法制日?qǐng)?bào)赴新加坡特派記者　李亞洲君

   　近日,新加坡新修訂的個(gè)人資料保護(hù)條例在引入問責(zé)制后正式生效。條例規(guī)定,違例機(jī)構(gòu)最高將被處以罰款100萬新元(折合約516萬元人民幣)。自2012年以來,新加坡政府在個(gè)人資料保護(hù)方面,不斷創(chuàng)新和完善監(jiān)管機(jī)制,已經(jīng)走在亞洲國家的前列。
新條例生效
　　根據(jù)新加坡個(gè)人資料保護(hù)委員會(huì)(簡稱PDPC)8月發(fā)布的聲明,鑒于新修訂的個(gè)人資料保護(hù)條例從9月1日起正式生效,該委員會(huì)提醒商家和從業(yè)者在新條例生效后不能再任意收集、使用和公開個(gè)人身份證號(hào)碼或扣押顧客身份證,規(guī)定只有在法律規(guī)定或有必要證明身份時(shí),才能向公眾索取身份證號(hào)碼。新修訂的個(gè)人資料保護(hù)條例生效后,違例機(jī)構(gòu)將視情節(jié)處以罰款,最高100萬新元。
　　據(jù)了解,新條例規(guī)定的個(gè)人資料是指可以識(shí)別特定個(gè)人的任何信息,包括姓名、身份證號(hào)碼、指紋、護(hù)照、工作證、出生證、個(gè)人手機(jī)號(hào)碼以及外籍身份證等。根據(jù)新規(guī)定,公司必須在獲得消費(fèi)者允許后,才能收集和使用消費(fèi)者的個(gè)人信息,公司也需向消費(fèi)者解釋他們收集和披露消費(fèi)者個(gè)人信息的原因。
　　據(jù)此前報(bào)道,2013年新加坡《個(gè)人資料保護(hù)條例》正式生效,主要涵蓋兩個(gè)范圍:一是保護(hù)個(gè)人資料不被濫用；二是杜絕行銷來電和信息。
　　自《個(gè)人資料保護(hù)條例》實(shí)施以來,新加坡個(gè)人資料保護(hù)委員會(huì)一直致力于建立一套標(biāo)準(zhǔn)和規(guī)則,負(fù)責(zé)對(duì)公司有關(guān)經(jīng)營管理活動(dòng)的合規(guī)性進(jìn)行監(jiān)督。2019年新加坡修訂的新條例把這種監(jiān)督機(jī)制從合規(guī)性監(jiān)督轉(zhuǎn)變?yōu)閱栘?zé)制監(jiān)督。
案件倒逼改革
　　新加坡歷史上最嚴(yán)重的個(gè)人數(shù)據(jù)泄露案是促使新加坡個(gè)人保護(hù)條例引入問責(zé)制的動(dòng)因之一。
　　據(jù)報(bào)道,2018年7月,新加坡健康服務(wù)公司(SingHealth)的患者數(shù)據(jù)庫遭到網(wǎng)絡(luò)攻擊,導(dǎo)致150萬名患者的個(gè)人信息被泄露,16萬名患者的門診病歷遭入侵,其中包括新加坡總理李顯龍等多名政要。
　　根據(jù)新加坡個(gè)人資料保護(hù)委員會(huì)發(fā)布的通報(bào),該事件是新加坡歷史上最嚴(yán)重的個(gè)人數(shù)據(jù)泄露事件,其間接到了大量的公眾投訴。此次網(wǎng)絡(luò)攻擊始于2017年8月一次對(duì)個(gè)人工作站的侵入,此后攻擊者利用病毒軟件獲得了其他工作站的遠(yuǎn)程控制權(quán)限,并于2018年6月27日至7月4日設(shè)法盜取了150萬名患者信息包括診斷報(bào)告、藥物記錄等。這些都是高度敏感的個(gè)人數(shù)據(jù),一旦被外人所知,將對(duì)當(dāng)事人產(chǎn)生不小的影響。
　　事件發(fā)生后,新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)于2019年1月宣布,認(rèn)定新加坡健康服務(wù)公司和技術(shù)供應(yīng)商(IHis)負(fù)有主要責(zé)任,兩家公司被罰款100萬新元。其中技術(shù)供應(yīng)商因未采取足夠的安全措施保障病患個(gè)人資料被罰款75萬新元,新保集團(tuán)則是因負(fù)責(zé)處理安全事故的人員對(duì)事故應(yīng)對(duì)程序不熟悉,且過度依賴技術(shù)供應(yīng)商,被罰款25萬新元。該委員會(huì)勒令兩家公司在30天內(nèi)繳納罰款。
　　針對(duì)該案的處罰結(jié)果,新加坡數(shù)據(jù)保護(hù)資訊委員會(huì)執(zhí)行主席認(rèn)為,在收集掌握大量個(gè)人信息后,數(shù)據(jù)控制者需要承擔(dān)法律責(zé)任,涉及到個(gè)人數(shù)據(jù)轉(zhuǎn)移時(shí),必須保證數(shù)據(jù)接收方有同等的保護(hù)水平。
創(chuàng)新完善機(jī)制
　　除了引入問責(zé)制,新加坡政府通過加強(qiáng)培訓(xùn)、手機(jī)應(yīng)用服務(wù)等方式,創(chuàng)新完善監(jiān)督機(jī)制。
　　新加坡個(gè)人資料保護(hù)委員會(huì)的代表稱,數(shù)據(jù)是數(shù)字化轉(zhuǎn)型的關(guān)鍵推動(dòng)因素,但必須在數(shù)據(jù)保護(hù)和業(yè)務(wù)創(chuàng)新之間取得平衡。我們正采取堅(jiān)定步驟,將新加坡定位為全球數(shù)字經(jīng)濟(jì)中值得信賴的數(shù)據(jù)中心。
　　為加強(qiáng)保護(hù)消費(fèi)者信息,新加坡個(gè)人資料保護(hù)委員會(huì)于去年8月宣布了這項(xiàng)新條例,并給商家和從業(yè)者留出一年時(shí)間改善運(yùn)作模式以符合新條例要求。新條例允許商家和從業(yè)者在一些商業(yè)場景中可以繼續(xù)收集消費(fèi)者個(gè)人信息。但同時(shí)規(guī)定,商家和從業(yè)者在收集消費(fèi)者身份證或副本等證件時(shí),必須向個(gè)人或政府個(gè)人資料保護(hù)委員會(huì)解釋其必要性。
　　新加坡個(gè)人資料保護(hù)委員會(huì)鼓勵(lì)商家和從業(yè)者按其商業(yè)模式和營運(yùn)需求,選擇采用其他方式來識(shí)別消費(fèi)者,比如采用電子政府密碼應(yīng)用服務(wù),以避免過度收集消費(fèi)者的其他個(gè)人資料。為此,新加坡個(gè)人資料保護(hù)委員會(huì)率先推出了首個(gè)數(shù)據(jù)保護(hù)專員技能框架,旨在培訓(xùn)有關(guān)人員兼具數(shù)據(jù)保護(hù)與數(shù)據(jù)創(chuàng)新兩種技能,便于商家和從業(yè)者穩(wěn)妥收集與使用數(shù)據(jù),利用新興科技推動(dòng)創(chuàng)新。