兰迪研究 兰迪研究
LANDING RESEARCH
兰迪研究
首页 兰迪研究 专业文章 文章详情
新加坡数据合规重点解读

根据世界银行发布的《2020年营商环境报告》,新加坡营商环境高居世界第二。新加坡作为全球极具竞争力、开放性的经济体,加之地缘及文化优势,已成为中国企业重点考虑的出海地区。不少中国企业在新加坡设立法律实体,以便在亚洲地区展业。在全球数据保护日益严苛背景下,出海至新加坡的企业,特别是互联网企业等处理大量数据的企业,需特别关注新加坡数据合规法律。

 

新加坡目前已建立了较为完善的数据法律体系,与欧盟GDPR相似,新加坡也设置了较高的处罚标准。例如,自2016年以来,新加坡个人数据保护委员会发布了一系列执法决定,其中Singapore Health Services Pte. Ltd.和Integrated Health Information Systems Pte. Ltd. 违反数据合规义务,被分别处以最高罚款250,000新加坡元和750,000新加坡元。

 

故而,本文将着重介绍新加坡数据法律体系。

 

 

 

01

数据保护概括

 

新加坡的数据保护法律体系以2012年的《个人数据保护法》(Personal Data Protection Act,以下简称“PDPA”)为主,该法是一部规范个人数据处理行为的综合性立法。为了更好的执行PDPA,新加坡个人数据保护委员会(Personal Data Protection Commission ,以下简称“PDPC”)出台了一系列条例及指引,包括:《2021个人数据保护条例》(Personal Data Protection Regulations 2021,以下简称“PDPR”)、2021年《个人数据保护(数据泄露通知)条例》 [Personal Data Protection (Notification of Data Breaches) Regulations 2021]、2021年《个人数据保护(违法构成)条例》[Personal Data Protection (Composition of Offences) Regulations 2021]、2021年《个人数据保护(执行)条例》[Personal Data Protection (Enforcement) Regulations 2021]、2013年《个人数据保护(请勿致电登记处)条例》[Personal Data Protection (Do Not Call Registry) Regulations 2013]等。此外,PDPC还发布了咨询指南,用以解释PDPA以供企业合规参考。

 

 

 

02

适用范围

 

PDPA适用的主体包括个人、公司、协会、社会团体等法人或非法人团体,无论该等自然人或实体是否依据新加坡法律设立,是否为新加坡居民或居民企业,或是否在新加坡具有办事处或营业地,只要以上自然人或实体具备以下数据处理行为,均适用于PDPA:

 

  1. 在新加坡处理个人信息,无论是新加坡居民个人信息及非新加坡居民个人信息;

     

  2. 处理新加坡居民个人信息。

     

值得注意的是,如新加坡的组织收集非新加坡居民的个人数据,将其用于新加坡,并为自身目的使用或披露,该组织除需受到数据主体所在国家/地区的数据保护法律的约束外,还需要遵守PDPA的约束。

 

此外,PDPA第4条明确了不适用于PDPA的数据处理行为,如以个人或家庭身份行事的个人、受雇于某一组织工作的任何雇员、处理至少存在100年的记录中的个人数据以及已故10年以上的个人数据等。

 

 

 

03

处理合法性基础

 

新加坡关于数据处理合法性基础与《个人信息保护法》存在相似之处,可以对标《个人信息保护法》第13条进行交叉理解。

 

 
 
 

04

数据控制者义务

 

PDPC关键信息咨询指南概括了PDPA项下数据控制者的主要义务,具体如下:

 

 
 
 

05

同意要求

 

 “同意”为最广泛的数据处理行为的合法性基础。值得注意的是,新加坡的“同意”包括“视为同意”(Deemed Consent),PDPA将“视为同意”区分成视为行为同意、根据合同必要性被视为同意以及通过通知视为同意,下表将简述上述三种“视为同意”的要求。

 

 
 
 

06

数据主体权利与保护

 

新加坡数据保护法律体系下的数据主体权利、行权及数据控制者行权响应详见下表:

 

 
 
 

07

跨境传输

 

对于涉及数据跨境的企业而言,跨境传输为一重大合规要点。根据PDPA,数据控制者不得将任何个人数据转移到新加坡以外的国家/地区,除非根据PDPA要求,转移组织采取适当的步骤确保个人数据的接收方受法律强制义务的约束,为传输的个人数据提供至少与PDPA相当的保护标准,具体详见下表:

 

 
 
 

08

法律责任承担

 

数据控制者违法违规处理个人数据,需要承担法律责任,主要包括以下方面:

 

1.停止违反 PDPA 收集、使用或披露个人数据的行为;

 

2.销毁违反 PDPA 收集的个人数据;

 

3.提供访问或更正个人数据的权限;

 

4.最高罚款:100万新元;如果在新加坡年营业额超过1000万新元,罚款为其在新加坡的年营业额的10%。

 

以上为我们对新加坡数据合规的重点解读,我们也将以新加坡为起始点,陆续推出聚焦东南亚各国的数据合规重点解读文章,以期为出海东南亚地区的企业提供参考。

RECOMMEND
相关推荐