2022年1月14日,非政府组织新加坡自然协会(Nature Society)因违反新加坡《个人数据保护法》(Personal Data Protection Act,简称PDPA)被新加坡个人数据保护委员会(Personal Data Protection Commission,简称PDPC)处以1.4万新元(约合人民币6.6万元)的罚款。

(插图:新加坡PDPA)

新加坡是全球较早对个人数据进行立法保护的国家之一,早在2012年就通过了《个人数据保护法》(PDPA)。该法对各组织收集、使用和披露个人数据的行为进行了较为系统全面的规范。一方面,PDPA承认个人有权保护其个人数据。另一方面,各组织则需要为一个合理的人在这种情况下认为适当的目的而收集、使用和披露个人数据。在执法层面,新加坡设立了专门机构——个人数据保护委员会(PDPC),对各组织违反PDPA的行为进行追责问责。自PDPA生效以来,该委员会已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出处罚。

新加坡自然协会被PDPC提出多项违法指控:一是其网站数据库未能采取合理措施对个人数据进行保护;二是未任命个人数据保护官;三是缺少遵守PDPA的书面政策和操作规程。

(插图:新加坡自然协会)

新加坡PDPA的立法目的在于限制和规范收集、使用或披露个人数据的行为。该法规定了各类机构关于收集、使用或披露个人数据的范围、条件或要求。除法律另有规定外,机构应向个体告知其收集、使用和披露其个人数据的目的,并征得其同意。具体而言,机构须对其占有或控制的个人数据负责;应当指定一名或一名以上负责人保障执行PDPA;机构应当采取合理的安全措施,以保护其占有或受其控制的个人数据等。新加坡自然协会此次被罚,就是因为其未能履行上述义务。

在PDPA的基础上,新加坡致力于在实践中不断修订完善、制定配套法规、发布指引文件,为个人数据提供更加全面的保护。2020年11月2日,新加坡通过了《2020年个人数据保护(修正)法案》,这是PDPA自2012年颁布以来的首次全面修订。PDPA修正案中的大部分条款于2021年2月1日生效,其中最突出的是引入了强制数据泄露通知制度,除有法律规定的例外情形外,修正案要求个人数据遭泄露的组织及时通知PDPC和受影响的个人。配套法规方面,仅在2021年,新加坡就修订或新颁布了《个人数据保护条例》(Personal Data Protection Regulations)《个人数据保护执法条例》《个人数据保护违法构成条例》《个人数据保护数据侵权通告条例》等法规,与PDPA共同构成个人数据保护的法律框架。此外,PDPC还发布了一些咨询指引,如《PDPA关键概念咨询指引》(Advisory Guidelines on Key Concepts in the Personal Data Protection Act)《数据保护法规执法咨询指引》(Advisory Guidelines on Enforcement of Data Protection Provisions)《PDPA专题咨询指引》(Advisory Guidelines on the Personal Data Protection Act for Selected Topics)等。虽然这些文件不具有法律约束力,但对PDPC准确理解PDPA的规定提供了更大的执法清晰度。对相关机构而言,这些指引文件也为其做好数据合规工作提供了重要参考。(陈伟

信息来源:

  • https://www.pdpc.gov.sg/news-and-events/announcements/announcement-bucket/2022/01/new-commissions-decision-and-undertaking-on-14-january-2022

  • https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。