新加坡国会11月2日三读通过《个人资料保护法令》(Personal Data Protection Act,简称PDPA)修正法案,力求从加强问责、加强执法、加强消费者自主权以及鼓励企业创新这四大面向着手,提升个人资料的潜在效益,同时降低安全风险,使新加坡的数据监管架构更完善。这是国会2012年通过PDPA后,新加坡政府首次修法。
未来一旦发生涉及至少500人的个资外泄事件,涉事机构除了得通知政府和受影响的用户,还可被处以更高的罚款,相当于在新加坡高达10%的年度营业额或100万元,以较高者为准。
不过,考虑到新冠疫情对新加坡公司的巨大经济冲击,新加坡政府将在新条例生效至少一年后,才实施相关罚款。修正后的条例预计今年底之前生效,换言之,罚款最快要到明年底才可能实行。
尽管罚则加重,新条例却也为企业提供更大空间使用个人数据,以鼓励创新。只要符合机构的“合法利益”,如防止诈欺和改良产品等,机构无须获取个人同意,即可收集、使用或披露个人数据,但须先进行风险和影响评估。
打造数码经济
最新的个人资料保护法令修正案强调,配合打造数码经济而修法的同时,也加强管理资料外泄事件,包括处理不当导致资料外泄时,涉及的机构将面对更高刑罚。
在打造数码经济的进程中,数据是重要资产之一,也凸显了数据采集和分析的重要性。新加坡通讯及新闻部长易华仁在国会提出《个人资料保护法令》修正案二读时说,这方面的相关监管机制必须跟上变化的脚步,并强调互信是打造数码经济的重要基础。
“ “消费者必须有信心他们的个人数据受到保护,而使用者会负责使用资料,即使他们也从数码商机以及相关数据服务中受益,机构为了正当商业目的必须搜集资料也必须有相应的保护措施并承担起责任。”
加重惩罚力度
根据修正条例,机构在发生大规模数据外泄事件时,必须在三天内向个人资料保护委员会通报。有关机构也必须通知利益可能因此严重受损的个人,让他们能及时采取措施保护自己。
法案的一项关键条文,是调高违例机构所面对的罚款,处理个人数据不当而导致资料外泄的机构将面临更高刑罚,最高罚金调高到相等于机构在新加坡一年营业额的10%或100万元。抵触谢绝来电相关条文的机构,面对最高罚金则相等于一年营业额5%或100万元,个人则可面对最高20万元罚款。
更好的保护消费者个人信息
13名议员参与辩论《个人资料保护法令》修正案。他们多数赞同对外泄事故采取更严厉的刑罚,并提出各种意见和疑问,包括如何帮助受新冠冲击的企业过渡到新条例,给予个人更多选择删除资料等等。
其中,工人党的盛港集选区议员蔡庆威、淡滨尼集选区议员朱倍庆等人,对企业只须符合“合法利益”,即可在不必获得个人同意的情况下,收集、使用个资提出疑问。他们质疑企业和个人之间不平等的对价关系,以及企业可能从利己的角度出发,对“合法利益”采取过于主观的定义。
个人信息外泄如何处理?
各平台上数码身份相互连接越来越普遍。有议员提议数据外泄事件发生时,除了通报新加坡政府,也应该通知受影响的人及时防范。
消费者对他们的个人资料如何被收集、使用和分享,有着越来越高的意识,也日益关切。他们要求方便、快捷、个性化的用户体验和灵活性,同时在保护和使用其个人资料方面,要求得到更多的信心和保证。
丹戎巴葛集选区议员祖安清心说:
“
“应该有一个明确的期限,这样各个受影响的人才能够有效地采取保护自己的防范措施。通知他们的时间越长,潜在损害就更大。”
易华仁对此表示,新加坡政府将严格监管相关程序,包括明确规范如何使用数据,并规定机构进行风险和影响评估。他也提到,消费者可随时撤销同意,个人资料保护委员会也有权要求机构销毁不当取得的数据。为强化新加坡民众对个资安全的意识,个人资料保护委员会迄今已向7万人进行相关宣导。
“ “虽然立法和监管很重要,但它不是万能的,更不是万无一失……我们须辅以良好做法,并随时间推移演进。”
诈骗简讯如何防范?
也有议员针对新加坡民众仍继续面对各种不必要的简讯和电话困扰,向部长提问和提建议。
盛港集选区议员蔡庆威说:
“ “我们怎样才能更好保护新加坡民众不受来自犯罪集团的诈骗简讯和电话困扰,尤其是容易受骗的年长者。委员会打算如何对在新加坡行骗的外国诈骗集团采取行动。”
国会修改了《垃圾电子信息管制法令》(Spam Control Act)和“谢绝来电”(Do Not Call)条例,将为消费者提供更大的保护,让他们在电话、简讯、即时通信和电邮等所有直接通信平台上,避免收到不必要的信息。
同时,有了数据流通(data portability)的新规定,消费者再也不用担心被绑定在单一的服务供应商,而可以轻松地转换到另一家服务供应商。
拉丁马士区议员杨益财说:
“ “许多垃圾简讯和电话来自海外的诈骗集团或非法放贷人。我希望新加坡政府能与电信公司合作,探讨如何使用科技来禁止这类信息。”
易华仁部长在回应提问时表示,电信业者已经从今年4月起,在海外来电前显示“+”符号,协助新加坡民众识别来电,不过他认同必须采纳更多科技方案来打击海外诈骗行为。至于是否在指定时间内通知受资料外泄影响的个人,部长表示这虽然重要,但各种资料外泄情况不一,必须考虑到机构面临的合规成本问题。部长也说首要考量是在消费者和企业之间取得适当平衡。
数码化帮助企业振兴
面对新冠疫情,企业不得不走向数码化,以度过这场风暴,并在竞争中脱颖而出。数据使用和跨境数据流动的更大便捷性和确定性,将使企业在创新过程中占得先机。这反过来将有助于提升新加坡的经济竞争力。
但是,企业须要展现它们对数据保护的承诺。结合与全球数据保护框架的互操作性,修正案将加强新加坡作为数据中心的地位,促进经济振兴和创造就业机会。
在符合机构的合法利益,且对公众的益处大于对个人的不利影响的情况下,企业也可以收集、使用和披露个人资料。这将促进资讯科技和网络安全,以及防止欺诈和洗黑钱等非法活动。要以“合法利益”作为收集、使用和披露个人资料的理由,企业必须满足某些要求,例如按照《个人资料保护法令》的规定,进行风险和影响评估。
随着企业积极推动利用跨领域的数据流通,来满足消费者的体验和期望,这为通过新的职业机会和职业发展途径,以吸引和进一步培养一批数据保护专家和专业人员,提供了机会。
易华仁说:
“ “如果我们修改条例时过于偏向一方,消费者可能会失去对整个系统的信心和信任。如果我们过于偏向另一边,那又会把企业绑得太紧,我们力求为消费者和整体经济创造的效益,也会因此流失。”