按:在全球化以及電子商務和跨境貿易迅速發展的時代背景下,大量的個人信息數據由于各種原因被第三方主體收集和使用,各國對數據安全問題都高度重視,均通過頒布政策法規、加強監管執法、提升安全治理技術能力等舉措,全面強化數據安全保護。
新加坡在個人數據保護方面的立法已有10年的曆史,2012年10月,新加坡議會即通過了《個人數據保護法》(Personal Data Protection Act,簡稱“PDPA”或者“《個保法》”),自2013年1月開始分階段生效,該法令賦予公民個人數據被保護的權利,並詳細規範了機構/企業對于個人信息數據收集、利用或披露的要求,確保公民的個人數據不被濫用,且在受到侵害時可尋求法律保護。
一、新加坡數據保護法律體系的立法過程及監管部門
(一)新加坡的數據保護法律體系
新加坡的數據保護體系以2012年的《個人數據保護法》爲主,該法是一部規範個人數據的收集、使用和披露的綜合性立法。爲了更好地執行《個人數據保護法》,新加坡還配套出台了針對特定領域(如電信業、房地産行業、教育行業、醫療行業、社會公益服務行業)的各項個人數據保護的條例及指引(附屬立法),以指導企業更好地對個人數據進行保護,且不斷根據現實情況對之前的立法進行修訂和完善。
其中,2014年《個人數據保護條例》是《個保法》的主要附屬立法,重點規制查閱、更正個人數據和轉移個人數據等內容。2018年以來,新加坡在個人數據保護法的立法方面又有一些頗受矚目的新進展,比較重要的有2019年1月14日頒布的重要案例,而2018 年 8 月 31 日頒布的《關于國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉咨詢指引》和 2020 年 5 月 14 日《個人數據保護法(修訂)草案》征求意見稿,體現了新的立法動向。
1、條例
2013年《個人數據保護(違法構成)條例》[Personal Data Protection (Composition of offences) Regulations]、
2013年的《個人數據保護(禁止調用注冊表)條例》[Personal Data Protection (Do Not Call Registry) Regulations]、
2014年的《個人數據保護(執行)條例》[Personal Data Protection (Enforcement) Regulations],
2014年的《個人數據保護條例》(Personal Data Protection Regulations)
上述四項條例一起于2014年7月2日起實施。
2015年1月23日開始實施的《個人數據保護(上訴)條例》[Personal Data Protection (Appeal) Regulations]。
2、指引
新加坡個人資料保護委員會根據《個人數據保護法》第49(1)條發出的咨詢指引(下稱“指引”),就委員會如何解釋《個人數據保護法》的條文提供指引。
主要的咨詢指引共7項:
2019年10月9日修訂的《個人數據保護法》主要概念的咨詢指引;
2019年10月9日修訂的《個人數據保護法》選定專題的咨詢指引;
2017年7月27日修訂的關于謝絕來電的咨詢指引;
2015年5月8日發布的關于市場推廣需要征得同意的咨詢指引;
2016年4月21日發布的數據保護規定執行的咨詢指引;
2017年8月8日發布的將PDPA應用于選舉活動的咨詢指引;
2018年8月31日發布的關于國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉咨詢指引
此外,新加坡個人數據保護委員會認識到不同的行業部門可能存在特定于部門的問題,因此制定了針對特定部門的咨詢指引來解決此類問題。這些咨詢指引是根據PDPC從相關行業成員那裏收到的有關查詢和反饋,並與相關行業監管機構密切合作而制定的。主要包括以下7項:
2014年5月16日發布的電訊行業咨詢指引;
2014年5月16日發布的房地産中介行業咨詢指引;
2018年8月31日修訂的教育行業咨詢指引;
2017年3月28日修訂的醫療保健行業咨詢指引;
2018年8月31日修訂的社會服務業咨詢指引;
2018年5月22日修訂的運輸服務出租汽車記錄咨詢指引;
2019年3月11日發布的公司管理咨詢指引。
新加坡個人數據保護委員會對行業協會針對《個人數據保護法》制訂的行業指引提供意見和建議。到目前爲止發布的行業指引包括以下兩項:
2015年4月1日發布的LIA關于《新加坡個人數據保護法》的人壽保險公司業務守則;
2015年4月1日發布的LIA關于《新加坡個人資料保護法令》固定保險代理人行爲守則。
此外,新加坡個人數據保護委員會出版了一系列其他指引以供參考:
2019年9月26日修訂的通知指引;
2017年1月20日修訂的電子媒介中的個人數據保護指引;
2016年4月21日發布的通過讀卡器進行支付卡磁條傳遞的實踐指引;
2016年6月9日發布的處理訪問請求的指引;
2016年7月20日發布的關于個人數據處理協議的數據保護條款指引;
2018年7月10日修訂的中小企業網站建設指引;
2017年1月20日修訂的物理媒介上個人數據處理指引;
2017年1月20日發布的處理和發送個人數據時防止意外泄露的指引;
2019年7月15日發布的制定數據保護管理計劃指引;
2017年11月1日發布的數據保護影響評估指引;
2018年1月25日發布的基本數據匿名化技術指引;
2018年5月3日發布的機構印刷流程指引;
2019年8月26日修訂的有關NRIC和其他國民身份證號碼的PDPA咨詢准則的技術指引;
2019年5月22日發布的數據泄露管理指引2.0;
2019年5月22日發布的積極執法指引;
2019年5月31日出版的資訊及通訊科技系統設計保護資料指引;
2019年7月15日出版的個人數據保護法問責指引。
(二)數據保護的監管機構 — 個人數據保護委員會 PDPC
爲了更好的管理和執行PDPA,新加坡政府于2013年1月2日成立了個人數據保護委員會(Personal Data Protection Commission,簡稱“PDPC”或“個保委”),負責管理和執行《個人數據保護法》的相關事項,在企業和用戶之間建立可信環境,爲新加坡經濟的蓬勃發展做出貢獻,並代表新加坡政府處理有關數據保護相關的國際事務。
此外,PDPC還負責監督“謝絕來電”(Do Not Call, DNC)登記處的開發和運營,禁止任何機構向謝絕來電登記簿登記的新加坡電話號碼發送營銷信息,以確保個人只收到他們想要的電話營銷信息,並通過增加消費者信心和信任來協助企業提升客戶關系等。
二、《個人資料保護法》主要內容和運用
(一)新加坡PDPA與歐盟GDPR的對比
2018年5月25日,歐盟的《通用數據保護條例》(General Data Protection Regulation,簡稱“GDPR”)開始生效。GDPR高度重視個人數據保護與監管,爲之設置了一系列的保護門檻和機制,被業界與學界稱爲“史上最嚴”的個人數據保護法案。下面我們對PDPA與GDPR進行簡單的對比:
(二)PDPA的數據處理原則
PDPA共規定了9條原則,各組織在處理個人數據時必須遵守。
1)同意義務 在收集、使用或披露個人信息時,各組織必須先征得個人的授權同意, 並且在個人給予合理的通知後,允許個人撤銷同意。在撤銷同意後,各組織必須停止收集、使用和/或披露這些個人資料。
2)目的限制義務 各組織只可收集、使用或披露個人同意的用途,這些個人數據只可被 使用在適用于各組織提供的産品或服務的合理範圍內。
3)告知義務 各組織必須在收集、使用或披露您的個人資料之前向個人解釋收集個人資料的原因及使用目的和範圍。
4)訪問權限及更正義務 在接到相關個人的請求後,組織應當向其提供其個人數據被使用和被披露的有關信息,如果個人要求更正其個人資料中的任何錯誤或遺漏,組織必須盡快接受該要求。
5)准確性義務 組織需確保個人資料的完整和准確性。
6)保護義務 各組織應制定必要的安全措施,以保護個人數據的安全,以防止個人數據遭受未經授權的訪問、收集、使用、披露、複制、更改、處置或其他類似的風險威脅。
7)存儲限制義務 各組織只可在法律或業務的所需的目的之下保留個人數據。如果數據儲存對商業目的的實現或者收集個人資料的目的已不再是必需時,則相關組織必須停止存儲這些個人數據,或移除個人數據與特定個人的關聯。
8)傳輸限制義務 如果各組織需要將個人數據轉移到海外,例如將數據存儲在雲中,需要確保將數據傳送到的國家可提供與PDPA同等級別的數據保護標准。這一相當性標准可根據以下的方式來實現:
• 組織與數據接收者簽訂數據處理協議,以要求接收者爲個人數據提供與 PDPA 規定相當的數據保護標准;
• 證明個人數據將被轉移到的國家/地區的適用法律提供了與PDPA規定相對應的數據保護標准;
• 取得數據主體對于傳輸的同意,該同意應當滿足特定的條件。
9)公開義務 組織應當采取適當的措施以及政策以確保其行爲符合 PDPA 所規定的義務,並向社會公開有關其政策與實際操作的信息。實踐中,應至少委任一名數據保護專員負責確保該實體符合PDPA,並提供專員的聯系方式,讓希望了解該組織數據保護政策的個人可以與數據保護專員進行聯系。
(三)PDPA在雇傭關系中的運用
1、企業是否需要征得求職者的同意才能收集和使用他的個人資料?
1)當個人以求職的形式自願向某一企業提供其個人資料時,他們被視爲同意該企業以評估其工作申請而收集、使用和披露這些個人資料。
2)當該員工被雇傭時,企業繼續使用工作申請表中提供的個人資料來管理與該個人的關系是合理的。
3)如果該企業希望將個人數據用于上述情況以外的地方時,或者在PDPA沒有適用的例外情況下,則該企業必須通知員工並爲此取得同意。
2、企業能否保存未被雇傭的求職者的個人資料?
1)這些資料只可保存在以法律爲目的所需的時間內。
2)各企業還應注意到,求職者有權查閱及要求更正應聘企業所持有的有關其的個人資料。
3)根據要求,企業還必須向個人通報過去一年內使用其個人信息數據的方式。
4)如果最終沒有聘用此人,所涉個人信息數據是僅以評價爲目的而保存的評論信息,則不要求各企業向個人提供此類信息。在這種情況下,企業不需要將在確定是否聘任的過程中所産生的評價意見通知到個人。
3、企業是否可以使用名片中的信息進行招聘?
PDPA第4條第5款規定,爲商業用途提供的個人姓名、職位信息、工作電話或傳真號、工作地址、工作電子郵件地址及其他類似“業務聯系方式”不在機構保護責任範圍之內。
4、PDPA如何適用于雇員的雇傭記錄?
1)應告知雇員:信息收集的目的、需要使用和披露其個人資料的情況並在收集、使用和披露之前取得同意 。
2)在許多情況下,雇主需要在關系開始時 ( 任命新雇員時 ) 獲得收集、使用和披露員工的個人信息數據的同意。在雇傭關系的不同階段,當需要更多個人資料時,應再次取得雇員的同意。雇員可選擇根據PDPA條 款規定撤回他們的同意。
3)如果所收集、使用或披露的信息是以評價爲目的而收集、使用或披露的,即(除其他事項外)確定個人是否適合就業、在就業中晉升或繼續 就業的目的、資格證書等,則無須經過個人的同意,例如:從前雇主處獲得一份推薦信,以確定是否合適;或者獲取業績記錄或其他相關信息,以確定雇員的業績。
5、以管理或終止雇傭關系爲目的的收集、使用及披露個人資料的法律範圍
1)雖然雇員不需要表示同意,但雇主必須通知其雇員其收集、使用 或披露個人信息數據的目的,但PDPA沒有規定通知的形式和方式。
2)爲避免産生疑問,企業應具備向員工提供提出收集、使用和披露數據的目的的一般通知(例如:性能評估),企業應在每次收集員工個人信息前提供相應通知。
3)屬于“管理或終止雇傭關系”目的的個人信息數據範圍:
– 利用雇員的銀行賬戶信息對其發放工資
– 監查雇員在上班期間如何使用電腦網絡資源及公司內部網絡資源
– 管理工作人員福利計劃(例如:培訓/教育補貼)。
4)只要是有效或合法的目的情況下,企業可以繼續保留關于前雇員的個人數據。但是,在沒有明確界定的目的的情況下,不應保留個人數據信息。如果數據是在不確定的目的下和不確定的時間範圍內,則會相應增加違反PDPA條例的風險。
6、如果員工不遵守PDPA,公司需要承擔哪些“責任”?
1)企業對雇員在受雇期間所造成的任何違反行爲負責 。特別是,在該雇傭過程中由雇員從事的任何行爲或行爲,不論其是否在此之前得到雇主的批准,均應由企業負責。
2)PDPA對“雇員”的定義中包括志願人員,對“雇傭”的定義中包括在無償志願服務關系下的工作。
(四)違反PDPA的法律後果
對于違反PDPA數據保護義務的機構,可能受到以下處罰:
1、停止違法收集、使用或披露個人數據;
2、刪除違法收集的個人數據;和/或
3、向被侵害人提供個人數據的訪問和糾正權限;
4、PDPA後續修訂,將罰款的最高額提升至組織年度總營業額的 10%,或 100 萬新加坡幣(二者中取其高)。
除此之外,個人也有權向 PDPC 的主管部門進行投訴,以尋求有效的司法救濟、 獲得禁止令或從組織處就其法所造成的損失獲得賠償。
三、《關于國民身份號碼及其他類別國民身份號碼的〈個人數據保護法令〉咨詢指引》的使用範圍
2018年8月31日,PDPC頒布了《關于國民身份證及其他類別國民身份號碼的(個人數據保護法令)咨詢指引》(以下簡稱《身份號碼指引》),並自2019年9月1日起正式生效。《身份號碼指引》特別強調對于新加坡國民身份證及身份證號的收集、使用和披露行爲的規範。
根據《身份號碼指引》,機構一般不得收集、使用或披露國民身份證號碼或複印件。針對國民身份證號碼的規定,亦適用于出生證明號碼、外國人身份號碼和工作准證號碼(以上號碼在該《身份號碼指引》中統稱爲“其他類別國民身份號碼”)、以及護照號碼。如確有需要收集護照號碼的,機構應將其收集限于非完整護照號碼上,並確保適當程度的安全以保護所收集的護照號碼,但法律允許的除外。這裏擇要列舉用處:
需要使用新加坡身份證號的情況:
新員工入職企業時
酒店入住登記時
在診所/醫院求醫時
申請移動電話號碼套餐時
報讀私人教育機構時
不需使用新加坡身份證號的情況:
x 免費泊車贖回服務時
x 加入任何零售會員俱樂部時
x 注冊任何服務或提交服務反饋時
x 在線購買電影票時
x 參加抽獎活動時
四、處罰案例
自PDPA生效以來,PDPC已對未盡到保護個人數據義務或侵犯個人數據的多家機構作出了處罰。據2019年8月6日公開消息,PDPC對五家機構未遵守《個人信息保護法》的行爲作出了罰款。其中,
1、CDP未經授權披露CDP賬戶持有人的個人數據,被處以24,000美元的罰款;
2、Toppan Security Printing未經授權披露CDP賬戶持有人的個人數據,被處以18,000美元的罰款;
3、Horizon Fast Ferry因未能制定和實施數據保護政策,未能執行合理的安全措施來保護其客戶的個人數據而被處以54,000美元的罰款;
4、Genki Sushi由于未能實施合理的安全措施保護其員工的個人數據導致被勒索軟件攻擊而被處以16,000美元的罰款;
5、Championtutor因未聘用數據保護官以及未制定合規政策而被處以5,000美元的罰款。
而,處罰最重、影響最大的個人數據遭泄露的案例,是2019年的新康集團集群案。2018年6月27日至7月4日期間,新加坡健康服務私人有限公司(以下簡稱新康公司)的病例數據庫系統遭到網絡攻擊,黑客從公司數據庫中非法訪問和複制近150萬病人的個人數據和近160萬門診病人的處方記錄,導致大規模的病人數據泄露,是新加坡曆史上個人信息泄露最爲嚴重的案件。
PDPC遂依受害人的投訴啓動了調查程序,並在綜合考慮證據、當事人陳述,以及公司方面事後所采取的有效補救措施等減輕情節後,對新康公司和綜合健康信息系統公司分別作出了25萬新加坡元(約125萬元人民幣)和75萬新加坡元(約375萬元人民幣)罰款指令。
PDPC認爲,新康公司作爲醫療機構可以將部分業務外包給服務供應商,但不能將其PDPA規定的法定義務亦轉移給他人。上述兩公司最終自願承認病例數據遭到泄露的事實,接受個保委的調查結果,同意按照個保委的指令承擔責任,並認爲上述指令的處罰力度合理適當。
五、新加坡企業在數據合規方面,在哪些方面自查問題?
1、個人數據存儲是否儲存在內部系統或雲端(通過第三方供應商)?
2、數據存儲在以下前提下:
a)當前的IT基礎架構是否支持
b)有足夠的安全和網絡安全措施來防止數據被破壞
3、如果數據是通過第三方雲端儲存的,那麽有什麽安全措施?例如:每年進行獨立滲透測試,ISO 27001 信息安全管理系統認證和其他相關認證等。
4、在停電的情況下,是否有適當的後備措施來檢索和恢複“丟失的” 數據?包括第三方雲端提供的備份等措施。
5、在傳輸個人數據時,數據是否出于安全目的進行加密,它們是否符合相關的PDPA和/或GDPR策略?
6、其他內部措施:
– 進行風險評估,以確定信息安全安排是否適當
– 使用web應用防火牆
– 使用帶有自動更新的反病毒軟件
– 定期應用操作系統及軟件的安全更新
– 定期審查用戶訪問情況
注意,各企業必須遵守“2012個人信息保護條例”的以下條例:在PDPA于2014年7月2日生效之前收集的個人信息數據(原始收集的個人資料)可繼續使用,除非個人已撤回同意。如果在2014年7月2日之後獲得的個人信息數據,企業須通知並獲得收集、使用和披露的確認同意後方可使用個人信息數據。
六、對中資企業數據風控的建議
新加坡基礎設施完善、投資環境優越,對中國企業具有較強吸引力。但新加坡法制體系嚴密,建議中資企業應格外注意避免因運營不當或違規而導致處罰風險。
(一)增強保護所在國公民權利的意識。
數字經濟時代偏見與歧視、數據隱私、數據控制權等社會問題頻發,就新加坡市場而言,一方面,新加坡社會公民的權利意識近年來在不斷上升。另一方面,新加坡政府也在加強針對新技術的監管,如在2018年11月新加坡金融管理局(MAS)發布了其原則,以加強針對金融領域AI的公平、道德、問責制和透明度的監管(FEAT)。因此,對相關領域的中國投資者來說,一旦交易、整合和日常經營觸及數據泄露等敏感社會問題,不但面臨被法律制裁的風險,還可能引發市場信任損失,令企業經營陷入不利地位。
(二)加強合規管理。
充分理解客戶個人數據安全的重要性,尊重和保護客戶隱私權利。企業應從全面的視角,加強個人信息安全和隱私保護的能力,將數據保護要求嵌入公司制度的設立階段。除此之外,就獲取個人信息的授權以及用戶體驗的平衡點將是企業産品或服務的設計考慮中不可或缺的一部分。對于多地區經營的企業,爲實現各地區開展的業務符合當地隱私保護法規的要求,應持續洞察相關法律法規的更新,並將法規的新要求轉換爲公司內部的規定,優化內部流程,以保證公司開展的各類活動符合新加坡PDPA的要求。