2019年初,新加坡的数据隐私监管机构提出,该国的数据隐私法可以使用两项新的更新——数据泄露通知要求和该国居民的数据便携权。

拟议中的新增内容在世界各地的几部数据隐私法律中都很常见,其中最引人注目的是《欧盟一般数据保护条例》(European Union General data Protection Regulation,简称GDPR),该条例是两年前开始生效的一套全面的数据保护措施。

如果新加坡批准这两项更新,它将成为最新的一个国家其他国家排了很长的队使他们自己的数据隐私法律与GDPR保持一致。

其吸引力很明显:将本国数据隐私法律严格遵守GDPR的国家,更有可能从欧盟委员会获得所谓的“充足性判定”,这意味着这些国家可以合法地在自己和欧盟之间传输数据。

华盛顿特区威凯律师事务所(Wilmer Cutler Pickering Hale and Dorr)网络安全和隐私业务联席主席小里德·弗里曼(D. Reed Freeman Jr.)表示,这样的数据传输机制是参与当今经济的关键。如果有什么不同的话,拟议中的对GDPR的上诉既是一项经济决定,也是一项数据隐私权的决定。

"全球经济依赖于数据流动,数据流动限制越严格越好," Freeman说。“在新加坡的跨国(组织)希望有一个适当的决定。”

新加坡个人资料保护法

2012年10月15日,新加坡通过了数据保护法个人资料保护法(PDPA),就收集、使用及披露个人资料订立新的规则。PDPA还做了两件事。它创建了一个全国性的“禁止打电话”登记册,并建立了该国的主要数据保护机构——个人数据保护委员会。

多年来,个人资料保护委员会一直向各机构发出警告这违反了国家的数据保护法,将他们的决定公布给公众阅读。同样是这个委员会,目前试图更新法律。

如今,新加坡人享有一些与欧盟甚至加州相同的数据保护权利。

首先,新加坡人有权要求机构交出属于他们的个人资料。此外,如果发现个人资料有任何错误或遗漏,新加坡人也有权更正。

新加坡的数据隐私法还包括对机构如何收集、使用或披露新加坡人的个人数据的限制。

根据PDPA的规定,组织在收集、使用或披露个人数据之前必须获得“同意”。组织还必须遵守“目的”限制,即它们只能“为一个理性的人认为适当的目的收集、使用或披露个人的个人资料,如果适用,并已通知有关的个人。”机构必须通知个人计划收集、使用和披露个人资料,所收集的个人资料必须准确。

此外,机构拥有的任何个人资料必须透过“合理的保安安排,以防止未经授权的查阅、收集、使用、披露、复制、修改、处置或类似的风险”加以保护。而在收集个人资料的目的完成后,机构亦须“停止保留”载有个人资料的文件,或“删除个人资料可与特定个人联系的方法”。

虽然这些规则听起来与GDPR相似,但存在差异——包括新加坡和欧盟的做法是如何“同意”的。在新加坡的PDPA中,如果个人数据是公开的、出于广义的“评估目的”需要收集,或仅出于“艺术或文学目的”收集,则收集个人数据不需要征得同意。在欧盟,没有类似的例外。

当然,两项法律的另外两个不同之处是数据可移植性和数据泄露通知要求。新加坡的法律没有规定。

建议增加资料私隐

2019年2月25日,新加坡个人数据保护委员会发表“讨论文件”,解释在PDPA增加数据可携性要求的好处。

PDPC在一份新闻稿中表示:“数据便携性,即用户有权授权跨组织移动他们的个人数据,可以促进数据流动,并支持在数字经济内部和跨部门更大的数据共享。”

有了正确的数据可移植性,个人可以要求组织以一种格式交出他们的个人数据,这种格式可以让他们轻松地将数据转移到另一个提供商,并基本上可以将其插入以立即使用。把它想象成把你的电子邮件联系人从一个电子邮件提供商转移到另一个电子邮件提供商,但规模要大得多,而且潜在的价值也要小得多——这不像你2008年在Facebook上更新的状态会在今天的Twitter上给你带来多大好处。

个人资料保护委员会在发表其数据可携性讨论文件不到一周后,也发表了报告宣布计划增加数据泄露通知要求PDPA。

个人资料保护委员会(Personal Data Protection Commission)建议,如果组织遭遇了可能对个人造成伤害的数据泄露,那么这些个人和个人资料保护委员会本身都需要得到通知。此外,即使数据泄露没有给个人带来潜在的伤害,如果超过500人的个人数据受到影响,组织也需要通知PDPC。

经过公众咨询,数据可携带性要求是受欢迎的

为什么现在尝试数据隐私更新?

将一个国家的数据保护法律与GDPR提供的保护相一致并不是什么新鲜事,事实上,世界上许多国家目前都在从事相同的过程。但新加坡的时间可能进一步取决于2019年1月初的另一个GDPR发展由欧盟委员会给予另一个国家日本的适当决定

威凯平和而德(Wilmer Hale)的弗里曼(Freeman)表示,新加坡很可能也向日本看齐了。

“(新加坡)正在亚洲市场和全球市场竞争,我怀疑新加坡领导人看到了日本发生的事情,问欧盟委员会的相关人士,‘我们需要做什么才能实现这一点?他们被告知,如果PDPA的排列非常接近,我们就有很大的机会获得足够的判定。”弗里曼说。

弗里曼解释说,在近代史上,要获得足够的判定取决于一个国家的数据保护法律是否有效类似的GDPR。

弗里曼说:“随着时间的推移,‘充足性’被简单地认为是指接近于‘同等’的东西。”

至于重要性,Freeman解释说,根据GDPR的规定,任何想要在母国和欧盟之间移动数据的跨国企业都必须获得足够的判定。没有决心,就没有参与世界经济的法律机会。

弗里曼说:“如果你是一家跨国公司,你的员工和客户都在欧洲,你想把数据存储在新加坡的总部,你需要一个合法的基础。”弗里曼说,适当性的确定是一个法律基础,“撤销”适当性的确定比双边协议要困难得多被欧盟法院驳回欧盟和美国之间。

不要重新发明数据隐私轮子

新加坡尚未提出何时敲定数据可携性权利和数据泄露通知要求的时间表。它也没有具体说明它将实施的实际法规,包括个人数据保护委员会(Personal Data Protection Commission)何时执行新规定,以及这些执行行动将涉及哪些内容。

弗里曼建议,当新加坡政府澄清其提议时,它会看看世界各地的邻国,这些国家在数据泄露通知和数据便携性方面都遇到了同样的问题。

在数据便携性方面,弗里曼解释说,许多大公司已经在努力遵守《通用数据保护条例》和《加州消费者隐私法案》的规定,不是因为无法做到,而是因为向个人提供如此深入的数据访问需要了解个人的个人数据可以存在的所有地方。

“它是存储在本地吗?”在不同的服务器上?是电子邮件吗?在即时消息?在帖子?”弗里曼说。

对于数据泄露通知要求,Freeman还表示,“凭空制造”一些东西,给已经必须遵守GDPR和美国50个州的数据泄露通知要求的跨国企业造成新的负担,是没有意义的。

弗里曼说,最好是找到目前有效的方法,然后借鉴。