根據(jù)世界銀行發(fā)布的《2020年營商環(huán)境報告》�,新加坡營商環(huán)境高居世界第二。新加坡作為全球極具競爭力����、開放性的經(jīng)濟體,加之地緣及文化優(yōu)勢�,已成為中國企業(yè)重點考慮的出海地區(qū)。不少中國企業(yè)在新加坡設(shè)立法律實體����,以便在亞洲地區(qū)展業(yè)。在全球數(shù)據(jù)保護日益嚴苛背景下��,出海至新加坡的企業(yè)����,特別是互聯(lián)網(wǎng)企業(yè)等處理大量數(shù)據(jù)的企業(yè),需特別關(guān)注新加坡數(shù)據(jù)合規(guī)法律。
新加坡目前已建立了較為完善的數(shù)據(jù)法律體系�,與歐盟GDPR相似,新加坡也設(shè)置了較高的處罰標準���。例如����,自2016年以來��,新加坡個人數(shù)據(jù)保護委員會發(fā)布了一系列執(zhí)法決定���,其中Singapore Health Services Pte. Ltd.和Integrated Health Information Systems Pte. Ltd. 違反數(shù)據(jù)合規(guī)義務��,被分別處以最高罰款250,000新加坡元和750,000新加坡元���。
故而���,本文將著重介紹新加坡數(shù)據(jù)法律體系�。
新加坡的數(shù)據(jù)保護法律體系以2012年的《個人數(shù)據(jù)保護法》(Personal Data Protection Act,以下簡稱“PDPA”)為主�,該法是一部規(guī)范個人數(shù)據(jù)處理行為的綜合性立法。為了更好的執(zhí)行PDPA�,新加坡個人數(shù)據(jù)保護委員會(Personal Data Protection Commission ����,以下簡稱“PDPC”)出臺了一系列條例及指引�,包括:《2021個人數(shù)據(jù)保護條例》(Personal Data Protection Regulations 2021,以下簡稱“PDPR”)���、2021年《個人數(shù)據(jù)保護(數(shù)據(jù)泄露通知)條例》 [Personal Data Protection (Notification of Data Breaches) Regulations 2021]、2021年《個人數(shù)據(jù)保護(違法構(gòu)成)條例》[Personal Data Protection (Composition of Offences) Regulations 2021]��、2021年《個人數(shù)據(jù)保護(執(zhí)行)條例》[Personal Data Protection (Enforcement) Regulations 2021]���、2013年《個人數(shù)據(jù)保護(請勿致電登記處)條例》[Personal Data Protection (Do Not Call Registry) Regulations 2013]等�。此外���,PDPC還發(fā)布了咨詢指南���,用以解釋PDPA以供企業(yè)合規(guī)參考。
PDPA適用的主體包括個人����、公司、協(xié)會���、社會團體等法人或非法人團體�,無論該等自然人或?qū)嶓w是否依據(jù)新加坡法律設(shè)立,是否為新加坡居民或居民企業(yè)���,或是否在新加坡具有辦事處或營業(yè)地����,只要以上自然人或?qū)嶓w具備以下數(shù)據(jù)處理行為���,均適用于PDPA:
在新加坡處理個人信息����,無論是新加坡居民個人信息及非新加坡居民個人信息���;
處理新加坡居民個人信息�。
值得注意的是��,如新加坡的組織收集非新加坡居民的個人數(shù)據(jù)��,將其用于新加坡����,并為自身目的使用或披露���,該組織除需受到數(shù)據(jù)主體所在國家/地區(qū)的數(shù)據(jù)保護法律的約束外,還需要遵守PDPA的約束�����。
此外�,PDPA第4條明確了不適用于PDPA的數(shù)據(jù)處理行為,如以個人或家庭身份行事的個人���、受雇于某一組織工作的任何雇員、處理至少存在100年的記錄中的個人數(shù)據(jù)以及已故10年以上的個人數(shù)據(jù)等�����。
新加坡關(guān)于數(shù)據(jù)處理合法性基礎(chǔ)與《個人信息保護法》存在相似之處�,可以對標《個人信息保護法》第13條進行交叉理解。
PDPC關(guān)鍵信息咨詢指南概括了PDPA項下數(shù)據(jù)控制者的主要義務����,具體如下:
“同意”為最廣泛的數(shù)據(jù)處理行為的合法性基礎(chǔ)。值得注意的是�����,新加坡的“同意”包括“視為同意”(Deemed Consent),PDPA將“視為同意”區(qū)分成視為行為同意�、根據(jù)合同必要性被視為同意以及通過通知視為同意,下表將簡述上述三種“視為同意”的要求��。
新加坡數(shù)據(jù)保護法律體系下的數(shù)據(jù)主體權(quán)利����、行權(quán)及數(shù)據(jù)控制者行權(quán)響應詳見下表:
對于涉及數(shù)據(jù)跨境的企業(yè)而言,跨境傳輸為一重大合規(guī)要點��。根據(jù)PDPA�,數(shù)據(jù)控制者不得將任何個人數(shù)據(jù)轉(zhuǎn)移到新加坡以外的國家/地區(qū),除非根據(jù)PDPA要求�����,轉(zhuǎn)移組織采取適當?shù)牟襟E確保個人數(shù)據(jù)的接收方受法律強制義務的約束�����,為傳輸?shù)膫€人數(shù)據(jù)提供至少與PDPA相當?shù)谋Wo標準���,具體詳見下表:
數(shù)據(jù)控制者違法違規(guī)處理個人數(shù)據(jù)���,需要承擔法律責任���,主要包括以下方面:
1.停止違反 PDPA 收集、使用或披露個人數(shù)據(jù)的行為�;
2.銷毀違反 PDPA 收集的個人數(shù)據(jù);
3.提供訪問或更正個人數(shù)據(jù)的權(quán)限���;
4.最高罰款:100萬新元��;如果在新加坡年營業(yè)額超過1000萬新元����,罰款為其在新加坡的年營業(yè)額的10%�����。
