新加坡个人资料保护条例引入问责制

近日,新加坡新修订的个人资料保护条例在引入问责制后正式生效。条例规定,违例机构最高将被处以罚款100万新元(折合约516万元人民币)。自2012年以来,新加坡政府在个人资料保护方面,不断创新和完善监管机制,已经走在亚洲国家的前列。

新条例生效

根据新加坡个人资料保护委员会(简称PDPC)8月发布的声明,鉴于新修订的个人资料保护条例从9月1日起正式生效,该委员会提醒商家和从业者在新条例生效后不能再任意收集、使用和公开个人身份证号码或扣押顾客身份证,规定只有在法律规定或有必要证明身份时,才能向公众索取身份证号码。新修订的个人资料保护条例生效后,违例机构将视情节处以罚款,最高100万新元。

据了解,新条例规定的个人资料是指可以识别特定个人的任何信息,包括姓名、身份证号码、指纹、护照、工作证、出生证、个人手机号码以及外籍身份证等。根据新规定,公司必须在获得消费者允许后,才能收集和使用消费者的个人信息,公司也需向消费者解释他们收集和披露消费者个人信息的原因。

据此前报道,2013年新加坡《个人资料保护条例》正式生效,主要涵盖两个范围:一是保护个人资料不被滥用；二是杜绝行销来电和信息。

自《个人资料保护条例》实施以来,新加坡个人资料保护委员会一直致力于建立一套标准和规则,负责对公司有关经营管理活动的合规性进行监督。2019年新加坡修订的新条例把这种监督机制从合规性监督转变为问责制监督。

案件倒逼改革

新加坡历史上最严重的个人数据泄露案是促使新加坡个人保护条例引入问责制的动因之一。

据报道,2018年7月,新加坡健康服务公司(SingHealth)的患者数据库遭到网络攻击,导致150万名患者的个人信息被泄露,16万名患者的门诊病历遭入侵,其中包括新加坡总理李显龙等多名政要。

根据新加坡个人资料保护委员会发布的通报,该事件是新加坡历史上最严重的个人数据泄露事件,其间接到了大量的公众投诉。此次网络攻击始于2017年8月一次对个人工作站的侵入,此后攻击者利用病毒软件获得了其他工作站的远程控制权限,并于2018年6月27日至7月4日设法盗取了150万名患者信息包括诊断报告、药物记录等。这些都是高度敏感的个人数据,一旦被外人所知,将对当事人产生不小的影响。

事件发生后,新加坡个人数据保护委员会于2019年1月宣布,认定新加坡健康服务公司和技术供应商(IHis)负有主要责任,两家公司被罚款100万新元。其中技术供应商因未采取足够的安全措施保障病患个人资料被罚款75万新元,新保集团则是因负责处理安全事故的人员对事故应对程序不熟悉,且过度依赖技术供应商,被罚款25万新元。该委员会勒令两家公司在30天内缴纳罚款。

针对该案的处罚结果,新加坡数据保护资讯委员会执行主席认为,在收集掌握大量个人信息后,数据控制者需要承担法律责任,涉及到个人数据转移时,必须保证数据接收方有同等的保护水平。

创新完善机制

除了引入问责制,新加坡政府通过加强培训、手机应用服务等方式,创新完善监督机制。

新加坡个人资料保护委员会的代表称,数据是数字化转型的关键推动因素,但必须在数据保护和业务创新之间取得平衡。我们正采取坚定步骤,将新加坡定位为全球数字经济中值得信赖的数据中心。

为加强保护消费者信息,新加坡个人资料保护委员会于去年8月宣布了这项新条例,并给商家和从业者留出一年时间改善运作模式以符合新条例要求。新条例允许商家和从业者在一些商业场景中可以继续收集消费者个人信息。但同时规定,商家和从业者在收集消费者身份证或副本等证件时,必须向个人或政府个人资料保护委员会解释其必要性。

新加坡个人资料保护委员会鼓励商家和从业者按其商业模式和营运需求,选择采用其他方式来识别消费者,比如采用电子政府密码应用服务,以避免过度收集消费者的其他个人资料。为此,新加坡个人资料保护委员会率先推出了首个数据保护专员技能框架,旨在培训有关人员兼具数据保护与数据创新两种技能,便于商家和从业者稳妥收集与使用数据,利用新兴科技推动创新。