转载：出海指南 | 新加坡数据合规

引 言

　　新加坡作为全球极具竞争力、开放性的经济体，已成为越来越多中国企业的出海首选。整体而言，新加坡当前已建立了较为完善的数据隐私保护法律体系，隐私保护执法也较为活跃，集中在“告知-同意”、数据跨境限制、数据安全保护等方面。中国企业出海在拓展新加坡甚至海外其他区域用户市场、部署服务器、建设数字化运营模式时，需要特别关注新加坡数据隐私合规相关要求，避免触及监管“雷区”。本文旨在简要介绍新加坡数据隐私保护法律框架，聚焦新加坡数据合规热点，以期能帮助出海企业加深对新加坡数据隐私合规要求的了解。

一、监管框架

(一) 框架概览

　　2012年10月，新加坡颁布《个人数据保护法》（Personal Data Protection Act，“PDPA”），该法确立了新加坡个人数据保护的基本制度。2020年11月，新加坡对PDPA进行了修订，修订版本于2021年2月1日生效，系当前适用版本。《个人数据保护条例》（Personal Data Protection Regulations，“PDPR”）作为PDPA规定的实施细则，进一步细化个人数据保护的合规要求。

　　新加坡在2013年设立个人数据保护委员会（Personal Data Protection Commission，“PDPC”）。PDPC隶属新加坡信息通信媒体发展局（Info-communications Media Development Authority，“IMDA”），负责制定PDPA合规指引、监督PDPA履行：

• 在合规指引制定方面，PDPC当前已颁布《关于PDPA关键概念的咨询指南》（Advisory Guidelines on Key Concepts in the PDPA，“PDPA Guidelines”）、《关于特定合规话题的PDPA咨询指南》（Advisory Guidelines on the Personal Data Protection Act for Selected Topics）、《拒绝来电条款咨询指南》（Advisory Guidelines on the Do Not Call Provisions）等。
• 在监督PDPA履行方面，PDPA赋予PDPC较大的执法权，PDPC有权对于违反PDPA的行为开展执法调查、作出处罚决定，采取的处罚措施包括但不限于：（1）要求处罚对象停止收集、使用或披露违反PDPA的相关个人数据；（2）要求处罚对象销毁违反PDPA的相关个人数据；（3）对处罚对象最高处以其在新加坡年度营业额的10%或100万新加坡元（以较高者为准）的罚款等。

　　在违反PDPA的责任后果方面，除前述提到行政责任外，PDPA还规定民事责任和刑事责任。PDPA第48O条赋予个人向法院起诉的民事救济权利。例如，在刑事责任方面，对于未经授权故意使用、披露个人数据构成刑事犯罪的，行为人可能面临最高2年监禁如PDPA以及最高5000新加坡元的罚款。企业通过故意更改、伪造、隐瞒个人数据收集、使用或披露的相关信息以逃避个人访问或更正个人数据的请求，可能面临最高50000新加坡元的罚款，而行为人可能面临最高12个月监禁以及最高5000新加坡元的罚款。

(二) 适用范围

　　根据PDPA第2条、第3条，PDPA既适用于在新加坡收集、使用和披露个人数据的组织，也适用位于新加坡境外或在新加坡境外成立的组织收集、使用和披露新加坡自然人个人数据。因此，出海企业为总部管理需要将新加坡用户个人数据传回中国统一处理，或以新加坡作为出海各国数据集中存储地，将自其他出海目的地收集用户个人数据传输至新加坡处理[1]，均应适用PDPA。

二、数据隐私合规监管热点

　　相较于欧盟、中国等个人数据保护规定更为严苛的国家，新加坡在“告知-同意”、“数据本地化与跨境”方面要求稍显宽松。尽管如此，PDPC“告知-同意”、“数据本地化与跨境”、“数据安全保护”、“营销监管”方面执法较为活跃，出海企业如忽视上述方面合规义务则容易触及监管红线。此外，新加坡近年来还逐步加强了信息内容合规监管。

(一) 告知-同意要求

　　根据PDPA第14条，除PDPA规定的豁免同意义务情形以及其他法律要求的个人数据收集、使用和披露情形外，组织收集、使用或披露个人数据原则上应取得个人同意。但PDPA允许组织取得个人“视为同意”（Deemed Consent），其规定的“豁免同意义务情形”也较为宽泛，故在“告知-同意”要求方面，PDPA的要求较GDPR更为宽松：

1、“视为同意”情形

　　根据PDPA，构成“视为同意”的情形主要如下：

• 个人自愿、主动提供：个人自愿为特定目的向组织提供个人数据，且个人自愿提供该信息是合理的，该情况构成“视为同意”。（PDPA第15(1)条）
• 个人同意（包括视为同意）组织为特定目的向另一组织披露其个人数据，也视为其同意另一组织为该特定目的收集、使用或披露个人数据。（PDPA第15(2)条）；
• 履行合同所必需：为履行个人与组织之间合同的合理需要，组织可以将个人向其提供的个人数据向另一组织提供，另一组织还可以向后续其他组织进一步披露该个人数据（PDPA第15(3)条）；
• 通过“通知”：如果组织充分通知个人收集、使用或披露个人数据的目的，且个人未在合理的时间内告知组织其不同意，则也构成“视为同意”。“通知”应符合以下要求（PDPA第15A条）：

　　根据PDPA第15A(5)条和PDPR第14(2)条进行评估，以识别收集、使用或披露个人数据是否会对个人造成不利影响，并采取相应缓释措施；

　　采取合理措施向个人通知该组织拟收集、使用或披露个人数据以及目的；

　　告知个人如何在合理时间内通知该组织其拒绝组织收集、使用或披露个人数据。

　　须注意的是，对于发送营销信息，组织不能通过“通知”方式取得同意。

2、豁免“同意”义务

　　除允许为组织合法利益、个人切身利益（如为生命、健康或安全的紧急情况）、影响公共利益、满足一定条件下的商业资产交易目的等情形豁免组织取得个人的同意的义务，PDPA允许为商业改进目的收集个人数据，包括（1）为改善、提高或开发商品或服务；（2）改善、提高或开发组织的运营方式或流程；（3）学习和了解该个人主体或其他个人对组织的商品或行为偏好；（4）确定组织提供的商品或服务是否合适该个人主体或其他个人，或为该个人主体或其他个人提供定制化商品或服务（PDPA附录1第5部分）。须注意，组织不得以商业改进为由主张使用个人数据发送营销信息。

3、明确同意、口头同意及告知义务

　　如个人数据处理活动未能构成“视为同意”、“豁免同意义务”或其他依法收集个人数据的情形，组织应取得个人同意，包括书面等可记录的同意或口头同意。但为便于日后争议举证，PDPC在其公布的指南中建议企业在取得口头后，再以电子等其他书面方式（如补发邮件）与个人确认，或在特定情况下补充已取得个人口头同意的书面证明作为证据。须注意，对于营销活动，新加坡要求取得个人明确同意。

未完待续,请点击[下一页]继续阅读

第一页 下一页