新加坡在个人信息隐私保护领域一直走在世界的前列,国会于2012年10月15日就已通过了《个人信息保护法案》(The Personal Data Protection Act 2012)(“PDPA”),成立了个人资料保护委员会作为法案的执行机构,并出台了多部配套指引。
而在去年的11月2日,新加坡议会通过了《2020年个人数据保护(修订)法案》。这是自2012年以来首次对PDPA进行全面审查,其变化对企业和消费者都有很大影响。在修改法案下,组织可以在更多未经同意的情况下使用数据,但对数据违规行为的的惩罚也更加严厉。
今年的3月15日,新加坡个人数据保护委员会(PDPC)发布《数据泄露管理通知指南》和《数据保护执法指南》最新修订版。其中,《数据保护执法指南》详细阐述了《个人数据保护法》(PDPA)中新引入的自愿承诺条款,进一步明确了PDPC的调查程序、执法行动类型和处罚措施等关键内容。
法案管辖范围:
PDPA适用的组织包括:
(1)根据新加坡法律成立的组织;
(2)在新加坡有办事处或者办公地点的组织。
组织的形式可以是个人、公司或者非公司形式(例如协会)。这些组织需要全面遵守法案,除非存在例外情形,例如:
(1)个人或家庭原因处理数据的个人;
(2)雇员处理个人数据(组织需要为雇员的行为负责);
(3)公共机构,例如政府。
个人数据的定义:
PDPA中个人数据的定义和GDPR类似,指可以确定到个人的数据,即通过:
(1)数据本身就可以确定到个人;
(2)通过此数据和组织可以接触到的个人其他数据可以确定到个人的数据。
数据本身就可以确定到个人的数据,称为唯一标识符,例如姓名、护照号码、电话号码、人脸图像、声音、指纹等。
而对于性别、国籍、年龄等数据,虽然单独无法确定到个人,但是这些数据如果和上述的唯一标识符相结合或者是通过其他数据相结合时,也可以确定到个人,此时这些数据就成为了个人数据。
相比于其他国家和地区的个人数据保护法,PDPA下的个人数据不仅包括“活着的人”,还包括“去世的人”。
但是法案对于“去世的人”的个人数据保护有着严格的限制:
(1)对于个人数据存储已经至少100年或者;或者去世超过10年的个人,法案并不适用;
(2)对于“去世”未超过10年的个人,只有法案中关于数据公开和保护的条款适用。
而PDPA明确规定了法案不适用于商业联系信息。商业联系信息被定义为“个人的姓名、职位、商业联系电话、商业地址、商业电邮、商业传真以及其他类似的个人信息” 。
对于收集、使用以及公开商业联系信息,收集方并不需要获得个人同意。
数据处理中介
在PDPA下,数据处理中介的定义为“为另一个组织处理个人数据的组织,不包括另一个组织的雇员。
也就是说组织并不为自己的目的处理数据即为数据处理中介,这和GDPR下的处理者的概念极为类似。
但是,PDPA下数据处理中介的法定义务则要比GDPR下数据处理者的义务减轻许多。
在PDPA下,数据处理中介只需要遵守“数据保护义务”和“数据留存限制的义务。但是,如果数据处理中介是因为自己的目的收集数据,则需要全面遵守PDPA下的所有数据保护义务。
何为“同意”
和其他各国的隐私保护法类似,收集信息方需要获得数据主体的“同意”。PDPA 下的“同意”可以是书面同意,也可以是口头同意。
但新加坡个人信息保护署建议采取积极的方式获得用户的同意。如果采取退选的方式获得用户同意,则存在被认定为未尽到法定通知义务的风险。
对于“谢绝来电”(下文将详细叙述)条款的同意,PDPA则强制要求需要获得用户明确的同意,因而采用“口头同意”或者“退选”的方式,都不符合获得“同意”的要求。
(一)视为同意
相比于其他各国的隐私保护法,PDPA下有一类特定的同意,可以将某一行为视作同意,即“视为同意”,主要有以下两种情形:
- 用户通过某种行为自愿提供了自己的个人信息,而且此行为合理。
- 当个人同意一个组织将其个人信息传输给另一个组织。
(二)从第三方获取个人信息
我们有时收集信息,并不直接从数据主体处收集,而是通过第三方收集。在这种情况下,通常需要获得数据主体的同意,只是在特例的情形下不需要获得数据主体的同意。
- 通过第三方收集需征得个人同意的情形
当从第三方获取个人信息时,通常需要获得数据主体的同意,可以通过以下两种形式:
(1)第三方可以代表个人同意其个人信息的收集、使用和披露;
(2)个人已经同意第三方披露其个人信息。
- 通过第三方收集无需征得个人同意的情形
(1)收集个人信息是为了应对紧急事件;
(2)个人信息已经可以公开获得;
(3)个人信息的收集是为了评估的目的。
在使用、收集或披露个人信息时,机构须遵守新加坡的《个人信息保护条例》,以下为《个人信息保护条例》下的十项义务:
(1)同意义务
企业在收集、使用或披露个人信息时,必须先征得个人的同意, 并且在个人给予合理的通知后,允许个人撤销同意。在撤销同意后,企业必须停止收集、使用和/或披露这些个人资料。
(2)目的限制义务
企业只可收集、使用或披露个人同意的用途,这些个人数据只可被使用在适用于企业提供的产品或服务的合理范围内。
(3)通知义务
企业必须在收集、使用或披露您的个人资料之前向个人解释收集个人资料的原因及使用目的和范围。
(4)获取及修正义务
企业有义务要求并在合理可能的情况下尽快向个人提供关于:组织拥有或控制的个人资料详情以及在提出请求后一年内如何使用或披露这些个人资料。此外,如果个人要求企业纠正其个人资料中的任何错误或遗漏,企业必须在切实可行范围内尽快接受该要求。
(5)缜密义务
企业需确保个人资料的准确性。
(6)保护义务
企业应制定必要的安全措施,以保护个人数据的拥有或控制是在安全范围内的。安全措施需要可以阻止任何未经授权的访问导致的个人数据被收集、使用和/或公开。
(7)保留限制义务
企业只可在法律或业务的所需的目的之下保留个人数据。
(8)转让限制义务
如果企业需要将个人数据转移到海外,例如将数据存储在云中,请确保将数据传送到的国家可提供与PDPA同等级别的数据保护。
(9)公开义务
企业应有权在要求个人信息数据时说明其有关数据保护的做法、政策和投诉流程的信息。例如企业的隐私政策,实体应至少委任一名数据保护专员负责确保该实体符合PDPA的相关规定,并可以让希望了解更多企业的数据保护政策的个人可以与该数据保护专员进行联系,同时提供该专员的联系方式。
(10)资料泄露通知义务
如果企业的资料外泄,对受影响人士造成(或可能造成)重大损害,或至少影响500人,则一般必须通知PDPC及受影响人士。
(三) “同意” 的撤回
PDPA下的 “同意” 是可以撤回的,但需要注意的是 “同意” 撤回的方法以及后果。
数据跨境传输
在PDPA下,一般情况数据不可以进行跨境传输,除非数据接受方可以通过 有法律效力的方式提供和PDPA下同等的数据保护,这点和GDPR下的数据跨境传输十分类似。
“谢绝来电” 条款
“谢绝来电” 条款是PDPA下的一大特色。
2014年,新加坡设立了 “谢绝来电” 登记处。公众只要向 “谢绝来电” 登记处注册登记自己的电话号码,就可免受促销电话、短信或传真骚扰。
根据法令,个人的电话号码一旦在“谢绝来电”登记处登记注册,商家就不得拨打该号码或向其发送文字短信及多媒体信息、传真,用于推销其商品及发送广告。“谢绝来电”条款的管辖范围为位于新加坡境内的信息发送者或者接受者。
个人权利
PDPA下直接赋予数据主体的权利包括访问权和更正权。相比GDPR下的被遗忘权以及数据可携带权等,范围小了很多。同时存在特例无需提供访问权和更正权的情形,PDPA也不直接将访问和更正义务强加于数据中介机构。
PDPA的实施
新加坡成立了个人数据保护委员会(PDPC)来承担PDPA的制定和实施工作,PDPC主要有三项权力:
(1)采取其它争议解决方式的权力:例如通过调解或其他模式;
(2)审核的权利 :审核组织对于数据主体行使访问权和更正权的回复的权利;
(3)调查的权利:特定情形下,可以行使调查权。
雇佣关系中应用
雇主收集雇员信息有时是为了:
(1)管理或终结雇员关系,例如开设工资账户、进行员工培训,内网中张贴员工照片等;
(2)评估的目的,例如对于雇佣、晋升以及续约的资质的评估。
在PDPA下,对于管理或终结雇员关系的目的而收集的个人数据,无需获得雇员同意,但是需要履行告知义务,例如通过劳动协议或员工手册告知等。
