個人資料保護委員會昨天發表公共咨詢結果,並給予回應。委員會已把公共咨詢的結果和反應上載到www.pdpc.gov.sg,並發布“個人資料分享指南”修正版。它將針對法令的其他範圍,繼續向公衆征詢意見。
個人資料保護委員會(PDPC)去年展開首個公共咨詢,所提的修改條文獲多數反饋商家和個人的支持,料政府明年會向國會提出修改個人資料保護(PDPA)法令。
修正案一旦通過,將強制商家在消費者或客戶的個人資料被盜後,必須盡快通知當事人,好讓他們采取行動自我保護。商家也必須通知委員會,以獲得有關補救方法的指導。
目前,這類通知屬自願性,並非強制性。
這項強制性通知的建議獲多數人支持,但他們重申委員會應給予有關通知的指南,好讓他們可以遵從。
委員會表明會提供相關指南,包括評估個人資料被盜是否符合通知要求、通知的時限,以及發通知時該包含的信息類。
委員會去年7月27日展開“數碼經濟中管理個人資料的方式”公共咨詢,爲期八周,68個消費者和代表不同業界的組織(包括商貿協會)對修改條文提意見。
委員會昨天(2月1日)發表公共咨詢結果,並給予回應。
它原本建議,一旦有大量資料被盜,即使不會造成損害(如只有姓名泄漏),但涉及至少500人的話,商家須在72小時內通知委員會。不過,多數人反對以500人爲通知規定,一些則要求廢除人數底線。
委員會有意保留“大量資料被盜”的規定,但不會限定人數要求。它認爲更有效地監督資料被盜的情況是有必要的,並會提供更多這方面的指南。
一些公衆要求有更寬裕的通知時間,一些則要委員會澄清,72小時應從何時計算?
商家在一些情況下無須征求同意分享資料
委員會回應說,它打算保留72小時的規定。至于通知時間,則從商家一旦決定報告資料被盜事件,就開始計時。
另外,擬修改的條文也允許商家在某些情況下無須征得消費者或客戶同意,便可把收集到的個人資料用于其他用途,包括與其他商家共享。
比如,被金融或電信公司列入黑名單的欠債者,這些公司不必得到他們的同意,就可以讓同業共享他們的個人資料。
目前所有政府機構都不受個人資料保護法令的約束。委員會也提議,如果要把個人資料用作某些法律或商業用途,如查案、訴訟、討債或研究,商家也無須征求同意。在這種情況下,公衆利益須明顯大于個人利益。
一些反饋者建議擴大免通知的覆蓋面,也包括授權展開調查的其他機構;那些已展開補救行動,減少資料被盜者損害的機構也可豁免通知客戶。
委員會考慮接受此建議,並表明如果通知資料被盜的當事人會影響正進行或可能展開的調查,該機構可不必通知當事人。
個人資料保護法令2012年在國會通過,2014年7月1日生效,主要規定商家在收集、使用與披露個人資料時,須征求消費者或客戶同意。
委員會已把公共咨詢的結果和反應上載到www.pdpc.gov.sg,並發布“個人資料分享指南”修正版。它將針對法令的其他範圍,繼續向公衆征詢意見。