在中国企业全球化扩张的背景下,新加坡以其相对稳定的政治环境、经济体系和重要的战略地理位置,成为当下中国企业国际化战略的重要目的地。
新加坡高度重视数据安全与隐私保护,在数据保护方面的立法主要围绕《个人数据保护法(2012)》(Personal Data Protection Act 2012, “PDPA”)开展。本文将主要探讨PDPA的重点概念,并将其与中国的《中华人民共和国个人信息保护法》(“PIPL”)进行简要对比,旨在帮助出海新加坡的中国企业了解其在PIPL框架下已采取的合规措施与PDPA要求之间存在的潜在差距,高效确定其针对新加坡市场需考虑采取的进一步合规策略,亦为想要了解PIPL的境外执业律师提供思路。希望本文能对各位有所启发,如有不足之处,也请联系我们不吝赐教。
新加坡PDPA和中国PIPL在数据保护方面都发挥着重要作用,由于各自的法律体系和实际情况不同,数据治理侧重与方式存在一定的差异。在实际应用中,需要根据具体情况遵守相应的法律法规,以确保个人数据的合法收集、使用和披露。以下将以表格形式简要对比新加坡PDPA以及中国PIPL的主要概念/权利/义务,并列出其相似程度,供各位读者参考:
- “√”代表该概念/权利/义务有相关明确定义或要求;
- “-”代表存在该概念/权利/义务,但相关法律未明确定义或尚无明确要求;
- “×”代表没有该概念/权利/义务;
- “高”代表两部法律中的定义或要求高度相似;
- “中”代表两部法律中的定义或要求存在一定差异,但仍有相似之处;
- “低”代表两部法律中的定义或要求差异较大,或一部有而另一部无。
一、数据保护法律体系概览
(一)主要法律
PDPA是新加坡国会于2012年颁布的一部专门的数据保护法律,其中对个人数据保护义务的规定主要在PDPA的第3部分至第6A部分,旨在规范个人数据的收集、使用和披露行为。2020年,新加坡国会还通过了《个人数据保护法(修正案)(2020)》(Personal Data Protection (Amendment) Act 2020),对PDPA进行了修订。
(二)主管机关
新加坡通信及信息部之下的信息通信媒体发展局被指定为个人数据保护委员会(Personal Data Protection Commission, “PDPC”),负责管理和执行PDPA。
(三)附属条例
经新加坡通信及信息部批准,PDPC有权制定和实施PDPA的附属条例。此类条例主要包括但不限于:
- 《个人数据保护条例(2021)》(Personal Data Protection Regulations 2021)
- 《个人数据保护(犯罪行为构成)条例(2021)》 (Personal Data Protection (Composition of Offences) Regulations 2021)
- 《个人数据保护(执法)活动条例(2021)》 (Personal Data Protection (Enforcement) Regulations 2021)
- 《个人数据保护(上诉)条例(2021)》(Personal Data Protection (Appeal) Regulations 2021)
- 《个人数据保护(数据泄露通知)条例(2021)》(Personal Data Protection (Notification of Data Breaches) Regulations 2021)
(四)咨询指南
PDPC有权发布咨询指南以解释PDPA。需要注意的是,咨询指南仅有指导和参考作用,并不具备法律效力。这有点类似于国内全国信息安全标准化技术委员会(“TC260”)发布的推荐性国家标准。此类咨询指南主要包括但不限于:
- 《PDPA特定主题咨询指南(2024)》(Advisory Guidelines on the Personal Data Protection Act for Selected Topics (2024))
- 《人工智能推荐和决策系统中使用个人数据咨询指南(2024)》(Advisory Guidelines on Use of Personal Data in AI Recommendation and Decision Systems (2024))
- 《PDPA关键概念咨询指南(2022)》(Advisory Guidelines on Key Concepts in the Personal Data Protection Act (2022))
- 《执行数据保护条款咨询指南(2022)》(Advisory Guidelines on Enforcement of Data Protection Provisions (2022))
(五)其他对数据保护有影响的法律
PDPA对个人数据保护的规定不会改变任何其他法律权利或义务。在法律适用上,若存在冲突,其他成文法的规定将优先适用。该等成文法包括但不限于特定行业中的数据保护法律,如《银行法(1970)》(Banking Act 1970)和《电信法(1999)》(Telecommunications Act 1999)。其他涉及数据保护的法律还包括《网络安全法(2018)》(Cybersecurity Act 2018),《计算机滥用法(1993)》(Computer Misuse Act 1993)和《垃圾邮件控制法(2007)》(Spam Control Act 2007)等。
二、PDPA与PIPL重点概念对比
(一)个人数据
根据PDPA,个人数据指能从该数据本身或结合其他可访问的信息识别出特定个人的任何数据,但一般不包括业务联系信息。该定义以识别性为导向,与PIPL的关联性导向有差异。
(二)敏感个人数据
PDPA并未对敏感个人数据作出定义。但《个人数据保护(数据泄露通知)条例(2021)》规定了一旦被泄露则视为对个人造成重大伤害的数据字段,该等数据字段的敏感程度可以理解为高于一般的个人数据。
(三)组织
PDPA之下的组织的定义广泛,包括任何非公共机构的个人、公司、协会或团体。
(四)处理
(五)数据中介
(六)个人权利
在PDPA之下,个人享有知情权、限制或拒绝处理权、访问权和更正权。
- PDPA并未明确个人是否享有删除权,但组织应在个人数据不再服务于原收集目的,且继续保留不再出于法律或商业目的所必需时,停止保留该数据[1]或移除可使个人数据与特定个人相关联的方法[2]。
- 《个人数据保护法(修正案)(2020)》对数据可携带权作出了规定,但是相关的规定尚未生效。
(七)同意和推定同意
组织在收集、使用或披露个人数据之前需取得个人的同意或推定同意,除非法律另有规定。
- 组织不得以提供产品或服务为条件,要求个人同意组织超出该产品或服务所需的合理范围来收集、使用或披露其个人数据;组织不得通过提供虚假或误导信息或使用欺骗性或误导性做法来取得同意。
- 个人有权随时撤回同意。组织应告知个人撤回同意后可能面临的后果,并在同意被撤回后停止收集、使用或披露个人数据,除非法律另有规定。
- 组织有权出于保护个人重大利益、影响公众事务、保护组织或他人的重要利益、参与商业资产交易、商业改进等目的,在满足了相关条件后收集、使用和披露个人数据。
至此,我们已经概述了新加坡数据保护法律体系,展示了PDPA以及PIPL的主要概念/权利/义务的相似程度,以及对比了二者与“个人数据”、“敏感个人数据”、“组织”、“处理”、“数据中介”、“个人权利”、“同意和推定同意”相关的内容。在接下来的《出海新加坡:数据合规要点(下篇)》中,我们将继续分析对比PDPA以及PIPL之下与“个人数据跨境传输”、“个人数据本地化存储”、“开展个人数据保护影响评估”、“任命数据保护官”、“个人数据存储期限”、“个人数据保护义务”、“个人数据泄露”、“自动化决策”、“个人诉权”、“主管机关的职责”和“法律责任”相关的内容,以及分享PDPC近期的执法案例。详情请关注我们的下篇内容。
[1] 编者按:相当于删除
[2] 编者按:相当于去标识化
来源:环球律师事务所
作者:
- 曹令怡;专业领域:网络与数据安全、个人信息保护、公司合规业务;联系方式:amycao@glo.com.cn
- 赵欣瑶;专业领域:网络与数据安全、个人信息保护、公司合规业务;联系方式:xinyaozhao@glo.com.cn
免责声明:本文及其内容并不代表环球律师事务所对有关问题的法律意见。