X

韩驰|新加坡个人数据保护规例

韩驰 译

华东政法大学法律学院硕士研究生

新加坡个人数据保护水平位居世界前列,具有相对完善的法律制度体系,包括2012年个人数据保护法(PersonalDataProtectionAct2012,以下简称“个保法”)、涉及个保法具体实施的六部规例(Regulations)和个保法相关法定机构的四个公告(Notifications),其中6部规例分别就个保法实施细则、可私了的犯罪、数据外泄通知、上诉程序、执行和谢绝来电登记处等问题进行规定。此外,针对与个人数据保护有关的民事诉讼,还有相应的法庭规则(Rules of Court 2021,Order 57)。本文对《2021年新加坡个人数据保护规例》(Personal Data Protection Regulations 2021)加以介绍。

个保法首次制定于2012年,2020年新加坡议会对个保法中有关个人数据收集、使用与披露等的同意制度、数据外泄保护制度、私主体的诉权制度、个人数据保护委员会的职权范围等进行了全面修订,为配合个保法的修订能够顺利实施,通讯和信息部部长重新颁行了有关的规例,对修订部分的内容规定了具体的实施细则。新颁行的《2021年新加坡个人数据保护规例》(以下简称“规例”)共有6章20条,并在条文后附有关于至亲的确定以及个人数据保护委员会(PDPC)标识的两个附表,本规例自2021年2月1日起实施。

本次规例的修订包括以下几个方面:

第一,增加可以拟制为指定个体工作联系方式的规定(第1A条)。此处是对个保法第11(5A)条中规定的可以被视为符合相关规定的机构应具备的条件进行的具体要求,符合此类要求的组织均需要在新加坡会计与公司管理局(ACRA)登记,并可以在该局网站上(https://www.bizfile.gov.sg)查询。

第二,在个人数据的查阅与更正请求一章中,增加了关于个人数据副本保存的规定(第8条)。个体可以按照本规例第二章规定的方式,向机构提出查阅或更正个人数据的请求,机构也有义务对申请人所提出的申请进行答复,一般而言,机构需在收到请求后30日内履行答复义务,无法答复的,需在30日内以书面形式告知申请人拟对其进行答复的时间。对于一些特定个人数据是否存在,以及一些未经同意将特定个人数据的使用与披露,机构也有权拒绝确认或予以否认。机构根据个保法第22A条拒绝提供的个人数据,机构还有保存该数据副本的义务,一般而言,机构需要自拒绝提供之日起三十日内保存该副本。

第三,在个人数据在新加坡境外转移一章中,增加了关于拥有特定认证的接收者有关的规定(第12条)。根据个保法第26条和规例第10条的规定,个人数据的转移机构在将数据转移到境外前,必须采取适当步骤确保个接收者受到法律强制执行义务的拘束,并且能够提供与个保法相当的保护标准。为使新加坡个人数据的保护与国际其他保护体系接轨,规例规定拥有特定认证的接收者,如亚太经合组织处理者隐私认证体系(PRP)和亚太经合组织跨境隐私规则体系(CBPR)等,即构成适格的境外接收者。

第四,增加了基于通知的视为同意与正当利益一章规定。首先,2020年修订的个保法在视为同意的情形中,增加了“基于通知的视为同意”,规定在个保法第15A条中,规例要求机构在根据个保法第15A(2)条收集、使用或披露个人数据前,需要进行收集、使用或披露个人数据对个体能否造成负面影响进行评估,同时在收集、使用或披露的整个期间,机构必须保存评估报告副本(规例第14条);但此种基于通知视为同意的情形,不适用于依个保法附表十规定的相关目的向个体发送信息的情形(规例第13条)。其次,个保法附表一第三章中规定了基于“正当利益”而无需同意即可收集、使用或披露的个人数据的情形,规例仍要求机构在收集、使用或披露个人数据前,进行效果评估,并保留相关评估报告副本。

新加坡个人数据保护规例

第一章 导言

第二章 个人数据的查阅与更正请求

第三章 个人数据在新加坡境外的转移

第四章 基于通知的视为同意与正当利益

第五章 其他规定

附表一

附表二