在电子商务和跨境贸易迅速发展的时代背景下,新加坡作为全球一大金融中心,被誉为“世界上最安全的国家之一”。新加坡的安全,不仅在于人身安全,还在于对个人信息数据的保障。新加坡当局为保护个人数据不被滥用于2012年出台了《个人数据保护法》(PDPA),该法令详细规范了个人的数据保护权利以及企业对于个人数据收集、利用和披露的规范,并发布了一系列条例与指引以推动该法令的执行
一、立法背景和过程
(一)立法动因
大数据时代,数据在重塑民众的生活、工作和思维方式的同时,也为个人数据保护带了前所未有的挑战,个人数据被非法收集甚至滥用的情形时有发生。并且随着越来越复杂的技术使得处理和分析大量个人数据成为可能,预计这一趋势将呈指数级增长。随着这种趋势的出现,越来越多的个人开始关注他们的个人数据是如何被使用的。因此,有必要制订保障个人数据的制度,规制个人数据的收集、使用和披露,以解决这些问题,并维持个人对管理数据机构的信任。新加坡为巩固其世界级商业中心的竞争力和地位,于2012年出台了《个人数据保护法》(Personal Data Protection Act, PDPA),该法令承认了个人保护其数据的各项权利,包括数据获取权和数据修改权,同时也承认了企业基于合理目的收集、使用和披露个人数据的需要。
(二)执行机构
为了更好的管理和执行《个人数据保护法》(PDPA),新加坡通讯和新闻部于2013年1月2日建立了个人数据保护委员会(Personal Data Protection Commission, PDPC)。PDPC致力于促进和加强个人数据保护,以建立商界和消费者之间信任的环境,为新加坡经济的蓬勃发展作出贡献。PDPC是新加坡处理有关保障个人数据事宜的主要机构,并在国际上代表新加坡政府处理有关保障个人数据的事宜。个人数据保护委员会在管理和执行《个人数据保护法》的过程中,力求在保障个人数据和机构将数据作合法用途之间保持平衡。为了达到这个目的,个人数据保护委员会订定及实施有关保障个人数据的一系列政策,包括有关的条例及咨询指引,以协助机构和个人了解及遵守该法令。
个人数据保护委员会还会审查与数据保护有关的组织行动,并在必要时发布决定或指引。由于新加坡《个人数据保护法》(PDPA)是一项基线法案,因此个人数据保护委员会将与相关部门的监管机构合作以更好的行使其职能。除了对数据保护问题进行规制,个人数据保护委员会还定期开展针对公众或特定部门的教育和宣传活动,以协助企业采用良好的数据保护措施,并协助个人更好地了解如何保护自己的个人数据免遭滥用。此外,个人数据保护委员会还负责监督“谢绝来电”(Do Not Call, DNC)登记处的开发和运营,以确保个人只收到他们想要的电话营销信息,并通过增加消费者信心和信任来协助企业提升客户关系。
(三)配套立法
1.条例
如前所述,新加坡当局于2012年出台《个人数据保护法》后,为了更好的执行《个人数据保护法》,新加坡个人数据保护委员会出台了一系列条例及指引。其中条例包括2013年《个人数据保护(违法构成)条例》[Personal Data Protection (Composition of offences) Regulations]、2013年的《个人数据保护(禁止调用注册表)条例》[Personal Data Protection (Do Not Call Registry) Regulations]、2014年的《个人数据保护(执行)条例》[Personal Data Protection (Enforcement) Regulations],上述三项条例与2014年的《个人数据保护条例》(Personal Data Protection Regulations)一起于2014年7月2日起实施。此外,还包括2015年1月23日开始实施的《个人数据保护(上诉)条例》[Personal Data Protection (Appeal) Regulations]。
2.指引
新加坡个人资料保护委员会根据《个人数据保护法》第49(1)条发出的咨询指引(下称“指引”),就委员会如何解释《个人数据保护法》的条文提供指引。主要的咨询指引共7项:2019年10月9日修订的《个人数据保护法》主要概念的咨询指引;2019年10月9日修订的《个人数据保护法》选定专题的咨询指引;2017年7月27日修订的关于谢绝来电的咨询指引;2015年5月8日发布的关于市场推广需要征得同意的咨询指引;2016年4月21日发布的数据保护规定执行的咨询指引;2017年8月8日发布的将PDPA应用于选举活动的咨询指引;2018年8月31日发布的有关NRIC和其他国家标识号的咨询指引。
此外,新加坡个人数据保护委员会认识到不同的行业部门可能存在特定于部门的问题,因此制定了针对特定部门的咨询指引来解决此类问题。这些咨询指引是根据PDPC从相关行业成员那里收到的有关查询和反馈,并与相关行业监管机构密切合作而制定的。主要包括以下7项:2014年5月16日发布的电讯行业咨询指引;2014年5月16日发布的房地产中介行业咨询指引;2018年8月31日修订的教育行业咨询指引;2017年3月28日修订的医疗保健行业咨询指引;2018年8月31日修订的社会服务业咨询指引;2018年5月22日修订的运输服务出租汽车记录咨询指引;2019年3月11日发布的公司管理咨询指引。
新加坡个人数据保护委员会对行业协会针对《个人数据保护法》制订的行业指引提供意见和建议。到目前为止发布的行业指引包括以下两项:2015年4月1日发布的LIA关于《新加坡个人数据保护法》的人寿保险公司业务守则;2015年4月1日发布的LIA关于《新加坡个人资料保护法令》固定保险代理人行为守则。
此外,新加坡个人数据保护委员会出版了一系列其他指引以供参考:2019年9月26日修订的通知指引;2017年1月20日修订的电子媒介中的个人数据保护指引;2016年4月21日发布的通过读卡器进行支付卡磁条传递的实践指引;2016年6月9日发布的处理访问请求的指引;2016年7月20日发布的关于个人数据处理协议的数据保护条款指引;2018年7月10日修订的中小企业网站建设指引;2017年1月20日修订的物理媒介上个人数据处理指引;2017年1月20日发布的处理和发送个人数据时防止意外泄露的指引;2019年7月15日发布的制定数据保护管理计划指引;2017年11月1日发布的数据保护影响评估指引;2018年1月25日发布的基本数据匿名化技术指引;2018年5月3日发布的机构印刷流程指引;2019年8月26日修订的有关NRIC和其他国民身份证号码的PDPA咨询准则的技术指引;2019年5月22日发布的数据泄露管理指引2.0;2019年5月22日发布的积极执法指引;2019年5月31日出版的资讯及通讯科技系统设计保护资料指引;2019年7月15日出版的个人数据保护法问责指引。
二、主要内容
(一)PDPA的运作
新加坡《个人数据保护法》(PDPA)通过补充特定行业的立法和监管框架,确保整个经济体系中个人数据的基线保护标准。这意味着机构在处理其拥有的个人数据时,必须遵守PDPA以及适用于其所属特定行业的普通法和其他相关法律。
新加坡《个人数据保护法》(PDPA)中包含以下关键概念:
(1)同意:机构只能在个人知情和同意的情况下收集,使用或披露个人数据(某些例外);
(2)目的:机构可根据情况以适当方式收集、使用或披露个人数据,但必须告知个人收集、使用或披露数据的目的;
(3)合理性:机构只能在给定情况下出于合理的目的收集,使用或披露个人数据。
(二)PDPA的适用
新加坡《个人数据保护法》(PDPA)涵盖以电子及非电子形式储存的个人数据。但是,其第III至VI部分规定,保障数据的条文一般不适用于:
(1)以个人或家庭为基础的任何个人;
(2)任何雇员在他/她在一个公司工作期间的行为;
(3)就收集、使用或披露个人数据而代公共机构行事的任何公共机构或组织。可参考《2013年个人数据保障(法定机构)公告》查阅指定公共机构名单;
(4)业务联系的信息。指的是个人的姓名,职位名称或头衔,工作电话号码,工作地址,工作电子邮件地址或工作传真号码,以及与他人有关的任何其他类似信息,这些信息并非仅出于个人目的而提供。
这些规则旨在作为新加坡法律一部分的基本法律。它不会取代现有法规,例如《银行法》和《保险法》,但可以与它们以及普通法结合使用。
(三)PDPA的主要内容
新加坡《个人数据保护法》(PDPA)规定了机构在收集、使用和披露个人数据时所使用的方式需要合理且恰当,同时也承认了个人有权保护其个人数据,且拥有对个人数据的各项权利。所有机构只能在以下情况下询问个人身份证明信息:
(1)如有法律要求;
(2)如有必要证明个人身份。在新职工入职企业、酒店入住登记、求医、申请移动电话号码套餐、报读私人教育机构时需要使用新加坡的身份信息。
在使用、收集或者披露个人信息时,机构需遵守以下九项义务:
(1)同意义务:企业在收集、使用或披露个人信息时,必须先征得个人同意,并且在个人给予合理的通知后,允许个人撤销同意。在撤销同意后,企业必须停止收集、使用和披露个人数据。
(2)目的限制义务:企业只可收集、使用或披露个人同意的用途,这些个人数据只可被使用在适用于企业提供的产品或服务的合理范围内。
(3)通知义务:企业必须在收集、使用或披露个人数据之前向个人解释收集个人数据的原因及使用目的和范围。
(4)获取及修正义务:企业有义务要求并在合理可能的情况下尽快向个人提供关于:机构拥有或控制的个人数据详情以及在提出请求后一年内如何使用或披露这些个人数据中的任何错误或遗漏,企业必须在切实可行的范围内尽快接受该要求。
(5)缜密义务:企业需要确保个人数据的准确性。
(6)保护义务:企业应该制定必要的安全措施,以保护个人数据的拥有或控制是在安全范围内的。安全措施需要可以阻止任何未经授权的访问导致的个人数据被收集、使用或披露。
(7)保留限制义务:企业只可在法律或业务所需的目的之下保留个人数据。
(8)转让限制义务:如果企业需要将个人数据转移到海外,例如将数据存储在云盘中,请确保数据传送至的国家可以提供与PDPA同等级别的数据保护。
(9)公开义务:企业应有权在要求个人数据时说明其有关数据保护的做法、政策和投诉流程的信息。企业应至少委任一名数据保护专员负责确保该企业符合PDPA的相关规定,并可以让希望了解更多企业的数据保护政策的个人可以与该数据保护专员进行联系,同时提供该专员的联系方式。
在企业与雇员的关系方面,当个人以求职形式自愿向某一企业提供其个人数据时,被视为同意该企业以评估其工作申请而收集、使用和披露这些个人数据。当个人被雇佣时,该企业使用工作申请表提供的个人数据来管理与该个人的有关的事务是合理的。如果企业希望将个人数据用于上述情况以外的目的时,或在PDPA没有适用的例外情况下,则该企业必须通知该个人并取得此目的的同意。未被雇佣者的个人数据只能保存在以商业或法律为目的所需要的时间内。并且求职者有权查阅并要求更正企业持有的有关的个人数据。如果雇员不遵守PDPA,企业对于雇员在受雇期间所造成的任何违反行为负责。特别是在该雇佣过程中由雇员从事的任何行为,不论其是否在此之前得到雇主的批准,均应由企业负责。
新加坡《个人数据保护法》(PDPA)希望可以评估所有在新加坡的企业将如何存储、检索和保护个人数据,无论是为员工还是为其他专业目的。同时,各企业必须遵守PDPA的以下条例:在PDPA于2014年7月2日生效之前收集的个人数据(原始的个人数据)可以继续使用,除非个人已撤销同意;如果在2014年7月2日之后获得的个人数据,企业须通知并获得收集、使用和披露的确认同意后方可使用个人数据。
三、民众反映
在新加坡《个人数据保护法》(PDPA)发布后的公众咨询中,PDPC建议在PDPA中引入数据可携义务。根据建议的义务,企业必须根据个人的要求提供企业拥有或受其控制的个人数据,然后以常用的机器可读格式将其传输给另一个企业。对此,大多数新加坡民众不反对将数据可携义务适用于PDPA的数据保护条款所涵盖的企业。一些民众支持该提议,即不要求将数据可携到在新加坡没有办事处的企业。民众还要求明确公示在新加坡设有办事处的企业。
对于收集、使用和披露NRIC编号,总的来说得到了民众的大力支持,民众还强调了组织收集NRIC编号(或副本)的其他情况,如注册按摩或水疗、申请工作和向机构提交反馈。一些民众要求澄清在什么情况下必须以高度的忠诚度准确地建立或核实个人身份。民众提出了一些例子,例如企业要求在工作申请中提供NRIC编号,进行背景信用调查和要求幸运抽奖。
对于保存个人的“身体记录”,例如个人的全名、相片、拇指指纹和居住地址。大多数民众支持限制企业保留“身体记录”的建议,并建议进一步区分企业何时可以收集NRIC编号并保留“身体记录”,因为符合NRIC编号的标准可能会在无意中保留“身体记录”。
对于PDPC就2012年《个人数据保护法》适用于教育界的建议,一位民众强调了在最终界定构成“教育目的”的界限和活动方面的挑战。因此,EI可能很难完全预料到在某些情况下,例如入学过程中,学生一开始就可能同意或被视为同意。该民众指出,明确同意可能无法涵盖教育环境中的所有情况,并提出建议:在一个合理的人会考虑的情况下可以接受EI使用以前收集的学生(和其他有关各方的)个人数据,而无需寻求明示同意,要考虑实际的紧急状态和不同情况下的教育背景。
对于PDPC发布的医疗保健指南,该指南第2.6段提供了一个示例,说明了医疗保健组织如何出于除患者就诊和与就诊有关的医疗保健目的以外的其他目的(例如用于编写教材)的目的收集,使用或披露个人数据。对此,民众要求更清楚地说明为教学目的应取得的同意的类型。民众表示关注的是,要求获得“明确的”具体同意将给为学生开办实习项目的教学医院造成重大的业务困难。
对于个人数据委员会就PDPA适用于社会服务行业的建议指南,个别民众要求澄清个人可否要求查阅另一个人向机构披露的个人数据,以评估另一名个人是否适合进行债务管理计划。该民众举了一个例子,一个客户公开了他的亲戚和朋友的个人数据,并解释说,收集客户的亲戚和朋友的个人数据可能是评估客户的财务状况和维持还款计划的能力所必需的。在某些情况下,向机构披露第一个人的个人数据可能不能获得同意。
总而言之,在个人数据日益容易泄露的今天,民众对于《个人数据保护法》总体上是满意的,但是新的法令在实施的过程中总会与现实产生碰撞,征集民众对于此类碰撞的意见,也有利于法令的进一步完善,对于个人数据的保护和企业的进一步发展也是大有裨益。
责任编辑:郑通