健康服務私人有限公司(以下簡稱新康公司)的病例數據庫系統遭到網絡攻擊,黑客從公司數據庫中非法訪問和複制近150萬病人的個人數據和近160萬門診病人的處方記錄,導致大規模的病人數據泄露,是新加坡曆史上個人信息泄露最爲嚴重的案件。
新康公司病人數據外泄的消息甫一公布,個保委便陸續收到了本案權利受侵犯者的投訴。根據《個保法令》第50條第1款,個保委或可根據投訴或可主動依本條開展調查,決定任何機構是否違反該法。個保委遂依當事人的投訴啓動了調查涉嫌醫療機構的程序。
卷入本案的醫療機構是新康公司和新加坡綜合健康信息系統公司。新加坡的公共醫療保健系統由稱爲集團集群的機構組成。
新康集團集群是新加坡公共醫療保健行業三大醫療保健集團之一。上述新康公司和綜合健康信息系統公司皆屬于新康集團集群,它們亦是新加坡衛生部控股公司的全資子公司。新康公司的主要職能是提供衛生保健服務;綜合健康信息系統公司是新加坡公共醫療保健行業的國家中央技術信息機構。
個保委在綜合考慮調查該案所獲得的證據、當事人的陳述,並在綜合考慮新康公司和綜合健康信息系統公司在個人數據泄露後所采取的有效補救措施等減輕情節後,對新康公司和綜合健康信息系統公司分別作出了25萬新加坡元(約127萬元人民幣)和75萬新加坡元(約380萬元人民幣)罰款指令。
個保委作出上述處罰指令的依據是《個保法令》第24條。根據該條規定,機構負有保護個人數據的義務,即“機構應當采取合理安全措施,保護其占有或控制的個人數據,防止未經授權的查閱、收集、使用、披露、複制、修改、處置或其他類似風險。”此外,該法第11條第2款規定“機構對其占有或控制的個人數據負責”。根據該法第29條,個保委有權指令侵權機構“繳納一百萬新幣以下個保委認爲適當的罰款”。
個保委認爲,新康公司作爲醫療機構可以將部分業務外包給服務供應商,但不能將其《個保法令》規定的法定義務亦轉移給他人。上述兩公司最終自願承認病例數據遭到泄露的事實,接受個保委的調查結果,同意按照個保委的指令承擔責任,並認爲上述指令的處罰力度合理適當。
THE END
來源:《人民法院報》2020年7月10日08版;本文系國家社科基金重大項目《“一帶一路”沿線國家法律文本翻譯、研究及數據庫建設》的階段性成果,項目編號18ZDA157
