新加坡的个人数据保护立法已有8年多历史,主要意在保护公民的个人数据不受机构的侵犯,并确保公民在个人数据受到侵害时可寻求法律保护。其《个人数据保护法令》(以下简称《个保法令》)于2012年10月由议会通过,该法主体部分于2014年7月生效。随后该国又制定九部配套的附属立法,其中重要的有2014年《个人数据保护规例》等。
2018年以来,新加坡在个人数据保护法的立法方面又有一些颇受瞩目的新进展,其中主要有2019年1月14日颁布的重要案例、2018年8月31日颁布的《关于国民身份证及其他类别国民身份号码的(个人数据保护法令)咨询指南》和2020年5月14日《个人数据保护法(修订)草案》的公开征求意见稿等。
个人数据保护立法的
主要内容
《个保法令》第2条对个人数据采用开放式定义,是指真实或者不真实的可用来识别个体的特定数据,或者机构可以查阅的或有可能查阅的可用来识别个体的特定数据与其他信息,包括全名、身份证或护照号码、个人照片或视频图像、手机号码、电子邮件地址、指纹和住址等。
根据该法第4条第5款规定,为商业用途提供的个人姓名、职位名称或职衔、工作电话号码、工作地址、工作电子邮件地址或工作传真号码及其他类似“业务联系方式”不在机构保护责任范围之内。另外,上述数据的保存已达一百年以上的或死者的个人数据不予保护,但有关死亡十年或十年以下个体的个人数据应适用个人数据披露规定与第24条规定的除外。
《个保法令》的立法目的在于限制和规范收集、使用或披露个人数据的行为。但特别需要指出的是,根据该法第4条规定,新加坡个人数据保护责任并不适用于公共机构,或受公共机构委托协助收集、使用或披露个人数据的商业机构。《个保法令》第三部至第六部详细规定了各类机构关于收集、使用或披露个人数据的范围、条件或要求,各类机构的义务可以概括总结为以下几项:
第一,遵守个人数据保护的一般规则义务。例如机构须对其占有或控制的个人数据负责;机构应当指定一名或一名以上负责人保障执行本法;机构应当推动形成受理与答复个人数据保护法令实施过程中产生的投诉的程序等。
第二,获得个体同意义务。机构仅可收集、使用或披露获得同意收集、使用或披露的个人数据,而该同意可以被撤回。机构不得以提供产品或服务为条件,要求个体作出收集、使用或披露其个人数据的同意,超出向该个体提供产品或服务的合理范围;或者通过提供有关收集、使用或披露个人数据的虚假或误导信息,或使用欺骗性或误导性做法,获得或企图获得收集、使用或披露个人数据的同意。
第三,承担告知目的与目的限制义务。机构收集、使用或披露个人数据限于特定情形下理性人认为适当的目的与范围。机构应当在收集个人数据之时或之前,告知个体收集、使用或披露其个人数据的目的;在个体需要的情形下,告知其收集、使用或披露个人数据问题之人的业务联系方式。机构未经个体同意自其他机构收集个人数据之时或之前,应当向其他机构提供关于收集目的的充分信息,使该其他机构确定披露是否符合本法。
上述三项义务要求机构向个体告知机构收集、使用和披露其个人数据的目的,并征得其同意,但法律另有要求或《个保法令》有适用例外规定的除外。个体出于某种目的自愿向机构提供其个人数据且自愿提供这些数据系合理的,则该个体被视作同意机构收集、使用或披露其个人数据。
第四,提供查阅和更正义务。应个体申请,机构应当合理可行地尽快提供其占有或控制的个人数据;个体可以要求机构纠正其占有或控制的个人数据中的错误或遗漏。除机构信纳有合理理由不予更正外,机构应当在可行范围内尽快更正个人数据,将更正后的个人数据发送至该机构在更正日期前一年内披露的所有机构,但对象机构无需更正后个人数据用作任何法律或商业用途的除外。
第五,对数据进行维护和保护义务。机构应当尽到合理努力义务,保障机构或机构代表所收集个人数据的准确性和完整性。机构应当采取合理安全措施,保护其占有或控制的个人数据,防止未经授权的查阅、收集、使用、披露、复制、修改、处置或其他类似风险。
该项义务要求机构采取合理的安全措施,以保护其占有或受其控制的个人数据。例如,在确定机构对国民身份证号码的收集、使用或披露是否达到必要的合理性标准时,必须考虑任何未经授权使用或披露国民身份证号码行为的敏感性及其对于个体带来和潜在的不利影响。机构对于未经授权使用或披露与国民身份证号码相关个人数据的风险和潜在影响已有考虑的,应提供更高级别的安全措施,以保护其占有或受其控制的国民身份证号码或复印件。
第六,承担保留期限限制义务。一旦保留的个人数据不再符合收集个人数据的目的,且保留对于商业或法律目的属于不必要的,机构不得继续保留包含个人数据的文档,或必须删除可将个人数据与特定个体关联到的手段。例如,机构应定期核实其占有或受其控制的国民身份证号码或复印件以确定是否仍然需要该数据,对于已经不符合原先收集用途或已无任何法律或商业用途的个人数据,不再予以保留。
第七,承担转移限制义务。机构不得将任何个人数据转移至新加坡以外的国家或地区,但符合本法订明要求的除外。
除以上重要内容外,《个保法令》还设立了全国谢绝来电登记簿,禁止任何机构向谢绝来电登记簿登记的新加坡电话号码发送营销信息。
有关个人数据保护的
重要案例
为实施上述《个保法令》,新加坡专门设立了个人数据保护委员会(以下简称个保委)。根据该法第6条规定,个保委的主要职能是:提升新加坡的数据保护意识;提供有关数据保护的咨询、建议、技术、管理或其他专业服务;对任何关于数据保护的事宜向政府提供意见;代表政府处理有关数据保护的国际事务;开展研究、调查,促进有关数据保护的教育活动,包括组织、举办相关研讨会、讲习班及专题研讨会,并支持开展该类活动的其他机构;自行或代表政府同其他机构(包括外国数据保护机构、国际或政府间组织)开展关于数据保护领域的技术合作和交流;执行其他任何成文法律授予个保委的职能;以及从事或履行部长通过《政府公报》可能批准或委派个保委行使的其他活动或职权。
自《个保法令》生效以来,新加坡个保委已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出了处罚。其中,处罚最重同时也是影响最大的个人数据遭泄露的案例,是2019年的新康集团集群案。2018年6月27日至7月4日期间,新加坡健康服务私人有限公司(以下简称新康公司)的病例数据库系统遭到网络攻击,黑客从公司数据库中非法访问和复制近150万病人的个人数据和近160万门诊病人的处方记录,导致大规模的病人数据泄露,是新加坡历史上个人信息泄露最为严重的案件。
新康公司病人数据外泄的消息甫一公布,个保委便陆续收到了本案权利受侵犯者的投诉。根据《个保法令》第50条第1款,个保委或可根据投诉或可主动依本条开展调查,决定任何机构是否违反该法。个保委遂依当事人的投诉启动了调查涉嫌医疗机构的程序。
卷入本案的医疗机构是新康公司和新加坡综合健康信息系统公司。新加坡的公共医疗保健系统由称为集团集群的机构组成。
新康集团集群是新加坡公共医疗保健行业三大医疗保健集团之一。上述新康公司和综合健康信息系统公司皆属于新康集团集群,它们亦是新加坡卫生部控股公司的全资子公司。新康公司的主要职能是提供卫生保健服务;综合健康信息系统公司是新加坡公共医疗保健行业的国家中央技术信息机构。
个保委在综合考虑调查该案所获得的证据、当事人的陈述,并在综合考虑新康公司和综合健康信息系统公司在个人数据泄露后所采取的有效补救措施等减轻情节后,对新康公司和综合健康信息系统公司分别作出了25万新加坡元(约127万元人民币)和75万新加坡元(约380万元人民币)罚款指令。
个保委作出上述处罚指令的依据是《个保法令》第24条。根据该条规定,机构负有保护个人数据的义务,即“机构应当采取合理安全措施,保护其占有或控制的个人数据,防止未经授权的查阅、收集、使用、披露、复制、修改、处置或其他类似风险。”此外,该法第11条第2款规定“机构对其占有或控制的个人数据负责”。根据该法第29条,个保委有权指令侵权机构“缴纳一百万新币以下个保委认为适当的罚款”。
个保委认为,新康公司作为医疗机构可以将部分业务外包给服务供应商,但不能将其《个保法令》规定的法定义务亦转移给他人。上述两公司最终自愿承认病例数据遭到泄露的事实,接受个保委的调查结果,同意按照个保委的指令承担责任,并认为上述指令的处罚力度合理适当。
THE END
来源:《人民法院报》2020年7月10日08版;本文系国家社科基金重大项目《“一带一路”沿线国家法律文本翻译、研究及数据库建设》的阶段性成果,项目编号18ZDA157