引言
新加坡凭借其独特的地理位置、开放的经济环境以及完善的法律体系,成为了众多中国企业出海的首选目的地[1]。然而,在拓展新加坡市场的过程中,数据合规问题成为了企业不可忽视的重要挑战。在新加坡应该履行哪些数据合规义务?本文提供出海新加坡数据合规指南,为企业在出海浪潮中保驾护航。
4、新加坡监管案例
5、新加坡数据合规治理指南
6、盈科新加坡DPO服务简介
04
新加坡监管案例
通过PDOC在其官方网站上发布的执行决定中,我们从中挑选了以下几个具有代表性的案例:
01
案件一
(1)案情简要:
2018年,新加坡最大的公立医疗保健集团新加坡健康服务公司(SingHealth)遭受了一次严重的网络攻击,导致约150万名患者的个人信息被非法获取,其中还包括了16万名患者的详细门诊病历,不乏新加坡一些高级政要的敏感数据。这一事件立即引起了公众的极大关注和担忧,并对SingHealth的信誉造成了严重的负面影响。[5]
(2)处罚结果:
PDPC对此次事件进行了彻查,并最终认定新加坡健康服务公司及其技术供应商IHiS在数据保护方面存在重大疏忽,应承担主要责任,两家公司共被处以100万新元的罚款。除了经济处罚,这两家公司还需要投入大量的时间和资源来应对此次事件的后续调查和处理工作,包括但不限于加强数据安全措施、改进内部流程、进行员工培训以及对受影响的患者进行补偿等。此次事件也提醒了所有组织必须采取更加严格的数据保护措施,以防止类似的数据泄露事件再次发生。
02
案件二
(1)案情简要:
新加坡餐厅预订平台Eatigo遭遇了一起数据泄露事件,约280万用户的个人数据被泄露到一个在线论坛上公开出售。这起事件严重侵犯了用户的隐私权,对Eatigo的信誉和用户信任造成了重大打击。[6]
(2)处罚结果:
PDPC对Eatigo的数据泄露事件进行了调查,并发现该公司在数据保护措施上存在严重疏忽。PDPC指出,Eatigo未能实施充分的安全措施来确保用户数据的安全,且在PDPC的调查过程中,Eatigo展现出了“不合作和逃避的方式”。因此,PDPC对Eatigo处以了6.24万新元的罚款。这一处罚不仅是对Eatigo经济损失的惩罚,也是对其不合规行为的严厉警告。
03
案件三
(1)案情简要:
东京世纪租赁(Century Tokyo Leasing),一家提供租赁和分期付款服务的公司,于2022年6月遭受了勒索软件攻击。这次网络攻击导致141,412名个人的个人数据被非法加密。东京世纪租赁在发现问题后,主动向新加坡个人数据保护委员会(PDPC)报告了这一事件,并承认其在数据保护方面的疏忽。[7]
(2)处罚结果:
鉴于东京世纪租赁未能遵守PDPA第24条的规定,即未采取适当的技术措施来保护其持有的个人数据,PDPC于2023年11月10日对其实施了82,000新元的罚款。PDPC的调查发现,东京世纪租赁使用的软件版本过时且存在未修补的漏洞,同时公司未启用多因素认证(MFA)来保护管理员账户,这些因素共同导致了数据泄露事件的发生。
05
新加坡数据合规治理指南
随着中国企业加速国际化进程,新加坡以其开放的经济环境、先进的科技基础设施以及较为宽松但严格监管的数据合规政策,成为了众多企业出海的首选之地。然而,新加坡主管部门活跃的执法也提醒出海企业必须严格审查自身数据合规情况。为确保企业在新加坡市场的顺利运营与长期发展,以下是为出海企业提供的新加坡数据合规建议:
01
紧跟新加坡数据保护法规
企业应持续关注新加坡《个人数据保护法》(PDPA)及其后续修订内容,以及新加坡个人信息保护委员会(PDPC)发布的各类指南与通知。设立专门的合规团队或指定专人,负责跟踪法规动态,及时调整合规策略,确保企业政策、业务模式和数据处理活动符合当地法律要求。
02
构建数据隐私合规体系
根据新加坡PDPA要求,构建涵盖数据收集、存储、处理、传输、共享及销毁全生命周期的隐私保护框架。明确数据处理的合法依据、目的、范围及期限,确保所有数据处理活动均遵循最少必要原则。
03
实施数据分类分级管理
根据数据的敏感性、价值及潜在影响,对数据进行严格分类与分级。对更为敏感及核心数据实施严格的管理措施,包括但不限于限制跨境传输、加强访问控制及加密存储等,确保数据安全可控。
04
制定跨境数据传输策略
在跨境传输数据前,评估传输的必要性及合法性,并选用合适的数据传输方式。在合同中明确双方数据保护责任,确保接收方提供不低于新加坡PDPA标准的保护水平。同时,关注并遵守海外接收方的相关法律要求,避免合规风险。
05
开展数据合规尽调
在进行投资并购、企业上市、日常运营等活动前,进行全面的数据合规尽职调查,评估潜在的数据保护风险,并采取相应措施,确保合作过程中的数据安全与合规。
06
实施技术保护措施
采用加密、匿名化和访问控制等技术手段,保护个人数据免受未授权访问和泄露。
07
建立审计和监控机制
定期进行数据保护实践的内部审计,确保数据处理活动符合法律法规要求,并及时发现并解决任何合规性问题。
08
提升员工数据保护意识
通过培训、宣传等方式,提升全体员工数据保护和隐私合规的意识。确保每位员工都能理解并遵守企业的数据保护政策与流程,共同构建良好的数据合规企业文化。
09
建立应急响应机制
制定数据泄露应急预案,明确数据泄露事件的报告流程、处置措施及后续跟进机制。确保在发生数据泄露事件时,能够迅速响应、有效控制损失并符合监管要求。
综上所述,企业出海新加坡需高度重视数据合规工作,通过构建全面的数据隐私合规体系、实施数据分类分级管理、审慎制定跨境数据传输策略、加强数据合规尽职调查与技术保障等措施,确保企业在新加坡市场的稳健运营与可持续发展。
06
盈科提供的新加坡DPO服务介绍
盈科全球数据合规服务中心提供全面的DPO服务,帮助出海新加坡的企业应对数据保护挑战。
我们的服务包括:
1、接受企业委任,直接担任客户在新加坡的数据保护官(DPO)角色。
2、除了直接提供数据保护官(DPO)岗位人员外,我们还可以提供:
● 提供有关DPO的专业咨询和培训。
● 协助企业任命合适的DPO。
● 代表企业与新加坡PDPC沟通。
● 提供APP、业务产品在新加坡上线审查与合规服务。
● 协助处理在新加坡发生的数据泄露和其他数据保护事件。
● 出海企业跨境数据传输合规服务。
盈科全球数据合规服务中心优势:
1
专业团队:
盈科拥有一支由经验丰富的法律专家与技术专家组成的团队,他们在数据保护领域具有深厚的专业知识和实践经验 。
2
国际认证:
盈科的DPO服务团队成员包括获得国际认证的数据保护官和信息安全官,他们熟知跨国数据保护法规,能够为企业提供符合国际标准的服务 。
3
全面服务:
中心不仅提供DPO的专业咨询和培训,还协助企业建立数据保护文化,处理个人数据查询和投诉,进行风险预警管理,并与监管机构沟通协调 。
4
全球服务能力:
盈科已在全球多个国家和地区建立了分支机构,包括东南亚、北美、欧盟、中东、非洲等,满足企业国际化发展的需求 。
盈科全球数据合规服务中心优势
1
专业团队:
盈科拥有一支由经验丰富的法律专家与技术专家组成的团队,他们在数据保护领域具有深厚的专业知识和实践经验 。
2
国际认证:
盈科的DPO服务团队成员包括获得国际认证的数据保护官和信息安全官,他们熟知跨国数据保护法规,能够为企业提供符合国际标准的服务 。
3
全面服务:
中心不仅提供DPO的专业咨询和培训,还协助企业建立数据保护文化,处理个人数据查询和投诉,进行风险预警管理,并与监管机构沟通协调 。
4
全球服务能力:
盈科已在全球多个国家和地区建立了分支机构,包括东南亚、北美、欧盟、中东、非洲等,满足企业国际化发展的需求 。
盈科全球数据合规服务中心简介
盈科律师事务所YINGKE是一家全球化法律服务机构,拥有17000多名律师,在2023Global 200排名中,盈科全球律师人数蝉联世界第一。
盈科全球数据合规服务中心(Yingke Global Data Compliance Service Center)是盈科设立的最早专注于数据合规与网络安全的国际化服务平台之一,在新加坡、欧洲、中东、美国、日本等地设有海外直营分中心,由法律专家与技术专家组成,持有CIPP/CIPM/CCRC•DSO等资质。
中心参与全球数字经济立法与标准制定,将前沿理论成果转化为具有商业价值的服务,同时整合第三方安全技术、认证机构、专家学者等资源,为中资企业走出去、外资企业引进来提供优质高效的全球一站式服务,助力客户在全球数字化发展浪潮中勇立潮头。
本文参考文献
[1] https://www.yidaiyilu.gov.cn/z/221226-1/index.shtml
[2] PERSONAL DATA PROTECTION ACT 2012, 2020 REVISED EDITION, https://sso.agc.gov.sg/Act/PDPA2012?ValidDate=20221001
[3] https://www.pdpc.gov.sg/who-we-are/about-us
[4]https://www.pdpc.gov.sg/all-commissions-decisions/2024/07/breach-of-the-protection-obligation-by-keppel-telecommunications-transportation
[5]https://www.pdpc.gov.sg/all-commissions-decisions/2019/01/breach-of-the-protection-obligation-by-singhealth-and-ihis
[6]https://www.pdpc.gov.sg/all-commissions-decisions/2023/03/breach-of-the-protection-obligation-by-eatigo-international
[7]https://www.pdpc.gov.sg/all-commissions-decisions/2023/10/breach-of-the-protection-obligation-by-tokyo-century-leasing
滑动查看
- END -
郭卫红 律师
点击头像
查看更多讯息
业务领域:
数据合规与网络安全/爬虫治理与开源合规治理/平台合规与盲盒等新商业合规/TMT
姜斯勇 律师
点击头像
查看更多讯息
业务领域:
数据合规/开源治理/人工智能
文章投稿:盈科全球数据合规服务中心
责 编:李妍雯
注:本文及其内容仅代表作者观点,不视为北京盈科(上海)律师事务所正式法律意见或建议。如需转载或引用请注明出处。
