按:在全球化以及电子商务和跨境贸易迅速发展的时代背景下,大量的个人信息数据由于各种原因被第三方主体收集和使用,各国对数据安全问题都高度重视,均通过颁布政策法规、加强监管执法、提升安全治理技术能力等举措,全面强化数据安全保护。
新加坡在个人数据保护方面的立法已有10年的历史,2012年10月,新加坡议会即通过了《个人数据保护法》(Personal Data Protection Act,简称“PDPA”或者“《个保法》”),自2013年1月开始分阶段生效,该法令赋予公民个人数据被保护的权利,并详细规范了机构/企业对于个人信息数据收集、利用或披露的要求,确保公民的个人数据不被滥用,且在受到侵害时可寻求法律保护。
一、新加坡数据保护法律体系的立法过程及监管部门
(一)新加坡的数据保护法律体系
新加坡的数据保护体系以2012年的《个人数据保护法》为主,该法是一部规范个人数据的收集、使用和披露的综合性立法。为了更好地执行《个人数据保护法》,新加坡还配套出台了针对特定领域(如电信业、房地产行业、教育行业、医疗行业、社会公益服务行业)的各项个人数据保护的条例及指引(附属立法),以指导企业更好地对个人数据进行保护,且不断根据现实情况对之前的立法进行修订和完善。
其中,2014年《个人数据保护条例》是《个保法》的主要附属立法,重点规制查阅、更正个人数据和转移个人数据等内容。2018年以来,新加坡在个人数据保护法的立法方面又有一些颇受瞩目的新进展,比较重要的有2019年1月14日颁布的重要案例,而2018 年 8 月 31 日颁布的《关于国民身份号码及其他类别国民身份号码的〈个人数据保护法令〉咨询指引》和 2020 年 5 月 14 日《个人数据保护法(修订)草案》征求意见稿,体现了新的立法动向。
1、条例
2013年《个人数据保护(违法构成)条例》[Personal Data Protection (Composition of offences) Regulations]、
2013年的《个人数据保护(禁止调用注册表)条例》[Personal Data Protection (Do Not Call Registry) Regulations]、
2014年的《个人数据保护(执行)条例》[Personal Data Protection (Enforcement) Regulations],
2014年的《个人数据保护条例》(Personal Data Protection Regulations)
上述四项条例一起于2014年7月2日起实施。
2015年1月23日开始实施的《个人数据保护(上诉)条例》[Personal Data Protection (Appeal) Regulations]。
2、指引
新加坡个人资料保护委员会根据《个人数据保护法》第49(1)条发出的咨询指引(下称“指引”),就委员会如何解释《个人数据保护法》的条文提供指引。
主要的咨询指引共7项:
2019年10月9日修订的《个人数据保护法》主要概念的咨询指引;
2019年10月9日修订的《个人数据保护法》选定专题的咨询指引;
2017年7月27日修订的关于谢绝来电的咨询指引;
2015年5月8日发布的关于市场推广需要征得同意的咨询指引;
2016年4月21日发布的数据保护规定执行的咨询指引;
2017年8月8日发布的将PDPA应用于选举活动的咨询指引;
2018年8月31日发布的关于国民身份号码及其他类别国民身份号码的〈个人数据保护法令〉咨询指引
此外,新加坡个人数据保护委员会认识到不同的行业部门可能存在特定于部门的问题,因此制定了针对特定部门的咨询指引来解决此类问题。这些咨询指引是根据PDPC从相关行业成员那里收到的有关查询和反馈,并与相关行业监管机构密切合作而制定的。主要包括以下7项:
2014年5月16日发布的电讯行业咨询指引;
2014年5月16日发布的房地产中介行业咨询指引;
2018年8月31日修订的教育行业咨询指引;
2017年3月28日修订的医疗保健行业咨询指引;
2018年8月31日修订的社会服务业咨询指引;
2018年5月22日修订的运输服务出租汽车记录咨询指引;
2019年3月11日发布的公司管理咨询指引。
新加坡个人数据保护委员会对行业协会针对《个人数据保护法》制订的行业指引提供意见和建议。到目前为止发布的行业指引包括以下两项:
2015年4月1日发布的LIA关于《新加坡个人数据保护法》的人寿保险公司业务守则;
2015年4月1日发布的LIA关于《新加坡个人资料保护法令》固定保险代理人行为守则。
此外,新加坡个人数据保护委员会出版了一系列其他指引以供参考:
2019年9月26日修订的通知指引;
2017年1月20日修订的电子媒介中的个人数据保护指引;
2016年4月21日发布的通过读卡器进行支付卡磁条传递的实践指引;
2016年6月9日发布的处理访问请求的指引;
2016年7月20日发布的关于个人数据处理协议的数据保护条款指引;
2018年7月10日修订的中小企业网站建设指引;
2017年1月20日修订的物理媒介上个人数据处理指引;
2017年1月20日发布的处理和发送个人数据时防止意外泄露的指引;
2019年7月15日发布的制定数据保护管理计划指引;
2017年11月1日发布的数据保护影响评估指引;
2018年1月25日发布的基本数据匿名化技术指引;
2018年5月3日发布的机构印刷流程指引;
2019年8月26日修订的有关NRIC和其他国民身份证号码的PDPA咨询准则的技术指引;
2019年5月22日发布的数据泄露管理指引2.0;
2019年5月22日发布的积极执法指引;
2019年5月31日出版的资讯及通讯科技系统设计保护资料指引;
2019年7月15日出版的个人数据保护法问责指引。
(二)数据保护的监管机构 — 个人数据保护委员会 PDPC
为了更好的管理和执行PDPA,新加坡政府于2013年1月2日成立了个人数据保护委员会(Personal Data Protection Commission,简称“PDPC”或“个保委”),负责管理和执行《个人数据保护法》的相关事项,在企业和用户之间建立可信环境,为新加坡经济的蓬勃发展做出贡献,并代表新加坡政府处理有关数据保护相关的国际事务。
此外,PDPC还负责监督“谢绝来电”(Do Not Call, DNC)登记处的开发和运营,禁止任何机构向谢绝来电登记簿登记的新加坡电话号码发送营销信息,以确保个人只收到他们想要的电话营销信息,并通过增加消费者信心和信任来协助企业提升客户关系等。
二、《个人资料保护法》主要内容和运用
(一)新加坡PDPA与欧盟GDPR的对比
2018年5月25日,欧盟的《通用数据保护条例》(General Data Protection Regulation,简称“GDPR”)开始生效。GDPR高度重视个人数据保护与监管,为之设置了一系列的保护门槛和机制,被业界与学界称为“史上最严”的个人数据保护法案。下面我们对PDPA与GDPR进行简单的对比:
(二)PDPA的数据处理原则
PDPA共规定了9条原则,各组织在处理个人数据时必须遵守。
1)同意义务 在收集、使用或披露个人信息时,各组织必须先征得个人的授权同意, 并且在个人给予合理的通知后,允许个人撤销同意。在撤销同意后,各组织必须停止收集、使用和/或披露这些个人资料。
2)目的限制义务 各组织只可收集、使用或披露个人同意的用途,这些个人数据只可被 使用在适用于各组织提供的产品或服务的合理范围内。
3)告知义务 各组织必须在收集、使用或披露您的个人资料之前向个人解释收集个人资料的原因及使用目的和范围。
4)访问权限及更正义务 在接到相关个人的请求后,组织应当向其提供其个人数据被使用和被披露的有关信息,如果个人要求更正其个人资料中的任何错误或遗漏,组织必须尽快接受该要求。
5)准确性义务 组织需确保个人资料的完整和准确性。
6)保护义务 各组织应制定必要的安全措施,以保护个人数据的安全,以防止个人数据遭受未经授权的访问、收集、使用、披露、复制、更改、处置或其他类似的风险威胁。
7)存储限制义务 各组织只可在法律或业务的所需的目的之下保留个人数据。如果数据储存对商业目的的实现或者收集个人资料的目的已不再是必需时,则相关组织必须停止存储这些个人数据,或移除个人数据与特定个人的关联。
8)传输限制义务 如果各组织需要将个人数据转移到海外,例如将数据存储在云中,需要确保将数据传送到的国家可提供与PDPA同等级别的数据保护标准。这一相当性标准可根据以下的方式来实现:
• 组织与数据接收者签订数据处理协议,以要求接收者为个人数据提供与 PDPA 规定相当的数据保护标准;
• 证明个人数据将被转移到的国家/地区的适用法律提供了与PDPA规定相对应的数据保护标准;
• 取得数据主体对于传输的同意,该同意应当满足特定的条件。
9)公开义务 组织应当采取适当的措施以及政策以确保其行为符合 PDPA 所规定的义务,并向社会公开有关其政策与实际操作的信息。实践中,应至少委任一名数据保护专员负责确保该实体符合PDPA,并提供专员的联系方式,让希望了解该组织数据保护政策的个人可以与数据保护专员进行联系。
(三)PDPA在雇佣关系中的运用
1、企业是否需要征得求职者的同意才能收集和使用他的个人资料?
1)当个人以求职的形式自愿向某一企业提供其个人资料时,他们被视为同意该企业以评估其工作申请而收集、使用和披露这些个人资料。
2)当该员工被雇佣时,企业继续使用工作申请表中提供的个人资料来管理与该个人的关系是合理的。
3)如果该企业希望将个人数据用于上述情况以外的地方时,或者在PDPA没有适用的例外情况下,则该企业必须通知员工并为此取得同意。
2、企业能否保存未被雇佣的求职者的个人资料?
1)这些资料只可保存在以法律为目的所需的时间内。
2)各企业还应注意到,求职者有权查阅及要求更正应聘企业所持有的有关其的个人资料。
3)根据要求,企业还必须向个人通报过去一年内使用其个人信息数据的方式。
4)如果最终没有聘用此人,所涉个人信息数据是仅以评价为目的而保存的评论信息,则不要求各企业向个人提供此类信息。在这种情况下,企业不需要将在确定是否聘任的过程中所产生的评价意见通知到个人。
3、企业是否可以使用名片中的信息进行招聘?
PDPA第4条第5款规定,为商业用途提供的个人姓名、职位信息、工作电话或传真号、工作地址、工作电子邮件地址及其他类似“业务联系方式”不在机构保护责任范围之内。
4、PDPA如何适用于雇员的雇佣记录?
1)应告知雇员:信息收集的目的、需要使用和披露其个人资料的情况并在收集、使用和披露之前取得同意 。
2)在许多情况下,雇主需要在关系开始时 ( 任命新雇员时 ) 获得收集、使用和披露员工的个人信息数据的同意。在雇佣关系的不同阶段,当需要更多个人资料时,应再次取得雇员的同意。雇员可选择根据PDPA条 款规定撤回他们的同意。
3)如果所收集、使用或披露的信息是以评价为目的而收集、使用或披露的,即(除其他事项外)确定个人是否适合就业、在就业中晋升或继续 就业的目的、资格证书等,则无须经过个人的同意,例如:从前雇主处获得一份推荐信,以确定是否合适;或者获取业绩记录或其他相关信息,以确定雇员的业绩。
5、以管理或终止雇佣关系为目的的收集、使用及披露个人资料的法律范围
1)虽然雇员不需要表示同意,但雇主必须通知其雇员其收集、使用 或披露个人信息数据的目的,但PDPA没有规定通知的形式和方式。
2)为避免产生疑问,企业应具备向员工提供提出收集、使用和披露数据的目的的一般通知(例如:性能评估),企业应在每次收集员工个人信息前提供相应通知。
3)属于“管理或终止雇佣关系”目的的个人信息数据范围:
– 利用雇员的银行账户信息对其发放工资
– 监查雇员在上班期间如何使用电脑网络资源及公司内部网络资源
– 管理工作人员福利计划(例如:培训/教育补贴)。
4)只要是有效或合法的目的情况下,企业可以继续保留关于前雇员的个人数据。但是,在没有明确界定的目的的情况下,不应保留个人数据信息。如果数据是在不确定的目的下和不确定的时间范围内,则会相应增加违反PDPA条例的风险。
6、如果员工不遵守PDPA,公司需要承担哪些“责任”?
1)企业对雇员在受雇期间所造成的任何违反行为负责 。特别是,在该雇佣过程中由雇员从事的任何行为或行为,不论其是否在此之前得到雇主的批准,均应由企业负责。
2)PDPA对“雇员”的定义中包括志愿人员,对“雇佣”的定义中包括在无偿志愿服务关系下的工作。
(四)违反PDPA的法律后果
对于违反PDPA数据保护义务的机构,可能受到以下处罚:
1、停止违法收集、使用或披露个人数据;
2、删除违法收集的个人数据;和/或
3、向被侵害人提供个人数据的访问和纠正权限;
4、PDPA后续修订,将罚款的最高额提升至组织年度总营业额的 10%,或 100 万新加坡币(二者中取其高)。
除此之外,个人也有权向 PDPC 的主管部门进行投诉,以寻求有效的司法救济、 获得禁止令或从组织处就其法所造成的损失获得赔偿。
三、《关于国民身份号码及其他类别国民身份号码的〈个人数据保护法令〉咨询指引》的使用范围
2018年8月31日,PDPC颁布了《关于国民身份证及其他类别国民身份号码的(个人数据保护法令)咨询指引》(以下简称《身份号码指引》),并自2019年9月1日起正式生效。《身份号码指引》特别强调对于新加坡国民身份证及身份证号的收集、使用和披露行为的规范。
根据《身份号码指引》,机构一般不得收集、使用或披露国民身份证号码或复印件。针对国民身份证号码的规定,亦适用于出生证明号码、外国人身份号码和工作准证号码(以上号码在该《身份号码指引》中统称为“其他类别国民身份号码”)、以及护照号码。如确有需要收集护照号码的,机构应将其收集限于非完整护照号码上,并确保适当程度的安全以保护所收集的护照号码,但法律允许的除外。这里择要列举用处:
需要使用新加坡身份证号的情况:
新员工入职企业时
酒店入住登记时
在诊所/医院求医时
申请移动电话号码套餐时
报读私人教育机构时
不需使用新加坡身份证号的情况:
x 免费泊车赎回服务时
x 加入任何零售会员俱乐部时
x 注册任何服务或提交服务反馈时
x 在线购买电影票时
x 参加抽奖活动时
四、处罚案例
自PDPA生效以来,PDPC已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出了处罚。据2019年8月6日公开消息,PDPC对五家机构未遵守《个人信息保护法》的行为作出了罚款。其中,
1、CDP未经授权披露CDP账户持有人的个人数据,被处以24,000美元的罚款;
2、Toppan Security Printing未经授权披露CDP账户持有人的个人数据,被处以18,000美元的罚款;
3、Horizon Fast Ferry因未能制定和实施数据保护政策,未能执行合理的安全措施来保护其客户的个人数据而被处以54,000美元的罚款;
4、Genki Sushi由于未能实施合理的安全措施保护其员工的个人数据导致被勒索软件攻击而被处以16,000美元的罚款;
5、Championtutor因未聘用数据保护官以及未制定合规政策而被处以5,000美元的罚款。
而,处罚最重、影响最大的个人数据遭泄露的案例,是2019年的新康集团集群案。2018年6月27日至7月4日期间,新加坡健康服务私人有限公司(以下简称新康公司)的病例数据库系统遭到网络攻击,黑客从公司数据库中非法访问和复制近150万病人的个人数据和近160万门诊病人的处方记录,导致大规模的病人数据泄露,是新加坡历史上个人信息泄露最为严重的案件。
PDPC遂依受害人的投诉启动了调查程序,并在综合考虑证据、当事人陈述,以及公司方面事后所采取的有效补救措施等减轻情节后,对新康公司和综合健康信息系统公司分别作出了25万新加坡元(约125万元人民币)和75万新加坡元(约375万元人民币)罚款指令。
PDPC认为,新康公司作为医疗机构可以将部分业务外包给服务供应商,但不能将其PDPA规定的法定义务亦转移给他人。上述两公司最终自愿承认病例数据遭到泄露的事实,接受个保委的调查结果,同意按照个保委的指令承担责任,并认为上述指令的处罚力度合理适当。
五、新加坡企业在数据合规方面,在哪些方面自查问题?
1、个人数据存储是否储存在内部系统或云端(通过第三方供应商)?
2、数据存储在以下前提下:
a)当前的IT基础架构是否支持
b)有足够的安全和网络安全措施来防止数据被破坏
3、如果数据是通过第三方云端储存的,那么有什么安全措施?例如:每年进行独立渗透测试,ISO 27001 信息安全管理系统认证和其他相关认证等。
4、在停电的情况下,是否有适当的后备措施来检索和恢复“丢失的” 数据?包括第三方云端提供的备份等措施。
5、在传输个人数据时,数据是否出于安全目的进行加密,它们是否符合相关的PDPA和/或GDPR策略?
6、其他内部措施:
– 进行风险评估,以确定信息安全安排是否适当
– 使用web应用防火墙
– 使用带有自动更新的反病毒软件
– 定期应用操作系统及软件的安全更新
– 定期审查用户访问情况
注意,各企业必须遵守“2012个人信息保护条例”的以下条例:在PDPA于2014年7月2日生效之前收集的个人信息数据(原始收集的个人资料)可继续使用,除非个人已撤回同意。如果在2014年7月2日之后获得的个人信息数据,企业须通知并获得收集、使用和披露的确认同意后方可使用个人信息数据。
六、对中资企业数据风控的建议
新加坡基础设施完善、投资环境优越,对中国企业具有较强吸引力。但新加坡法制体系严密,建议中资企业应格外注意避免因运营不当或违规而导致处罚风险。
(一)增强保护所在国公民权利的意识。
数字经济时代偏见与歧视、数据隐私、数据控制权等社会问题频发,就新加坡市场而言,一方面,新加坡社会公民的权利意识近年来在不断上升。另一方面,新加坡政府也在加强针对新技术的监管,如在2018年11月新加坡金融管理局(MAS)发布了其原则,以加强针对金融领域AI的公平、道德、问责制和透明度的监管(FEAT)。因此,对相关领域的中国投资者来说,一旦交易、整合和日常经营触及数据泄露等敏感社会问题,不但面临被法律制裁的风险,还可能引发市场信任损失,令企业经营陷入不利地位。
(二)加强合规管理。
充分理解客户个人数据安全的重要性,尊重和保护客户隐私权利。企业应从全面的视角,加强个人信息安全和隐私保护的能力,将数据保护要求嵌入公司制度的设立阶段。除此之外,就获取个人信息的授权以及用户体验的平衡点将是企业产品或服务的设计考虑中不可或缺的一部分。对于多地区经营的企业,为实现各地区开展的业务符合当地隐私保护法规的要求,应持续洞察相关法律法规的更新,并将法规的新要求转换为公司内部的规定,优化内部流程,以保证公司开展的各类活动符合新加坡PDPA的要求。