为推进开放型世界经济发展,2013年,我国提出共建“一带一路”倡议,为企业“出海”提供了丰富的机遇和广阔的平台[1]。近几年来,中国企业出海的进程逐渐加快。出海是一个复杂且具有挑战性的过程,需充分考虑当地市场环境、法规要求及文化差异等各方面因素。在这一过程中,伴随着数字化转型及数字经济的不断发展,企业通常会涉及在当地进行数据处理以及跨境数据传输等活动。
当前,世界各国和地区都在不断加强个人数据保护以及对于数据跨境流动的监管,且各国和地区的数据保护法律体系和内容也呈现出不同程度的多样性和差异性。在此背景下,我们拟针对目前中国企业出海较为集中的国家和地区,梳理其有关数据保护的法律法规基本体系和实践,以期有助于出海企业对相关国家和地区主要数据保护要求的了解,提前应对并防范潜在风险。
本文将主要针对新加坡的基本数据保护立法及执法情况,概述出海企业在新加坡数据处理活动中的注意要点。
一、 新加坡个人数据保护立法概况
早在2012年,新加坡就已发布《个人数据保护法案》(Personal Data Protection Act 2012[2]),用于规范个人数据的收集、使用、披露等行为,确个人数据保护的基本原则和制度,并明确个人的权利以及个人数据保护委员会(Personal Data Protection Commission,“PDPC”)的职能。
在历经多次修订后,现行有效的《个人数据保护法案》(Personal Data Protection Act 2012,2020 Revised Edition,“PDPA”[3])共分为10个部分,其中第1、2部分主要涉及基本条款及PDPC的职能;第3至6部分主要涉及数据保护主要规则,包括:
(1)基于合理目的,且收集、使用或披露个人数据前进行告知并获取同意;
(2)允许个人访问及更正其个人数据;
(3)妥善管理个人数据(包括确保数据的准确性)、保护个人数据(包括跨境传输个人数据时的保护)以及在不再需要个人数据时不进行保留;
(4)在数据泄漏时通知PDPC和受影响的个人;
(5)制定相关政策和制度以符合PDPA的要求[4]。
较为特别的是,PDPA在第9部分及第9A部分规定了谢绝来电登记制度(Do Not Call Provisions)。这些规定涉及建立新加坡全国的谢绝来电登记册以及相关组织在向新加坡电话号码发送某些营销信息时的特定义务。谢绝来电登记册涵盖电话呼叫、短信和传真三个方面,并由PDPC保存和维护。用户和订阅者可以根据他们接收电话呼叫、短信或传真营销信息的偏好,在一个或多个谢绝来电登记上注册他们的新加坡电话号码。相关组织在向新加坡电话号码发送营销信息前,需检查谢绝来电登记册,已确认该等电话号码是否列在谢绝来电登记册中[5]。
为更好执行PDPA,包括PDPC在内的新加坡相关主管机关发布了一系列条例,以落实PDPA的相关规定,包括:
(1)《个人数据保护(谢绝来电登记处)条例》(Personal Data Protection (Do Not Call Registry) Regulations 2013[6])
(2)《个人数据保护(违法构成)条例》(Personal Data Protection (Composition of Offences) Regulations 2021[7])
(3)《个人数据保护条例》(Personal Data Protection Regulations 2021[8])
(4)《个人数据保护(上诉)条例》(Personal Data Protection (Appeal) Regulations 2021[9])
(5)《个人数据保护(数据泄露通知)条例》(Personal Data Protection (Notification of Data Breaches) Regulations 2021[10])
(6)《个人数据保护(执行)条例》(Personal Data Protection (Enforcement) Regulations 2021[11])
同时,为配合PDPA的实施,其他主管机关也会发布相关通知,包括:
(1)新加坡通讯及新闻部(the Minister for Communications and Information)制定的《个人数据保护(法定机构)通知》(Personal Data Protection (Statutory Bodies) Notification 2013[12]);
(2)新加坡内政部(the Minister for Home Affairs)制定的《个人数据保护(指定执法机构)通知》(Personal Data Protection (Prescribed Law Enforcement Agencies) Notification 2014[13]);
(3)新加坡总理颁布的《个人数据保护(指定执法机构)通知》(Personal Data Protection (Prescribed Law Enforcement Agency) Notification 2020[14]);
(4)新加坡卫生部(the Minister for Health)制定的《个人数据保护(指定医疗机构)通知》(Personal Data Protection (Prescribed Healthcare Bodies) Notification 2015[15])。
此外,PDPC亦会发布咨询指南、特定行业咨询指南、使用指引等相关指引,如《关于在数字环境中使用儿童个人数据的<个人数据保护法案>咨询指南》(Advisory Guidelines on the PDPA for Children's Personal Data in the Digital[16])以及《关于在人工智能推荐和决策系统中使用个人数据的咨询指南》(Environment Advisory Guidelines on Use of Personal Data in AI Recommendation and Decision Systems[17])等指引。但同时,PDPC明确,相关指引仅属于咨询性质,不构成法律意见,对PDPC或其他方不具有法律约束力[18]。
二、个人数据保护执法概况
2013年成立的PDPC是监管和执行PDPA的主要机构。如前所述,PDPC会制定并发布咨询指南以指导相关组织遵守PDPA。此外,PDPC也会审查有关组织的个人数据保护措施,并在需要时发布决定或指令以确保有关组织遵守PDPA。PDPC亦会与相关行业监管机构合作以保证有关组织按照PDPA的规定处理或保护个人数据[19]。
根据PDPA,若PDPC认为某个组织违反了PDPA下的数据保护规定,则PDPC有权要求该组织采取其认为合适的措施,以确保组织遵守PDPA的规定。
此外,不遵守PDPA的某些规定也可能构成犯罪,可能会被处以罚款或监禁。例如,依据PDPA,个人未经授权披露个人数据[22]、不当使用个人数据[23]和未经授权重新识别匿名化个人数据的行为[24],可能构成犯罪,面临2年以下监禁和/或5000新元以下的罚款。
自2016年起,截止本文章发布之日,PDPC已在其官方网站发布248份执行决定(Enforcement Decisions)[25]。PDPC执行决定主要包括咨询通知(Advisory Notice)、指令(Directions)、经济处罚(Financial Penalty)、无进一步行动(No Further Action)、未违规(Not in Breach)、警告(Warning)六类。我们梳理了上述六类执行决定的分布数量,见下图。
同时,目前PDPC官网列举了访问和更正(Access and Correction)、责任(Accountability)、准确(Accuracy)、同意(Consent)、数据泄漏通知(Data Breach Notification)、谢绝来电登记(Do not call Provisions)、告知(Notification)、保护(Protection)、目的限制(Purpose Limitation)、保存限制(Retention Limitation)、传输限制(Transfer Limitation)等11类个人数据相关义务(Relevant Obligations)。其中,暂未有执行决定涉及访问和更正、准确及数据泄漏通知相关义务,执行决定涉及的其他相关义务分布情况请见下图。
如前所述,PDPC自2016年以来在其官网公布了136份涉及罚款的执行决定,各执行决定涉及罚款金额的分布情况请见下图。
三、典型案例
个人数据的跨境传输是数据保护的典型场景,新加坡数据保护法律制度同样强调对于个人数据跨境传输的限制,PDPC也曾针对相关机构未履行个人数据传输限制义务而做出处罚。
(一)基本事实
S公司是一家总部位于加拿大的在线零售电子商务平台公司,L公司是一家新加坡的在线零售商。L公司自2018年开始使用S公司的平台销售产品,S公司则向L公司提供支付处理等服务。SG公司是S公司在亚太地区的数据子处理商(Sub-processor),其主要通过平台收集客户个人数据(包括L公司的客户个人数据)并将数据从新加坡传输至加拿大的S公司,用于购买处理和平台处理。2019年7月1日,S公司与L公司间的服务协议被转让给了SG公司。
在2020年6月至9月期间,两家位于菲律宾的S公司的服务承包商非法访问并窃取了S公司系统中存储的通过平台收集的用于购买处理和平台处理的客户个人数据。受影响的客户个人数据包括姓名、电子邮件地址、账单地址、邮寄地址、电话号码、银行识别号码、IP地址、顾客支付卡的最后四位数字以及23,928人的购买历史[26]。
(二)数据处理关系分析
PDPC认为,对于S公司与L公司服务协议转移之前的数据处理关系:S公司既是受委托处理(On behalf of)的一方,同时也是数据控制者(Controller)。
S公司主要基于两类目的处理电商平台客户的个人数据:
(1)购买处理,S公司作为平台商家(包括L公司)的数据中介基于完成支付、物流等目的处理客户个人数据;
(2)平台处理,S公司基于自身的商业或管理目的通过平台直接收集客户的个人数据,此时S公司为独立个人数据控制者[27]。图示如下:
对于S公司与L公司服务协议转移之后的数据处理关系:SG公司既是受委托处理的数据中介(Data Intermediary,PDPA将数据中介定义为,代表(On behalf of)另一组织处理个人数据的组织),同时也是数据控制者。
SG公司收集客户个人数据后会继续向S公司传输,在此数据链路下:
(1)对于购买处理,SG公司成为了S公司的数据中介,并作为S公司的数据中介处理个人数据。
(2)对于平台处理, SG公司成为通过平台收集的客户个人数据的数据控制者,并继续将客户个人数据传输给S公司[28]。图示如下:
(三)处罚决定及分析
结合咨询指南的内容,PDPC认为当一个组织聘用一个数据中介代表其处理个人数据并用于该组织的目的时,该组织有责任就任何个人数据的跨境传输遵守传输限制义务。不论个人数据是由该组织转移给海外的数据中介,还是由新加坡的数据中介作为代表该组织处理个人数据的一部分而将个人数据传输到海外[29]。因此,尽管L公司与SG公司均不应对发生在S公司的数据安全事件负有直接责任,但两家公司均受到PDPA的约束。
PDPA第26 (1) 条规定,除非符合PDPA规定的要求以确保向外国或地区转移的个人数据获得与PDPA下的保护相当的保护标准(“传输限制义务”),否则组织不得将任何个人数据转移到新加坡以外的国家或地区。
具体而言,向新加坡以外的国家或地区转移个人数据的组织必须采取适当措施,确保个人数据的接收方受到法律强制执行的义务,向被转移的个人数据提供至少与PDPA下的保护相当的保护标准。此种法律强制执行的义务可以通过合同或约束性企业规则(Binding Corporate Rules)对接收方产生效力。
PDPC认为,就购买处理之目的而言,S公司是L公司的数据中介,而SG公司是S公司的子处理者(Sub-processor)。L公司作为客户个人数据的控制者,传输限制义务要求其在将客户个人数据传输至S公司处理之前,确保S公司提供的个人数据保护标准与PDPA下的保护标准相当。即便是在2019年7月1日的转让后,这一义务也并未减弱。L公司始终负责遵守其向S公司(最初)及后来的SG公司(最终)传输客户个人数据的传输限制义务。就平台处理之目的而言,SG公司是数据控制者,S公司是数据中介。SG公司应遵守传输限制义务确保S公司提供的个人数据保护标准与PDPA下的保护标准相当[30]。
由于L公司及SG公司均未能通过合同或约束性公司规则方式履行传输限制义务,PDPC对两家公司分别做出指令,要求其在六个月内建立合规流程以确保满足传输限制义务的要求。
(四)案例解读
PDPA关于数据跨境传输的规定主要规定在第26条(Transfer of personal data outside Singapore)。根据该条,除非相关组织根据PDPA相关要求确保接收方对传输的个人数据提供至少与PDPA相当的保护,否则不得将任何个人数据传输到新加坡以外的国家或地区。PDPA将相关组织定义为包括任何个人、公司、协会或团体,无论是法人还是非法人,无论是否根据新加坡法律成立或受其认可或其住所地位于新加坡或在新加坡设有办事处或营业场所。
《个人数据保护条例》(Personal Data Protection Regulations 2021)进一步明确相关组织可以通过以下方式履行传输限制义务:
(1)接收方受到与PDPA同等保护水平的法律管辖;
(2)与接收方签订数据处理协议,该数据处理协议应约定接收方履行与PDPA同等的保护义务;
(3)集团内签订约束性公司规则,要求集团内数据接收方提供不低于新加坡法的数据保护水平;
(4)取得个人关于数据跨境的同意或视为同意;
(5)接收方取得特定的数据保护认证[31]。
通常情况下,企业将新加坡的个人数据传输出境需遵循上述传输限制义务。实践中我们观察到,不少中国企业倾向在新加坡部署云服务器,用于集中管理海外数据。在此情形下,我们建议该等企业:
(1)确认新加坡当地主体相关的数据处理关系。企业需明确新加坡当地主体的数据处理是否涉及数据中介,涉及数据中介的处理活动又是否涉及跨境传输个人数据。如前所述,新加坡数据法明确当一个组织聘用一个数据中介代表其处理个人数据并用于该组织的目的时,该组织有责任就任何个人数据的跨境传输遵守传输限制义务[32]。
(2)确认是否存在数据过境的情形。部分企业会将云服务器设置在新加坡,若企业将第三国数据存储在新加坡且不进行任何实质性加工、处理[33],再将该等数据传输至其他国家时,该等传输属于数据过境传输(Data in transit),并不需要履行前述传输限制义务[34]。
(3)对于非过境数据,企业在出境该等个人数据前需履行前述传输限制义务,否则即便个人数据已离开新加坡存储在第三国,企业亦可能因第三国的数据安全事件而受到PDPC的处罚。
四、总体观察
新加坡数据保护制度在立法和执法层面均已较为完善,PDPC在其官网中发布的各项指引对企业的数据处理活动具有较为明确的指导作用。但同时,从前述梳理中不难看出,新加坡的数据执法也较为全面,企业应特别注意新加坡的数据处理风险,避免因数据处理不当而导致处罚。
脚注:
[1] https://www.yidaiyilu.gov.cn/z/221226-1/index.shtml
[2] PERSONAL DATA PROTECTION ACT 2012, https://sso.agc.gov.sg/Act/PDPA2012/Historical/20130102?DocDate=20121203&ValidDate=20130102
[3] PERSONAL DATA PROTECTION ACT 2012, 2020 REVISED EDITION, https://sso.agc.gov.sg/Act/PDPA2012?ValidDate=20221001
[4] Personal Data Protection Commission: ADVISORY GUIDELINES ON KEY CONCEPTS IN THE PERSONAL DATA PROTECTION ACT
[5] Personal Data Protection Commission: ADVISORY GUIDELINES ON KEY CONCEPTS IN THE PERSONAL DATA PROTECTION ACT
[6] Personal Data Protection (Do Not Call Registry) Regulations 2013, Personal Data Protection (Do Not Call Registry) Regulations 2013
[7] Personal Data Protection (Composition of Offences) Regulations 2021, https://sso.agc.gov.sg/SL-Supp/S70-2021/Published/20210129?DocDate=20210129
[8] Personal Data Protection Regulations 2021, https://sso.agc.gov.sg/SL-Supp/S63-2021/Published/20210129?DocDate=20210129
[9] Personal Data Protection (Appeal) Regulations 2021, https://sso.agc.gov.sg/SL-Supp/S65-2021/Published/20210129?DocDate=20210129
[10] Personal Data Protection (Notification of Data Breaches) Regulations 2021
[11] Personal Data Protection (Enforcement) Regulations 2021, https://sso.agc.gov.sg/SL-Supp/S62-2021/Published/20210129?DocDate=20210129
[12] Personal Data Protection (Statutory Bodies) Notification 2013, https://sso.agc.gov.sg/SL/PDPA2012-S149-2013?DocDate=20180329#pr1-
[13] Personal Data Protection (Prescribed Law Enforcement Agencies) Notification 2014, https://sso.agc.gov.sg/SL/PDPA2012-S368-2014?DocDate=20140521
[14] Personal Data Protection (Prescribed Law Enforcement Agency) Notification 2020, https://sso.agc.gov.sg/SL/PDPA2012-S272-2020?DocDate=20200414
[15] Personal Data Protection (Prescribed Healthcare Bodies) Notification 2015, https://sso.agc.gov.sg/SL/PDPA2012-S90-2015?DocDate=20150227
[16] Advisory Guidelines on the PDPA for Children's Personal Data in the Digital, https://www.pdpc.gov.sg/guidelines-and-consultation/2024/03/advisory-guidelines-on-the-pdpa-for-childrens-personal-data-in-the-digital-environment
[17] Advisory Guidelines on use of Personal Data in AI Recommendation and Decision Systems, https://www.pdpc.gov.sg/guidelines-and-consultation/2024/02/advisory-guidelines-on-use-of-personal-data-in-ai-recommendation-and-decision-systems
[18] Introduction to the Guidelines,https://www.pdpc.gov.sg/guidelines-and-consultation/2023/10/introduction-to-the-guidelines
[19] https://www.pdpc.gov.sg/who-we-are/about-us
[20] PERSONAL DATA PROTECTION ACT, 2012, Article 48(I)
[21] PERSONAL DATA PROTECTION ACT, 2012, Article 48(J)
[22] PERSONAL DATA PROTECTION ACT, 2012, Article 48(D)
[23] PERSONAL DATA PROTECTION ACT, 2012, Article 48(E)
[24] PERSONAL DATA PROTECTION ACT, 2012, Article 48(F)
[26] Breach of the Transfer Limitation Obligation by Shopify Commerce Singapore and Supernova, Case No. DP-2103-B8147/ DP-2206-B9935, P5
[27] Breach of the Transfer Limitation Obligation by Shopify Commerce Singapore and Supernova, Case No. DP-2103-B8147/ DP-2206-B9935, P3
[28] Breach of the Transfer Limitation Obligation by Shopify Commerce Singapore and Supernova, Case No. DP-2103-B8147/ DP-2206-B9935, P4
[29] Personal Data Protection Commission: ADVISORY GUIDELINES ON KEY CONCEPTS IN THE PERSONAL DATA PROTECTION ACT
[30] Breach of the Transfer Limitation Obligation by Shopify Commerce Singapore and Supernova, Case No. DP-2103-B8147/ DP-2206-B9935, P8
[31] Personal Data Protection Regulations, 2021, Article10-12
[32] Personal Data Protection Commission: ADVISORY GUIDELINES ON KEY CONCEPTS IN THE PERSONAL DATA PROTECTION ACT
[33] Personal Data Protection Regulations, 2021, Article9
[34] Personal Data Protection Regulations, 2021, Article10
来源:金杜研究院,https://www.kwm.com/cn/zh/home.html
作者:
- 景云峰,合伙人,公司业务部;业务领域:出口管制与经济制裁、中国反制措施与国家安全合规、海关与进出口监管等;邮箱:jingyunfeng@cn.kwm.com
- 闫璐,律师助理,公司业务部
声明:本篇文章的所有内容仅供参考与交流,不代表金杜律师事务所的法律意见以及对法律的解读。