《 2020年个人资料保护(修订)条例草案》( 法案)已于今天发布,以供公众咨询。

条例草案提出的主要修订包括:

  1. 违反《个人数据保护法》的行为将被处以最高高达新加坡年度总营业额的10%或100万新元的罚款,以较高者为准。
  2. 向新加坡个人数据保护委员会(简称“委员会”)和受影响的个人发出强制性数据泄露通知。
  • 通知委员会的时间表已在组织评估应报告的违规行为之日起的三个日历日内进行了调整(以前是72个小时)。
  • 将有法规规定个人数据的类别,如果这些数据在数据泄露中受到损害,将被认为可能对受影响的个人造成重大伤害。
  • 通知受影响的个人的例外情况是:(a)已采取补救措施的地方; (b)如果个人数据受到技术保护措施(例如加密)的约束,则该泄露事件不太可能对受影响的个人造成重大伤害。
  • 另请参阅我们之前的客户警报 这里.
  1. 视同的同意将扩大到包括:

a)出于合同上的必要性,即为了合理执行合同需要进行数据处理的情况;和

b)已通知个人有关数据处理目的的机会,并有机会选择退出。

  1. 新的同意例外:

a)合法利益:如果组织的合法利益和对公众(或其任何部分)的利益大于对个人的不利影响,则适用此例外。这可能包括为了检测或防止非法活动(例如欺诈或洗钱)或对人身安全和安全的威胁,确保IT和网络安全或防止滥用服务而处理数据的位置。组织必须进行风险和影响评估,并披露对合法利益的任何依赖。该例外不能用于向个人发送直接营销信息。

b)业务改进:该例外适用于需要:(i)进行运营效率和服务改进; (ii)开发或增强产品/服务;或(iii)进一步了解该组织的客户。在合理的情况下,个人数据的使用必须是有理智的人认为适当的,并且不得将其用于可能对任何个人产生不利影响的决定。此例外也适用于一组公司,包括组织内的子公司。

c)修改后的研究例外:除其他事项外,该例外适用:(i)使用个人数据或研究结果不得对个人产生不利影响; (ii)结果不得以识别任何个人的形式发布。未经同意,还将放宽对个人数据用于研究目的的限制;例如,该例外可适用于进行科学研究和开发,艺术和社会科学研究的机构,或旨在了解潜在客户群的市场研究。但是,出于研究目的的披露将继续受到与不切实际和公共利益有关的更严格的限制。

  1. 个人的新数据可移植性权利,使他们有权请求将其数据传输给另一服务提供商。

组织的可移植性义务仅适用于:

a)用户提供的数据以及以电子形式保存的有关用户活动的数据,包括业务联系信息。此数据可能包括第三方的个人数据,其中请求是以请求者的个人或家庭身份提出的;

b)要求与该组织有直接关系的个人;和

c)接收在新加坡存在的组织。但是,数据可移植性随后可以扩展到志趣相投的司法管辖区,从而提供类似的保护和对等安排。

该委员会将与行业和行业监管机构合作,以建立并提出法规中的进一步要求,包括:

(i)适用于可移植性的数据类别的“白名单”

(ii)技术和过程细节,以确保正确的数据以可用格式安全地传输到正确的接收组织。

(iii)任何相关的数据移植请求模型。消费者可以直接向移植组织(“推模型”)或通过接收组织(“拉模型”)提出数据移植请求。组织之间的数据移植也可以在两个组织之间或通过中介进行。

(iv)针对个人的保障措施,针对与白名单下的数据集相关的风险量身定制。这可能包括某些数据集的冷静期,以便消费者有时间改变主意并撤回移植请求,并建立一个组织黑名单,移植组织可能有理由拒绝将数据移植到该组织。

与访问义务类似,将提供数据可移植性义务的例外。

组织在业务过程中从其他个人数据(“派生的个人数据4””)中获取的个人数据将不受携带义务的约束。

必须在合理的时间内将拒绝移植的请求以及拒绝的原因通知个人。委员会将有权审查这些拒绝以及数据移植的任何费用。

  1. 增强了针对未经请求的电话销售和垃圾邮件的保护。
  • 《垃圾邮件控制法》将涵盖将商业文本消息大量发送到即时消息传递帐户的情况。
  • “请勿打扰”(DNC)条款将禁止向通过词典攻击和地址收集软件获得的电话号码发送特定消息。
  • 第三方检查员将需要向代表其检查DNC登记册的组织传达准确的DNC注册结果,并且检查员将对由于他们提供的任何错误信息而导致的DNC侵权负责。
  • DNC的规定将与该法案中的其他数据保护义务在相同的行政制度下执行,而不是作为刑事犯罪执行。
  1. 在法案中明确提及“问责制”,表明将期望组织表现出合规性。
  2. 代表公共机构行事的组织将受到该法案的约束。目前,它们被豁免。
  3. 将以个人名义代表组织或公共机构对个人数据的严重错误处理负责,这将是新的罪行,即:

a)有意或or顾后果地进行未经授权的个人数据披露;

b)故意或不计后果地进行未经授权的个人数据使用,并导致任何人的不正当收益或不正当损失;和

c)有意或or顾后果地进行的任何未经授权的匿名数据重新识别。

这不包括受《 2018年公共部门(治理)法》约束的公职人员。

  1. 任何人不遵守以下规定,即属犯罪:(i)遵守在委员会或委员会检查员面前出庭的命令,(ii)提供有关任何调查的陈述;或(iii)出示书面通知中指明的任何文件。
  2. 数据泄露管理计划的实施可能是一项法定承诺的主题,在与强制性泄露通知一起使用时,委员会可以将其用于任何执法行为中。
  3. 委员会将有权(i)批准调解计划; (ii)指导投诉人通过调解解决数据保护纠纷,而无需征得双方的同意。
  4. 要求组织拒绝访问或移植请求后至少保留30个日历日,或者直到个人用尽权利向委员会申请复议请求或对数据提出上诉之前,组织必须保留这些信息保护上诉委员会,高等法院或上诉法院,以较晚者为准。
  5. 该法案中的商业资产交易例外的范围将扩展到独立承包商(例如,Grab司机)的个人数据,以及该组织的员工,客户,董事,管理人员和股东的个人数据。

这些变化是由于需要修订新加坡现有的数据保护法,以确保其与不断发展的技术和商业环境保持同步,同时在数字经济中提供对个人数据的有效保护。

咨询将于2020年5月28日下午5点(新加坡时间)结束。