根據(jù)世界銀行發(fā)布的《2020年營商環(huán)境報告》,新加坡營商環(huán)境高居世界第二。新加坡作為全球極具競爭力、開放性的經(jīng)濟體,加之地緣及文化優(yōu)勢,已成為中國企業(yè)重點考慮的出海地區(qū)。不少中國企業(yè)在新加坡設(shè)立法律實體,以便在亞洲地區(qū)展業(yè)。在全球數(shù)據(jù)保護日益嚴苛背景下,出海至新加坡的企業(yè),特別是互聯(lián)網(wǎng)企業(yè)等處理大量數(shù)據(jù)的企業(yè),需特別關(guān)注新加坡數(shù)據(jù)合規(guī)法律。
新加坡目前已建立了較為完善的數(shù)據(jù)法律體系,與歐盟GDPR相似,新加坡也設(shè)置了較高的處罰標準。例如,自2016年以來,新加坡個人數(shù)據(jù)保護委員會發(fā)布了一系列執(zhí)法決定,其中Singapore Health Services Pte. Ltd.和Integrated Health Information Systems Pte. Ltd. 違反數(shù)據(jù)合規(guī)義務,被分別處以最高罰款250,000新加坡元和750,000新加坡元。
故而,本文將著重介紹新加坡數(shù)據(jù)法律體系。
01 新加坡的數(shù)據(jù)保護法律體系以2012年的《個人數(shù)據(jù)保護法》(Personal Data Protection Act,以下簡稱“PDPA”)為主,該法是一部規(guī)范個人數(shù)據(jù)處理行為的綜合性立法。為了更好的執(zhí)行PDPA,新加坡個人數(shù)據(jù)保護委員會(Personal Data Protection Commission ,以下簡稱“PDPC”)出臺了一系列條例及指引,包括:《2021個人數(shù)據(jù)保護條例》(Personal Data Protection Regulations 2021,以下簡稱“PDPR”)、2021年《個人數(shù)據(jù)保護(數(shù)據(jù)泄露通知)條例》 [Personal Data Protection (Notification of Data Breaches) Regulations 2021]、2021年《個人數(shù)據(jù)保護(違法構(gòu)成)條例》[Personal Data Protection (Composition of Offences) Regulations 2021]、2021年《個人數(shù)據(jù)保護(執(zhí)行)條例》[Personal Data Protection (Enforcement) Regulations 2021]、2013年《個人數(shù)據(jù)保護(請勿致電登記處)條例》[Personal Data Protection (Do Not Call Registry) Regulations 2013]等。此外,PDPC還發(fā)布了咨詢指南,用以解釋PDPA以供企業(yè)合規(guī)參考。 02 PDPA適用的主體包括個人、公司、協(xié)會、社會團體等法人或非法人團體,無論該等自然人或?qū)嶓w是否依據(jù)新加坡法律設(shè)立,是否為新加坡居民或居民企業(yè),或是否在新加坡具有辦事處或營業(yè)地,只要以上自然人或?qū)嶓w具備以下數(shù)據(jù)處理行為,均適用于PDPA: 在新加坡處理個人信息,無論是新加坡居民個人信息及非新加坡居民個人信息; 處理新加坡居民個人信息。
值得注意的是,如新加坡的組織收集非新加坡居民的個人數(shù)據(jù),將其用于新加坡,并為自身目的使用或披露,該組織除需受到數(shù)據(jù)主體所在國家/地區(qū)的數(shù)據(jù)保護法律的約束外,還需要遵守PDPA的約束。
此外,PDPA第4條明確了不適用于PDPA的數(shù)據(jù)處理行為,如以個人或家庭身份行事的個人、受雇于某一組織工作的任何雇員、處理至少存在100年的記錄中的個人數(shù)據(jù)以及已故10年以上的個人數(shù)據(jù)等。
03 新加坡關(guān)于數(shù)據(jù)處理合法性基礎(chǔ)與《個人信息保護法》存在相似之處,可以對標《個人信息保護法》第13條進行交叉理解。 04 PDPC關(guān)鍵信息咨詢指南概括了PDPA項下數(shù)據(jù)控制者的主要義務,具體如下: 05 “同意”為最廣泛的數(shù)據(jù)處理行為的合法性基礎(chǔ)。值得注意的是,新加坡的“同意”包括“視為同意”(Deemed Consent),PDPA將“視為同意”區(qū)分成視為行為同意、根據(jù)合同必要性被視為同意以及通過通知視為同意,下表將簡述上述三種“視為同意”的要求。 06 新加坡數(shù)據(jù)保護法律體系下的數(shù)據(jù)主體權(quán)利、行權(quán)及數(shù)據(jù)控制者行權(quán)響應詳見下表:
07 對于涉及數(shù)據(jù)跨境的企業(yè)而言,跨境傳輸為一重大合規(guī)要點。根據(jù)PDPA,數(shù)據(jù)控制者不得將任何個人數(shù)據(jù)轉(zhuǎn)移到新加坡以外的國家/地區(qū),除非根據(jù)PDPA要求,轉(zhuǎn)移組織采取適當?shù)牟襟E確保個人數(shù)據(jù)的接收方受法律強制義務的約束,為傳輸?shù)膫€人數(shù)據(jù)提供至少與PDPA相當?shù)谋Wo標準,具體詳見下表: 08 數(shù)據(jù)控制者違法違規(guī)處理個人數(shù)據(jù),需要承擔法律責任,主要包括以下方面: 1.停止違反 PDPA 收集、使用或披露個人數(shù)據(jù)的行為; 2.銷毀違反 PDPA 收集的個人數(shù)據(jù); 3.提供訪問或更正個人數(shù)據(jù)的權(quán)限; 4.最高罰款:100萬新元;如果在新加坡年營業(yè)額超過1000萬新元,罰款為其在新加坡的年營業(yè)額的10%。
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國際管理咨詢有限公司 京ICP備19055770號-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:梅州市豐順縣留隍鎮(zhèn)新興路881號
北京市大興區(qū)新源大街25號院恒大未來城7號樓1102室
北京市海淀區(qū)西禪寺(華北項目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號壹品灣三區(qū)
長沙市芙蓉區(qū)韶山北路139號文化大廈
站點地圖 網(wǎng)站建設(shè):騰虎網(wǎng)絡(luò)
歡迎來到本網(wǎng)站,請問有什么可以幫您?
稍后再說 現(xiàn)在咨詢