240830-1

重要提醒 | 出海新加坡企业须在9月30日前委任数据保护官(DPO)

背景

在全球化以及电子商务、跨境贸易迅速发展的背景下,大量的个人信息数据因为各种原因被第三方收集和使用,世界各国对此高度重视,一系列旨在提升数据安全的法律法规纷纷出台。新加坡,作为亚洲金融中心,一直不断完善法律法规,以维护市场秩序和增强企业透明度。新加坡《个人数据保护法》(Personal Data Protection Act,简称PDPA)近年来不断更新。根据最新规定,新加坡个人数据保护委员会(Personal Data Protection Commission,简称PDPC)要求所有在新加坡注册的企业在2024年9月30日前,任命并注册至少一名数据保护官(Data Protection Officer,简称DPO),以强化个人数据保护,并确保企业的合规性。如不遵守该规定,企业有可能面临高额罚款。该法规的出台,部分原因是为了给数据保护官群体提供独享的资源,以提升他们在数据保护、发现数据资源泄露方面的能力,为数据泄露事件提供更快的响应机制。作为新加坡的企业主,遵守数据保护的规定,不仅是法律义务,更是与客户、合作伙伴建立信任的重要步骤。


 

 

 

有关DPO数据保护官的资格和职责

数据保护官(DPO)是企业内负责确保遵守新加坡《个人数据保护法》(PDPA)的关键人员。DPO的职位可由公司或其子公司、关联公司的现有员工或管理层成员之一担任;可以是一个专门的岗位,也可以由现有的员工兼任;DPO的部分工作可外包给具备专业资质的第三方。DPO不要求必须是新加坡公民或居民,但是需要保证能够随时联系到。不论哪种选择,DPO需要具备足够的知识和权利来履行其职责,确保企业数据处理的合规性。

DPO职责包括但不限于以下内容

1)确保企业遵守PDPA的规定;

2)促进形成数据信息保护的企业文化;

3)处理与数据保护相关的投诉和查询;

4)向管理层报告企业存在的个人数据风险;

5)在必要时与新加坡个人数据保护委员会(PDPC)联络。

担任数据保护官(DPO)的职责 | 来源:新加坡个人数据保护委员会

 

 

 

注册DPO

在2024年9月30日前,企业可联系自己的公司秘书,由公司秘书协助其通过 ACRA BizFile+提交其委任的 DPO 信息。注册完成后,被委任的DPO将成为DPO组织的一员,并将享受以下独家访问权限:

1)最新的个人数据保护法 (PDPA) 及法规实施;

2)免费的研讨会和相关资源,以增强DPO的数据保护能力;

3)有关数据泄露的趋势与最新情况。

如何注册DPO?| 来源:新加坡个人数据保护委员会 

 

 

 

未委任DPO的后果

若未能在规定时间内委任DPO,企业可能会面临PDPC的执法措施,包括警告、指令或经济处罚。根据最新的规定,企业等组织若违反数据保护规定,面临的罚款可高达100万新币,或其在新加坡年营业额的10%,以较高者为准。

PDPA的法规修订 | 来源:新加坡个人数据保护委员会

 

 

新加坡《个人数据保护法》概述

1. 定义及适用范围

新加坡《个人数据保护法》(PDPA)于2012年颁布,并于2020年修改,该法是一部规范个人数据的收集、使用和披露的综合性立法,赋予公民个人数据被保护的权利,同时又规范了机构/企业对于个人信息数据收集、利用和披露的要求,以确保公民的个人数据不被滥用。

PDPA的核心概念“个人数据”,被定义为在世或已故个人的数据,无论其真实与否,能够单独或者与组织已获取或可能获取的其他信息关联后识别出个人。但以下数据除外:

(1)已存在至少100年的记录中包含的个人数据;

(2)已故超过10年个人的个人数据;

(3)商务联系信息,如个人姓名,职务,工作电话,地址,工作邮箱等。

总体来说,PDPA适用于所有在新加坡收集、使用、披露个人数据的自然人和企业实体,无论其是否在新加坡物理存在,但是不对个人或家庭的私人行为、员工执行职务的行为以及政府行为施加约束。此外,PDPA对个人数据的定义较为宽泛,侧重可识别性的抽象规则,未具体列举哪些数据属于个人数据。保护的范围包括在世个人和符合条件的已故个人的个人数据,但不保护商务联系信息。

 

2. 授权同意

根据PDPA规定,个人数据处理的合法性主要基于信息主体的同意。根据PDPA第14条,除非法律有特别豁免或视为同意的规定,组织在收集、使用或披露个人数据时,原则上必须履行告知义务并取得个人的明确同意。个人在提供同意后,还保留随时撤回同意的权利,可以向组织发出撤回同意的通知。

一定程度上,在商业目的使用个人数据方面,PDPA管制较为宽松。例如,PDPA允许在满足特定条件下,组织可以不经过同意,直接为商业改进目的收集、使用、披露个人数据。

但为防止滥用这一规定,非以商业改进为目的的处理个人信息,并不能豁免同意。

 

3. 数据处理原则

PDPA设定了多项原则,主要包括同意义务、目的限制义务、告知义务、访问权限及更正义务、准确性义务、保护义务、存储限制义务、传输限制义务、公开义务等。

企业应当采取适当的措施,确保其行为符合 PDPA 所规定的义务。实践中,应至少委任一名数据保护官(DPO)负责确保企业经营管理等活动符合PDPA,并公开DPO的联系方式,使得公众可以与DPO进行联系。

总体来说,新加坡在数据立法领域寻求个人信息保护与数据利用的动态平衡。在个人保护范围方面,从个人数据的保护中排除了商务联系信息,与此同时,又允许合法、正常的商业目的下使用个人数据可以免于同意,体现了新加坡的数据保护注重数据安全与商业发展的平衡与灵活性。但从长期趋势来看,数据违法的罚款上限的提高、企业委任DPO规定的出台以及执法案例的公布,都预见了未来监管形势不容小觑。中资出海企业,应该高度关注最新的合规要求,做好合规管理。

 

 

 

近期公司违规案例

2024年,PDPC对多家未能遵守《个人数据保护法》(PDPA)规定的公司进行了处罚,体现了新加坡政府对数据隐私保护的重视及其在执行法律方面的严谨态度和决心。

公司违规及处罚 | 来源:新加坡个人数据保护委员会 

 

 

 

全球数据法律与监管

从全球数据法律发展角度来看,数据保护法律和合规管理的发源地是欧盟,也是迄今为止数据保护法律体系最为成熟和完善的法域。与此同时,美国和中国在此领域的监管力度、法律完善程度也较为显著。欧盟的《通用数据保护条例》(GDPR),美国加州的《消费者隐私保护法案》(CCPA)和中国的《个人信息保护法》是全球重要的数据法律。欧盟的GDPR的立法模式目前被各国广泛借鉴和引用,包括主要的东盟成员国。

东盟国家在近些年,积极修法,加强了对数据保护及跨境数据传输的监管。东盟各国的数据保护法律基本上都是以GDPR为基础,根据各国的实际情况进行适当修改。新加坡是此地区的先行者,其数据保护方面的法律法规相对领先和成熟,主要受到GDPR的影响,也参考了美国对数据跨境持有的相对宽松的立场。此区域内的其他国家,作为跟进者,也在不断探索、推进数据保护的法律体系建设。例如,越南作为后起之秀,由于与中国在国家建设、组织等相似性,在数据保护方面多参考中国的模式。

针对跨境数据传输等活动,东盟还存在重要的区域性安排。例如,亚太经济合作组织(APEC)跨境隐私规则(CBPR),于2011年出台,提供了统一的隐私政策标准,包括保护个人信息免受未经授权的访问、使用和披露的原则。区域全面经济伙伴关系协定(RCEP)于2020年11月15日签署,涵盖了数据保护和跨境数据流动的条款,要求成员国在制定和实施数据保护法规时,考虑到国际标准和最佳实践,以确保个人数据的安全和隐私。

当前,世界各国和地区都在不断加强个人数据保护以及对于数据跨境流动的监管,且各国和地区的数据保护法律体系和内容也呈现出不同程度的多样性和差异性。随着全球数据保护法律法规的日益严格,数据合规已经成为国际化企业不可忽视的重要一环。

 

 

 

结语

中国企业在新加坡运营时,需要特别注意遵守个人资料保护的相关法规,避免因违反规定带来的风险。新加坡已经建立了较为完善的数据隐私保护法律体系,设置了较高的处罚标准,并进一步加大了处罚力度。新规的出台,对于企业而言,理解并遵守规定,不仅有利于完善企业的合规管理,也能够提高企业商业声誉,建立企业间信任,促进企业长期可持续发展。

感谢您的关注。如阁下有任何疑问,欢迎垂询U&I GROUP各地分支机构!

相关文章

更多内容