智库快讯·隐私保护专栏丨新加坡自然协会因个人数据保护不力被罚
2022年1月14日,非政府组织新加坡自然协会(Nature Society)因违反新加坡《个人数据保护法》(Personal Data Protection Act,简称PDPA)被新加坡个人数据保护委员会(Personal Data Protection Commission,简称PDPC)处以1.4万新元(约合人民币6.6万元)的罚款。
新加坡是全球较早对个人数据进行立法保护的国家之一,早在2012年就通过了《个人数据保护法》(PDPA)。该法对各组织收集、使用和披露个人数据的行为进行了较为系统全面的规范。一方面,PDPA承认个人有权保护其个人数据。另一方面,各组织则需要为一个合理的人在这种情况下认为适当的目的而收集、使用和披露个人数据。在执法层面,新加坡设立了专门机构——个人数据保护委员会(PDPC),对各组织违反PDPA的行为进行追责问责。自PDPA生效以来,该委员会已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出处罚。
新加坡自然协会被PDPC提出多项违法指控:一是其网站数据库未能采取合理措施对个人数据进行保护;二是未任命个人数据保护官;三是缺少遵守PDPA的书面政策和操作规程。
(插图:新加坡自然协会)
新加坡PDPA的立法目的在于限制和规范收集、使用或披露个人数据的行为。该法规定了各类机构关于收集、使用或披露个人数据的范围、条件或要求。除法律另有规定外,机构应向个体告知其收集、使用和披露其个人数据的目的,并征得其同意。具体而言,机构须对其占有或控制的个人数据负责;应当指定一名或一名以上负责人保障执行PDPA;机构应当采取合理的安全措施,以保护其占有或受其控制的个人数据等。新加坡自然协会此次被罚,就是因为其未能履行上述义务。
在PDPA的基础上,新加坡致力于在实践中不断修订完善、制定配套法规、发布指引文件,为个人数据提供更加全面的保护。2020年11月2日,新加坡通过了《2020年个人数据保护(修正)法案》,这是PDPA自2012年颁布以来的首次全面修订。PDPA修正案中的大部分条款于2021年2月1日生效,其中最突出的是引入了强制数据泄露通知制度,除有法律规定的例外情形外,修正案要求个人数据遭泄露的组织及时通知PDPC和受影响的个人。配套法规方面,仅在2021年,新加坡就修订或新颁布了《个人数据保护条例》(Personal Data Protection Regulations)《个人数据保护执法条例》《个人数据保护违法构成条例》《个人数据保护数据侵权通告条例》等法规,与PDPA共同构成个人数据保护的法律框架。此外,PDPC还发布了一些咨询指引,如《PDPA关键概念咨询指引》(Advisory Guidelines on Key Concepts in the Personal Data Protection Act)《数据保护法规执法咨询指引》(Advisory Guidelines on Enforcement of Data Protection Provisions)《PDPA专题咨询指引》(Advisory Guidelines on the Personal Data Protection Act for Selected Topics)等。虽然这些文件不具有法律约束力,但对PDPC准确理解PDPA的规定提供了更大的执法清晰度。对相关机构而言,这些指引文件也为其做好数据合规工作提供了重要参考。
https://www.pdpc.gov.sg/news-and-events/announcements/announcement-bucket/2022/01/new-commissions-decision-and-undertaking-on-14-january-2022
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
快讯总主编由数字丝路安全智库专家委员会主任马民虎教授担任,由智库秘书长朱莉欣担任副主编,智库副秘书长谢永红担任责任编辑。
快讯合作单位:西交苏州信息安全法学所、西交科教院网络安全法治研究所、公安三所网络安全法律研究中心、360集团、西安四叶草信息技术有限公司、荣耀终端有限公司。
隐私保护是一个全球性的命题。随着我国《数据安全法》、《个人信息保护法》等法律法规的出台,我国个人隐私的保护制度更加完善,对数据处理者的隐私保护要求也更细更高。然而“徒法不足以自行”,要实现我国隐私保护立法的宗旨,还需要从守法、执法和司法层面予以努力。本专栏拟通过报道国际隐私保护的法律事件,为我国个人隐私保护合规和遵从提供实践经验和具体执法的参考,并为我们了解和借鉴国外隐私保护制度提供第一手的资料。
随着数字经济蓬勃发展,数据在经济社会发展中起着空前重要的作用。中国将数据定义为生产要素、欧盟制定数据战略、美国促进数字经济法案等等,都在从立法、产业政策、技术标准和产业平台等领域积极推动数据经济发展,在促进数据流通利用和安全保护的平衡上寻找最佳解决方案。
2020年10月,无名论坛和SSC安全峰会联合其他相关机构,在充分认识到数字安全发展的全局性和重要影响基础上,经调研,并与有关部门专家协商沟通,以华山论剑·2020网络安全大会的盛大召开为契机,联合发起成立“数字丝路安全智库”。
“数字丝路安全智库”,旨在响应国家“一带一路”倡议,遵循数字经济发展规律,为数字丝路的建设提供有特色的网络安全政策法规、技术方案,为网络安全研究人员搭建合作研究、交流平台,促进数字丝路网络空间的繁荣发展。
“苏州信息安全法学所”