個人資料保護委員會推出三項措施,既要促進數據創新,也要商家對數據保護負責,商家日後能更容易轉移數據,但也得及時通報資料泄漏事件。
個人資料保護委員會昨天(5月22日)發文告說,針對數據流通(data portability)與創新展開公衆咨詢,截止日期爲7月3日。
數據流通相關法律條文允許消費者要求商家把個人資料轉交給另一個商家,在更換服務供應商方面,這或可節省成本。消費者日後或可要求銀行、電信公司或互聯網服務供應商等,把信用卡交易、房貸或服務使用等數據轉交給其他商家,以獲得個人化服務。
數據創新相關條文則闡明商家可在未經許可的情況下,使用個人資料,以達正當商業目的。
個人資料保護委員會說,歐盟、澳大利亞、印度、日本與新西蘭已實行或准備實行數據流通,擬定數據流通與創新條例,旨在與全球趨勢達成一致,加強國際對新加坡數據保護工作的認可。
委員會副專員楊子健說:“征求數據流通與創新條例相關反饋,以及試行資料外泄通報措施,我們正采取堅定步驟,在全球數碼經濟中,把新加坡定位爲可信賴的數據中心。”
當局也將利用過去四年的資料外泄案例與利益相關者反饋,加快處理明確的資料外泄案件。
若案件性質與先例相似,或是有關商家承認觸犯法令,案件便會加快處理。若涉及罰款,商家認罪將作爲強有力的求情因素。
可加快處理的案件種類包括操縱網址、密碼管理不當,或列印錯誤導致送達錯誤收件人。
考慮到有些商家已做好保護措施,但資料還是被盜,如一些獲得個人資料保護信譽標志的機構,在發生資料外泄時,可向當局證明已有妥當問責程序及監督與補救計劃,並申請自行執行應急計劃,當局就不會介入調查。
個人資料保護委員會說,與全面調查相比,這個做法可取得相似甚至更好的執法效果。
另一方面,商家今後發生資料外泄,若受影響人數至少有500人,或資料泄漏可能嚴重危害或影響當事人,都須在完成內部評估的72小時內向委員會通報。
通報目前是自願性質。個人資料保護委員會說,准備在下次修法時,強制通報資料外泄事件,因此促請商家現在就采納這個做法。委員會建議商家在得知可能有資料外泄事件後的30天內完成內部調查與評估。