前 言
近年来,随着全球对个人数据保护的日益重视,各国相继出台了严格的法律法规。作为亚太地区的数据保护先锋,新加坡的《个人数据保护法》(PDPA) 也不断加强了对企业的合规要求。近日,新加坡个人数据保护委员会 (PDPC) 发布了一项重要公告,要求所有在新加坡运营的企业必须在2024年9月30日前指定并注册数据保护官 (DPO)。这一规定的实施,旨在敦促企业在处理个人数据时符合PDPA的隐私保护要求。
对于在新加坡有投资或业务的中国企业而言,此次强制性DPO注册要求不仅是法律合规要求的必要步骤,也是企业维护声誉和减少法律风险的关键措施。未能按时完成注册可能会引发PDPC的调查,并可能导致严厉的处罚。因此,我们撰写本简讯,以帮助企业全面了解这一新规,并提供实用的合规建议,以便中国出海新加坡的企业能及时采取行动,确保符合新加坡法律要求。
1►
新加坡个人数据保护法 (PDPA) 简介
新加坡PDPA于2012年颁布,旨在为个人数据的收集、使用、披露和处理提供全面的法律框架。PDPA不仅适用于在新加坡注册的公司,也适用于在新加坡运营的外国公司。因此,任何在新加坡从事商业活动的企业,无论其总部位于何处,都必须遵守PDPA的相关规定。
PDPA 的核心要求之一是企业必须确保其处理的个人数据符合合法、公平和透明的原则。为此,每家企业都必须指定一名或多名数据保护官 (DPO),负责监督企业的个人数据保护合规情况。DPO 的职责包括制定和执行数据保护政策、处理个人数据相关投诉以及与PDPC 保持沟通。
随着数据隐私问题在全球范围内日益受到关注,PDPA 的合规性不仅关系到企业的法律责任,也关系到企业在市场中的声誉。近年来,PDPC 已对多家未能遵守PDPA规定的企业实施了处罚,这些处罚包括高额罚款,公开披露违规行为,对企业的形象造成了严重影响。
2►
强制DPO注册要求及法律后果
最近,PDPC官网发布了一项新的公告,要求所有在新加坡运营的企业必须在2024年9月30日前指定并注册数据保护官 (DPO),部分新加坡企业也收到了相同提示的电子邮件[1]。这一规定适用于所有规模的企业,无论是大型跨国公司还是中小型企业,都必须遵守。
根据该公告,企业需要在PDPC的官方网站上提交DPO的注册信息。DPO的职责包括确保企业PDPA的各项规定,并在发生数据泄露或隐私投诉时,作为企业与PDPC之间的主要联络人。虽然PDPC没有要求DPO必须是新加坡公民或居住在新加坡本地,但是PDPC建议DPO应至少能够在新加坡工作时间内联系到,以便及时处理相关事宜。
PDPC没有在公告中明确何种法律后果,而仅仅提及了会对不遵守要求的企业展开调查。根据笔者对PDPA以及PDPC颁布的合规指引的理解,未能按时注册DPO的企业可能面临严重的法律后果,包括:首先,PDPC可能会对未注册DPO的企业展开初步调查,以确定企业是否遵守了PDPA的其他规定。如果在调查中发现企业存在更多合规问题,PDPC可以进一步采取执法行动。根据PDPA的有关规定,企业可能面临高达新币100,000元的罚款,而个人责任人则可能被罚款高达新币10,000元,或处以不超过12个月的监禁,或两者并罚。
与新加坡法治传统一脉相承,PDPC在执法方面也呈现严谨风格。Horizon Fast Ferry是一家提供渡轮服务的公司,主要运营印尼巴淡岛与新加坡之间的渡轮航线。该公司在2019年因未能任命DPO、未制定和实施数据保护政策、以及未采取合理的安全措施来保护客户个人数据,被PDPC罚款54,000新元,这是在没有发生任何数据泄露的情况下遭受的处罚。[2]这个案例凸显了在委任DPO方面的不足对新加坡企业可能带来的法律后果。
最后,未能注册DPO还可能导致企业在市场上的声誉受损。PDPC对其处罚案例往往均在其官网公开,违规事件的消息一旦公开,不仅可能影响企业的商业合作关系,还可能引发客户和公众的信任危机。因此,及时遵守PDPC的要求,包括及时任命并注册DPO的要求,不仅是法律与监管的需求,更是企业维持其市场地位和客户信任的关键。
3►
委任DPO的关键要点
通常情况下,DPO可以是企业新设的一个专人岗位,也可以由现有的中高层员工兼任。被任命的 DPO 还可以将一些职责分配给其他人。企业也可以出于多种因素的考虑,将DPO 的全部或部分工作外包给律师事务所或其他第三方服务提供商。无论采用何种方式,在委任DPO时,企业需特别注意以下几点,确保DPO能够有效履行其职责并符合PDPC的要求:
a)专业能力:
DPO应具备足够的专业知识和技能,能够胜任数据保护相关工作。这包括对PDPA的深刻理解,以及对数据保护最佳实践的掌握。DPO应能够独立地识别并解决数据保护方面的挑战。
b)管理层支持:
DPO的角色要求其能够在企业内实施有效的合规措施。因此,企业管理层应给予DPO充分的支持,包括提供必要的资源和权限,使其能够顺利开展工作。
c)职责的明确分配:
DPO在企业中的职责应明确,包括监督企业的个人数据保护实践、处理个人数据相关的投诉、并与PDPC保持沟通。企业可以选择指定一名DPO或组成一个DPO团队来分担这些职责,但必须确保每项职责都有明确的负责人。
d)持续培训与发展:
为了保持DPO在数据保护领域的领先地位,企业应提供持续的培训机会,确保其能够紧跟法规变化和行业发展,持续提升其专业能力。
根据PDPC的提示,DPO获得委任后的主要职责包括:监督公司遵守PDPA的各项规定,确保数据保护政策和程序的实施;负责管理与个人数据处理相关的事务,处理数据主体的投诉和请求;作为公司与PDPC之间的主要联络人,确保及时回应监管机构的查询和要求;向公司内部提供数据保护方面的建议和指导,协助员工理解并遵守PDPA的要求。在新加坡的跨国企业DPO的职责可能不仅限于遵守PDPA的基本要求,还在企业中扮演着至关重要的角色并包括更广泛的责任。例如,DPO 需要定期进行数据保护影响评估 (DPIA),识别和管理与数据处理相关的风险,并建议改进措施。此外,DPO的法律责任要求其具备高度的专业能力和判断力,以在复杂的法律框架内履行职责,定期向管理层报告合规情况,并可通过内部审计确保持续合规。总之,DPO 的职责不仅仅是确保企业遵守PDPA的规定,还包括在更广泛的风险管理框架内,积极管理与个人数据相关的风险,维护企业的法律合规性。
伴随本次DPO注册要求的出台,PDPC也提供了一份详细的注册指南,帮助企业妥善注册DPO。根据该指南,注册过程包括通过Corppass登录BizFile系统,填写DPO的基本信息如姓名、职位、联系信息等,并提交给PDPC。此外,指南还提供了更新和撤销DPO信息的步骤。确保注册信息的准确性和及时更新是企业遵守PDPA的重要环节。详细指南可以通过PDPC的官方网站获取。
4►
对中国企业的影响与合规建议
对于在新加坡运营或投资的中国企业来说,PDPC发布的强制性DPO注册要求具有深远的影响。这一规定不仅增加了合规落地的复杂性,还可能导致企业在管理和运营方面的额外挑战。特别是对于那些在新加坡尚未完全建立数据保护机制的企业,及时应对这一新规将是确保业务连续性和法律合规的关键。
首先,中国企业需要认识到,在新加坡运营的每一家企业,无论其主营业务是否涉及大量个人数据,都必须遵守PDPA的相关要求。这意味着企业不仅要指定DPO,还需要确保DPO具备足够的能力和资源来执行相关职责。如果企业在新加坡没有合适的当地人可以任命为DPO,任命位于中国境内的专业人士作为新加坡公司的DPO也是可行的,前提是该人士能够在新加坡的工作时间内保持可联系状态。这意味着他们需要提供新加坡的电话和电子邮件地址,并确保能够及时响应PDPC的要求。由于中国与新加坡没有时差,办理新加坡的联系方式相对容易,因此在中国境内任命DPO,只要能及时响应PDPC的要求并处理潜在的合规问题,也可以满足PDPC的联络要求,降低合规风险。
其次,确保在9月30日截止日期前完成DPO的指定和注册,这是企业DPO注册合规的第一步。PDPC官网提示企业在BizFile系统上注册 DPO的截止日期是2024年9月30日,部分企业负责人也收到了相应的邮件。但由于在BizFile系统上进行注册并不是企业公布 DPO 业务联系方式的唯一渠道,因此 PDPC 指出错过邮件中的截止日期不会受到惩罚,但这不应被理解为不遵守相关要求不存在任何法律后果。实际上,PDPC这一举措旨在督促企业尽快履行公开DPO信息的相关义务,并强烈建议企业尽快通过 BizFile系统注册DPO。对于未遵守 PDPA 此项规定的企业,PDPC在过一个阶段后可能会采取相关执法措施。
最后,中国企业应尽快审查其新加坡子公司当前的数据保护政策和实践,以确保符合PDPA的要求。这包括评估数据收集、存储、使用和披露的各个环节,确保所有流程均符合合法、公平、透明的原则。DPO可对内部员工,特别是涉及个人数据处理的部门,进行数据保护培训,增强全员的合规意识。同时,企业要确保DPO能够与PDPC保持畅通的沟通,以便在需要时及时回应监管要求或处理投诉。企业还应制定应急预案,以应对可能发生的数据泄露事件,并明确DPO在此类事件中的职责和权限。
5►
结语
随着全球数据保护法律法规的日益严格,数据合规已经成为国际化企业不可忽视的重要一环。对于在新加坡运营的中国企业来说,遵守新加坡PDPA并及时任命和注册DPO不仅是法律义务,更是维护企业声誉和信任的关键举措。我们强烈建议企业立即行动,确保符合新加坡PDPC的各项要求,以在日益复杂的全球市场中稳步前行。
注 释
[1] Register Your Data Protection Officer (DPO),https://www.pdpc.gov.sg/overview-of-pdpa/data-protection/business-owner/data-protection-officers
[1] Breach of the Protection Obligation by Horizon Fast Ferry, https://www.pdpc.gov.sg/all-commissions-decisions/2019/08/breach-of-the-protection-obligation-by-horizon-fast-ferry
作者简介
李诘 合伙人
业务领域:跨境投资与并购、政府事务与合规、数据安全与隐私保护、知识产权
联系电话:8621 6859 0516
电子邮箱:joseph.j.li@chancebridge.com
李诘律师,卓纬上海办公室执行合伙人。李律师系美国反舞弊审核协会(ACFE)的认证反舞弊审核师(CFE)和英国标准协会(BSI)认证的ISO 37301合规管理体系合规师。李律师的专业领域主要集中在数据安全与隐私保护、品牌与商业秘密保护、跨境投资与并购以及反腐败与反商业贿赂合规。
李律师在网络安全、数据合规和个人信息保护方面的专业领域积累了丰富的理论与实践经验,他是信息系统审计和控制协会(ISACA)的注册信息系统审计师(CISA)、国际信息隐私专业协会(IAPP)的注册信息隐私专家和院士(CIPP/CIPM/CIPT/FIP)、国际数据管理协会(DAMA)的注册数据管理专家(CDMP)以及EXIN认证的数据保护官和信息安全官(EXIN DPO/ISO)。李律师目前为跨国公司、高科技企业、医药企业、消费品企业以及深圳数据交易所、上海数据交易所和苏州大数据交易所等企业和机构提供数据安全和个人信息保护方面的合规服务。
往期推荐
出海经纬 | A股上市公司海外并购模式及重点法律问题
出海经纬 | 企业“出海”以及海外经营合规之——如何做好境外反垄断合规
出海经纬 | 人民币基金投资出海企业架构以及重点关注问题
特 别 声 明
本微信公众号的文章仅供交流之用,不代表北京卓纬律师事务所或其律师的正式法律意见或建议。若需要法律意见或专业分析,请联系并咨询北京卓纬律师事务所及其律师。欢迎转载或引用本微信公众号的文章和内容,请联系沟通授权事宜,并于转载时在文章开头处注明来源于微信公众号“北京卓纬律师事务所”以及作者名字。
