Belden案 | 新加坡PDPC:如何认定员工数据跨境违法?附处罚决定书全文
每天两块钱,实时获取全球数据合规风险预警
拼团限期优惠中!
👇
来源:新加坡PDPC
整理:何渊,DPOHUB主理人
新加坡个人数据保护委员会
[2021] SGPDPC 13
案件编号:DP-2011-B7423, DP-2011-B7433
根据《2012年个人数据保护法》第50(1)条进行的调查
(1) Belden新加坡私人有限公司
(2) Grass Valley Singapore Pte Ltd
行政处罚决定书
2021年11月12日
导言
1. 一个具有跨国足迹的企业集团在其各个实体之间进行个人数据的跨境转移是很常见的。然而,这种安排也意味着,从新加坡的机构转移的数据可能会在另一个司法管辖区面临数据泄露事件的风险。
2. 2020年11月19日和2020年11月20日,Belden新加坡私人有限公司("Belden新加坡")和Grass Valley新加坡私人有限公司("GVSPL")(统称为 "组织")通知个人数据保护委员会("委员会")发生数据泄露事件,一个未经授权的第三方进入Belden集团的业务服务器,并设法渗出信息,包括组织雇员的个人数据("事件")。
案件事实
3 Belden集团是一家从事网络、连接和电缆产品制造的公司集团。它的各个子公司和附属公司在美洲、欧洲、中东、非洲和亚太地区("Belden实体")经营。总的来说,母公司Belden Incorporated("Belden Inc.")的总部设在美国密苏里州的圣路易斯。Belden新加坡是Belden集团的一部分。
4. 由于Belden新加坡的主要人力资源("HR")职能由Belden Inc.负责,Belden新加坡将其员工的个人数据转移给Belden Inc.,然后存储在Belden Inc.的服务器中。Belden各实体转移和处理个人数据的条款受2020年9月1日的全球数据转移协议("GDTA")约束。
5. GVSPL是一个公司集团("Grass Valley实体")的一部分,该集团以前是全球Belden集团的一部分。2020年7月,Grass Valley实体(包括GVSPL)被另一家公司收购。根据收购条款,Belden公司同意提供过渡服务,包括在收购后的一段时间内管理其信息技术和人力资源系统。
因此,GVSPL员工(以及其他Grass Valley实体的员工)的个人数据被转移到Belden Inc.并存储在Belden Inc.的服务器中。GVSPL的母公司Grass Valley USA, LLC("GV USA")(代表其子公司和附属公司,包括GVSPL)和Belden Inc.于2020年6月18日签订了一份数据共享协议("DSA"),以规范双方之间的数据(包括个人数据)共享。
6. 2020年11月12日,Belden集团的信息技术团队注意到其系统的异常情况。随后的调查显示,从2020年9月到11月,一个威胁者在不同时间通过使用恶意软件访问了Belden集团在美国和其他司法管辖区的服务器,并渗出了其中的信息和数据。GVSPL的个人数据集的泄露被认为是由于未经授权访问Belden集团的服务器引起的,因为没有证据表明有任何未经授权直接进入Grass Valley实体的系统。
7. 在这次事件中,126名与Belden Singapore有关的个人(现任和前任雇员以及非雇员,如供应商/供应商)和63名与GVSPL有关的个人(现任和前任雇员)的个人数据被外流(统称为 "个人数据集")。渗出的个人数据类型包括以下内容。
(a) 姓名。
(b) 地址。
(c) 电子邮件地址。
(d) 电话号码。
(e) 出生日期。
(f) 身份证号码。
(g) 婚姻状况。
(h) 照片。
(i) 工资信息;以及
(j) 个人税务信息。
8. 在发现该事件后,Belden Inc.实施了或一直在实施以下补救措施。
(a) 采取以下安全措施:
i. 对系统管理员账户进行审计,以确认它只针对有效用户
ii. 审查并制定了处理事件关闭活动的计划
iii. 提高安全意识活动的相关性和频率。
(b) 采取了以下短期和长期遏制行动:
i. 在所有服务器和客户系统中推出一个终端安全软件
ii. 阻止周边防火墙上的命令和控制IP地址
iii. 更新现有安全软件的定义
iv. 在防火墙上阻止对Mega(云存储文件托管服务)的访问
v. 不允许将数据从内部系统同步到未经批准的外部云存储服务上
vi. 从特权安全组中删除不必要的账户
vii. 重建被破坏的系统
viii. 重新启动无法重建的关键业务系统
ix. 加快对关键和高严重性漏洞的修补工作
x. 重置域和企业管理员的密码
xi. 重置所有其他特权用户的密码
xii. 重置Kerberos账户的密码
xiii. 执行全企业范围的密码重置
xiv. 确保暴露在互联网上的系统没有直接的远程访问发现和确定的依据
调查结果和决定依据
9. 首先,Belden Inc.负责维护Belden集团的系统(包括其服务器)的安全性和完整性,并实施适当的保护措施。然而,2012年个人数据保护法("PDPA")中的数据保护义务并不适用于Belden Inc.,因为它不在新加坡处理个人数据。我们还注意到,Belden Inc.已经向受影响的服务器所在的司法管辖区的相关部门进行了报告。因此,没有针对Belden Inc.的调查结果。
PDPA第26条规定的数据跨境限制义务
10. PDPA第26(1)条规定,机构不得将任何个人数据转移到新加坡以外的国家或地区,除非按照PDPA规定的要求,确保机构对所转移的个人数据提供与PDPA规定的保护标准相当的保护("转移限制义务")。2014年《个人数据保护条例》("PDPR")的第三部分规定了相关要求。特别是
(a) PDPR第9(1)(b)条规定,将个人数据转移到新加坡以外的国家或地区的组织应采取适当步骤,确保个人数据的接收方受法律上可执行的义务约束(根据第10条),向被转移的个人数据提供至少与《个人数据保护法》规定的保护标准相当的保护。
(b) PDPR第10(1)(b)条规定,合同是这种可依法执行的义务之一。PDPR第10(2)条规定,这种合同必须要求被转移的个人数据的接收者提供一个可比的保护标准,并且必须指定个人数据根据合同可能被转移到的国家和地区。
(c) PDPR第10(1)(c)条规定了具有约束力的公司规则,作为另一项可依法执行的义务。条例第10(3)条规定,这种有约束力的公司规则要求每个接收方提供可比的保护标准,并且必须明确:(i)有约束力的公司规则所适用的被转移个人数据的接收方;(ii)根据有约束力的公司规则,个人数据可能被转移到的国家和地区;以及(iii)有约束力的公司规则所规定的权利和义务。此外,这种有约束力的公司规则只能由与转让组织有关的接收者使用。
11. 为了遵守企业职能集中的集团内部转移的转移限制义务,参与定期向新加坡境外转移个人数据的持续关系的集团成员必须采取合理的步骤,以确定海外受让人已实施适当的政策、做法和/或技术措施,以确保所转移的个人数据得到必要的保护。
这与机构向海外数据中介机构转移个人数据时进行必要的尽职审查的义务没有分别,因为海外受让人就是数据中介机构,即使他们是同一公司集团的成员。正如委员会在《关于PDPA关键概念的咨询准则》中所述:个人数据的跨境转移
6.22 当机构聘请数据中介代表其并为其目的处理个人数据时,机构有责任遵守有关个人数据海外转移的转移限制义务。无论个人数据是由组织转移到海外数据中介还是由新加坡的数据中介转移到海外,作为其代表组织和为组织目的进行的处理的一部分。
6.23 传输限制义务要求组织确保在海外传输的个人数据受到与数据保护规定相当的标准的保护。转让组织有责任进行适当的尽职调查,并在聘请数据中介时获得保证,以确保其有能力这样做。在进行尽职调查时,转让组织可能会依赖数据中介现有的保护政策和做法,包括他们对符合相关行业标准或认证的保证。”
Belden新加坡公司是否遵守了数据跨境转移限制的义务
12. 由于以下原因,确定Belden Singapore没有遵守传输限制义务。
13. 在关键时刻,Belden Inc.和其他一些Belden实体签订了一份具有约束力的集团内部合同,称为2020年9月1日的《全球数据传输协议》("GDTA"),该协议规定了Belden各实体之间相互传输个人数据的条款。
14. GDTA包含的条款要求Belden Inc.为从新加坡转移的任何个人数据提供与事件发生时PDPA规定的保护标准相当的保护。特别是
(a) 第5.2.2条规定:"如果源自非欧洲经济区(包括英国,如果英国在任何时候都不在欧洲经济区或超过任何过渡期)的Belden数据和/或客户数据("来源地")在不同于来源地的地区("进口地")被处理,那么数据进口商将以符合来源地适用隐私法的标准来处理这些Belden数据和/或客户数据......"
(b) 附表5第19.5.5条要求数据进口商(即Belden Inc.)确保向新加坡以外的国家或地区转移个人数据时,提供与PDPA规定的保护标准相当的保护。
15. 除上述内容外,GDTA 还包含规定,要求受让人(“数据进口方”)采取措施,解决已识别的个人数据传输的安全风险,并协助转让方(“数据出口方”)遵守相关的数据保护法。尤其是:
(a) 第 4.1(c)(ii) 条要求数据进口商“遵守任何适用隐私法产生的任何要求,以保护其收到的百通和/或客户数据,包括但不限于以下内容:
(A) 考虑到处理的性质,在可能的情况下,通过适当的技术和组织措施,协助履行数据导出者可能必须响应数据主体的请求以行使适用隐私下的权利的任何义务法律援助;
(B) 在必要时协助数据出口商履行其在适用隐私法下的义务,包括(但不限于)进行数据保护影响评估和/或咨询监管机构,在每种情况下都要考虑到处理的性质和数据导入者可获得的信息;和
(C) 未故意履行其在本协议项下的义务,导致数据出口商违反适用隐私法项下的任何义务;
(D) 确保其授权访问Belden和/或客户数据的任何人(包括员工、代理和分处理商)的可靠性,并确保他们接受过有关Belden和/或的保护和处理方面的适当培训客户数据;
(E) 它将确保任何被授权处理Belden和/或客户数据的人员已承诺保密或承担适当的法定保密义务;
(F) 它将保持适当和充分的技术和组织安全措施,以保护此类Belden和/或客户数据免受安全漏洞的影响。此类措施将至少包括Belden安全措施;和
(G) 其将允许数据输出者合理地要求数据输出者访问其场所、计算机和其他信息系统、记录、文件和协议,以确保数据输入者遵守其在协议下的义务;和
(H) 除非欧盟法律或任何欧盟成员国法律要求,否则它将根据输出者的选择,在与处理相关的提供或服务结束后删除或返回所有百通和/或客户数据给输出者客户数据的存储。”
(b) 第 6 条还要求数据进口商在发生安全漏洞时采取某些措施,以调查违规行为、减轻其影响并协助数据出口商履行适用隐私法规定的任何义务。
16. 在这方面, Belden集团已经制定了以下有关个人数据处理的政策和措施。
(a) 数据处理标准 - 规范整个 Belden集团对电子和物理数据的处理。
(b) 个人数据处理标准 - 规范整个 Belden集团对所有形式的个人数据的处理。
(c) 数据分类政策 - 制定保护信息资产的标准,防止意外或非法破坏、损失、未经授权的访问、修改、损害、披露或其他滥用;以及
(d) 记录创建、保留、检索和处置政策 - 规定了在 Belden集团内创建、保留、检索和处置记录的要求。
17.尽管Belden集团采取了一整套政策和技术措施,但在事件发生时,GDTA和上述政策并没有使Belden新加坡公司满足第9(1)(b)条以及第10(1)(b)和10(2)条中的要求。
(a) 由于Belden Singapore没有加入GDTA,因此GDTA在关键时刻对Belden Singapore没有法律约束力。为了使Belden新加坡公司受GDTA的约束,它必须根据第12.1条签署一份加入书。然而,在事件发生时,Belden Singapore还没有签署这样的加入协议。
(b) 由于Belden集团选择了围绕集团内部的协议(即GDTA)构建其数据治理架构,因此,协议的私有原则适用,而且要确保协议各方能够履行其中产生的权利和义务,这一点是老生常谈。虽然在事件发生时,GDTA确实要求Belden Inc.在从新加坡进口/处理个人数据时遵守《个人数据保护法》的适用标准(附表5第19.5.5条),但Belden新加坡公司在法律上无法强制执行这些义务。如果没有这样的机制,Belden新加坡公司就没有法律手段来确定和确保转移到新加坡以外的数据得到与《个人数据保护法》规定的相同水平的保护。
(c) Belden新加坡公司已经承认这是一个失误。它随后于2021年6月18日签署了一份加入协议,纠正了这一疏忽。
(d) 然而,调查显示,实际上,第14至16段中提到的所有相关Belden集团的政策、做法和技术措施都得到了全面实施,以确保从新加坡转移的个人数据得到与《个人数据保护法》规定的保护水平相当的保护。因此,Belden新加坡公司的违规行为构成了法律手续上的过失,而不是没有遵守转移限制义务的实质内容。
GVSPL是否遵守了数据跨境转移限制的义务
18. 基于以下原因,GVSPL被确定为遵守了转移限制义务。
19. 在关键时刻,GVSPL(作为GV美国的子公司)和Belden Inc.受2020年6月18日的数据共享协议("DSA")约束,该协议规定了GVSPL向Belden Inc.转移个人数据的条款。DSA符合PDPR第9(1)(b)条,以及第10(1)(b)和10(2)条。DSA的第10.1条规定,在国际转移数据(包括个人数据)的情况下:
"接收方不得在欧洲经济区("EEA")以外的地区处理任何数据(不允许处理任何数据),除非它已采取必要的措施,以确保转移符合适用的数据保护法的规定。这些措施可能包括(但不限于):(a)将数据转移到欧盟委员会决定为个人数据提供充分保护的国家的接收方;(b)转移到根据适用数据保护法取得具有约束力的公司规则授权的接收方;(c)转移到保持有效和最新的欧盟-美国隐私保护认证的美国接收方,或(d)转移到执行欧盟委员会采用或批准的标准合同条款或因签订本协议的接收方。"
20. 虽然DSA第10.1条没有具体提到PDPA,但它确实要求Grass Valley实体(包括GVSPL)采取必要的措施,以确保转移符合适用的数据保护法,而在GVSPL方面,适用的数据保护法就是PDPA。
21. 此外,DSA还包含一些条款,旨在解决对被转移的个人数据构成的可识别的安全风险,以及确保接收方协助披露方。特别是:
(a) 第6.1(c)条要求接收方在必要时协助披露方履行其在《适用数据保护法》(定义为适用于有关个人数据的所有全球数据保护和隐私法律和法规)下的义务,包括(但不限于)进行任何数据保护影响评估,与监督机构进行磋商,以及履行披露方可能承担的任何义务,回应数据主体根据《适用数据保护法》行使其权利的要求。
(b) 第6.1(d)条要求接收方确保任何被授权处理个人数据的人已承诺保密或承担适当的法定保密义务。
(c) 第7.1条规定,接收方 "应保持适当和充分的技术和组织安全措施,以保护数据免受安全事故的影响,同时考虑到技术水平、实施成本和处理的性质、范围、背景和目的,以及对数据主体的权利和自由的不同可能性和严重性的风险。" 第7.2条进一步规定了接收方在确认发生安全事件时需要采取的某些行动,以减轻事件的影响并协助披露方履行适用数据保护法规定的任何义务。
22. 最后,第16段列举的关于处理个人数据的集团政策和措施也适用于Belden集团内部从GVSPL的转移。
副专员的处罚决定
23. 鉴于Belden新加坡违反了转移限制义务,委员会根据PDPA第48I条的规定,有权向Belden新加坡发出其认为合适的指示,以确保遵守PDPA。这可能包括指示Belden Singapore支付委员会认为合适的不超过100万美元的经济处罚。
24. 在考虑本案中是否应向Belden Singapore发出指示时,我们注意到:
(a) Belden Singapore在事件发生前没有签署加入契约,这是一个疏忽,这一失误已经通过签署升华契约得到纠正。
(b) Belden Singapore违反转让限制义务是技术性的,是没有履行法律手续的行为,不具有实质性。如第17(d)段所述,在操作层面上,Belden集团实施的一整套政策、做法和技术措施足以确保从新加坡转移到Belden公司的个人数据得到与PDPA规定的保护水平相当的保护。
25. 考虑到上述所有情况,Belden新加坡公司因其违反转移限制义务而被警告。
鉴于已经采取了补救措施,即Belden新加坡公司加入了GDTA,因此不需要其他指令。
杨子健
副专员
新加坡个人数据保护专员
每天两块钱,实时获取全球数据合规风险预警!
免费下载!
👇
DPOHUB年度会员,扫码加入!
权益1:一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课(除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程),权益期内新增的在线课程同样免费听。
权益2:一年的鹅圈子“数据合规俱乐部”,第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。