根據(jù)世界銀行發(fā)布的《2020年?duì)I商環(huán)境報(bào)告》���,新加坡營商環(huán)境高居世界第二��。新加坡作為全球極具競爭力���、開放性的經(jīng)濟(jì)體,加之地緣及文化優(yōu)勢�,已成為中國企業(yè)重點(diǎn)考慮的出海地區(qū)。不少中國企業(yè)在新加坡設(shè)立法律實(shí)體���,以便在亞洲地區(qū)展業(yè)�。在全球數(shù)據(jù)保護(hù)日益嚴(yán)苛背景下,出海至新加坡的企業(yè)��,特別是互聯(lián)網(wǎng)企業(yè)等處理大量數(shù)據(jù)的企業(yè)����,需特別關(guān)注新加坡數(shù)據(jù)合規(guī)法律。
新加坡目前已建立了較為完善的數(shù)據(jù)法律體系��,與歐盟GDPR相似��,新加坡也設(shè)置了較高的處罰標(biāo)準(zhǔn)�。例如,自2016年以來��,新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)發(fā)布了一系列執(zhí)法決定�,其中Singapore Health Services Pte. Ltd.和Integrated Health Information Systems Pte. Ltd. 違反數(shù)據(jù)合規(guī)義務(wù),被分別處以最高罰款250,000新加坡元和750,000新加坡元�。
故而,本文將著重介紹新加坡數(shù)據(jù)法律體系��。
新加坡的數(shù)據(jù)保護(hù)法律體系以2012年的《個(gè)人數(shù)據(jù)保護(hù)法》(Personal Data Protection Act�����,以下簡稱“PDPA”)為主,該法是一部規(guī)范個(gè)人數(shù)據(jù)處理行為的綜合性立法�。為了更好的執(zhí)行PDPA,新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)(Personal Data Protection Commission �����,以下簡稱“PDPC”)出臺(tái)了一系列條例及指引����,包括:《2021個(gè)人數(shù)據(jù)保護(hù)條例》(Personal Data Protection Regulations 2021�,以下簡稱“PDPR”)、2021年《個(gè)人數(shù)據(jù)保護(hù)(數(shù)據(jù)泄露通知)條例》 [Personal Data Protection (Notification of Data Breaches) Regulations 2021]�、2021年《個(gè)人數(shù)據(jù)保護(hù)(違法構(gòu)成)條例》[Personal Data Protection (Composition of Offences) Regulations 2021]、2021年《個(gè)人數(shù)據(jù)保護(hù)(執(zhí)行)條例》[Personal Data Protection (Enforcement) Regulations 2021]�����、2013年《個(gè)人數(shù)據(jù)保護(hù)(請勿致電登記處)條例》[Personal Data Protection (Do Not Call Registry) Regulations 2013]等�。此外,PDPC還發(fā)布了咨詢指南�,用以解釋PDPA以供企業(yè)合規(guī)參考。
PDPA適用的主體包括個(gè)人����、公司�、協(xié)會(huì)��、社會(huì)團(tuán)體等法人或非法人團(tuán)體���,無論該等自然人或?qū)嶓w是否依據(jù)新加坡法律設(shè)立���,是否為新加坡居民或居民企業(yè),或是否在新加坡具有辦事處或營業(yè)地��,只要以上自然人或?qū)嶓w具備以下數(shù)據(jù)處理行為��,均適用于PDPA:
在新加坡處理個(gè)人信息,無論是新加坡居民個(gè)人信息及非新加坡居民個(gè)人信息;
處理新加坡居民個(gè)人信息�����。
值得注意的是,如新加坡的組織收集非新加坡居民的個(gè)人數(shù)據(jù)�,將其用于新加坡,并為自身目的使用或披露���,該組織除需受到數(shù)據(jù)主體所在國家/地區(qū)的數(shù)據(jù)保護(hù)法律的約束外��,還需要遵守PDPA的約束���。
此外��,PDPA第4條明確了不適用于PDPA的數(shù)據(jù)處理行為�����,如以個(gè)人或家庭身份行事的個(gè)人���、受雇于某一組織工作的任何雇員���、處理至少存在100年的記錄中的個(gè)人數(shù)據(jù)以及已故10年以上的個(gè)人數(shù)據(jù)等�。
新加坡關(guān)于數(shù)據(jù)處理合法性基礎(chǔ)與《個(gè)人信息保護(hù)法》存在相似之處���,可以對標(biāo)《個(gè)人信息保護(hù)法》第13條進(jìn)行交叉理解�����。
PDPC關(guān)鍵信息咨詢指南概括了PDPA項(xiàng)下數(shù)據(jù)控制者的主要義務(wù)�����,具體如下:
“同意”為最廣泛的數(shù)據(jù)處理行為的合法性基礎(chǔ)�。值得注意的是,新加坡的“同意”包括“視為同意”(Deemed Consent)���,PDPA將“視為同意”區(qū)分成視為行為同意���、根據(jù)合同必要性被視為同意以及通過通知視為同意,下表將簡述上述三種“視為同意”的要求�。
數(shù)據(jù)主體權(quán)利與保護(hù)
新加坡數(shù)據(jù)保護(hù)法律體系下的數(shù)據(jù)主體權(quán)利、行權(quán)及數(shù)據(jù)控制者行權(quán)響應(yīng)詳見下表:
對于涉及數(shù)據(jù)跨境的企業(yè)而言��,跨境傳輸為一重大合規(guī)要點(diǎn)��。根據(jù)PDPA���,數(shù)據(jù)控制者不得將任何個(gè)人數(shù)據(jù)轉(zhuǎn)移到新加坡以外的國家/地區(qū)���,除非根據(jù)PDPA要求,轉(zhuǎn)移組織采取適當(dāng)?shù)牟襟E確保個(gè)人數(shù)據(jù)的接收方受法律強(qiáng)制義務(wù)的約束�,為傳輸?shù)膫€(gè)人數(shù)據(jù)提供至少與PDPA相當(dāng)?shù)谋Wo(hù)標(biāo)準(zhǔn),具體詳見下表:
數(shù)據(jù)控制者違法違規(guī)處理個(gè)人數(shù)據(jù)�,需要承擔(dān)法律責(zé)任,主要包括以下方面:
1.停止違反 PDPA 收集�、使用或披露個(gè)人數(shù)據(jù)的行為;
2.銷毀違反 PDPA 收集的個(gè)人數(shù)據(jù)���;
3.提供訪問或更正個(gè)人數(shù)據(jù)的權(quán)限���;
4.最高罰款:100萬新元��;如果在新加坡年?duì)I業(yè)額超過1000萬新元�����,罰款為其在新加坡的年?duì)I業(yè)額的10%��。
