WEB3企业出海数据合规-新加坡篇
坡县因为对虚拟资产从业者一贯友好的政策,让很多的WEB3从业者趋之若鹜。跨境投资因为涉及涉及到数据出海的问题,不仅关系企业的合规,也关系到国家安全,不容小视。有鉴于此,本文仅从数据合规的角度分享两地对于数据合规的要求,分享给大家。
一、新加坡关于数据合规的相关规定
2012 年个人数据保护法(PDPA)
PDPA 于 2012 年颁布,要求新加坡的所有组织遵守有关个人数据收集、使用、披露和安全的规定。
第一条规定禁止组织对在“谢绝来电登记处”注册的个人进行电话营销活动(包括通过短信)。第二条于 2014 年 7 月 2 日实施,规定了数据收集的一些关键义务,其中包括:
1.在尝试收集个人数据之前向个人发出通知;
2.披露收集的目的;以及
3.获得同意。
此外,组织必须任命至少一名数据保护官,其职责是确保 PDPA 合规性,职责是响应更正个人数据中任何错误或遗漏的请求。【1】
新加坡个人数据保护法 (PDPA) 的主要修正案
新加坡个人数据保护法 (PDPA) 的主要修正案于2021 年 2 月 1 日生效,作为 PDPA 更新的一部分,个人数据保护(数据泄露通知)条例的后续修正案和个人数据保护条例已经制定,将于 2021 年 10 月 1 日生效。其中包括对强制性数据泄露报告的“重大损害”构成的轻微澄清,组织可以提供其数据保护官的业务联系信息的方式和辩护对个人数据的严重不当处理。【2】
修改的具体内容如下:
问题
现行法律(PDPO)
修改提议
执行时间
数据泄露通知(隐私监管机构)
无一般法定要求(但建议加上行业特定义务)
l 在数据泄露被评估为需要通知之日起 3 天内强制通知 PDPC
l 如果规模很大(影响 500 人或更多),则需通知违规行为
2021 年 2 月 1 日
数据泄露通知(数据主体)
无一般法定要求(但建议加上行业特定义务)
如果违规可能(或确实)导致重大损害,则强制通知
2021 年 2 月 1 日
制裁权力
PDPC 可以对违约处以最高 100 万新元的罚款
罚款增加至以下
较高者:
l 100 万新元,或
l 如果营业额超过 1000 万新元,则年总营业额的 10%
2022年初
数据泄露的个人责任
无规定
对“个人数据的严重不当处理”负责的个人,包括明知或鲁莽未经授权:
l 披露
l 用于获取不当收益或造成
l 不当损失
l 重新识别匿名数据
罚款 ≤ SGD5,000/监禁长达两年/两者兼施
2021 年 2 月 1 日
在新加坡,数据保护制度不断发展并变得更加健全。议会于 2020 年 11 月通过并分阶段生效最新的 PDPA 修正案,并强制要求个人数据保护委员会 (PDPC) 提供实践指南中的重要建议。
2021 年 2 月 1 日生效的关键修正案,包括强制性违规通知和数据泄露的个人问责制。PDPC 指南也进行了更新,以进一步阐明这些修正案。因此,企业应该已经采取措施来遵守新规则。
如果违规行为规模很大(即涉及 500 人或更多人的个人数据的违规行为),修正案将在数据用户意识到违规行为后 72 小时内向 PDPC 和相关数据主体发出强制性违规通知。
PDPC 指南还指出,增加的罚款将在较晚的日期生效,且不早于 2022 年 2 月 1 日。如果营业额超过 1000 万新元(以较高者为准),罚款将增加至 100 万新元或公司在新加坡的年总营业额的 10% 。 这一变化对在新加坡市场运营的大型组织具有重大影响。此外,鉴于对电话营销和垃圾邮件控制的更严格规定,从事电话营销或大量发送营销电子邮件的企业将需要遵守这些更新后的要求,否则可能会受到 PDPC 的经济处罚。
《关于执行数据保护条款的咨询指南》
《关于执行数据保护条款的咨询指南》指出,增加的经济处罚将在另行通知的日期生效。但是,没有关于数据可移植性条款何时生效的最新消息,这将为与组织保持持续关系的个人提供一种途径,以请求根据规定的要求将其个人数据传输给接收组织。
新加坡网络安全局(CSA)
新加坡网络安全局 (CSA) 于 2021 年 10 月 5 日宣布启动更新后的 2021 年国家网络安全战略。特别是,国家网络安全战略解释了新加坡计划推进新加坡网络安全的国际规范和标准,并采取积极应对网络威胁。
国家网络安全战略列出了新加坡(和新加坡的企业)可以采用强大的基础设施来应对网络安全威胁的多种方式。鉴于新加坡记录的网络活动水平不断提高,这是非常重要的一点。作为网络事件响应服务工作的一部分,目前越来越多的新加坡公司成为勒索软件攻击等网络事件的目标。
第一个高等法院 PDPA 案件裁决
新加坡高等法院于 2021 年 5 月 25 日根据 PDPA 的范围作出了有史以来的第一个裁决。在 Bellingham, Alex v Reed, Michael [2021] SGHC 125 中,高等法院考虑了什么构成“损失或损害”的问题,这是数据主体根据 PDPA 寻求私人诉讼权需要满足的门槛要求。
高等法院认为,“损失或损害”必须仅指普通法下适用于侵权行为的损失或损害的总和——即经济损失、财产损失和人身伤害,包括精神疾病。不包括更广泛的情感伤害概念(例如羞辱、尊严丧失、感情伤害和痛苦)和/或失去对个人数据的控制。
高等法院决定对“损失或损害”采取有目的和狭义的解释,降低了受影响的数据主体根据 PDPA 采取私人行动所产生的潜在诉讼风险。数据主体现在必须证明滥用个人数据会导致经济损失、财产损失和人身伤害,例如精神疾病,才能提起私人诉讼。
特别重要的是高等法院的裁定,即 PDPA 的目的既是为了提高新加坡的竞争力和作为值得信赖的商业中心的地位,也是为了保护个人数据免遭滥用。高等法院还指出,新加坡的立场不同于欧盟等其他司法管辖区的立场,后者的数据保护框架主要是出于承认数据主体隐私权的需要。
二、中国关于数据合规的相关规定
《个人信息保护法》(PIPL)
2021 年 11 月生效的《个人信息保护法》(PIPL) 赋予了中国数据主体新的权利,从而有效防止滥用个人数据。PIPL 类似于欧盟的通用数据保护条例 (GDPR),它赋予中国消费者访问、更正和删除企业收集的个人数据的权利。它还会影响在中国提供商品和服务或分析个人的离岸数据处理商。法律包括严厉的处罚。罚款最高可达 5000 万元人民币或公司上一财政年度营业额的 5%。企业也可能被要求暂停运营,直到他们证明合规为止。对个人也有影响,直接负责数据保护的个人将面临最高100万元人民币的罚款。
《数据安全法》(DSL)
2021 年 6 月 10 日,中国的国家立法机构——全国人民代表大会常务委员会通过了《数据安全法》(“DSL”),并于 2021 年 9 月 1 日生效,这是中国第一个全面的数据监管制度的,也是支持国家数据和网络安全治理的三个关键框架之一。DSL 将与中国 2017 年网络安全法(“CSL”)以及 2021 年 8 月 20 日通过的个人信息保护法(“PIPL”)协同工作,该法要求公司提高其数据网络的安全性从 2021 年 11 月 1 日开始执行。这三部新数据法代表了第二大经济体日益全面的隐私和数据安全法律框架。随着 DSL 广泛的域外影响,在中国境内和与中国收集数据并开展业务的国际公司现在有了一套新的数据规则可以使用。
DSL包括以下内容:
l适用范围及域外效力
DSL不仅适用于在中国境内进行的数据处理(包括数据的收集、存储、使用、处理、传输、提供和披露)和管理活动,还适用于在中国境外可能危害中国国家安全的活动或公共利益或损害任何中国公民和组织的合法利益。虽然目前尚不清楚如何执行这种广泛的监管自由裁量权,该法律的治外法权效力可能取决于中国与其他国家之间的条约和互惠协议。
DSL 授权多个中国政府机构监督数据安全事务:
1.中央国家领导机关负责发布和监督国家数据安全战略和重大政策。与负责数据安全监督管理的部门建立国家数据安全工作协调机制。
2.地方政府和监管部门也负责本地区和本行业的数据安全,并有权制定具体的重要数据目录。
l数据分类
DSL授权中国中央政府根据数据对中国经济、国家安全、中国公民民生以及公共和私人利益的重要性程度建立分级数据分类系统。该系统将被认为是对中国国家利益更重要的数据受到更严格的监管的有力措施。因此,DSL 重点关注两类数据,这些数据受到更高级别的监管和保护:“重要数据”和“国家核心数据”。
a.重要数据
《网络安全法》引入了“重要数据”的概念,要求关键信息基础设施运营商(“CIIO”)对重要数据的跨境传输提出更高的保护、本地化要求和事先安全评估。CIIO 通常是在通信、信息技术、金融、交通和能源领域运营的实体。虽然 CSL 只要求 CIIO 遵守对重要数据的严格监管,但 DSL 将这一要求扩展到所有处理重要数据的企业。根据 DSL,重要数据的处理者必须:
1.明确数据安全责任人和管理机构,落实数据安全保护责任;和
2.定期对数据处理活动进行风险评估,并向主管部门提交风险评估报告。
虽然 CSL 和 DSL 没有定义“重要数据”,但 DSL 指出国家级机构联合体将制定“重要数据”目录,并要求地方政府和监管机构制定更详细的目录以识别“重要数据”的范围根据各自的地区和行业。因此,国际公司将必须遵守更广泛的国家要求,以及重要数据的地区和行业特定目录。
b. 国家核心数据
DSL还引入了“国家核心数据”的概念,一类因关系国家安全、国民经济、民生和重要公共利益而受到更严格监管的数据。虽然可能会有进一步的规则和条例详细说明国家核心数据的范围及其保护指南,但违反国家核心数据管理系统的行为可能会被处以最高 1000 万元人民币(约合 156 万美元)的罚款,撤销营业执照、停业或可能的刑事处罚。该法律还对未能配合中国当局就执法或国家安全问题提出的数据请求的实体进行处罚。
l数据处理者的一般数据安全义务
DSL 规定了数据处理者必须履行的多项义务,包括:
1.建立数据安全管理制度,采取必要的技术措施保障数据安全,并开展数据安全培训;
2.以合法和适当的方式收集和使用数据,包括根据法律法规对数据收集和使用的目的和范围施加的任何限制;和
3.监控潜在风险,一旦发现安全事件或缺陷,及时通知用户并采取补救措施。
与加州消费者隐私法(“CCPA”)和欧盟通用数据保护条例(“GDPR”)等框架一样,更敏感的数据需要更多的义务来确保数据受到保护。根据 DSL,处理“重要数据”的实体必须指定一名数据安全官,成立数据安全管理部门,定期评估以监控潜在风险,并将这些结果报告给适用的政府机构。
l跨境数据传输
对于“重要数据”的跨境传输,DSL 为 CIIO(如上所述)和非 CIIO 建立了单独的框架。CIIO 必须遵守 CSL 下的规则,该规则要求本地存储在中国收集的重要数据。如果CIIO出于必要的商业目的必须将数据传输出中国,则需要按照国家互联网信息办公室(CAC)的程序进行安全评估。网信办等监管机构尚未制定针对非CIIO的跨境转移规则。
对于诉讼和国际法律诉讼来说,DSL 规定,未经中国当局批准,中国境内的任何组织或个人不得将存储在中国境内的数据传输给任何外国司法或执法机构。DSL 中既未指定具体机构,也未指定审批流程的细节,但违反此要求的实体将面临最高 100 万元人民币(约合 156,000 美元)的罚款,并对责任人处以额外罚款。违规行为导致“严重后果”的实体可能面临最高 1000 万元人民币(约合 156 万美元)的罚款,并可能被暂停营业并吊销营业执照。
l违规处罚
违反《数据安全法》规定的义务的实体将面临严厉的处罚。除上述处罚外,中国当局可能对违规实体处以最高 500,000 元人民币(约合 77,000 美元)的罚款,对责任人处以额外罚款,并强制采取补救措施。如果实体在收到警告后未采取补救措施,或者如果安全事件导致严重后果(例如大规模数据泄露或泄漏),实体可能面临最高 200 万元人民币(约合 31 万美元)的罚款),以及可能暂停业务流程和吊销营业执照。
此外,DSL 授权中国中央政府对任何据称在与数据技术相关的投资和贸易方面歧视中国利益的外国作出实物回应。
l后续步骤
DSL 的许多要求似乎与其他数据安全法相似,尤其是 GDPR 的要求。然而,DSL 建立了一个比 GDPR 更广泛的框架。DSL 不仅管理中国公民的个人数据,还管理对中国国家安全和经济重要的数据,并且它的数据传输限制比 GDPR 严格得多。尽管许多关键的实施细节仍不明确,并受制于未来的监管规则制定,但在中国开展业务或与中国开展业务的公司应审查其数据处理活动,以发现不合规风险。
规范预测算法
中国率先限制公司使用算法来增加销售额的方式。
2021 年 9 月,国家互联网信息办公室(CAC) 宣布了一项为期三年的计划,即《互联网信息服务算法推荐管理规定》(Provisions on the Administration of Internet Information Service Algorithmic Recommendation),以规范在线内容提供商使用的预测算法。【3】规则草案禁止鼓励网络成瘾的算法,拟议的法规还要求告知用户有关算法推荐服务的信息,并提供将其关闭的方法。由于这些法规是由 PIPL 启用的,因此它们可以影响外国企业和中国公司。
2022 年1 月 4 日,该法规的最终版本发布为《互联网信息服务算法推荐管理规定》。它与早先的草案并没有进行过多的改动,并于 2022 年 3 月 1 日生效,使中国成为世界上第一个严格监管算法的国家,特别是在推荐过程中使用的算法。
三、中国Web3企业出海注意事项
中国区块链基础设施建设现状
中国的区块链基础设施 BSN 于2020年宣布与包括 Tezos、NEO、Cosmos 的 Irisnet、Nervos、Ethereum 和 EOS 在内的六大公链进行整合,以此来扩大其全球影响力。
从2020年 8 月 10 日开始,以上六个区块链的开发人员通过使用 BSN 海外数据中心的数据存储和宽带来构建 dapp 和运行节点。
l这是中国成为全球区块链公司的基础设施供应商计划的一部分。
l全球用户将通过网络的跨链结构和与中国银联的合作伙伴关系访问中国的企业链和金融数据。
由中国政府支持的区块链基础设施已于2020年 8 月 10 日在全球范围内向分散式应用程序 (dapp) 开发人员开放服务,它由中国国家信息中心 (SIC) 牵头,并得到国有科技集团中国移动和中国银联以及构建 BSN 技术的支持。此举是中国成为全球区块链公司基础设施供应商计划的一部分。
新加坡Web3发展现状
近年来,Coinbase、FTX、A16z等领先的Web3公司都选择在新加坡设立区域总部和开发中心。新加坡对金融和科技创新采取非常开放的态度。本着“永远欢迎外国人才、技术和资金来新加坡发展”的经济战略,已经取得了巨大的收效。
MAS 针对金融科技创新和初创企业所制定的“监管沙箱”和政策,侧重于区块链、Metaverse 和 Web3 技术的使用。对于任何在当前法律框架内不允许或无法完全满足监管要求的金融创新,允许项目进行潜在许可试验。这促使许多创新公司在过去几年将总部或“节点”迁至新加坡。
Web3 开发在新加坡备受关注。而新加坡也在着重教育培养这方面的人才,目前SUSS 在本科、硕士和博士阶段有大约 30 门与 Web3 相关的课程,包括计算机科学、金融、行为科学、社会科学、数学和密码学,还有一些学生现在受雇于世界各地的主要 Web3 项目。
同时,人才引进政策使新加坡近年来拥有大量的专业人士,包括律师、审计师、技术顾问和专业董事,导致许多新公司成功成立。要在新加坡设立公司,至少其中一名董事必须是新加坡人或永久居民。让这些专业人士提供有关当地市场、政策和监管环境的建议和见解,初创公司大大降低了获取信息的成本,从而节省了大量时间和成本。
所以,新加坡在其 Web3 发展的第一阶段成功吸引了很多寻求许可的公司。很可能在未来,更多创新的 Web3 公司会选择新加坡,不是因为它的许可制度,而是因为新加坡提供了最友好的创业环境之一,最开放和友好的监管环境,以及明确的监管政策。
新加坡致力于营造Web3领域明朗而友好的监管氛围,因此新加坡金融局(MAS)在2019年出台了《支付服务法案》,明确从事支付型数字代币服务的企业机构可申请服务牌照,从监管侧为数字货币拟定“名分”,还贴心地推出短期豁免牌照申请要求的沙盒计划及周五交易日活动以支持Web初创企业进行试营业及融资。
注意事项
新加坡MAS选择依据Token的性质特征将加密货币分为分类:实用型代币(Utility Token)、证券型代币 (Security Token)、支付型代币(Payment Token),并制定《支付服务法》《数字代币发售指南》和《金融服务与市场法案》进行分类管理:
【4】
其中,实用型代币应注意:
在新加坡开展Web3项目的主体主要为共同担保责任有限公司和私人有限公司两大类,两者特征、差异与常规架构总结如下:
【5】
新加坡在公共和联盟区块链领域拥有着明显的优势。这就是为什么新加坡和中国能够相互尊重其区块链和代币政策的差异,并专注于其方法的互补性。纵观两国探索性的央行数字货币(CBDC)项目,新加坡的Ubin项目侧重于银行间结算清算等批发应用,而中国的数字货币电子支付(DC/EP)项目则侧重于零售业务和满足商业和金融需求和公共数字支付需求。
除了网络和系统基础设施外,法律基础设施的建设对于数字经济的发展也至关重要。2020年中国与新加坡共同签署了区域全面经济伙伴关系协定(RCEP),通过协议确认了电子签名的法律效力。数字数据存储也有利于分布式账本,其中同步数据库由不同地区的多个实体共享,并将大大加快新加坡和中国在东盟数字经济发展中的努力。
由此可见,在重大创新领域,战略和竞争优势不仅仅来自于成本和技术方面的商业竞争力。深入了解行业的技术文化和政府政策也至关重要。新加坡有着全面、稳健和创新的监管框架,有利于我国Web3企业更好地进入战略蓝海,获得先发优势,从而发挥我们在技术和商业模式上的综合优势。
参考文献:
1.Search within legislation (no date) Singapore Statutes Online. Available at: https://sso.agc.gov.sg/Act/PDPA2012 (Accessed: December 13, 2022).
《新加坡——数据保护概述》 Available at: 2.https://www.dataguidance.com/notes/singapore-data-protection-overview
3. 中华人民共和国国家信息互联网办公室《互联网信息服务算法推荐管理规定》
Available at: http://www.cac.gov.cn/2022-01/04/c_1642894606364259.htm
4.图源:Web3全球合规探析(一)监管“先松后紧”的新加坡是否光环依旧? Available at:
https://law.wkinfo.com.cn/professional-articles/detail/NjAwMDAxOTMyNzE%3D?q=Web3%E5%85%A8%E7%90%83%E5%90%88%E8%A7%84%E6%8E%A2%E6%9E%90&module=&from=editorial
5. 图源:Web3全球合规探析(一)监管“先松后紧”的新加坡是否光环依旧? Available at:
https://law.wkinfo.com.cn/professional-articles/detail/NjAwMDAxOTMyNzE%3D?q=Web3%E5%85%A8%E7%90%83%E5%90%88%E8%A7%84%E6%8E%A2%E6%9E%90&module=&from=editorial
6.梅傲,侯之帅.总体国家安全观视域下企业跨境数据的合规治理[J].江苏社会科学,2022(06):169-176.
7.张玥萌,陆昊飏.数字化转型背景下企业数据合规研究[J].科技创业月刊,2022,35(10):55-57.
8.姚明,曾钰涵,李博,袁志烨.浅析《网络安全法》修改对数据合规与隐私计算的影响[J].数据,2022(10):21-23.
9互联网信息服务算法推荐管理规定 (征求意见稿)2021, China Law Translate. Available at: https://www.chinalawtranslate.com/algorithm-regulation-draft/ (Accessed: December 13, 2022). 10.The hype around web3 and how it can transform the internet (no date) World Economic Forum. Available at: https://www.weforum.org/agenda/2022/02/web3-transform-the-internet/ (Accessed: December 13, 2022).
11.Fan, P.S., Lee, D. and Li, Y. (2020) Token Economics: How Singapore Can Boost Synergy with China in Building Digital Economies, ThinkChina. Available at:
https://www.thinkchina.sg/token-economics-how-singapore-can-boost-synergy-china-building-digital-economies (Accessed: December 13, 2022).
12.Durham, M. and Davis, S.A. (2014) Singapore investigates a Chinese smartphone company under the Personal Data Protection Act, Lexology. Winston & Strawn LLP. Available at: https://www.lexology.com/library/detail.aspx?g=5ae297c8-19f5-41bb-8a86-eebd0d0ef639 (Accessed: December 13, 2022).
13.Search within legislation (no date) Singapore Statutes Online. Available at: https://sso.agc.gov.sg/Act/PDPA2012 (Accessed: December 13, 2022).
14.Liao, R. (2022) In Southeast Asia, a booming crypto scene, TechCrunch. Available at: https://techcrunch.com/2022/06/14/crypto-southast-asia-2022/ (Accessed: December 13, 2022).
评论