新加坡数据保护要求

1.前言

新加坡《个人数据保护法》（“PDPA”）规定了组织收集、使用和披露个人数据的方式，其赋予了个人保护其个人数据的权利，也承认组织出于合理目的而收集、使用和披露个人数据的必要性。

议会于2020年11月2日对PDPA进行了首次全面修订。修正案的大部分条款于2021年2月1日生效。最突出的是引入了强制性数据泄露通知制度，该制度要求遭受数据泄露的组织将数据泄露通知PDPC和受影响的个人。

值得注意的是，修订后的法案使PDPC能够对组织（如果该组织在新加坡的年营业额超过1，000万新元）在新加坡的年营业额处以最高10%的罚款，并已于2022年10月1日起生效。

1.1.主要法案、法规、指令

在PDPA颁布之前，新加坡没有主管个人数据保护的总体法律。相反，新加坡的个人数据处理在一定程度上受到各种法律的监管，包括普通法、特定行业立法以及各种自律或共同监管法规。这些现有的特定行业的数据保护框架将继续与PDPA一起运行。

除PDPA外，新加坡还颁布了以下附属法例：

• 2021年个人数据保护条例；
• 2020年个人数据保护（指定执法机构）通知；
• 2015年个人资料保护（指定医疗机构）通知；
• 2021年个人数据保护（执行）条例；
• 2013年个人数据保护（请勿致电登记处）条例；
• 2021年个人数据保护（构成犯罪）条例；
• 2021年个人数据保护（数据泄露通知）条例；
• 2021年个人数据保护（上诉）条例。

1.2.指南

PDPC发布了一些指南，虽然对任何一方都没有法律约束力，但更清楚地说明了PDPC如何解释PDPA的规定。包括：

• 《个人数据保护法关键概念咨询指南》（2021年10月1日修订）；
• 《选定主题个人数据保护法咨询指南》（2021年10月4日修订）；
• ICT系统数据保护设计指南；
• 数据保护官（“DPO指南”）；
• 数据保护官能力框架和培训路线图（“DPO框架”）；
• 数据保护官常见问题解答（“DPO常见问题解答”）；
• 数据保护影响评估指南（2021年9月14日）（“DPIA指南”）；
• 《个人数据保护法》下的问责指南（“问责指南”）；
• 数据保护管理计划制定指南（2021年9月14日）（“管理计划指南”）；
• PDPA关键概念咨询指南（2021年2月1日）（“咨询指南”）；和
• 数据保护条款执行咨询指南（2021年2月1日）（“执行指南”）。

所有指南均可通过PDPC的网站访问。

2.适用范围

2.1.个人范围

PDPA通常适用于所有私人组织收集、使用和披露个人数据。

但是，以下类别的组织不包括在PDPA的适用范围之内：

• 以个人或家庭身份行事的个人;
• 在受雇于组织期间行事的雇员;
• 公共机构;
• 任何其他组织或个人数据，或可能规定的组织类别或个人数据。

政府机构不受PDPA要求的约束，因为它们有自己的一套数据保护规则，所有公职人员都必须遵守。

2.2.地域范围

PDPA也适用于在新加坡没有实体存在的组织，只要这些组织在新加坡境内收集、使用或披露数据。例如，通过在线渠道或平台从新加坡个人收集数据的海外组织将受PDPA的约束。

值得注意的是，参与将个人数据从新加坡跨境传输到海外地区的组织也受数据保护条款的约束。

2.3.材料范围

PDPA明确将以下类别的个人数据排除在其适用之外：

• “业务联系信息”，定义为“个人的姓名、职位名称或头衔、业务电子邮件地址或业务传真号码以及有关个人的任何其他类似信息，并非由个人仅出于其个人目的提供”;
• 已存在至少100年的记录中包含的个人数据;
• 已死亡超过10年的已故个人的个人数据。

3.数据保护监管机构

PDPC是负责管理和执行PDPA的监管机构。

3.1.主要权力、职责和责任

PDPC的主要权力，职责和责任如下：

• 提高新加坡的数据保护意识;
• 提供与数据保护相关的咨询、咨询、技术、管理或其他专业服务;
• 就与数据保护有关的所有事宜向新加坡政府提供建议;
• 在国际上代表政府处理与数据保护有关的事宜;
• 进行调查研究，推广与数据保护有关的教育活动，包括组织和举办与此相关的研讨会、讲习班和座谈会，并支持其他组织开展此类活动;
• 管理与其他组织（包括外国数据保护机构以及国际或政府间组织）在数据保护领域的技术合作和交流，代表自己或代表政府;
• 管理和执行PDPA;
• 履行任何其他成文法赋予PDPC的职能;和
• 从事有关部长可能允许或根据公报上公布的命令分配给PDPC的其他活动并履行此类职能.

4.关键定义

• 数据控制者：PDPA不使用术语“数据控制者”。相反，它使用“组织”来指代需要遵守PDPA的实体。“组织”一词广泛涵盖自然人、法人团体（如公司）和非法人团体（如协会），无论他们是否根据新加坡法律成立，是否在新加坡居住或设有办事处或营业地点。
• 数据处理者：PDPA中未使用术语“数据处理者”，而是使用了类似含义的“数据中介”。“数据中介”被定义为代表一个组织处理个人数据。
• 个人数据：PDPA中的“个人数据”是指所有“可以从该组织访问的数据和其他信息中识别出的个人数据，无论真实与否”。无论此类数据是电子形式还是其他形式，也无论敏感程度如何，都适用。
• 敏感数据：尽管PDPA没有敏感个人数据类别，但PDPC认为，更敏感的个人数据应通过更高级别的措施来保护。通常比较敏感的个人数据类型包括：
  此外，PDPC规定如果发生数据泄露，以下数据将被视为对个人造成重大伤害：
• 未公开披露的财务信息;
• 可识别弱势个人的个人数据（例如，导致识别因犯罪而被捕的未成年人）;
• 未公开披露的人寿、意外和健康保险信息;
• 特定的医疗信息，包括艾滋病毒感染的评估和诊断;
• 与收养事宜有关的信息;
• 用于对任何电子记录或交易进行身份验证或对电子记录或交易进行数字签名的私钥;和
• 个人的帐户标识符和用于访问个人帐户的数据。
1. 个人的国民身份证号码（例如国民登记身份证和护照号码）;
2. 财务性质的个人资料（例如银行账户详情、中央存管账户详情、证券持有量、交易及付款摘要）;
3. 保险资料（例如保单持有人的受养人或受益人姓名、保单保额、保费金额及保障类别）;
4. 涉及吸毒和不忠的个人历史;敏感的医疗状况;以及未成年人的个人数据。
• 生物特征数据：术语“生物识别数据”未在PDPA中使用。相反，与健康数据类似，生物特征数据将被视为一种个人数据。
• 假名化：PDPA中没有提及假名化。然而，在《选定主题指南》（Selected Topics Guidelines）中，PDPC将假名化描述为一种匿名化技术，涉及“用其他参考资料替换个人标识符”，并指出，可以对个人数据进行匿名化处理，以实现更多用途，由于匿名数据不可以识别个人身份，因此不是个人数据。

此外，在《基本数据匿名化指南》中，PDPC还列出了假名化的最佳实践，并指明不可逆的假名化（即原始值被妥善处理，假名化是以不可重复的方式进行的）和可逆的假名化（即原始值被安全地保存，但可以检索并链接回假名）之间的区别。

5.法律依据

5.1.同意

组织必须征得个人同意才能收集、使用或披露个人数据，并且允许个人撤销同意，撤销同意后，组织必须停止处理。

不需要征得同意的情况包括：

• 为明显符合个人利益的目的所必需，以及：
• 无法及时获得同意;或
• 个人无明显理由拒绝同意
• 公开可用;
• 符合国家利益;
• 为了组织或他人的合法利益，并且该组织或其他人的合法利益超过对个人的任何不利影响。

当个人出于某种目的自愿提供其个人数据时，可以被视为已同意。PDPA规定了三种不同形式的视同同意：

1. 视为行为同意
   行为视为同意适用于个人自愿向组织提供其个人数据的情况，且该提供行为是合理的，此时，组织仍有告知处理目的义务。
2. 基于合同必要性视为同意
   合同必要性视为同意是指一个组织A向另一组织B披露个人数据对于个人与组织A之间的合同的履行是必要的。
3. 通过通知视为同意
   通过通知视为同意下，组织需要满足：1）进行DPIA；2）履行告知义务；3）为个人提供随时退出机制。

从第三方来源收集个人数据的组织必须通知来源。此外，组织应进行适当的尽职调查，以检查并确保第三方来源可以有效地代表个人同意收集、使用和披露个人数据。

5.2.与数据主体签订合同

如果组织与个人签订合同，则该个人可能被视为已同意收集、使用或披露个人数据。如果个人在未同意的情况下自愿向组织提供个人数据，并且自愿提供数据是合理的，则该个人将被视为同意。

5.3.法律义务

在法律要求或允许的情况下，组织可以在未经同意的情况下收集、使用和披露个人数据。

5.4.数据主体的利益

组织能够在符合相关个人切身利益的情况下收集、使用和披露个人数据。根据PDPA附表一第1部分，在以下情况下，允许在未经个人同意的情况下收集、使用或披露个人数据：

• 无法及时获得同意，且披露明显符合个人利益;或
• 披露对于应对威胁个人或他人生命、健康或安全的紧急情况是必要的。

5.5.公共利益

在符合公共利益的情况下，组织可以在未经同意的情况下收集、使用和披露个人数据。

5.6.数据控制者的合法利益

组织可以在未经同意的情况下收集、使用和披露个人数据，前提是符合该组织的合法利益。在以下情况下，组织将能够收集、使用和披露有关个人的个人数据：

• 符合组织或他人的合法利益;和
• 组织或其他人的合法利益超过对个人的任何不利影响。

在依赖合法利益例外之前，组织必须根据规定的要求进行数据保护影响评估，即DPIA。

6.原则

PDPA对组织在其数据活动方面规定了以下数据保护义务：

• 知情同意：组织在出于某种目的收集、使用或披露其个人数据之前，必须征得个人的同意。
• 目的限制：组织只能出于合理人士认为合理的目的收集、使用或披露个人数据。
• 通知义务：组织必须在收集、使用或披露时或之前向个人解释原因及目的。
• 访问和更正：组织必须允许个人访问和更正其拥有的个人数据。此外，组织有义务向个人提供过去一年中使用或披露个人数据的方式。
• 准确性：如果组织使用个人数据做出影响该个人的决定，或向其他组织披露个人数据，则必须做出合理努力确保其收集的个人数据准确完整。
• 保护义务：组织必须实施合理的安全措施来保护其控制的个人数据，以防止：（a）未经授权的访问、收集、使用、披露、复制、修改、处置或类似风险;（b）存储个人数据的任何存储介质或设备的丢失。
• 问责制：组织必须指定一个人负责确保其遵守PDPA（通常称为DPO），并制定和实施所必需的政策和实践，包括接收投诉的程序。此外，组织必须向其员工传达此类政策和做法，并应要求向个人提供有关此类政策和做法的信息。
• 数据可移植性：在组织收到个人的数据移植请求后，组织必须根据要求将数据移植请求中指定的接收组织。

7.控制者和处理者义务

7.1.数据传输

组织若将个人数据转移至新加坡以外的国家或地区，需确保传输的个人数据将获得与PDPA相当的保护标准。跨境传输条件如下：

1. 被视为满足跨境传输要求
• 个人同意或被视为同意
• 对于保护数据主体利益是必要的，且组织必须采取合理措施确保接收方不会出于任何其他目的使用或披露个人数据;
• 个人数据是传输中的数据或在新加坡公开的数据
2. 基于法律合同义务
• 合同规定的义务
• 具有约束力的公司规则（BCR）
• 其他具有法律约束力的文书
3. 接收方通过认证
• 组织接收个人数据，并持有有效的APECCBPR认证;
• 数据中介接收个人数据，并持有有效的APECPRP或CBPR认证。

7.2.数据保护影响评估

PDPC建议把DPIA作为组织“数据保护管理计划”的一部分。DPIA的开展应由项目负责人和数据保护官（“DPO”）以及组织内的高级管理人员领导。

 强制要求 

PDPA要求进行评估，以确定个人数据收集、使用或披露是否可能对相关个人产生不利影响：

• 当组织打算依赖“通知视为同意”时;
• 为了组织或其他人的合法利益而收集、使用或披露个人数据时。

此外，为消除或减轻对个人不利影响的合理措施的例子包括：

• 尽量减少收集的个人数据量;
• 使用后加密或立即删除个人数据;和
• 功能分离、访问控制和其他技术或组织措施，以降低个人数据以可能对个人产生不利影响的方式使用的风险。

 保留评估 

组织必须保留评估副本。

 数据保护设计 

DPIA也是采用数据保护设计方法的关键举措，在这种方法中，组织从设计阶段到整个运营生命周期对个人数据的进行完整保护，包括新系统，流程，产品或服务。

7.3.数据保护官任命

组织必须任命一名DPO，负责确保组织遵守PDPA。组织必须公开DPO的联系信息。未任命DPO的组织可能受到经济处罚。

PDPC表示，对数据保护的重要性和DPO所发挥的核心作用的认识必须来自组织的最高层，并应成为企业风险管理框架的一部分。这将使董事会和高管认识到数据泄露的风险.

在选择DPO方面，PDPC表示，DPO应从高级管理层中任命，并被充分授权执行分配给他们的任务。

7.4.数据泄露通知

组织必须评估已发生的数据泄露事件，并在三个日历日内通知PDPC以及受影响的个人，除非适用例外情况。

与个人数据相关的“数据泄露”定义为：

• 未经授权访问、收集、使用、披露、复制、修改或处置个人数据;或
• 在可能发生未经授权访问、收集、使用、披露、复制、修改或处置个人数据的情况下，存储个人数据的任何存储介质或设备的丢失。

须公布的数据泄露是指符合以下条件的数据泄露：

• 对受影响的个人造成重大伤害或可能导致重大伤害;或
• 是或可能是，具有相当大的规模（即500人或更多人）。

 行业要求 

关于金融机构，新加坡金融管理局发布了《技术风险管理通知》，要求金融机构在以下时间范围内通知金融管理局违反安全和保密性的情况：

• 在发现“相关事件”后一小时内;和
• “尽快发现外包引起的可能影响组织的任何不利动态”以及“机构集团内部遇到的任何不利动态”。

7.5.数据保留

组织必须停止保留包含个人数据的文件，一旦此类个人数据的不再服务于收集信息的目的，也不再出于法律或商业目的。

PDPC没有规定个人数据的具体保留期限，组织可以保留个人数据的期限是根据合理性标准评估的，并考虑到收集和保留个人数据的目的。

7.6.儿童数据

没有具体规定规范儿童数据处理。但是，儿童数据属于敏感个人信息。PDPC在选定主题指南中指出，至少13岁的未成年人通常有足够的理解力，能够代表自己同意。

7.7.控制者和处理者合同

PDPA在个人数据处理方面区分了“组织”和“数据中介”。“处理”被定义为执行与个人数据有关的任何操作，包括以下任何一项：

• 录音;
• 占有;
• 组织、改编或变更;
• 检索;
• 组合;
• 传输;和
• 擦除或销毁。

组织受PDPA规定的全套数据保护义务的约束。相比之下，除了保护义务、保留限制义务以及数据泄露通知组织的义务外，没有对数据中介施加其他数据保护义务，根据书面合同代表组织处理个人数据。

即使组织聘请数据中介代表其并处理个人数据，组织应承担与自身处理个人数据相同的义务。因此，组织将为数据中介的作为和疏忽负责。

7.8.Do Not Call

PDPA建立了“do not call”登记制度，用户可以向个人数据保护委员会提交申请，将其电话号码在登记库中进行登记，组织不能向登记后的号码发送商务电子信息。

任何组织在发送信息之前，应当在规定的期限内向委员会提出申请以确认电话号码是否在相关登记中，如果没有，可以发送。

8.数据主体权利

8.1.访问权

组织有责任尽可能准确、完整地回应申请人访问其个人数据的请求。在收到个人的请求后，组织有义务向个人提供：

• 组织拥有或控制的有关他们的个人数据;和
• 有关组织在请求日期前一年内使用或披露该个人数据的方式的信息。

组织应以文件形式或任何其他形式提供每个申请人的个人数据的副本。组织可以向申请人收取合理的费用以回应访问请求，但必须向申请人提供书面费用估算。

组织可以拒绝访问个人数据的例外情况包括：

• 当此类访问将泄露有关另一个人的个人数据或违反国家利益时;
• 如果提供访问权限的负担或费用对组织不合理或与个人利益不成比例;
• 如果请求在其他方面是轻率或无理取闹的。

8.2.更正权

个人有权要求组织更正该组织控制的任何不准确数据，但PDPA附表六中的例外情况除外。如果组织有合理理由认为不应进行更正，则不得提出更正请求。与访问请求不同，组织无权对更正请求收取费用。

8.3.反对/选择退出的权利

个人有权在随时撤回其对收集、使用或披露其个人数据的同意。但是，撤回同意不会影响因撤回而引起的任何法律后果。

8.4.数据可移植性权利

个人可以向移植组织提出数据移植请求。在收到数据移植请求后，组织必须将数据移植请求中指定的数据传输给接收组织。

9.处罚

如果PDPC确信组织违反了PDPA下的数据保护规定，则PDPC有权发布其认为合适的补救措施。其中包括要求组织：

• 停止违反PDPA收集、使用或披露个人数据;
• 销毁违反PDPA收集的个人数据;
• 提供对个人数据的访问或更正;或
• 处以最高为组织在新加坡年营业额10%的经济处罚（如果其在新加坡的年营业额超过1000万新元（约685万欧元））。
  在调查过程中，PDPC可以：
• 通过书面通知，要求组织出示任何指定文件或指定信息，或要求新加坡范围内的任何人出席PDPC;
• 至少提前两个工作天通知打算进入，在没有搜查令的情况下进入组织的场所;和
• 取得搜查令以进入机构的场所并占有或移除任何文件。
  不遵守PDPA的某些规定也可能构成犯罪，可处以罚款或监禁。
  例如，未经许可要求访问或更正他人个人数据的人，一经定罪，可处以不超过5000新元的罚款或不超过12个月的监禁，或两者兼施。

9.1执行决定

PDPC发布了一系列执法决定，有助于澄清PDPA在个人数据保护方面的要求。这些执法决定通常可以通过PDPC的网站访问。

截至2022年3月1日，PDPC共公布了203份裁决理由，其中绝大多数案件与违反《PDPA》第24条规定的保护义务有关。最常见的违反《保护义务》的行为包括故意披露个人数据、糟糕的技术安全安排、糟糕的物理安全安排、群发邮件和/或邮件中的错误以及不充分的数据保护政策。

到目前为止，PDPC对组织施加的最高财务处罚是250,000新加坡元(约171220欧元)。这一前所未有的数据泄露事件是由SingHealth的患者数据库系统遭受网络攻击引起的，导致约150万个人数据受损。

精彩推荐

原文始发于微信公众号（FreeBuf）：新加坡数据保护要求