2012年10月,新加坡颁布《个人数据保护法》(Personal Data Protection Act,“PDPA”),该法确立了新加坡个人数据保护的基本制度。2020年11月,新加坡对PDPA进行了修订,修订版本于2021年2月1日生效,系当前适用版本。《个人数据保护条例》(Personal Data Protection Regulations,“PDPR”)作为PDPA规定的实施细则,进一步细化个人数据保护的合规要求。
新加坡在2013年设立个人数据保护委员会(Personal Data Protection Commission,“PDPC”)。PDPC隶属新加坡信息通信媒体发展局(Info-communications Media Development Authority,“IMDA”),负责制定PDPA合规指引、监督PDPA履行:
在合规指引制定方面,PDPC当前已颁布《关于PDPA关键概念的咨询指南》(Advisory Guidelines on Key Concepts in the PDPA,“PDPA Guidelines”)、《关于特定合规话题的PDPA咨询指南》(Advisory Guidelines on the Personal Data Protection Act for Selected Topics)、《拒绝来电条款咨询指南》(Advisory Guidelines on the Do Not Call Provisions)等。
T新加坡主体作为相关数据保护义务承担者,未通过签署数据处理条款等方式履行数据跨境传输义务,违反了PDPA第26条。PDPC考虑到违反PDPA的行为未造成任何实质损害,T母公司也与新加坡主体补签《新加坡数据跨境传输协议》,故仅对T新加坡主体作出警告的处罚。(3) 合规启示从PDPC处罚决定看,对于向总部统一采购的供应商等第三方跨境传输数据,PDPC并非强制要求新加坡主体与第三方另行签订数据处理协议,而是允许新加坡主体通过与母公司签订协议明确双方关于数据跨境传输、保护的权利义务,授权母公司代集团各子公司集中履行相关数据跨境传输、保护义务,以形成义务履行的链条。因此,笔者建议企业在出海过程中应特别注意,1)通过签订数据处理协议明确母公司与新加坡主体之间关于数据保护权利义务的分配。如数据跨境、数据保护义务仍由新加坡主体履行,则应由新加坡主体与个人数据接收方签署数据跨境传输协议,履行数据跨境传输限制义务。2)考虑到发生数据泄露事件很可能触发PDPC对组织PDPA义务履行情况的全面调查,母公司和新加坡主体应采取数据安全管理措施,在集团、当地主体及接收数据的供应商等第三方确保数据安全,避免数据泄露事件发生,下一节笔者将就如何履行数据安全保护义务进一步展开介绍。(三) 数据安全保护PDPA第24条要求组织应采取合理措施避免1)数据被未经授权访问、收集、使用、披露、复制、修改、处置等类似风险;2)存储个人数据的存储介质或设备丢失。根据PDPC发布的指引,当前没有统一的数据保护方案,每个组织应根据个人数据性质(是否为敏感个人数据)、个人数据泄露对个人的影响等因素综合制定数据保护方案。PDPC建议组织可以采取以下措施,包括1)综合考虑上述因素制定数据安全保护方案,包括物理措施、技术措施及管理措施;2)设置数据安全保护专业人员;3)制定内部制度和操作流程,分级保护个人数据;3)能够快速、有效应对信息安全事件;4)综合考虑组织规定、个人数据规模和类型、有权访问个人数据的内部人员、是否委托第三方处理个人数据开展风险评估,以确定相关数据保护方案是否重组。须注意,数据安全保护仍是PDPC执法较为活跃的领域,且可能因发生数据泄露事件而引发对其他义务履行情况的调查,建议出海企业根据自身情况采取数据安全保护措施,避免数据泄露事件发生。如发生数据泄露事件,且相关事件根据PDPA第26B条构成应告知的信息泄露事件(Notifiable Data Breach)[3],则组织应在发现该事件可告知后的3个工作日内向PDPC告知;如果数据泄露导致或可能导致对受影响个人的重大伤害,组织必须在通知PDPC时或之后通知受影响个人,以便PDPC在收到通知后能够协助受影响个人。 (四) 营销监管1、取得明确同意如“告知-同意”部分介绍,PDPA要求利用个人数据开展营销活动应取得个人明确同意。因此,无论是利用个人电话号码开展电话营销、短信营销,或利用个人邮箱地址开展邮件营销,均需告知个人营销活动,并取得个人明确同意。 2、“拒绝来电”制度如涉及电话营销、短信营销,在询问个人是否同意接收营销信息前,出海企业还应查阅电话号码是否已在“拒绝来电”登记簿(Do Not Call Registry,以下简称“DNC 登记簿”)中登记。如已在“拒绝来电”登记簿中登记,组织不得向其拨打营销电话、发送营销短信。但如果构成下述情形,可豁免组织查阅DNC登记簿的义务,主要包括1)为完成或确认交易所必需,且个人已事先同意该交易;2)提供产品召回信息、或与产品或服务有关的安全或保障信息;3)向个人提供事前合同约定的个人有权获得的产品和服务,包括产品更新。4)组织与用户存在持续关系(Ongoing Relationship)[4]并且发送的营销信息仅与此持续关系有关;5)为开展市场调查;6)个人以书面或其他形式明确同意公司发送营销信息;7)B2B市场推广的目的。 3、营销信息内容在发送营销消息时,营销消息应提供发送或被授权发送营销信息的公司信息以及其联系方式,并同步提供退订机制。(五) 信息内容监管在信息内容监管方面,新加坡早年发布的《互联网业务准则(Internet Code of Practice)》以及《防止网络假信息和网络操纵法案》(Protection from Online Falsehoods and Manipulation Act)、《防止骚扰法》(Protection From Harassment Act)规定互联网信息内容审查义务以及违禁内容范围,以防范违禁内容传播以及在线危害(如虚假信息的传播、人肉搜索情形)的发生。2023年2月1日生效的《在线安全法案(修正版)》(Online Safety (Miscellaneous Amendments) Bill)旨在进一步加强在线通信服务的信息内容监管。该法案适用于位于新加坡境内外、新加坡用户能够通过互联网访问或通过互联网向新加坡用户提供内容的任何在线通信服务。具体适用的在线通信服务类型将在该法案附录4中列明,当前仅社交媒体服务被列入在内,未来适用服务类型将进一步增加。该法案规定自杀或自残、身体暴力或性暴力、恐怖主义以及挑拨新加坡种族和宗教矛盾等内容属于“恶劣内容”(Egregious Content)。如发现存在恶劣内容,IMDA作为主管部门有权要求在线通信服务提供者下架、删除内容,如在线通信服务提供者违反IMDA指令,可能面临最高100万新加坡元的罚款。此外,为配合法案落地,新加坡预计发布《在线安全业务守则》(the Code of Practice for Online Safety)、《社交媒体服务内容守则》(the Content Code for Social Media Services)两项守则,从而进一步细化信息内容审查要求及流程,建议相关出海企业关注立法进展。