引 言
新加坡作爲全球極具競爭力、開放性的經濟體,已成爲越來越多中國企業的出海首選。整體而言,新加坡當前已建立了較爲完善的數據隱私保護法律體系,隱私保護執法也較爲活躍,集中在“告知-同意”、數據跨境限制、數據安全保護等方面。中國企業出海在拓展新加坡甚至海外其他區域用戶市場、部署服務器、建設數字化運營模式時,需要特別關注新加坡數據隱私合規相關要求,避免觸及監管“雷區”。本文旨在簡要介紹新加坡數據隱私保護法律框架,聚焦新加坡數據合規熱點,以期能幫助出海企業加深對新加坡數據隱私合規要求的了解。
一、監管框架
(一) 框架概覽
2012年10月,新加坡頒布《個人數據保護法》(Personal Data Protection Act,“PDPA”),該法確立了新加坡個人數據保護的基本制度。2020年11月,新加坡對PDPA進行了修訂,修訂版本于2021年2月1日生效,系當前適用版本。《個人數據保護條例》(Personal Data Protection Regulations,“PDPR”)作爲PDPA規定的實施細則,進一步細化個人數據保護的合規要求。
新加坡在2013年設立個人數據保護委員會(Personal Data Protection Commission,“PDPC”)。PDPC隸屬新加坡信息通信媒體發展局(Info-communications Media Development Authority,“IMDA”),負責制定PDPA合規指引、監督PDPA履行:
- 在合規指引制定方面,PDPC當前已頒布《關于PDPA關鍵概念的咨詢指南》(Advisory Guidelines on Key Concepts in the PDPA,“PDPA Guidelines”)、《關于特定合規話題的PDPA咨詢指南》(Advisory Guidelines on the Personal Data Protection Act for Selected Topics)、《拒絕來電條款咨詢指南》(Advisory Guidelines on the Do Not Call Provisions)等。
- 在監督PDPA履行方面,PDPA賦予PDPC較大的執法權,PDPC有權對于違反PDPA的行爲開展執法調查、作出處罰決定,采取的處罰措施包括但不限于:(1)要求處罰對象停止收集、使用或披露違反PDPA的相關個人數據;(2)要求處罰對象銷毀違反PDPA的相關個人數據;(3)對處罰對象最高處以其在新加坡年度營業額的10%或100萬新加坡元(以較高者爲准)的罰款等。
在違反PDPA的責任後果方面,除前述提到行政責任外,PDPA還規定民事責任和刑事責任。PDPA第48O條賦予個人向法院起訴的民事救濟權利。例如,在刑事責任方面,對于未經授權故意使用、披露個人數據構成刑事犯罪的,行爲人可能面臨最高2年監禁如PDPA以及最高5000新加坡元的罰款。企業通過故意更改、僞造、隱瞞個人數據收集、使用或披露的相關信息以逃避個人訪問或更正個人數據的請求,可能面臨最高50000新加坡元的罰款,而行爲人可能面臨最高12個月監禁以及最高5000新加坡元的罰款。
(二) 適用範圍
根據PDPA第2條、第3條,PDPA既適用于在新加坡收集、使用和披露個人數據的組織,也適用位于新加坡境外或在新加坡境外成立的組織收集、使用和披露新加坡自然人個人數據。因此,出海企業爲總部管理需要將新加坡用戶個人數據傳回中國統一處理,或以新加坡作爲出海各國數據集中存儲地,將自其他出海目的地收集用戶個人數據傳輸至新加坡處理[1],均應適用PDPA。
二、數據隱私合規監管熱點
相較于歐盟、中國等個人數據保護規定更爲嚴苛的國家,新加坡在“告知-同意”、“數據本地化與跨境”方面要求稍顯寬松。盡管如此,PDPC“告知-同意”、“數據本地化與跨境”、“數據安全保護”、“營銷監管”方面執法較爲活躍,出海企業如忽視上述方面合規義務則容易觸及監管紅線。此外,新加坡近年來還逐步加強了信息內容合規監管。
(一) 告知-同意要求
根據PDPA第14條,除PDPA規定的豁免同意義務情形以及其他法律要求的個人數據收集、使用和披露情形外,組織收集、使用或披露個人數據原則上應取得個人同意。但PDPA允許組織取得個人“視爲同意”(Deemed Consent),其規定的“豁免同意義務情形”也較爲寬泛,故在“告知-同意”要求方面,PDPA的要求較GDPR更爲寬松:
1、“視爲同意”情形
根據PDPA,構成“視爲同意”的情形主要如下:
- 個人自願、主動提供:個人自願爲特定目的向組織提供個人數據,且個人自願提供該信息是合理的,該情況構成“視爲同意”。(PDPA第15(1)條)
- 個人同意(包括視爲同意)組織爲特定目的向另一組織披露其個人數據,也視爲其同意另一組織爲該特定目的收集、使用或披露個人數據。(PDPA第15(2)條);
- 履行合同所必需:爲履行個人與組織之間合同的合理需要,組織可以將個人向其提供的個人數據向另一組織提供,另一組織還可以向後續其他組織進一步披露該個人數據(PDPA第15(3)條);
- 通過“通知”:如果組織充分通知個人收集、使用或披露個人數據的目的,且個人未在合理的時間內告知組織其不同意,則也構成“視爲同意”。“通知”應符合以下要求(PDPA第15A條):
根據PDPA第15A(5)條和PDPR第14(2)條進行評估,以識別收集、使用或披露個人數據是否會對個人造成不利影響,並采取相應緩釋措施;
采取合理措施向個人通知該組織擬收集、使用或披露個人數據以及目的;
告知個人如何在合理時間內通知該組織其拒絕組織收集、使用或披露個人數據。
須注意的是,對于發送營銷信息,組織不能通過“通知”方式取得同意。
2、豁免“同意”義務
除允許爲組織合法利益、個人切身利益(如爲生命、健康或安全的緊急情況)、影響公共利益、滿足一定條件下的商業資産交易目的等情形豁免組織取得個人的同意的義務,PDPA允許爲商業改進目的收集個人數據,包括(1)爲改善、提高或開發商品或服務;(2)改善、提高或開發組織的運營方式或流程;(3)學習和了解該個人主體或其他個人對組織的商品或行爲偏好;(4)確定組織提供的商品或服務是否合適該個人主體或其他個人,或爲該個人主體或其他個人提供定制化商品或服務(PDPA附錄1第5部分)。須注意,組織不得以商業改進爲由主張使用個人數據發送營銷信息。
3、明確同意、口頭同意及告知義務
如個人數據處理活動未能構成“視爲同意”、“豁免同意義務”或其他依法收集個人數據的情形,組織應取得個人同意,包括書面等可記錄的同意或口頭同意。但爲便于日後爭議舉證,PDPC在其公布的指南中建議企業在取得口頭後,再以電子等其他書面方式(如補發郵件)與個人確認,或在特定情況下補充已取得個人口頭同意的書面證明作爲證據。須注意,對于營銷活動,新加坡要求取得個人明確同意。
對于明確同意或口頭同意,組織應在取得個人關于收集、使用和對外披露個人數據的同意前向個人告知下述內容(PDPA第20條):
- 當前或之前個人數據收集、使用和對外披露的目的;
- 之前未告知的個人數據收集、使用和對外披露其他目的;
- 應個人要求,向個人告知說明個人數據收集、使用和對外披露的聯系人。
在“告知-同意要求”方面,新加坡已有不少執法案例,主要集中在未經同意開展營銷、出售營銷線索、未經用戶同意公開披露個人數據等方面,故建議企業在利用自身個人數據或自第三方獲取個人數據開展營銷、向第三方披露或公開披露個人數據時,應特別留意擬開展個人數據處理活動是否滿足“告知-同意”要求。
(二) 數據本地化與跨境
1、數據傳輸限制義務要求
PDPA未規定數據本地化存儲要求,但PDPA第26條規定了數據跨境傳輸方面的限制,除非根據PDPA相關要求確保接收方對傳輸的個人數據提供至少與PDPA同等的保護,不得將任何個人數據傳輸到新加坡以外的國家或地區。
須注意的是,上述義務僅適用于“數據傳輸方”。對于數據接收方,新加坡則通過要求數據傳輸方確保數據接收方提供“同等保護”,通過數據傳輸方向數據接收方傳導PDPA規定的數據保護義務。根據PDPR第10-12條,新加坡子公司可以通過以下方式履行該義務:
- 接收方受到與PDPA“同等保護水平”的法律管轄(PDPR第11(1)(a)條);
- 與接收方簽訂數據處理協議。該數據處理協議應約定接收方履行與PDPA同等的保護義務(PDPR第11(1)(b)條);
- 集團內簽訂具有約束力的公司規則(Binding Corporate Rules,“BCRs”),要求集團內數據接收方提供不低于新加坡法的數據保護水平(PDPR第11(1)(c)條);
- 取得個人關于數據跨境的同意或視爲同意(PDPR第10(2)(a)條、第10(2)(b)條);
- 基于個人合法利益(爲個人生命健康所必需)或國家利益所需,且傳輸方已采取合理措施避免該等個人數據被接收方用于其他目的(PDPR第10(2)(c)條);
- 接收方取得特定的數據保護認證。當接收方爲數據中介方(Data Intermediary)[2]時,接收方應取得APEC Privacy Recognition for Processors System(APEC PRP)或APEC Cross Border Privacy Rules System(APEC CBPR)認證;當接收方爲數據中介外的其他組織(如數據控制者)時,該接收方應取得 APEC CBPR認證(PDPR第12條)。對此,數據出傳輸方可以登錄APEC網站(www.cbprs.org)查詢數據接收方是否已通過認證。
從實踐及PDPA Guidelines建議看,對于持續或集團內部傳輸場景,企業通常采用與接收方簽訂數據處理協議、BCRs的方式進行跨境傳輸。如傳輸方通過與接收方簽訂數據處理協議履行數據跨境傳輸義務,除要求接收方提供與PDPA相當水平的保護外,還須注意:
- 協議內容:1)數據傳輸目的地國/地區;2)如接收方爲數據中介(數據處理者)時,該合同還應包括:安全措施、留存期限限制、數據泄漏通知相關內容;以及3)如接收方爲數據中介外的其他主體(數據控制者)時,該協議還應包括:收集、使用和披露的目的、數據准確性要求、安全措施、留存期限限制、數據保護政策、訪問權、更正權以及數據泄露通知相關內容(PDPR第11(2)(b)條及PDPA Guidelines)。
- 協議生效條件:該等協議經雙方締約即生效,無需再經新加坡政府審批或備案。新加坡主管部門也尚未像中國這樣預先制定數據出境標准合同,因此數據傳輸方和接收方可自行起草該等數據處理協議。但新加坡作爲東盟成員,PDPC明確承認《東盟跨境數據流動示範合同條款》(ASEAN MCCs)可滿足協議要求。因此出海企業在起草數據處理協議時可參考ASEAN MCCs。
如傳輸方通過簽訂BCRs履行上述義務,除要求接收方提供與PDPA相當水平的保護外,須注意下述事項:
- 適用範圍限制:接收方與傳輸方須存在關聯關系,包括傳輸方與接受方之間存在控制關系或爲同一主體所控制(PDPR第11(3)(a)條及PDPA Guidelines)。因此,BCRs更適合用于集團內數據傳輸情況;
- BCRs內容應包含:1)適用BCRs的接收方;2)適用BCRs的數據傳輸接收國;以及3)數據保護權利及義務(PDPR第11(3)(b)條)。
如傳輸方未能與接收方簽訂數據處理協議或BCRs,PDPC在PDPA Guidelines中建議,企業可通過取得用戶的同意或視爲同意的方式履行數據跨境傳輸的義務。其中,“視爲同意”情形包括:1)跨境傳輸爲履行合同所必需:如基于該事由跨境傳輸數據,接收方可基于履行合同所必需向第三方再傳輸數據;2)用戶主動提供個人數據或雖未主動提供但允許個人數據被收集使用。無論是取得同意或“視爲同意”情形,傳輸方均須履行以下義務:
- 告知義務:在請求個人同意前,傳輸方應向數據主體提供書面概要說明,告知其數據接收國對數據的保護措施,以及該保護水平不低于PDPA(PDPR第10(3)(a)條);
- 手段正當性:傳輸方不得以任何欺騙性或誘導性方式獲得該同意(PDPR第10(3)(c)條);
- 禁止捆綁同意:除非跨境傳輸爲提供服務/産品合理所必需,傳輸方不得以該同意作爲提供服務/産品的前提(PDPR第10(3)(b)條)。
2、典型案例簡介
盡管新加坡已有較爲明晰的數據跨境規定,但在實操中仍存在不少模糊之處。例如,新加坡主體在使用中國境內母公司統一采購的境外供應商系統時,涉及向境外供應商跨境傳輸個人數據,中國境內母公司與境外供應商簽訂的采購協議中已約定數據跨境傳輸條款,能否視爲新加坡主體已通過簽訂數據處理協議的方式履行數據跨境傳輸義務?PDPC在去年做出的“某澳大利亞物流公司新加坡主體違反跨境傳輸限制義務案”處罰決定中對該問題作出了回答:
(1) 事實概要
2013年7月,爲集團員工統一管理的需要,某澳大利亞物流公司(以下簡稱“T母公司”)采購愛爾蘭的一家HR系統,包括其新加坡主體(以下簡稱“T新加坡主體”)在內的全球各地子公司均將其員工個人數據上傳至該系統內。該系統數據存儲在歐盟境內。2020年11月,因T母公司向PDPC報告集團IT系統(含新加坡服務器)數據泄露的情況,PDPC隨即針對T新加坡主體PDPA義務履行情況開展調查。
(2) PDPC調查結果及處罰決定
PDPC調查發現,T新加坡主體在向第三方HR系統上傳員工個人數據時違反PDPA第26條數據傳輸限制義務,須追究T新加坡主體該方面的責任。PDPC理由爲:
- T新加坡主體作爲數據傳輸方應履行PDPA第26條規定的數據跨境傳輸義務,包括但不限于通過簽署數據處理協議的方式進行;
- 盡管HR系統采購協議已約定該系統供應商的數據保護義務,但該協議簽署主體爲T母公司和HR系統供應商,不包括T新加坡主體。因此,T新加坡主體不能以該采購協議主張其已通過簽署數據處理條款的方式履行數據跨境傳輸義務;
- 根據集團各主體簽署的企業服務協議(“CSAs”),1)盡管CSAs約定了T母公司負責向集團各子公司提供IT政策、策略以及技術支持服務,也授權T母公司聘用第三方供應商,但排除T母公司負責IT設備的運營和維護工作;2)CSAs也未約定T母公司代集團各子公司行使相關數據保護義務。基于上述兩點安排,新加坡服務器所涉的相關數據保護義務實際仍由T新加坡主體自行承擔。
T新加坡主體作爲相關數據保護義務承擔者,未通過簽署數據處理條款等方式履行數據跨境傳輸義務,違反了PDPA第26條。PDPC考慮到違反PDPA的行爲未造成任何實質損害,T母公司也與新加坡主體補簽《新加坡數據跨境傳輸協議》,故僅對T新加坡主體作出警告的處罰。
(3) 合規啓示
從PDPC處罰決定看,對于向總部統一采購的供應商等第三方跨境傳輸數據,PDPC並非強制要求新加坡主體與第三方另行簽訂數據處理協議,而是允許新加坡主體通過與母公司簽訂協議明確雙方關于數據跨境傳輸、保護的權利義務,授權母公司代集團各子公司集中履行相關數據跨境傳輸、保護義務,以形成義務履行的鏈條。
因此,筆者建議企業在出海過程中應特別注意,1)通過簽訂數據處理協議明確母公司與新加坡主體之間關于數據保護權利義務的分配。如數據跨境、數據保護義務仍由新加坡主體履行,則應由新加坡主體與個人數據接收方簽署數據跨境傳輸協議,履行數據跨境傳輸限制義務。2)考慮到發生數據泄露事件很可能觸發PDPC對組織PDPA義務履行情況的全面調查,母公司和新加坡主體應采取數據安全管理措施,在集團、當地主體及接收數據的供應商等第三方確保數據安全,避免數據泄露事件發生,下一節筆者將就如何履行數據安全保護義務進一步展開介紹。
(三) 數據安全保護
PDPA第24條要求組織應采取合理措施避免1)數據被未經授權訪問、收集、使用、披露、複制、修改、處置等類似風險;2)存儲個人數據的存儲介質或設備丟失。根據PDPC發布的指引,當前沒有統一的數據保護方案,每個組織應根據個人數據性質(是否爲敏感個人數據)、個人數據泄露對個人的影響等因素綜合制定數據保護方案。PDPC建議組織可以采取以下措施,包括1)綜合考慮上述因素制定數據安全保護方案,包括物理措施、技術措施及管理措施;2)設置數據安全保護專業人員;3)制定內部制度和操作流程,分級保護個人數據;3)能夠快速、有效應對信息安全事件;4)綜合考慮組織規定、個人數據規模和類型、有權訪問個人數據的內部人員、是否委托第三方處理個人數據開展風險評估,以確定相關數據保護方案是否重組。須注意,數據安全保護仍是PDPC執法較爲活躍的領域,且可能因發生數據泄露事件而引發對其他義務履行情況的調查,建議出海企業根據自身情況采取數據安全保護措施,避免數據泄露事件發生。
如發生數據泄露事件,且相關事件根據PDPA第26B條構成應告知的信息泄露事件(Notifiable Data Breach)[3],則組織應在發現該事件可告知後的3個工作日內向PDPC告知;如果數據泄露導致或可能導致對受影響個人的重大傷害,組織必須在通知PDPC時或之後通知受影響個人,以便PDPC在收到通知後能夠協助受影響個人。
(四) 營銷監管
1、取得明確同意
如“告知-同意”部分介紹,PDPA要求利用個人數據開展營銷活動應取得個人明確同意。因此,無論是利用個人電話號碼開展電話營銷、短信營銷,或利用個人郵箱地址開展郵件營銷,均需告知個人營銷活動,並取得個人明確同意。
2、“拒絕來電”制度
如涉及電話營銷、短信營銷,在詢問個人是否同意接收營銷信息前,出海企業還應查閱電話號碼是否已在“拒絕來電”登記簿(Do Not Call Registry,以下簡稱“DNC 登記簿”)中登記。如已在“拒絕來電”登記簿中登記,組織不得向其撥打營銷電話、發送營銷短信。但如果構成下述情形,可豁免組織查閱DNC登記簿的義務,主要包括1)爲完成或確認交易所必需,且個人已事先同意該交易;2)提供産品召回信息、或與産品或服務有關的安全或保障信息;3)向個人提供事前合同約定的個人有權獲得的産品和服務,包括産品更新。4)組織與用戶存在持續關系(Ongoing Relationship)[4]並且發送的營銷信息僅與此持續關系有關;5)爲開展市場調查;6)個人以書面或其他形式明確同意公司發送營銷信息;7)B2B市場推廣的目的。
3、營銷信息內容
在發送營銷消息時,營銷消息應提供發送或被授權發送營銷信息的公司信息以及其聯系方式,並同步提供退訂機制。
(五) 信息內容監管
在信息內容監管方面,新加坡早年發布的《互聯網業務准則(Internet Code of Practice)》以及《防止網絡假信息和網絡操縱法案》(Protection from Online Falsehoods and Manipulation Act)、《防止騷擾法》(Protection From Harassment Act)規定互聯網信息內容審查義務以及違禁內容範圍,以防範違禁內容傳播以及在線危害(如虛假信息的傳播、人肉搜索情形)的發生。
2023年2月1日生效的《在線安全法案(修正版)》(Online Safety (Miscellaneous Amendments) Bill)旨在進一步加強在線通信服務的信息內容監管。該法案適用于位于新加坡境內外、新加坡用戶能夠通過互聯網訪問或通過互聯網向新加坡用戶提供內容的任何在線通信服務。具體適用的在線通信服務類型將在該法案附錄4中列明,當前僅社交媒體服務被列入在內,未來適用服務類型將進一步增加。該法案規定自殺或自殘、身體暴力或性暴力、恐怖主義以及挑撥新加坡種族和宗教矛盾等內容屬于“惡劣內容”(Egregious Content)。如發現存在惡劣內容,IMDA作爲主管部門有權要求在線通信服務提供者下架、刪除內容,如在線通信服務提供者違反IMDA指令,可能面臨最高100萬新加坡元的罰款。此外,爲配合法案落地,新加坡預計發布《在線安全業務守則》(the Code of Practice for Online Safety)、《社交媒體服務內容守則》(the Content Code for Social Media Services)兩項守則,從而進一步細化信息內容審查要求及流程,建議相關出海企業關注立法進展。
結語
總體而言,新加坡采較爲寬松的數據合規政策,爲中國企業出海提供更大的便利及發展空間。在未來可預期的一段時間裏,新加坡仍然是中國企業出海的熱門國家。但新加坡主管部門活躍的執法也提醒出海企業嚴格審查自身數據合規情況。因此,筆者建議出海企業對標相關規定搭建、完善數據隱私合規體系。
注釋
[1] 對于以新加坡作爲出海各國數據集中存儲地,在數據跨境合規義務方面,新加坡規定數據中轉行爲(in transit),即來自新加坡境外的數據通過新加坡進一步轉移至第三方國家或地區過程中的個人數據,該個人數據在新加坡境內未被任何組織訪問、使用或披露(傳輸方或傳輸方員工訪問和使用除外),該類情形被視爲已履行數據傳輸限制義務(PDPR第9-10條)。
[2] 根據PDPA及PDPA Guidelines的定義,“數據中介”爲代表數據傳輸方並爲其目的處理個人數據的主體。
[3] PDPA第26B條規定了“應告知的信息泄露事件”,包括:
(1) 某些類別的個人數據發生泄露,導致或可能導致受影響的個人受到重大傷害:個人的全名或別名或身份證號碼,以及PDPA附表第1部分所列的與個人有關的任何個人數據或個人數據類別,以及附表第2部分規定了各種金融、保健、保險、兒童和殘疾人以及其他數據類別(如私人加密密鑰);或
(2) 個人的銀行或金融公司賬戶標識符,如賬戶名稱或號碼,與任何密碼、安全代碼、訪問代碼、對安全問題的答複、生物識別信息或個人用于訪問賬戶的其他數據相結合。
(3) 影響到500名或更多個人的個人數據,具有或可能具有很大的規模。
[4] 根據PDPA附錄8第1(2)條持續關系指發送人與接收人之間因發送人經營或進行某項業務或活動(商業或其他)而産生的持續關系。
聲明:轉載時請備注來源:走出去服務港(id:SH_GO_Global)。原創文章未經筆者及發布方授權,不得轉載。本文由威科集團推薦。文中涉及的觀點不代表編者及發布者的立場。
【資料來源】漢坤律師事務所
【文章作者】段志超、蔡克蒙、蔡詩萌