2012年10月15日,新加坡颁布了《个人数据保护法》(以下简称“PDPA”),并于2014年7月2日生效。该法成为新加坡个人数据保护的关键立法,规定了包括数据控制者义务、数据主体权利与保护、同意要求、跨境传输等方面的事项。2020年11月2日,新加坡通过《个人数据保护(修正)法案》,是PDPA自2012年颁布以来的首次全面修订,PDPA修正案中最突出的关键点是其引入了强制性数据泄露通知制度,要求组织发生数据泄露事件时,必需通知PDPC以及受影响的个人。

后续,新加坡个人数据保护委员会(以下简称“PDPC”)先后出台了一系列条例及指引,包括《个人数据保护条例》、《个人数据保护(数据泄露通知)条例》、《个人数据保护(违法构成)条例》《个人数据保护(执行)条例》等。

此外,PDPC还发布了相关咨询指南,如2021年新加坡个人数据保护委员会发布《数据保护风险影响评估指南》并于当年9月14日予以修正。数据保护风险影响评估(以下简称“DPIA”)用于评估个人数据处理活动对个人隐私的潜在影响和风险。该指南介绍了组织在系统和业务流程中,开展DPIA时的主要原则和考虑事项。旨在帮助组织在实施新项目、服务或流程之前识别和评估可能存在的数据保护风险,并提供措施来减轻这些风险,以确保符合新加坡PDPA及相关条例。

DPIA两大应用场景

根据指南,DPIA适用于两大场景当中:

第一类是系统(Systems),如面向公众的网站、云存储平台、客户关系管理(CRM)系统等。

第二类是流程(Processes),如进行健康检查并收到体检报告的流程、从在线门户网站购买商品并接收快递的流程。

谁是DPIA的参与者?

指南明确,DPIA应包括组织各职能部门的相关方,例如项目经理、组织中的数据保护官(DPO)、IT部门等,必要时还包括相关外部方(如外部专家)。

此外,指南指出,DPIA应当由项目经理或者数据保护官主导。

DPIA的主要任务

· 确定系统或流程处理的个人数据以及收集个人数据的必要性

· 明确个人数据如何在系统或流程中流动

· 根据新加坡PDPA的要求,通过分析处理的个人

· 数据及其数据来源与流向,识别潜在的数据保护风险

· 通过修改系统与流程设计,或引入新的组织政策等解决方案,消除已识别的风险

· 审查已识别的风险,确保在系统或流程生效或实施之前得到充分解决

DPIA生命周期

指南将DPIA生命周期分为六个阶段,分别是第一阶段:评估DPIA需求第二阶段:制度DPIA计划第三阶段:识别数据与个人数据流第四阶段:识别并评估数据保护风险第五阶段:创设改进计划第六阶段:实施与监督改进计划

在第二阶段,制定DPIA计划,进行关键活动或步骤时,需涵盖以下内容:

l 项目描述:全面考察项目,例如项目的目标与背景、涉及的组织部门与职能、时间安排、为什么需要进行DPIA,以及围绕DPIA需考虑的因素

l 确定DPIA的范围:详细描述需要执行DPIA的特定系统或流程

l 定义风险评估框架或方法:包括建立风险评估标准和计算风险的方法

l 相关方:确定相关内部部门、职能部门或外部利益相关方。如专家、顾问、监管机构或客户,在咨询或访谈会议期间,必须征求他们的意见

l 明确DPIA时间表:综合评估提供关键任务所需时间,以及DPIA实施的总体时间表

在第三阶段,DPIA负责人需要整理和审查与项目相关的文档,以确定个人数据流。相关文档包括项目计划、与第三方的合同、评估报告和系统功能规格文件等。此外,DPIA负责人应咨询项目团队和相关职能部门,以确保DPIA的全面性和准确性。有必要时,还需对项目进行现场检查

最后,指南还建议DPIA负责人:

l 确定与特定项目相关的已处理(或计划处理)各类型的个人数据,并确定组织收集、使用或披露数据的目的

l 绘制个人数据在其生命周期(从收集到存储、处置)中流经项目各个阶段或触点的方式

在第四阶段,DPIA主管可以通过以下方式识别和评估个人数据保护风险:

l 根据PDPA要求、数据保护最佳实践评估项目,完成DPIA调查问卷

l 识别个人数据流中可能导致违反PDPA,或与行业最佳实践相比存在差距的领域

l 根据预定义的风险框架,分析已识别差距和风险的潜在影响和可能性

声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。