根据世界银行发布的《2020年营商环境报告》,新加坡营商环境高居世界第二。新加坡作为全球极具竞争力、开放性的经济体,加之地缘及文化优势,已成为中国企业重点考虑的出海地区。不少中国企业在新加坡设立法律实体,以便在亚洲地区展业。在全球Cách chơi xì dách保护日益严苛背景下,出海至新加坡的企业,特别是互联网企业等处理大量Cách chơi xì dách的企业,需特别关注新加坡Cách chơi xì dách合规法律。
新加坡目前已建立了较为完善的Cách chơi xì dách法律体系,与欧盟GDPR相似,新加坡也设置了较高的处罚标准。例如,自2016年以来,新加坡个人Cách chơi xì dách保护委员会发布了一系列执法决定,其中Singapore Health Services Pte. Ltd.和Integrated Health Information Systems Pte. Ltd. 违反Cách chơi xì dách合规义务,被分别处以最高罚款250,000新加坡元和750,000新加坡元。
故而,本文将着重介绍新加坡Cách chơi xì dách法律体系。
01
新加坡的Cách chơi xì dách保护法律体系以2012年的《个人Cách chơi xì dách保护法》(Personal Data Protection Act,以下简称“PDPA”)为主,该法是一部规范个人Cách chơi xì dách处理行为的综合性立法。为了更好的执行PDPA,新加坡个人Cách chơi xì dách保护委员会(Personal Data Protection Commission ,以下简称“PDPC”)出台了一系列条例及指引,包括:《2021个人Cách chơi xì dách保护条例》(Personal Data Protection Regulations 2021,以下简称“PDPR”)、2021年《个人Cách chơi xì dách保护(Cách chơi xì dách泄露通知)条例》 [Personal Data Protection (Notification of Data Breaches) Regulations 2021]、2021年《个人Cách chơi xì dách保护(违法构成)条例》[Personal Data Protection (Composition of Offences) Regulations 2021]、2021年《个人Cách chơi xì dách保护(执行)条例》[Personal Data Protection (Enforcement) Regulations 2021]、2013年《个人Cách chơi xì dách保护(请勿致电登记处)条例》[Personal Data Protection (Do Not Call Registry) Regulations 2013]等。此外,PDPC还发布了咨询指南,用以解释PDPA以供企业合规参考。
02
PDPA适用的主体包括个人、公司、协会、社会团体等法人或非法人团体,无论该等自然人或实体是否依据新加坡法律设立,是否为新加坡居民或居民企业,或是否在新加坡具有办事处或营业地,只要以上自然人或实体具备以下Cách chơi xì dách处理行为,均适用于PDPA:
在Cách chơi xì dách处理个人信息,无论是Cách chơi xì dách居民个人信息及非Cách chơi xì dách居民个人信息;
处理Cách chơi xì dách居民个人信息。
值得注意的是,如新加坡的组织收集非新加坡居民的个人Cách chơi xì dách,将其用于新加坡,并为自身目的使用或披露,该组织除需受到Cách chơi xì dách主体所在国家/地区的Cách chơi xì dách保护法律的约束外,还需要遵守PDPA的约束。
此外,PDPA第4条明确了不适用于PDPA的Cách chơi xì dách处理行为,如以个人或家庭身份行事的个人、受雇于某一组织工作的任何雇员、处理至少存在100年的记录中的个人Cách chơi xì dách以及已故10年以上的个人Cách chơi xì dách等。
03
新加坡关于Cách chơi xì dách处理合法性基础与《个人信息保护法》存在相似之处,可以对标《个人信息保护法》第13条进行交叉理解。
04
PDPC关键信息咨询指南概括了PDPA项下Cách chơi xì dách控制者的主要义务,具体如下:
05
“同意”为最广泛的Cách chơi xì dách处理行为的合法性基础。值得注意的是,新加坡的“同意”包括“视为同意”(Deemed Consent),PDPA将“视为同意”区分成视为行为同意、根据合同必要性被视为同意以及通过通知视为同意,下表将简述上述三种“视为同意”的要求。
06
新加坡Cách chơi xì dách保护法律体系下的Cách chơi xì dách主体权利、行权及Cách chơi xì dách控制者行权响应详见下表:
07
对于涉及Cách chơi xì dách跨境的企业而言,跨境传输为一重大合规要点。根据PDPA,Cách chơi xì dách控制者不得将任何个人Cách chơi xì dách转移到新加坡以外的国家/地区,除非根据PDPA要求,转移组织采取适当的步骤确保个人Cách chơi xì dách的接收方受法律强制义务的约束,为传输的个人Cách chơi xì dách提供至少与PDPA相当的保护标准,具体详见下表:
08
Cách chơi xì dách控制者违法违规处理个人Cách chơi xì dách,需要承担法律责任,主要包括以下方面:
1.停止违反 PDPA 收集、使用或披露个人Cách chơi xì dách的行为;
2.销毁违反 PDPA 收集的个人Cách chơi xì dách;
3.提供访问或更正个人Cách chơi xì dách的权限;
4.最高罚款:100万新元;如果在Cách chơi xì dách年营业额超过1000万新元,罚款为其在Cách chơi xì dách的年营业额的10%。
以上为我们对新加坡Cách chơi xì dách合规的重点解读,我们也将以新加坡为起始点,陆续推出聚焦东南亚各国的Cách chơi xì dách合规重点解读文章,以期为出海东南亚地区的企业提供参考。