新加坡新修数据保护法 出于合法目的的商业活动将无需用户同意

新加坡已经更新了其《个人数据保护法》(Personal Data Protection Act,PDPA),允许本地企业在未经事先同意的情况下就出于某些目的(例如业务改进和研究)使用消费者数据。同时修正案还规定对数据泄露处以更严厉的罚款,最高罚款可以高于先前的100万新加坡元。

新加坡新修数据保护法 出于合法目的的商业活动将无需用户同意

该法案由个人资料保护委员会(PDPC)管理,修订于周一在议会获得通过。此时,距离2012年10月该法案出台已有八年时间。

在讨论修正案的演讲中,新加坡通信和信息部长伊斯瓦兰(S. Iswaran)表示,在数字经济中,数据是一项重要的经济资产,不仅提供了有价值的见解,还为企业提供了信息和效率。

Iswaran说,数据还将增强创新能力,提高产品质量,成为具有变革性潜力的人工智能(AI)等新兴技术的关键资源。新加坡的监管架构必须与时俱进。

在谈到建立数字经济协议的努力时,他表示,这些举措将亚洲国家定位为“全球数字流动和交易网络的关键节点”。PDPA的修正案还旨在确保其立法体制“适合”数据环境下复杂的数字经济,法律必须建立在信任的基础上。消费者必须相信他们的个人数据是安全的,并负责任地使用,即使他们正受益于数字机遇和数据驱动的服务。

Iswaran说,公司还需要确定以合法的商业目的利用个人数据,并且要有必要的保障和问责。

他指出,有关修订力求取得平衡,以最大程度地提高收益并最大程度地减少收集和使用个人数据的风险。

其中关键的变化是“同意的例外”要求,现在允许企业为“合法目的”、业务改进和更广泛的研发范围使用、收集和披露数据。除了为了调查和应对紧急情况的现有同意外,现在还包括打击欺诈、改进产品和服务以及为了解潜在客户群而开展的市场研究工作。

此外,根据PDPA“视为同意”的进一步修订,现在将允许组织与外部承包商共享数据,以履行客户合同。他说,这符合“现代商业安排”和包括安全在内的基本目的。

企业还可以在未经同意的情况下使用数据来促进可能尚未标记为生产的研究和开发(R&D)。

Iswaran解释说,这可以适用于从事科学研发的研究机构或从事社会科学研究的教育机构,以及开展市场研究以识别和了解潜在客户群的企业。但是除“被视为”和“例外”之外,所有其他目的,如直接营销信息,仍需事先获得消费者的事先同意。

根据修正案,因数据被盗而面临经济处罚的机构现在可能不得不支付更高数额的罚款。该修正案规定,对数据被盗企业的罚款最高可达年营业额的10%,或100万新加坡元(合735490美元),以金额更高者为准。此前的罚款上限为100万新加坡元。

政府还出台了让消费者在使用服务产生的数据方面拥有更大自主权,并在如何接收商业通信方面拥有更多控制权的修正案。新的数据可携性规定允许个人要求将其资料的副本传送给其他机构。预期这将鼓励发展替代服务或正常服务,从而刺激竞争并使消费者受益。

Iswaran表示,由于数据可携性在新加坡还是一个相对较新的概念,因此将分阶段推出。他说,更多细节将在晚些时候公布,包括可携带的数据类别,以及其他技术和消费者保护指南。

令一些议员表示担忧的是,这些修正案,特别是关于例外情况和被视为同意的修正案,范围太广,可能会被组织滥用。例如,在考虑这些利益是否大于对个人的潜在不利影响时,可以从组织的角度、主观的评估看待“合法利益”,这是修正案中概述的要求。

作为回应,Iswaran表示,在被视为同意或例外同意的情况下使用数据,将被贴上安全保护的标签,比如要求企业进行风险评估,以确定哪些是“合法的”,并对数据的使用方式设置明确的限制。

“ [征得例外同意],组织必须进行评估,以消除或减少与收集、使用或披露个人数据有关的风险,并且必须确信这样做的总体利益要大于对个人数据使用的任何潜在不利影响。”他补充说,PDPC将概述有关公司应如何进行风险评估的指南。

另外,即使在选择退出期过后,个人仍可以撤回同意。

在总结修订目标时,这位部长表示,“微妙的平衡”至关重要,因为过度修正将导致消费者信任度下降,而反向修正将束缚企业,削弱政府希望实现的创新和经济效益。

Iswaran指出,立法不是万灵药,也不能消除数据泄露的风险,新加坡必须保持灵活和互操作性。

他补充说,法律必须与良好的实践相辅相成,这些实践必须随着时间的推移而不断发展。他敦促每个人都要发挥作用,为维护国家数据制度的安全和可用性承担责任。

他说,政府制定和执行这些规则是为了适应不断变化的市场环境,以确保新加坡在新的数字要求中保持竞争力。企业也应该认识到,支持一个健壮的数据体系,并通过数据政策使自己合规,符合自己的利益。

消费者也应该为他们自己的数据承担责任,因为他们终于可以选择随时退出了。

据这位部长说,PDPC去年调查了185起涉及数据泄露的案件,并发布了58项决定。政府下令39个机构支付170万新币的罚款,其中最高的分别是75万新币和25万新币,分别支付给综合卫生信息系统和新加坡卫生服务机构。(本文出自SCA安全通信联盟,转载请注明出处。)

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注