根据世界银行发布的《2020年营商环境报告》,新加坡营商环境高居世界第二。新加坡作为全球极具竞争力、开放性的经济体,加之地缘及文化优势,已成为中国企业重点考虑的出海地区。不少中国企业在新加坡设立法律实体,以便在亚洲地区展业。在全球数据保护日益严苛背景下,出海至新加坡的企业,特别是互联网企业等处理大量数据的企业,需特别关注新加坡数据合规法律。
新加坡目前已建立了较为完善的数据法律体系,与欧盟GDPR相似,新加坡也设置了较高的处罚标准。例如,自2016年以来,新加坡个人数据保护委员会发布了一系列执法决定,其中Singapore Health Services Pte. Ltd.和Integrated Health Information Systems Pte. Ltd. 违反数据合规义务,被分别处以最高罚款250,000新加坡元和750,000新加坡元。
故而,本文将着重介绍新加坡数据法律体系。
数据保护概况
新加坡的数据保护法律体系以2012年的《个人数据保护法》(Personal Data Protection Act,以下简称“PDPA”)为主,该法是一部规范个人数据处理行为的综合性立法。为了更好的执行PDPA,新加坡个人数据保护委员会(Personal Data Protection Commission ,以下简称“PDPC”)出台了一系列条例及指引,包括:《2021个人数据保护条例》(Personal Data Protection Regulations 2021,以下简称“PDPR”)、2021年《个人数据保护(数据泄露通知)条例》 [Personal Data Protection (Notification of Data Breaches) Regulations 2021]、2021年《个人数据保护(违法构成)条例》[Personal Data Protection (Composition of Offences) Regulations 2021]、2021年《个人数据保护(执行)条例》[Personal Data Protection (Enforcement) Regulations 2021]、2013年《个人数据保护(请勿致电登记处)条例》[Personal Data Protection (Do Not Call Registry) Regulations 2013]等。此外,PDPC还发布了咨询指南,用以解释PDPA以供企业合规参考。
适用范围
PDPA适用的主体包括个人、公司、协会、社会团体等法人或非法人团体,无论该等自然人或实体是否依据新加坡法律设立,是否为新加坡居民或居民企业,或是否在新加坡具有办事处或营业地,只要以上自然人或实体具备以下数据处理行为,均适用于PDPA:
在新加坡处理个人信息,无论是新加坡居民个人信息及非新加坡居民个人信息;
处理新加坡居民个人信息。
值得注意的是,如新加坡的组织收集非新加坡居民的个人数据,将其用于新加坡,并为自身目的使用或披露,该组织除需受到数据主体所在国家/地区的数据保护法律的约束外,还需要遵守PDPA的约束。
此外,PDPA第4条明确了不适用于PDPA的数据处理行为,如以个人或家庭身份行事的个人、受雇于某一组织工作的任何雇员、处理至少存在100年的记录中的个人数据以及已故10年以上的个人数据等。
处理合法性基础
新加坡关于数据处理合法性基础与《个人信息保护法》存在相似之处,可以对标《个人信息保护法》第13条进行交叉理解。
中国 | 新加坡 |
1. 取得个人的同意; 2. 为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需; 3. 为履行法定职责或者法定义务所必需; 4. 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 5. 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息; 6. 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 7. 法律、行政法规规定的其他情形。 | 1. 取得数据主体的同意; 2. 为了维护数据主体利益:对明显符合个人利益的任何目的是必要的;或者对于应对威胁数据主体或其他个人的生命、健康或安全的紧急情况是必要的; 3. 影响公众的事项:包括公开渠道可得、符合国家利益、仅用于艺术或文学目的;仅出于存档或历史目的;新闻活动; 4. 符合数据控制者或他人的合法利益,且数据控制者或他人的合法利益大于对个人的任何不利影响; 5. 商业资产交易,包括合并、资产转让等; 6. 业务改进目的; 7. 收集、使用公共机构披露的数据; 8. 出于公共利益; 9. 基于研究目的(历史或统计研究)。 |
数据控制者义务
PDPC关键信息咨询指南概括了PDPA项下数据控制者的主要义务,具体如下:
序号 | 义务类型 | 义务内容 |
1 | 同意义务 | 数据控制者收集、使用或披露个人数据之前,必须获得个人的同意。 |
2 | 目的限制义务 | 数据控制者在适当的目的下收集、使用或披露个人数据。 |
3 | 通知义务 | 数据控制者必须通知个人其收集、使用或披露个人数据的目的等。 |
4 | 访问和更正义务 | 数据控制者应个人的要求,协助访问或更正个人数据。 |
5 | 准确性义务 | 数据控制者必须做出合理的努力,确保数据的准确性。 |
6 | 保护义务 | 数据控制者必须通过合理的安全安排保护其拥有或控制的个人数据。 |
7 | 保留限制义务 | 数据控制者必须停止保留包含个人数据的文件,或删除个人数据,只要满足法定条件。 |
8 | 数据转移限制义务 | 除非符合PDPA规定的要求,否则数据控制者不得将个人数据转移到新加坡以外的国家/地区。具体参照第七点。 |
9 | 数据泄漏义务 | 数据控制者必须对已发生的数据泄露事件进行安全影响评估,并通知PDPC以及受影响的个人,但无论如何不得迟于评估后的3个自然日。 |
10 | 问责义务 | 数据控制者必须执行必要的政策和程序,以履行其在PDPA下的义务,并应公开有关其政策和程序的信息,具体包括: 1. 需任命数据保护官(Data Protection Officer,“DPO”); 2. 需制定数据保护政策和实践。 |
同意要求
“同意”为最广泛的数据处理行为的合法性基础。值得注意的是,新加坡的“同意”包括“视为同意”(Deemed Consent),PDPA将“视为同意”区分成视为行为同意、根据合同必要性被视为同意以及通过通知视为同意,下表将简述上述三种“视为同意”的要求。
视为同意 | 概念 |
视为行为同意 | 自愿提供个人信息,且该等提供行为是合理的,该等情形下,数据控制者仍有告知义务。 |
根据合同必要性被视为同意 | 个人数据从组织A向另一组织B披露,这对于个人与组织A之间的合同或交易的缔结或履行是必要的。 |
通过通知视为同意 | 对通过通知视为同意下,数据控制者需履行如下义务: 1. 进行DPIA; 2. 履行告知义务; 3. 为个人提供合理的选择退出期限。 |
数据主体权利与保护
新加坡数据保护法律体系下的数据主体权利、行权及数据控制者行权响应详见下表:
数据主体权利 |
1. 知情权 虽然PDPA没有独立的知情权,但PDPA规定的多项数据保护义务变相认可了知情权。 2. 访问权 数据控制者具有响应个人访问要求义务,例外情况下,数据控制者可拒绝响应。 3. 更正权 数据控制者具有响应个人更正要求义务,例外情况下,数据控制者可拒绝响应。 4. 删除权 PDPA不赋予个人独立的删除权。但是,数据控制者具有法定的数据保留限制义务。 5. 撤回同意的权利 个人有权在发出合理通知的情况下随时撤回对收集、使用或披露其个人数据的同意。 6. 不受自动决策约束的权利 PDPA不赋予个人不受仅基于自动处理的决定约束的权利。 |
数据主体行权 |
1. 如何提出行权要求 (1) 形式:书面; (2) 内容:个人数据及该数据的使用、披露信息或更正要求; (3) 方式:数据控制者提供或认可的业务联系信息。 2. 响应时间要求 在合理时间内尽快响应个人请求,其认可的合理时间为30天。 3. 费用 为响应申请人访问请求,可收取费用。 |
跨境传输
对于涉及数据跨境的企业而言,跨境传输为一重大合规要点。根据PDPA,数据控制者不得将任何个人数据转移到新加坡以外的国家/地区,除非根据PDPA要求,转移组织采取适当的步骤确保个人数据的接收方受法律强制义务的约束,为传输的个人数据提供至少与PDPA相当的保护标准,具体详见下表:
法律要求 | 具体内容 | 注意事项 |
被视为满足跨境传输要求的情况 | 1. 个人同意或被视为同意; 2. 对于保护数据主体利益以及国家利益是必要的,并且转移组织已采取合理措施; 3. 个人数据是传输中的数据或个人数据在新加坡是公开的。 | 1. PDPA对此类视为同意进行严格限制,并列出视为同意的例外。 |
法律强制义务 | 1. 法律; 2. 订立的合约; 3. 具有约束力的公司规则(Binding Corporate Rules) ; 4. 任何其他具有法律约束力的文书。 | 此外,PDPA规定个人数据的接收方被视为与转移组织“相关”的情形。 |
提供特定证明 | 亚太经合组织跨境隐私规则(“APEC CBPR”)体系和亚太经合组织处理者隐私认可(“APEC PRP”)下的认证系统。 |
法律责任承担
数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:
停止违反PDPA 收集、使用或披露个人数据的行为;
销毁违反PDPA 收集的个人数据;
提供访问或更正个人数据的权限;和/或
最高罚款:100万新元;如果在新加坡年营业额超过1000万新元,罚款为其在新加坡的年营业额的10%。
以上为我们对新加坡数据合规的重点解读,我们也将以新加坡为起始点,陆续推出聚焦东南亚各国的数据合规重点解读文章,以期为出海东南亚地区的企业提供参考。