个人数据保护(修订)条例草案2020( 账单)今天发表了公众咨询。

条例草案中提出的重点修正案包括:

  1. 增加了违反个人数据保护法的财务处罚(该法案)在新加坡或100万新加坡年度营业额的10%,以较高者为准。
  2. 强制性数据违反新加坡个人数据保护委员会(委员会)和受影响个人的通知。
  • 通知委员会的时间表已在组织评估违约时从一天的三个日历日内调整到三个日历日内(这是72小时)。
  • 将有规定规定个人数据类别,如果在数据泄露中妥协,将被认为可能对受影响的个人造成重大危害。
  • 通知受影响的个人的例外是:(a)已采取补救措施;或(b)个人数据受技术保护措施(例如,加密),使得违规可能对受影响的人产生重大危害。
  • 另请参阅我们之前的客户警报 这里.
  1. 被视为同意将扩大到包括:

a)合同必要性,即,数据处理合理履行合同;和

b)如果有个人通知数据处理的目的,并且有机会选择退出。

  1. 同意的新例外:

a)合法利益:该例外适用于本组织的合法利益和公众(或其任何部分)的利益一起超过对个人的任何不利影响。这可以包括以检测或防止非法活动(例如,欺诈或洗钱)或对身体安全和安全的威胁来处理数据的地方,确保IT和网络安全,或防止滥用服务。组织必须进行风险和影响评估,并披露任何对合法利益的依赖。异常不能用于向个人发送直接营销信息。

b)业务改进:此异常适用于需要的情况:(i)开展运营效率和服务改进; (ii)制定或增强产品/服务;或(iii)了解有关组织客户的更多信息。个人数据的使用必须是合理的人在这种情况下考虑适当的人,并且数据不得用于做出可能对任何个人产生不利影响的决定。此例外也适用于一组公司,包括组织内的子公司。

c)修订后的研究例外:本例外适用于,除其他内容之外,还有:(i)研究的使用或研究结果不得对个人产生不利影响; (ii)结果不得以征求任何个人的形式公布。在未经同意的情况下,还将宽松地宽松地利用个人数据进行研究目的;例如,例外可以适用于执行科研和发展或艺术和社会科学研究的机构,或旨在了解潜在客户群体的市场研究。但是,用于研究目的的披露将继续受到与不切实际和公共利益有关的更严格的限制。

  1. 个人的新数据可移植性权限​​,使其有权向其他服务提供商发送数据。

组织的可移植性义务仅适用于:

a)用户提供的数据和数据在电子形式中保持的用户活动,包括业务联系信息。该数据可能包括第三方个人数据,其中请求在请求个人的个人或国内能力中进行;

b)请求个人与本组织有现有的直接关系;和

c)接收在新加坡存在的组织。但是,随后可以扩展到具有可比保护和互惠安排的令人瞩目的司法管辖区。

委员会将与行业和部门监管机构合作,建立和规定规定的进一步要求,包括:

(i)可移植性适用的数据类别的“白名单”

(ii)技术和过程详细信息,以确保正确的数据安全地传输到正确的接收组织,并以可用的格式传输。

(iii)任何相关数据移植申请模型。消费者可以将数据移植请求直接用于移植组织('推送模型')或通过接收组织('Pull Models')。组织之间的数据移植也可以在两个组织或通过中间人之间进行。

(iv)对个人的保障,针对与白名单下的数据集相关的风险量身定制。这可以包括某些数据集的冷却期,以便为消费者提供时间来改变主意并撤销移植请求,以及建立移植组织的组织的黑名单可以合理地拒绝移植数据。

将提供数据便携性义务的例外,类似于访问义务的义务。

由其他个人数据的业务过程中由组织派生的个人数据(“派生个人Data4”)不会被可移植性义务涵盖。

必须向个人通知移植请求的拒绝以及拒绝的原因,以及合理的时间。委员会将有权审查这些拒绝和搬迁数据的任何费用。

  1. 加强对未经请求的电话营销和垃圾邮件的保护。
  • 垃圾邮件控制法将覆盖批量发送商业短信到即时消息帐户。
  • “请勿调用”(DNC)规定将禁止将特定消息发送到通过使用字典攻击和地址收集软件获得的电话号码。
  • 第三方检查人员将被要求为代表组织沟通准确的DNC寄存器结果,其中他们正在检查DNC寄存器,并且检查员对由他们提供的任何错误信息产生的DNC侵权负责。
  • DNC规定将在与该法案中的其他数据保护义务相同的行政制度下强制执行,而不是被执行为刑事罪行。
  1. 在账单中表示提到“问责制”,表明组织将有望展示合规性。
  2. 代表公共机构的组织将受到账单的约束。目前,他们豁免了。
  3. 将有新的违法行为持有代表组织或公共机构的个人数据令人责任的个人数据,即:

a)任何未经授权的个人数据披露,以故意或鲁莽地进行;

b)任何未经授权使用的个人数据,这些数据是故意或鲁莽地进行的,并导致任何人的错误收益或不法损失;和

c)任何未经授权的重新识别明知或鲁莽地进行的匿名数据。

这不包括2018年公共部门(治理)法案的公职人员。

  1. 未通过以下人员犯下的罪行:(i)遵守委员会或委员会检查员之前的命令,(ii)就任何调查提供了一份声明;或(iii)在书面通知中制作任何文件。
  2. 数据违约管理计划的实施可能是法定承诺的主题,当加上强制违约通知时,委员会可以在任何执法行动中使用。
  3. 委员会将有权(i)批准调解计划; (ii)直接申诉人通过调解解决数据保护争端,无需确保双方同意。
  4. 在拒绝请求后至少30个日历日之前,将需要在访问或移植请求下保留所要求的个人资料,或者在个人已耗尽委员会的权利,以便向数据申请申请委员会的权利保护上诉委员会,高等法院或上诉法院,以较晚者为准。
  5. 除了员工,客户,董事,官员和股东之外,该法案中的业务资产交易异常的范围将扩展到本组织的员工,客户,董事,官员和股东之外的独立承包商(例如,抓取司机)。

这些变化是通过修改新加坡现有的数据保护法的必要性,以确保它与不断发展的技术和商业景观保持同步,同时提供有效保护数字经济中的个人数据。

咨询在2020年5月28日在下午5点(新加坡时期)关闭。