(一)相关立法
《个人数据保护法》(Personal Data Protection Act 2012,“PDPA”)为新加坡个人数据保护的基础性立法,并由个人数据保护委员会(PDPC)负责主要执法与监管。
PDPA 于 2020 年经修订,并自 2021 年 2 月 1 日起分阶段实施,引入强制数据泄露通报、提高罚款上限等制度;其中,组织在完成评估并确认构成应通报的数据泄露事件(Notifiable Data Breach)后,应尽快且最迟不超过 3 个日历日向 PDPC 通知,并在符合条件时同步/随后通知受影响个人。
与跨境传输相关的主要从属法规包括《个人数据保护条例》(Personal Data Protection Regulations,“PDPR”)及《个人数据保护(数据泄露通知)条例》(Personal Data Protection (Notification of Data Breaches) Regulations 2021)等。
(二)监管与处罚
个人数据保护委员会(Personal Data Protection Commission,“PDPC”)是新加坡国内负责执行PDPA的主要机构,负责国内的数据监管,并有权对违反PDPA的行为开展执法调查、作出处罚决定。
违反个人数据监管法规的主体通常需要承担法律责任,主要分为强制指令及经济处罚:
1、指令型处罚
- 停止违反PDPA 收集、使用或披露个人数据的行为;
- 销毁违反PDPA 收集的个人数据;
- 提供访问或更正个人数据的权限;
2、经济型处罚
自2022.10.1起,PDPC可对组织施加的罚款上限从此前固定S$1,000,000提升为:
- 若组织在新加坡年度本地营业额> S$10,000,000:最高可达其本地营业额 10%(或 S$1,000,000,以较高者为准);
- 其他情形:最高S$1,000,000。
同时,PDPC 的执法机制亦有更新,包括可接受voluntary undertakings(自愿承诺)等(有利于企业在个案中争取整改路径与减轻不利影响)。
(三)相关要求
较于欧盟、中国等个人数据保护规定更为严苛的国家,新加坡在“告知-同意”“数据本地化与跨境”方面要求相对更强调可执行的问责与合理措施。尽管如此,PDPC“告知-同意”“数据本地化与跨境”“数据安全保护”“营销监管”方面执法较为活跃,出海企业如忽视上述方面义务则容易触及监管红线。
1、告知-同意要求
根据PDPA第14条,除PDPA规定的豁免同意义务情形以及其他法律要求的个人数据收集、使用和披露情形外,组织收集、使用或披露个人数据原则上应取得个人同意。但PDPA允许组织取得个人“视为同意”(Deemed Consent),其规定的“豁免同意义务情形”也较为宽泛,故在“告知-同意”要求方面,PDPA的要求较GDPR更为宽松:
(1)视为同意的情形。根据PDPA,构成“视为同意”的情形主要如下:
- 个人自愿、主动提供:个人自愿为特定目的向组织提供个人数据,且个人自愿提供该信息是合理的,该情况构成“视为同意”(PDPA第15(1)条);
- 个人同意(包括视为同意)组织为特定目的向另一组织披露其个人数据,也视为其同意另一组织为该特定目的收集、使用或披露个人数据(PDPA第15(2)条);
- 履行合同所必需:为履行个人与组织之间合同的合理需要,组织可以将个人向其提供的个人数据向另一组织提供,另一组织还可以向后续其他组织进一步披露该个人数据(PDPA第15(3)条);
- 通过“通知”:如果组织充分通知个人收集、使用或披露个人数据的目的,且个人未在合理的时间内告知组织其不同意,则也构成“视为同意”。“通知”应符合以下要求(PDPA第15A条):根据PDPA第15A(5)条和PDPR第14(2)条进行评估,以识别收集、使用或披露个人数据是否会对个人造成不利影响,并采取相应缓释措施;采取合理措施向个人通知该组织拟收集、使用或披露个人数据以及目的;告知个人如何在合理时间内通知该组织其拒绝组织收集、使用或披露个人数据。须注意的是,对于发送营销信息,组织不能通过“通知”方式取得同意。
(2)豁免同意义务
除允许为组织合法利益、个人切身利益(如为生命、健康或安全的紧急情况)、影响公共利益、满足一定条件下的商业资产交易目的等情形豁免组织取得个人的同意的义务,PDPA允许为商业改进目的收集个人数据。
(3)明确同意、口头同意及告知义务
如个人数据处理活动未能构成“视为同意”“豁免同意义务”或其他依法收集个人数据的情形,组织应取得个人同意,包括书面等可记录的同意或口头同意。但为便于日后争议举证,PDPC在其公布的指南中建议企业在取得口头后,再以电子等其他书面方式(如补发邮件)与个人确认,或在特定情况下补充已取得个人口头同意的书面证明作为证据。须注意,对于营销活动,新加坡要求取得个人明确同意。
2、数据本地化与跨境数据传输限制义务要求
PDPA未规定数据本地化存储要求,但PDPA第26条规定了数据跨境传输方面的限制,除非根据PDPA相关要求确保接收方对传输的个人数据提供至少与PDPA同等的保护,不得将任何个人数据传输到新加坡以外的国家或地区。
须注意的是,上述义务仅适用于“数据传输方”。对于数据接收方,新加坡则通过要求数据传输方确保数据接收方提供“同等保护”,通过数据传输方向数据接收方传导PDPA规定的数据保护义务。
从实践及PDPA Guidelines建议看,对于持续或集团内部传输场景,企业通常采用与接收方签订数据处理协议、BCRs的方式进行跨境传输。
如传输方未能与接收方签订数据处理协议或BCRs,PDPC在PDPA Guidelines中建议,企业可通过取得用户的同意或视为同意的方式履行数据跨境传输的义务。其中,“视为同意”情形包括:
- 跨境传输为履行合同所必需:如基于该事由跨境传输数据,接收方可基于履行合同所必需向第三方再传输数据;
- 用户主动提供个人数据或虽未主动提供但允许个人数据被收集使用。
无论是取得同意或“视为同意”情形,传输方均须履行以下义务:
- 告知义务:在请求个人同意前,传输方应向数据主体提供书面概要说明,告知其数据接收国对数据的保护措施,以及该保护水平不低于PDPA(PDPR第10(3)(a)条);
- 手段正当性:传输方不得以任何欺骗性或诱导性方式获得该同意(PDPR第10(3)(c)条);
- 禁止捆绑同意:除非跨境传输为提供服务/产品合理所必需,传输方不得以该同意作为提供服务/产品的前提(PDPR第10(3)(b)条)。
3、数据安全保护
PDPA第24条要求组织应采取合理措施避免:
- 数据被未经授权访问、收集、使用、披露、复制、修改、处置等类似风险;
- 存储个人数据的存储介质或设备丢失。根据PDPC发布的指引,当前没有统一的数据保护方案,每个组织应根据个人数据性质(是否为敏感个人数据)、个人数据泄露对个人的影响等因素综合制定数据保护方案。
PDPC建议组织可以采取以下措施,包括:
- 综合考虑上述因素制定数据安全保护方案,包括物理措施、技术措施及管理措施;
- 设置数据安全保护专业人员;
- 制定内部制度和操作流程,分级保护个人数据;
- 能够快速、有效应对信息安全事件;
- 综合考虑组织规定、个人数据规模和类型、有权访问个人数据的内部人员、是否委托第三方处理个人数据开展风险评估,以确定相关数据保护方案是否足够。
须注意,数据安全保护仍是PDPC执法较为活跃的领域,且可能因发生数据泄露事件而引发对其他义务履行情况的调查,建议出海企业根据自身情况采取数据安全保护措施,避免数据泄露事件发生。
如发生数据泄露事件,且相关事件根据 PDPA 第 26B 条构成应告知的信息泄露事件(Notifiable Data Breach),则组织在完成评估并确认可告知后,应尽快且最迟不超过 3 个日历日向 PDPC 告知;如果数据泄露导致或可能导致对受影响个人的重大伤害,组织通常需在通知 PDPC 时或之后通知受影响个人。
(四)法律责任
1、行政责任
在监督PDPA履行方面,PDPA赋予PDPC较大的执法权,PDPC有权对违反PDPA的行为开展执法调查、作出处罚决定,采取的处罚措施包括但不限于:(1)要求处罚对象停止收集、使用或披露违反PDPA的相关个人数据;(2)要求处罚对象销毁违反PDPA的相关个人数据;(3)对处罚对象最高处以其在新加坡年度营业额的10%或100万新加坡元(以较高者为准)的罚款等。
2、民事责任
PDPA第480条赋予个人向法院起诉的民事救济权利。
3、刑事责任
在刑事责任方面,对于未经授权故意使用、披露个人数据构成刑事犯罪的,行为人可能面临最高2年监禁以及最高5,000新加坡元的罚款。企业通过故意更改、伪造、隐瞒个人数据收集、使用或披露的相关信息以逃避个人访问或更正个人数据的请求,可能面临最高50,000新加坡元的罚款,而行为人可能面临最高12个月监禁以及最高5,000新加坡元的罚款。
点击查看更多新加坡国别信息: