在中国企业全球化扩张的背景下,新加坡以其相对稳定的政治环境、经济体系和重要的战略地理位置,成为当下中国企业国际化战略的重要目的地。
新加坡高度重视数据安全与隐私保护,在数据保护方面的立法主要围绕《个人数据保护法(2012)》(Personal Data Protection Act 2012, “PDPA”)开展。本文将主要探讨PDPA的重点概念,并将其与中国的《中华人民共和国个人信息保护法》(“PIPL”)进行简要对比,旨在帮助出海新加坡的中国企业了解其在PIPL框架下已采取的合规措施与PDPA要求之间存在的潜在差距,高效确定其针对新加坡市场需考虑采取的进一步合规策略,亦为想要了解PIPL的境外执业律师提供思路。希望本文能对各位有所启发,如有不足之处,也请联系我们不吝赐教。
新加坡PDPA和中国PIPL在数据保护方面都发挥着重要作用,由于各自的法律体系和实际情况不同,数据治理侧重与方式存在一定的差异。在实际应用中,需要根据具体情况遵守相应的法律法规,以确保个人数据的合法收集、使用和披露。以下将以表格形式简要对比新加坡PDPA以及中国PIPL的主要概念/权利/义务,并列出其相似程度,供各位读者参考:
“√”代表该概念/权利/义务有相关明确定义或要求;
“-”代表存在该概念/权利/义务,但相关法律未明确定义或尚无明确要求;
“×”代表没有该概念/权利/义务;
“高”代表两部法律中的定义或要求高度相似;
“中”代表两部法律中的定义或要求存在一定差异,但仍有相似之处;
“低”代表两部法律中的定义或要求差异较大,或一部有而另一部无。
No. | 概念/权利/义务 | PDPA | PIPL | 相似 程度 |
1. | 个人数据 | √ | √ | 高 |
2. | 敏感个人数据 | - | √ | 中 |
3. | 组织 | √ | √ | 高 |
4. | 处理 | √ | √ | 高 |
5. | 数据中介 | √ | √ | 高 |
6. | 个人权利 | √ | √ | 中 |
7. | 同意 | √ | √ | 中 |
8. | 推定同意 | √ | × | 低 |
9. | 个人数据跨境传输 | √ | √ | 低 |
10. | 个人数据本地化存储 | × | √ | 低 |
11. | 开展个人数据保护影响评估 | √ | √ | 中 |
12. | 任命数据保护官 | √ | - | 中 |
13. | 个人数据存储期限 | √ | √ | 高 |
14. | 个人数据保护义务 | √ | √ | 高 |
15. | 个人数据泄露 | √ | √ | 中 |
16. | 自动化决策 | × | √ | 低 |
17. | 个人诉权 | √ | √ | 中 |
18. | 主管机关的职责 | √ | √ | 中 |
19. | 法律责任 | √ | √ | 中 |
一、数据保护法律体系概览
(一)主要法律
PDPA是新加坡国会于2012年颁布的一部专门的数据保护法律,其中对个人数据保护义务的规定主要在PDPA的第3部分至第6A部分,旨在规范个人数据的收集、使用和披露行为。2020年,新加坡国会还通过了《个人数据保护法(修正案)(2020)》(Personal Data Protection (Amendment) Act 2020),对PDPA进行了修订。
(二)主管机关
新加坡通信及信息部之下的信息通信媒体发展局被指定为个人数据保护委员会(Personal Data Protection Commission, “PDPC”),负责管理和执行PDPA。
(三)附属条例
经新加坡通信及信息部批准,PDPC有权制定和实施PDPA的附属条例。此类条例主要包括但不限于:
《个人数据保护条例(2021)》(Personal Data Protection Regulations 2021)
《个人数据保护(犯罪行为构成)条例(2021)》(Personal Data Protection (Composition of Offences) Regulations 2021)
《个人数据保护(执法)活动条例(2021)》(Personal Data Protection (Enforcement) Regulations 2021)
《个人数据保护(上诉)条例(2021)》(Personal Data Protection (Appeal) Regulations 2021)
《个人数据保护(数据泄露通知)条例(2021)》(Personal Data Protection (Notification of Data Breaches) Regulations 2021)
(四)咨询指南
PDPC有权发布咨询指南以解释PDPA。需要注意的是,咨询指南仅有指导和参考作用,并不具备法律效力。这有点类似于国内全国信息安全标准化技术委员会(“TC260”)发布的推荐性国家标准。此类咨询指南主要包括但不限于:
《PDPA特定主题咨询指南(2024)》(Advisory Guidelines on the Personal Data Protection Act for Selected Topics (2024))
《人工智能推荐和决策系统中使用个人数据咨询指南(2024)》(Advisory Guidelines on Use of Personal Data in AI Recommendation and Decision Systems (2024))
《PDPA关键概念咨询指南(2022)》(Advisory Guidelines on Key Concepts in the Personal Data Protection Act (2022))
《执行数据保护条款咨询指南(2022)》(Advisory Guidelines on Enforcement of Data Protection Provisions (2022))
(五)其他对数据保护有影响的法律
PDPA对个人数据保护的规定不会改变任何其他法律权利或义务。在法律适用上,若存在冲突,其他成文法的规定将优先适用。该等成文法包括但不限于特定行业中的数据保护法律,如《银行法(1970)》(Banking Act 1970)和《电信法(1999)》(Telecommunications Act 1999)。其他涉及数据保护的法律还包括《网络安全法(2018)》(Cybersecurity Act 2018),《计算机滥用法(1993)》(Computer Misuse Act 1993)和《垃圾邮件控制法(2007)》(Spam Control Act 2007)等。
二、PDPA与PIPL重点概念对比
(一)个人数据
根据PDPA,个人数据指能从该数据本身或结合其他可访问的信息识别出特定个人的任何数据,但一般不包括业务联系信息。该定义以识别性为导向,与PIPL的关联性导向有差异。
PDPA | PIPL |
第2(1)条 个人数据指能从该数据本身或结合其他可访问的信息识别出特定个人的任何数据,不论其真实性。个人指任何在世或已故的自然人。 | 第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 |
第4(1)条 第3、4、5、6、6A和6B部分并不适用于:(a)因个人或家庭事务行事的任何个人;(b)在受雇于组织期间履行职务的员工;(c)任何公共机构;或(d)根据本条所规定的任何其他组织或个人数据,或其他类别的组织或个人数据。 | 第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。 法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。 |
第4(5)条 除非被明确提及,否则第3、4、5、6和6A部分不适用于业务联系信息。 | |
第4(4)条 本法不适用于: (a)记录中包含的已存在至少100年的个人数据;或(b)已故个人的个人数据,但与披露个人数据相关的条款和第24条(个人数据保护)会适用于离世10年或更短时间内个人的个人数据。 | 第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。 |
(二)敏感个人数据
PDPA并未对敏感个人数据作出定义。但《个人数据保护(数据泄露通知)条例(2021)》规定了一旦被泄露则视为对个人造成重大伤害的数据字段,该等数据字段的敏感程度可以理解为高于一般的个人数据。
PDPA | PIPL |
没有相关定义。 | 第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 |
《个人数据保护(数据泄露通知)条例(2021)》 | |
第3条 (1)就PDPA第26B(2)条而言,如果数据泄露涉及以下内容,则视为对个人造成重大伤害:(a)在遵守本条例附表第2部分的规定的前提下,该个人的全名、别名或身份号码,以及本条例附表第1部分所列的与该个人有关的任何个人数据或个人数据类别;或(b)与该个人在组织中的账户有关的所有以下个人数据:(i)个人的账户标识符,例如账户名称或账号;(ii)任何用于或要求访问或使用个人账户的密码、安全码、访问码、安全问题的答案、生物识别数据或其他数据。 (2)第(1)款第(b)项中的“账户标识符”包括个人在银行或金融公司等组织开设的任何账户所分配的号码。 |
(三)组织
PDPA之下的组织的定义广泛,包括任何非公共机构的个人、公司、协会或团体。
PDPA | PIPL |
第2(1)条 “组织”包括任何个人、公司、协会或团体,不论是法人或非法人组织,不论是否:(a)根据新加坡法律成立或被新加坡法律认可;或(b)在新加坡居住,或在新加坡设有办公室或营业场所。 | 第七十三条 本法下列用语的含义: (一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。 |
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:(一)以向境内自然人提供产品或者服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形。 |
(四)处理
PDPA | PIPL |
第2(1)条 就个人数据的处理而言,是指对个人数据进行的任何操作或一系列操作,包括以下任何操作:(a) 记录;(b) 持有;(c) 组织、改编或修改;(d) 检索;(e) 组合;(f) 传输;(g) 删除或销毁。 | 第四条 个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。 |
(五)数据中介
PDPA | PIPL |
第2(1)条 “数据中介”指的是代表一组织处理个人数据的另一组织,但不包括另一组织的员工。 | 第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。 受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。 未经个人信息处理者同意,受托人不得转委托他人处理个人信息。 |
第4(2)条 第3、4、5、6部分(除第24条和第25条外)、第6A部分(除第26C(3)(a)条和第26E条外)和第6B部分,并未规定数据中介在根据以书面形式证明或订立的合同代表另一组织并为另一组织之目的处理个人数据时应承担的义务。 |
(六)个人权利
在PDPA之下,个人享有知情权、限制或拒绝处理权、访问权和更正权。
PDPA并未明确个人是否享有删除权,但组织应在个人数据不再服务于原收集目的,且继续保留不再出于法律或商业目的所必需时,停止保留该数据[1]或移除可使个人数据与特定个人相关联的方法[2]。
《个人数据保护法(修正案)(2020)》对数据可携带权作出了规定,但是相关的规定尚未生效。
PDPA | PIPL |
第16(4)条 在遵守第25条的规定的前提下,如果个人撤回对组织出于任何目的收集、使用或披露个人数据的同意,组织应停止(并使其数据中介和代理人停止)收集、使用或披露个人数据(视情况而定),除非该等不需要取得个人同意的收集、使用或披露(视情况而定)是本法或其他成文法所要求或授权的。 第20(1)条 就第14(1)(a)条及第18(b)条而言,组织应通知个人以下事项:(a)在收集个人数据时或之前,收集、使用或披露个人数据(视情况而定)的目的;(b)在使用或披露个人数据之前,如果存在根据第(a)项未告知的其他目的,该等其他目的;及(c)应个人要求,能够代表组织回答个人关于收集、使用或披露个人数据问题的人的业务联系信息。 | 第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。 第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项: (一)个人信息处理者的名称或者姓名和联系方式; (二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限; (三)个人行使本法规定权利的方式和程序; (四)法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的,应当将变更部分告知个人。 个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。 第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。 |
第21(1)条 在遵守第(2)、(3)及(4)款规定的前提下,应个人要求,组织应在合理可行的情况下尽快向该个人提供:(a)由组织持有或控制的有关该个人的个人数据;以及(b)关于第(a)项所述的个人数据在要求提出之日前一年内被或可能被组织使用或披露的方式的信息。 | 第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。 个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。 |
第22条 (1)个人可要求组织更正其持有或控制的关于该个人的个人数据中的错误或遗漏之处。 (2)除非组织有合理理由确信不应更正,否则组织应:(a)在切实可行的范围下尽快更正个人数据;及(b)在遵守第(3)款的规定的前提下,在作出更正之日起一年内,将更正后的个人数据送交所有由该组织披露过该个人数据的其他组织,除非其他组织并不需要将该更正后的个人数据用于任何法律或商业用途。 | 第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。 个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。 |
第25条 任何组织应停止保留其包含个人数据的文件,或移除可使个人数据与特定个人相关联的方法,只要其合理假设出现下列情况: (a)保留该个人数据不再符合收集该个人数据的目的;及(b)保留该个人数据不再出于法律或商业目的所必需。 | 第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。 |
第22A条 (1)如果:(a)个人在2021年2月1日或之后,根据第21(1)(a)条向组织提出请求,要求组织提供所持有或控制的与其有关的个人数据;及(b)组织拒绝提供该等个人数据,组织应将该等个人数据的副本保存不少于所规定的期限。 (2)组织应确保其为第(1)款的目的而保留的个人数据副本是前述相关个人数据的完整及准确副本。 | 第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。 第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。 第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。 个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。 |
(七)同意和推定同意
组织在收集、使用或披露个人数据之前需取得个人的同意或推定同意,除非法律另有规定。
组织不得以提供产品或服务为条件,要求个人同意组织超出该产品或服务所需的合理范围来收集、使用或披露其个人数据;组织不得通过提供虚假或误导信息或使用欺骗性或误导性做法来取得同意。
个人有权随时撤回同意。组织应告知个人撤回同意后可能面临的后果,并在同意被撤回后停止收集、使用或披露个人数据,除非法律另有规定。
组织有权出于保护个人重大利益、影响公众事务、保护组织或他人的重要利益、参与商业资产交易、商业改进等目的,在满足了相关条件后收集、使用和披露个人数据。
PDPA | PIPL |
第13条 在2014年7月2日或之后,组织不得收集、使用或披露有关个人的个人数据,除非:(a)个人根据本法对收集、使用或披露(视情况而定)给予了同意或推定同意;或(b)未经个人同意的收集、使用或披露(视情况而定)是本法或任何其他成文法所要求或授权的。 | 第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。 依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。 |
第17条 PDPA允许组织在未取得同意的特定情况下,即根据PDPA的附表1或附表2的相关内容,收集、使用或披露个人数据,包括出于保护个人重大利益、影响公众事务、保护组织或他人的重要利益、参与商业资产交易、商业改进、公共利益和研究等目的,并须满足相关的条件。 (注:此处为概括总结,具体细节请参阅条款原文。) | |
第14条 (1)个人未根据本法对某一组织为某一目的收集、使用或披露其个人数据给予同意,除非:(a)个人已被提供了第20条所规定的信息; 及(b)个人已根据本法就前述目的给予了同意。 (2)任何组织不得:(a)以提供产品或服务为条件,要求个人同意组织超出提供该产品或服务所需的合理范围来收集、使用或披露其个人数据;或(b)通过提供有关收集、使用或披露个人数据的虚假或误导性信息,或使用欺骗性或误导性做法,获取或试图获取收集、使用或披露个人数据的同意。 (3)就本法而言,在第(2)款所述的任何情况下给予的任何同意均无效。 (4)本法中所提及的个人就其个人数据的收集、使用或披露所给予的同意或推定同意,包括有效代表该个人行事的任何人就该个人数据的收集、使用或披露所给予的同意或推定同意。 | 第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。 |
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。 | |
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。 | |
第15(1)条 在下列情况下,个人被推定同意了组织为某一目的收集、使用或披露其个人数据:(a)个人在未实际给予第14条规定之下的同意的情况下,自愿将个人数据提供给组织用于前述目的;及(b)个人自愿提供该等数据是合理的。 | 没有相关规定。 |
第15A(2)条 除第(3)款另有规定外,若满足以下条件,个人被推定同意了组织收集、使用或披露其个人数据:(a)组织满足了第(4)款规定的要求;及(b)在第(4)款第(b)项第(iii)目所述期限届满前,个人未通知组织其不同意组织拟收集、使用或披露其个人数据的行为。 | |
第16条 (1)在向组织发出合理通知后,个人可随时撤回对组织为任何目的收集、使用或披露其个人数据的任何同意或PDPA之下的推定同意。 (2)相关组织在收到第(1)款所述的通知后,应告知该个人其撤回同意后可能面临的后果。 (3)组织不得禁止个人撤回其对收集、使用或披露有关个人数据的同意,但本条并不影响该等撤回所产生的任何法律后果。 | 第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。 个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 |
至此,我们已经概述了新加坡数据保护法律体系,展示了PDPA以及PIPL的主要概念/权利/义务的相似程度,以及对比了二者与“个人数据”、“敏感个人数据”、“组织”、“处理”、“数据中介”、“个人权利”、“同意和推定同意”相关的内容。在接下来的《出海新加坡:数据合规要点(下篇)》中,我们将继续分析对比PDPA以及PIPL之下与“个人数据跨境传输”、“个人数据本地化存储”、“开展个人数据保护影响评估”、“任命数据保护官”、“个人数据存储期限”、“个人数据保护义务”、“个人数据泄露”、“自动化决策”、“个人诉权”、“主管机关的职责”和“法律责任”相关的内容,以及分享PDPC近期的执法案例。详情请关注我们的下篇内容。
注释:
[1] 编者按:相当于删除
[2] 编者按:相当于去标识化
