2020年5月14日至28日,新加坡通信和信息部(MCI)和个人数据保护委员会(PDPC)联合发布《个人数据保护法(修订)》草案,向社会公众公开征求意见。征求意见期间,MCI和PDPC共收到87份公众意见。总体而言,《个人数据保护法(修订)》草案以其灵活性和明晰性得到了公众的普遍支持。10月,MCI和PDPC结合各方意见,对《个人数据保护法(修订)》草案的主要修订总结如下。
提高罚款上限
MCI/PDPC提议将《个人数据保护法(修订)》草案项下“数据泄露”行为的最高罚款提高至:(1)一个组织在新加坡年营业额的10%;或(2)100万新元,以较高者为准。调整罚款上限旨在对组织和个人起到震慑作用,并使PDPC能够根据违法情况采取有效的执法措施。根据所征求的公众意见,MCI/PDPC决定结合当前COVID-19导致的特殊经济形势,进一步完善处罚机制。以个案事实和相关因素为指导,包括违规行为的严重性及其影响、罪责程度、威慑力以及处罚金额的整体比例等。在确定罚款金额时,PDPC目前考虑的因素包括组织是否采取措施弥补数据泄露的影响,以及泄露个人数据的类型和性质。其中一些因素列入《积极执行指南》中,未来MCI/PDPC计划在《个人数据保护法(修订)》草案中进一步罗列PDPC在确认罚款金额时酌情考虑因素的清单,以提高管理的明确性和确定性。此外,MCI/PDPC计划对违反“谢绝来电”(DNC)条款的行为设置“分级处罚上限”,与不同程度的违法行为相适应。
扩大未经同意收集个人数据的范围
MCI/PDPC对收集、使用或披露个人数据前获得个人同意的要求引入了新的例外情况,提出组织可以在未经同意的情况下将个人数据用于下列目的:(1)改进运营效率和服务;(2)研发、改良产品或服务;(3)了解客户。MCI/PDPC还计划此项例外情形适用于组织的子公司。根据收集的相关意见,MCI/PDPC的此项提议受到了民众的支持,并收到了其他适用例外条款情形的意见,如发挥普遍的行政职能或者集中研发行为。一个组织在适用“视同同意”的例外情形时需要满足下列条件:(1)若不使用个人可识别的数据,目的则无法实现;(2)该目的在当前情境下被认为是合理的;(3)该目的不是为了发送营销信息。MCI/PDPC还计划为“视同同意”例外情形引入下列附加条件,以适用于集团内部相关联公司收集、使用和披露个人数据,从而防止条款的滥用:(1)收集或披露的个人数据必须与数据披露公司客户相关,并且与数据收集公司的现有或潜在客户相关。(2)相关联公司必须遵守相关合同等协议或约束性的公司规章的规定,采取措施确保所收集数据的安全性。
引入数据可携义务
MCI/PDPC提议引入新的“数据可携义务”,充分赋予消费者对其个人数据的自主权。根据修订后的“数据可携义务”,一个组织必须应个人的请求,以常用的机器可读格式将该组织拥有或控制的个人数据传输给另一个组织。同时,MCI/PDPC引入数据可携义务的例外情形。并且为了保护组织的经营创新和投资,该义务不适用于组织在经营过程中从其他个人数据中获得的数据(即“衍生个人数据”)。“数据可携义务”的例外情形目前尚未在《个人数据保护法(修订)》草案中明确规定。根据所征求意见,MCI/PDPC计划在草案中继续列明数据不具备可携的类型和具体情形。
增加严重不当处理个人数据罪行
MCI/PDPC提议对个人、组织或公共机构所保管的个人数据做出不当处理的行为进行追责,包括(1)明知或故意地擅自披露他人数据;(2)明知或故意地使用他人数据谋利,或损害他人利益;(3)明知或故意地擅自重新从匿名数据中识别个体身份。同时,MCI/PDPC也为此罪行提供相关抗辩情形,如(1)个人数据已公开;或(2)其他法律允许的情况下;或(3)根据法院授权做出的;(4)在合理的救济方式下;或(5)非明知或故意。针对此条款所征求的公众意见表示草案中该条款的用词过于宽泛,可能对那些保管、处理大量个人数据的主体产生潜在的“寒蝉效应”。此外草案需要进一步就抗辩理由进行阐述,例如何种行为属于被授权行为,以及适用的具体抗辩理由。对此,MCI/PDPC计划向公众解释该罪行的适用范围,明确不追责的行为。例如个人被雇佣期间被授权披露、使用或重新识别数据的情况,将不会被认定为不当处理。并进一步释明授权的具体方式,例如经授权的行为可以通过组织的书面政策、手册等列出,或组织可以为特定的行为提供临时授权。同时,MCI/PDPC拟于《个人数据保护法(修订)》草案中增加对“重新识别匿名数据”的防范措施,以确保匿名数据的安全性和机密性。
MCI/PDPC表示将根据征求的公众意见,继续完善《个人数据保护法(修订)》草案,也将对草案的实施向社会公众提供更清晰的解释和反馈。
新加坡发布《个人数据保护法(修订)》草案的修订意见
-
4天前
-
4周前
-
2024-02-26
-
2024-01-10
-
2023-11-15