X

个人资料保护委员会三措施 促进数据创新加强商家问责

个人资料保护委员会推出三项措施,既要促进数据创新,也要商家对数据保护负责,商家日后能更容易转移数据,但也得及时通报资料泄漏事件。

个人资料保护委员会昨天(5月22日)发文告说,针对数据流通(data portability)与创新展开公众咨询,截止日期为7月3日。

数据流通相关法律条文允许消费者要求商家把个人资料转交给另一个商家,在更换服务供应商方面,这或可节省成本。消费者日后或可要求银行、电信公司或互联网服务供应商等,把信用卡交易、房贷或服务使用等数据转交给其他商家,以获得个人化服务。

数据创新相关条文则阐明商家可在未经许可的情况下,使用个人资料,以达正当商业目的。

个人资料保护委员会说,欧盟、澳大利亚、印度、日本与新西兰已实行或准备实行数据流通,拟定数据流通与创新条例,旨在与全球趋势达成一致,加强国际对新加坡数据保护工作的认可。

委员会副专员杨子健说:“征求数据流通与创新条例相关反馈,以及试行资料外泄通报措施,我们正采取坚定步骤,在全球数码经济中,把新加坡定位为可信赖的数据中心。”

当局也将利用过去四年的资料外泄案例与利益相关者反馈,加快处理明确的资料外泄案件。

若案件性质与先例相似,或是有关商家承认触犯法令,案件便会加快处理。若涉及罚款,商家认罪将作为强有力的求情因素。

可加快处理的案件种类包括操纵网址、密码管理不当,或列印错误导致送达错误收件人。

考虑到有些商家已做好保护措施,但资料还是被盗,如一些获得个人资料保护信誉标志的机构,在发生资料外泄时,可向当局证明已有妥当问责程序及监督与补救计划,并申请自行执行应急计划,当局就不会介入调查。

个人资料保护委员会说,与全面调查相比,这个做法可取得相似甚至更好的执法效果。

另一方面,商家今后发生资料外泄,若受影响人数至少有500人,或资料泄漏可能严重危害或影响当事人,都须在完成内部评估的72小时内向委员会通报。

通报目前是自愿性质。个人资料保护委员会说,准备在下次修法时,强制通报资料外泄事件,因此促请商家现在就采纳这个做法。委员会建议商家在得知可能有资料外泄事件后的30天内完成内部调查与评估。