转载：出海指南 | 新加坡数据合规

　　对于明确同意或口头同意，组织应在取得个人关于收集、使用和对外披露个人数据的同意前向个人告知下述内容（PDPA第20条）：

• 当前或之前个人数据收集、使用和对外披露的目的；
• 之前未告知的个人数据收集、使用和对外披露其他目的；
• 应个人要求，向个人告知说明个人数据收集、使用和对外披露的联系人。

　　在“告知-同意要求”方面，新加坡已有不少执法案例，主要集中在未经同意开展营销、出售营销线索、未经用户同意公开披露个人数据等方面，故建议企业在利用自身个人数据或自第三方获取个人数据开展营销、向第三方披露或公开披露个人数据时，应特别留意拟开展个人数据处理活动是否满足“告知-同意”要求。

(二) 数据本地化与跨境

1、数据传输限制义务要求

　　PDPA未规定数据本地化存储要求，但PDPA第26条规定了数据跨境传输方面的限制，除非根据PDPA相关要求确保接收方对传输的个人数据提供至少与PDPA同等的保护，不得将任何个人数据传输到新加坡以外的国家或地区。

　　须注意的是，上述义务仅适用于“数据传输方”。对于数据接收方，新加坡则通过要求数据传输方确保数据接收方提供“同等保护”，通过数据传输方向数据接收方传导PDPA规定的数据保护义务。根据PDPR第10-12条，新加坡子公司可以通过以下方式履行该义务：

• 接收方受到与PDPA“同等保护水平”的法律管辖（PDPR第11(1)(a)条）；

• 与接收方签订数据处理协议。该数据处理协议应约定接收方履行与PDPA同等的保护义务（PDPR第11(1)(b)条）；

• 集团内签订具有约束力的公司规则（Binding Corporate Rules，“BCRs”），要求集团内数据接收方提供不低于新加坡法的数据保护水平（PDPR第11(1)(c)条）；

• 取得个人关于数据跨境的同意或视为同意（PDPR第10(2)(a)条、第10(2)(b)条）；

• 基于个人合法利益（为个人生命健康所必需）或国家利益所需，且传输方已采取合理措施避免该等个人数据被接收方用于其他目的（PDPR第10(2)(c)条）；

• 接收方取得特定的数据保护认证。当接收方为数据中介方（Data Intermediary）[2]时，接收方应取得APEC Privacy Recognition for Processors System（APEC PRP）或APEC Cross Border Privacy Rules System（APEC CBPR）认证；当接收方为数据中介外的其他组织（如数据控制者）时，该接收方应取得 APEC CBPR认证（PDPR第12条）。对此，数据出传输方可以登录APEC网站（www.cbprs.org）查询数据接收方是否已通过认证。

　　从实践及PDPA Guidelines建议看，对于持续或集团内部传输场景，企业通常采用与接收方签订数据处理协议、BCRs的方式进行跨境传输。如传输方通过与接收方签订数据处理协议履行数据跨境传输义务，除要求接收方提供与PDPA相当水平的保护外，还须注意：

• 协议内容：1）数据传输目的地国/地区；2）如接收方为数据中介（数据处理者）时，该合同还应包括：安全措施、留存期限限制、数据泄漏通知相关内容；以及3）如接收方为数据中介外的其他主体（数据控制者）时，该协议还应包括：收集、使用和披露的目的、数据准确性要求、安全措施、留存期限限制、数据保护政策、访问权、更正权以及数据泄露通知相关内容（PDPR第11(2)(b)条及PDPA Guidelines）。
• 协议生效条件：该等协议经双方缔约即生效，无需再经新加坡政府审批或备案。新加坡主管部门也尚未像中国这样预先制定数据出境标准合同，因此数据传输方和接收方可自行起草该等数据处理协议。但新加坡作为东盟成员，PDPC明确承认《东盟跨境数据流动示范合同条款》（ASEAN MCCs）可满足协议要求。因此出海企业在起草数据处理协议时可参考ASEAN MCCs。

　　如传输方通过签订BCRs履行上述义务，除要求接收方提供与PDPA相当水平的保护外，须注意下述事项：

• 适用范围限制：接收方与传输方须存在关联关系，包括传输方与接受方之间存在控制关系或为同一主体所控制（PDPR第11(3)(a)条及PDPA Guidelines）。因此，BCRs更适合用于集团内数据传输情况；

• BCRs内容应包含：1）适用BCRs的接收方；2）适用BCRs的数据传输接收国；以及3）数据保护权利及义务（PDPR第11(3)(b)条）。

　　如传输方未能与接收方签订数据处理协议或BCRs，PDPC在PDPA Guidelines中建议，企业可通过取得用户的同意或视为同意的方式履行数据跨境传输的义务。其中，“视为同意”情形包括：1）跨境传输为履行合同所必需：如基于该事由跨境传输数据，接收方可基于履行合同所必需向第三方再传输数据；2）用户主动提供个人数据或虽未主动提供但允许个人数据被收集使用。无论是取得同意或“视为同意”情形，传输方均须履行以下义务：

• 告知义务：在请求个人同意前，传输方应向数据主体提供书面概要说明，告知其数据接收国对数据的保护措施，以及该保护水平不低于PDPA（PDPR第10(3)(a)条）；

• 手段正当性：传输方不得以任何欺骗性或诱导性方式获得该同意（PDPR第10(3)(c)条）；

• 禁止捆绑同意：除非跨境传输为提供服务/产品合理所必需，传输方不得以该同意作为提供服务/产品的前提（PDPR第10(3)(b)条）。

2、典型案例简介

　　尽管新加坡已有较为明晰的数据跨境规定，但在实操中仍存在不少模糊之处。例如，新加坡主体在使用中国境内母公司统一采购的境外供应商系统时，涉及向境外供应商跨境传输个人数据，中国境内母公司与境外供应商签订的采购协议中已约定数据跨境传输条款，能否视为新加坡主体已通过签订数据处理协议的方式履行数据跨境传输义务？PDPC在去年做出的“某澳大利亚物流公司新加坡主体违反跨境传输限制义务案”处罚决定中对该问题作出了回答：

(1) 事实概要

　　2013年7月，为集团员工统一管理的需要，某澳大利亚物流公司（以下简称“T母公司”）采购爱尔兰的一家HR系统，包括其新加坡主体（以下简称“T新加坡主体”）在内的全球各地子公司均将其员工个人数据上传至该系统内。该系统数据存储在欧盟境内。2020年11月，因T母公司向PDPC报告集团IT系统（含新加坡服务器）数据泄露的情况，PDPC随即针对T新加坡主体PDPA义务履行情况开展调查。

未完待续,请点击[下一页]继续阅读

上一页 下一页