新加坡数据保护官强制要求：中资企业应对指南 | 中新法讯

作者：张景馨月 律师

本文共计7661个字，大概16分钟读完

一、规定的背景和重要性 

随着信息技术的飞速发展，数据的收集、存储、处理和传输变得更加便捷，但同时也带来了数据泄露、滥用等风险。为了保护个人数据的安全和隐私，2012年10月，新加坡颁布《个人数据保护法》Personal Data Protection ActP（简称DPA) ，确立了新加坡个人数据保护的基本制度，2020年11月，原法案进行首次全面修订，修订版本于2021年2月1日生效 。此次修订的主要内容包括引入了强制性的数据泄露通知制度，要求遭受数据泄露的组织通知个人数据保护委员会（PDPC）和受影响的个人，还对一些条款进行了调整，例如提高了最高经济处罚等。针对现行法案，PDPC要求所有新加坡的企业，在今年9月30日前上报数据保护官信息。对于中资企业来说，了解并遵守这一规定，不仅是法律义务，也是维护企业声誉、保障业务可持续发展、避免遭受处罚的必要条件。

二、企业设置DPO的核心要求

只要是在新加坡注册的公司，无论规模大小、行业类型，都有设置 DPO 的要求，以履行数据保护的责任和义务，确保公司在处理个人数据时符合相关法规。如果未按规定设置 DPO 或未能履行相关职责，公司可能会面临包括警告、行政命令、经济处罚在内的执法措施。

在具体的工作安排及人员任用上，DPO 可以被设置为一个专门的岗位，也可以由公司现有的员工兼任 。同时，被指定作为 DPO 的个人还可以将自己所被授予的职责分配给其他的个人，这意味着可以将 DPO 的角色或工作外包给服务提供商 。DPO 不一定是新加坡公民或居民，但应能够随时被联系到 。

三、企业如何选择和任命合适的 DPO？ 

1. 专业能力。

数据保护官应具备以下专业能力： 

（1）熟悉数据保护法律法规，包括新加坡的《个人数据保护法》和国际上的相关法规；

（2）具备数据安全和隐私保护的专业知识，如加密技术、访问控制、数据备份等； 

（3）了解企业的业务流程和数据处理活动，能够识别数据风险并提出相应的解决方案； 

（4）具备良好的沟通和协调能力，能够与企业内部各部门以及外部监管机构进行有效的沟通和合作。 

2. 独立性。

数据保护官应具有独立性，能够独立行使职责，不受企业管理层的不当影响。企业可以考虑从内部选拔具有相关专业背景和经验的人员担任数据保护官，也可以聘请外部专业机构或顾问担任。

 3. 任命程序。

企业应制定明确的任命程序，确保数据保护官的任命符合法律法规和企业内部治理要求。

四、DPO 的关键职责和工作内容是什么？

1. 制定和实施数据保护政策和程序。

数据保护官应制定并实施企业的数据保护政策和程序，确保企业的数据处理活动符合法律法规和企业内部治理要求。数据保护政策和程序应包括以下内容： 

（1）数据收集、存储、使用、披露等方面的规定；

（2）数据安全措施，如加密技术、访问控制、数据备份等；

（3）个人数据主体的权利和保护措施； 

（4）数据泄露应急预案。 

2. 监督数据处理活动。

数据保护官应监督企业的数据处理活动，确保数据处理活动符合法律法规和企业内部治理要求。监督内容包括： 

（1）数据收集的合法性和必要性；

（2）数据存储的安全性和保密性；

（3）数据使用的目的和范围；

（4）数据披露的合法性和合规性。

3. 处理个人数据主体的投诉和查询。

数据保护官应及时处理个人数据主体的投诉和查询，确保个人数据主体的合法权益得到保护。处理投诉和查询的程序应包括以下步骤： 

（1）接收投诉和查询； 

（2）进行调查和核实； 

（3）作出回应和处理决定； 

（4）记录处理过程和结果。

4. 提供数据保护培训和教育。

数据保护官应定期为企业员工提供数据保护培训和教育，提高员工的数据保护意识和能力。培训内容应包括以下方面： 

（1）数据保护法律法规；

（2）企业的数据保护政策和程序；

（3）数据安全措施和技术； 

（4）个人数据主体的权利和保护措施。 

5. 与新加坡个人数据保护委员会保持联系。

数据保护官应与新加坡个人数据保护委员会保持联系，及时了解最新的法律法规和政策动态，配合调查和执法行动。数据保护官应定期向新加坡个人数据保护委员会报告企业的数据保护情况，包括数据处理活动、投诉处理情况、数据泄露事件等。

五、企业应该如何确保数据安全？

1. 进行数据盘点和风险评估。

企业应首先对自身的数据资产进行盘点，了解企业收集、存储、使用和披露的个人数据类型、数量、来源和去向。同时，企业应进行数据风险评估，识别数据处理活动中可能存在的风险，如数据泄露、滥用、篡改等。数据盘点和风险评估可以帮助企业确定需要重点保护的数据资产和风险领域，为制定数据保护策略提供依据。 

2. 制定数据保护策略和计划。

企业应根据数据盘点和风险评估的结果，制定数据保护策略和计划。数据保护策略应明确企业的数据保护目标、原则和方法，数据保护计划应具体规定企业为实现数据保护目标而采取的措施和时间表。数据保护策略和计划应包括以下内容： 

（1）数据分类和分级管理； 

（2）数据安全措施和技术；

（3）数据访问控制和权限管理；

（4）数据备份和恢复计划；

（5）数据泄露应急预案。

 3. 建立数据保护管理制度。

企业应建立健全的数据保护管理制度，确保数据保护策略和计划得到有效实施。数据保护管理制度应包括以下内容： 

（1）数据保护组织架构和职责分工；

（2）数据处理活动的审批流程和记录要求；

（3）数据安全培训和教育制度；

（4）数据保护监督和审计制度。

 4. 实施数据安全措施和技术。

企业应根据数据保护策略和计划，实施相应的数据安全措施和技术，确保个人数据的安全和隐私。数据安全措施和技术包括但不限于以下方面： 

（1）加密技术：对敏感个人数据进行加密存储和传输，防止数据泄露

（2）访问控制：设置严格的用户权限和访问控制策略，确保只有授权人员能够访问个人数据；

（3）数据备份：定期对个人数据进行备份，防止数据丢失； 

（4）安全审计：对数据处理活动进行安全审计，及时发现和处理安全事件。

5. 开展数据保护培训和教育。

企业应定期为员工开展数据保护培训和教育，提高员工的数据保护意识和能力。培训内容应包括数据保护法律法规、企业的数据保护政策和程序、数据安全措施和技术等方面。培训方式可以采用线上培训、线下培训、内部讲座等多种形式。

 6. 建立数据泄露应急预案。

企业应建立数据泄露应急预案，明确数据泄露事件的报告、处理和恢复流程。数据泄露应急预案应包括以下内容

（1）数据泄露事件的报告程序和责任人； 

（2）数据泄露事件的调查和评估流程； 

（3）数据泄露事件的处理措施和时间表；

（4）数据泄露事件的恢复计划和措施。 

六、企业数据保护不合规的潜在风险有哪些？ 

根据新加坡《个人数据保护法》，违反数据保护规定的企业可能面临高达100万新元或该组织在新加坡的年营业额的10%（注：10%罚款未生效）的罚款。这一处罚力度突显了新加坡政府对数据保护的重视程度。除经济处罚外，企业还可能面临声誉损害、客户流失等无形损失，我们来看两个处罚案例：

案例一：新加坡Eatigo因数据泄露被罚 

新加坡餐厅预订平台Eatigo因数据泄露事件被新加坡个人数据保护委员会（PDPC）罚款6.24万新元。该事件起因于Eatigo的一个包含约280万用户个人数据的数据库被泄露，并在一个在线论坛上出售。PDPC指出，Eatigo在数据保护方面存在严重疏忽，未能采取足够的安全措施来保护用户数据，且以“不合作和逃避的方式”回应调查。这一案例警示企业，数据泄露不仅会导致经济损失，还可能因不合规行为而面临严厉处罚。

案例二：新加坡健康服务公司（SingHealth）患者数据泄露事件 

2018 年，新加坡健康服务公司（SingHealth）的患者数据库遭到网络攻击，导致 150 万名患者的个人信息被泄露，16 万名患者的门诊病历遭入侵，其中包括新加坡多名政要的隐私数据 。此事件引发了公众的广泛关注和担忧，对新加坡健康服务公司的声誉造成了极其负面的影响。新加坡个人资料保护委员会认定新加坡健康服务公司和技术供应商（IHiS）负有主要责任，两家公司被罚款 100 万新元。企业还需要配合投入大量时间和资源来应对调查、处理善后事宜。

通过上述案例，中资企业若发生类似的数据泄露事件，也会面临同样的声誉危机，在新加坡市场的品牌形象受损，客户信任度大幅下降。同时，一旦因数据保护不力导致违规，可能面临高额罚款，数据泄露事件还会分散企业管理层的精力，影响企业的日常业务运营和战略发展规划。

七、对中资企业的特别建议 

1. 加强与国内总部的沟通和协调。

中资企业在新加坡的分支机构应加强与国内总部的沟通和协调，确保企业在全球范围内的数据保护政策和程序保持一致。国内总部可以为新加坡分支机构提供数据保护方面的支持和指导，帮助分支机构更好地应对新规定。 

2. 关注国际数据保护动态。

中资企业应关注国际数据保护动态，了解国际上的数据保护法规和标准的发展趋势。随着全球数据保护法规的不断加强，企业需要不断调整和完善自己的数据保护策略和措施，以适应新的法规要求。

3. 加强与当地合作伙伴的合作。

中资企业可以加强与当地合作伙伴的合作，共同应对数据保护挑战。当地合作伙伴可以为中资企业提供当地的数据保护法规和政策咨询、数据安全技术支持等服务，帮助中资企业更好地遵守当地法规。 

八、常见问题解答（FAQ）

其实，这次并非新加坡监管机构搞突然袭击，早在2016年、2017年和2020年，PDPC都在官网提醒过，要求新加坡公司上报DPO了，但这次与以往的不同，在于指定了截止日期，并且通过邮件一一进行通知，所以，确实需要企业重视，以下是常被出海企业问到的几个相关问题：

Q1: 我的企业规模很小，是否可以不设置DPO？

A1: 否。根据新加坡《个人数据保护法》第11条，所有在新加坡注册并处理个人数据的企业，无论规模大小，都需要指定DPO。并非只有处理敏感个人数据的企业，或处理数据对应的人数达到一定的门槛值，才需要设置DPO.

Q2: DPO必须是全职岗位吗？可以不在新加坡吗？

A2: DPO不必是全职岗位或公司员工。可以由现有员工兼任，也可以外包给第三方服务提供商，如外部律师或咨询顾问。DPO不必是新加坡公民或居民，但必须能够随时被联系到，并能有效履行其职责。

Q3: 如何确保DPO符合监管要求？

A3: 一个"适格DPO"应满足以下条件：

   1. 具备数据合规相关的能力与知识

   2. 被企业赋予数据隐私管理的权力

   3. 企业应为DPO提供培训和认证机会

如PDPC认可IAPP的CIPM和CIPP系列证书，以及PDPC合作机构提供的DPO培训可作为参考。

Q4: 如果企业未能在9月30日前完成DPO的指定和信息报备，会面临什么后果？9月30日的截止日期能否延期？应该如何补救？

A4：虽然目前没有因单纯未设置DPO而被处罚的案例，但可能面临：

1. PDPC的监管调查

2. 如发生数据泄露等事件，可能因未设置DPO而受到更严重处罚

截至目前，PDPC没有宣布延期计划。

Q5: 如果我的企业尚未完成DPO的指定和报备，应该如何办？

A5: 请立即采取以下补救步骤：

- 立即指定一名符合资格的员工或外部顾问作为临时DPO。

- 尽快通过PDPC官方渠道提交DPO信息，同时附上说明，解释延迟报备的原因。

- 制定快速行动计划，确保尽快完善企业的数据保护体系。

- 考虑寻求专业法律顾问的帮助，评估可能面临的风险和应对策略。

请注意，仅指定DPO并不意味着企业就符合合规要求了。企业还需确保DPO能有效履行职责，并持续完善数据保护措施。

结 语：

新加坡9月30日起实施的数据保护官强制要求，对在新加坡的中资企业提出了新的挑战。中资企业应充分认识到这一规定的重要性，积极采取措施，确保合规运营。即使在截止日期已过的情况下，企业仍应尽快采取行动，指定DPO并完善数据保护体系。通过严格遵守新加坡的数据保护法规，企业不仅可以避免潜在的法律风险和经济损失，还能增强客户信任，提升企业在新加坡市场的竞争力。在数据驱动的全球经济中，有效的数据保护管理将成为企业持续发展的关键优势。

附：DPO 实施检查清单： 

一、组织架构和职责分工

1. 是否任命数据保护官？

2. 是否明确了数据保护官的职责和权限？

3. 是否明确了各部门在数据保护工作中的职责和分工？

二、数据保护政策和程序

1. 是否制定了数据保护政策和程序？

2. 数据保护政策和程序是否符合《个人数据保护法》及相关法规的要求？ 

3. 是否对员工进行了数据保护政策和程序的培训和教育？

三、数据盘点和风险评估

1. 是否对企业的数据资产进行了盘点？

2. 是否对数据处理活动进行了风险评估？

3. 是否根据风险评估结果制定了相应的风险控制措施？

四、数据安全措施和技术

1. 是否采用了加密技术对敏感个人数据进行加密存储和传输？

2. 是否设置了严格的用户权限和访问控制策略？

3. 是否定期对个人数据进行备份？

4. 是否定期采取安全更新和测试？

5. 是否对数据处理活动进行了安全审计？ 

五、投诉处理和应急响应

1. 是否建立了个人数据主体投诉处理机制？

2. 是否制定了数据泄露应急预案？

3. 是否定期进行数据泄露应急演练？

六、与监管机构的沟通和合作

1. 是否与新加坡个人数据保护委员会保持联系？

2. 是否及时向监管机构报告数据保护情况？ 

3. 是否配合监管机构的调查和执法行动？

官方查询：THE STATUTES OF THE REPUBLIC OF SINGAPORE PERSONAL DATA PROTECTION ACT 2012（2020 REVISED EDITION）

— END —

• 咨询更多有关数据合规事宜，请联系中新法讯专业顾问。