【全文】
【代序】
当前数字经济蓬勃发展,特别在全球化浪潮下,世界各国都面对着一系列全新的治理挑战。无可否认,海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件,时至今日,数据要素对于经济和社会发展变革有巨大驱动作用,数据作为基础性战略资源的论断已然成为国际社会的普遍共识,全球范围内的数据跨境流转利用成为各方高度关注的命题。
近年来,数据跨境流动的安全问题日益凸显。不可否认,数据治理问题本身具有非常复杂、宽广的视域,而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。就此应当指出的是,一方面,围绕各类数据的利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中,人们不断拥抱更多的发展机遇;另一方面,围绕各类数据的保护,民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。
主要的域外国家和发达地区高度关注在数字贸易领域建立国际规则的问题,对此已在其推动的多个经贸谈判中有所涉及,这也成为各个国家有关数据安全制度政策域外延伸的重要组成部分,构成企业跨国运营过程中需要持续跟进的核心因素。团队汇聚资深的理论和实务专家完成《数据跨境治理国别规则》研究报告,发布相关成果并会形成系列更新,以飨读者!
——吴沈括,北京师范大学法学院博士生导师、中国互联网协会研究中心副主任。
【研究报告】数据跨境治理国别规则(6):新西兰
数据跨境治理国别规则(6):新西兰
1.新加坡数据治理的规范框架
1.1《2018年网络安全法》
1.2《个人数据保护法》
1.3《2021年个人数据保护条例》
(1)《2021年个人数据保护(数据泄露通知)条例》
(2)《2021年个人数据保护(执行)条例》
(3)《2021年个人数据保护(违法构成)条例》
(4)《2021年个人数据保护(上诉)条例》
(5)《2013年个人数据保护(禁止调用注册表)条例》
1.4新加坡签署的多边协定
2.新加坡数据跨境的政策法规
2.1《个人数据保护法》
2.2《2021年个人数据保护条例》
2.3《亚太经合组织跨境隐私规则体系》
2.4《亚太经合组织数据处理者隐私识别体系》
2.5《亚太经合组织跨境隐私执法安排》
2.6《区域全面经济伙伴关系协定》
3.新加坡数据跨境的合规要求
3.1PDPA和PDPR项下跨境传输的合规要求
3.2APEC CBPR或APEC PRP认证的合规要求
4.新加坡数据跨境的实务案例
4.1Belden Singapore
4.2Toll Holdings
1.新加坡数据治理的规范框架
1.1《2018年网络安全法》(Cybersecurity Act 2018)
该法经过修订后于2021年12月31日正式生效。该法建立了关键信息基础设施所有者的监管框架、网络安全信息共享机制、网络安全事件的响应和预防机制、网络安全服务许可机制。
4.3《个人数据保护法》(Personal Data Protection Act 2012)(以下简称“PDPA”)
最新修订版于2021年2月1日生效。PDPA是新加坡最重要的个人数据保护法,内容包括明确了在新加坡境内收集、使用、披露和管理个人数据的要求。该法承认了个人保护其数据的各项权利,包括数据获取权和数据更正权,同时也承认了企业基于合理目的收集、使用和披露个人数据的需要。PDPA规定建立了一个全国性的拒收电话登记处(DNC),个人可以在DNC登记处登记他们的电话号码选择不接受电话营销信息。
4.4《2021年个人数据保护条例》(Personal Data Protection Regulations 2021)(以下简称“PDPR”)
于2021年2月1日生效。该法令明确了个人保护其数据的各项权利,包括数据获取权和数据修改权,同时也承认了企业基于合理目的收集、使用和披露个人数据的需要,规定了个人信息的知情权或更正权行使的形式、方式和程序,以及明确可披露已故人士个人信息的权利人。
PDPR由新加坡个人信息保护委员会(Personal Data Protection Commission)(以下简称“PDPC”)行使PDPA第65条授予的制定条例的权利而制定,是为了更好地在新加坡执行个人数据保护而对PDPA进行的补充。
此外,PDPC根据PDPA第65条赋予的权利制定了以下条例细则,共同组成新加坡个人数据保护的框架:
(1)《2021年个人数据保护(数据泄露通知)条例》(Personal Data Protection (Notification of Data Breaches) Regulations 2021)
(2)《2021年个人数据保护(执行)条例》(Personal Data Protection (Enforcement) Regulations 2021)
(3)《2021年个人数据保护(违法构成)条例》(Personal Data Protection (Composition of Offences) Regulations 2021)
(4)《2021年个人数据保护(上诉)条例》(Personal Data Protection (Appeal) Regulations 2021)
(5)《2013年个人数据保护(禁止调用注册表)条例》(Personal Data Protection (Do Not Call Registry) Regulations 2013)
4.5新加坡签署的多边协定
新加坡是APEC(亚太经合组织)的成员国和RCEP的成员国。
《亚太经合组织跨境隐私规则体系》(APEC Cross-Border Privacy Rules System)、《亚太经合组织数据处理者隐私识别体系》(APEC Privacy Recognition For Processors System)、《亚太经合组织跨境隐私执法安排》(APEC Cross-border Privacy Enforcement Arrangement)和《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership)有具体的对于数据跨境传输的规定。
5.新加坡数据跨境的政策法规
以下主要的法规、条例构成了新加坡现行数据跨境治理的基本法律制度架构:
5.1《个人数据保护法》(Personal Data Protection Act 2012)
该法为新加坡关于数据跨境传输的基本准则。该法第26条明确规定了数据跨境转移机构应当采取适当的方式确保个人数据的接收方受法律强制义务的约束,为传输的个人数据提供至少与PDPA相当的保护标准。
新加坡国内的数据跨境保护法规为PDPA和PDPR。根据PDPA第五条的规定,主要的监管和执行PDPA和PDPR的机构是PDPC。
PDPC是新加坡在个人数据保护相关事务方面的主要权力机构,并在国际上代表新加坡政府处理数据保护相关问题。
5.2《2021年个人数据保护条例》(Personal Data Protection Regulations 2021)
该条例进一步补充了新加坡数据跨境传输的规定,明确了满足跨境传输的具体类型以及数据接收方的法定义务。
5.3《亚太经合组织跨境隐私规则体系》(APEC Cross-Border Privacy Rules System)(以下简称“APEC CBPR体系”)
新加坡为APEC成员国。APEC CBPR认证基于APEC隐私框架,该框架包含九项隐私政策:责任制,防止危害,通知,选择,收集限制,个人信息的使用,个人信息的完整性,安全保护措施以及访问和更正。该框架得到21个APEC经济体的认可,以促进APEC经济体之间可追责的和受约束的个人信息传输。
APEC CBPR认证体系下,数据控制者可以选择CBPR体系的认证,以表明其对控制个人数据的收集、持有、处理或使用的相关要求以及致力于遵守自愿框架以证明其对隐私保护的承诺。完成CBPR认证的企业,可以与其他APEC CBPR认证的企业自由传输数据。
5.4《亚太经合组织数据处理者隐私识别体系》(APEC Privacy Recognition For Processors System)(以下简称“APEC PRP体系”)
APEC PRP体系是为代表数据控制者处理数据的机构(数据处理者)设计的,以证明他们有能力有效执行控制者的隐私要求。该认证为数据控制者提供了保证,即个人数据的处理至少符合亚太经合组织CBPR体系的类似要求。
5.5《亚太经合组织跨境隐私执法安排》(APEC Cross-border Privacy Enforcement Arrangement)(以下简称“CPEA”)
CPEA为亚太经合组织建立了一个隐私执法框架,任何一个亚太经合组织的经济体的隐私执法机构均可以按照CPEA的规定进行执法。
5.6《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership)(以下简称“RCEP”)
新加坡为RCEP成员国。在RCEP第十二章“电子商务”中,RCEP规定了跨境传输数据的规则,并限制成员国政府对数字贸易施加各种限制,包括数据本地化(存储)要求等。RCEP还对贸易相关文件材料数字化、使用电子签名、电子认证、垃圾邮件等领域进行了规范,旨在促进跨境贸易的同时,保护区域内消费者个人信息安全。
6.新加坡数据跨境的合规要求
新加坡跨境数据传输需要履行PDPA和PDPR项下的合规要求;除此之外,新加坡是APEC的成员国,可以通过进行APEC CBPR认证或者APEC PRP认证实现跨境数据传输。
6.1PDPA和PDPR项下跨境传输的合规要求
6.1.1PDPA第26条对于数据跨境传输作出了规定:
(1)对于跨境传输的数据,机构应当按该法律规定建立个人信息保护标准,确保被传输的数据得到与新加坡法律相当的保护,否则不得进行跨新加坡国境传输。
(2)PDPC可以根据机构的申请,通过书面通知豁免机构前述跨境合规义务。
(3)可豁免的情形可以由PDPC书面说明;豁免不需要在政府公报中公布,并且PDPC随时可撤销豁免。
(4)PDPC可以随时增加、改变或撤销豁免的具体适用情形。
6.1.2PDPR第三部分对PDPA第26条进行了补充,数据的跨境传输需符合以下合规要求:
(1)个人同意或被视为同意将其个人数据传输给新加坡以外的国家或地区的接收方;
(1)将个人数据传输给新加坡以外的国家或地区的接收方对于保护数据主体利益以及国家利益是必要的;
(2)传输方已采取合理的措施对确保其对所传输的数据提供的保护不低于新加坡法律规定的标准;
(3)传输机构确保数据接收方不会为除了数据处理目的之外的其它任何目的而使用或披露该个人数据;
(4)传输的个人数据是已经处于传输状态中的数据,或者是该个人数据在新加坡是公开的。
6.1.3PDPR进一步明确了个人同意的例外情形:
(2)个人在作出同意表示之前没有得到一份关于其个人数据即将传输到的国家或地区对于个人数据的保护标准与新加坡法律相当的书面提示;
(1)数据的传输方要求个人同意数据的传输,并以此作为其提供产品或服务的条件;
(2)数据的传输方通过提供虚假或误导性的转让信息或者通过其他具有诈骗性或误导性的方式试图获得个人对转让的同意。
6.1.4此外,新加坡要求数据的传输方必须采取适当的措施确保数据的接收方受到法定义务的约束。该法定义务,根据PDPR的规定,包括以下对个人数据接收方施加的义务:
(3)境外接收者所在国的数据保护法律;
(1)与境外接受者签订数据传输协议(PDPC已发布合同示范条款,类似于欧盟的SCC);
(2)具有约束力的公司规则(Binding Corporate Rules);
(3)任何其他具有法律约束力的文件。
施加的法定义务的目的是使数据的传输方确保其为传输的数据提供的保护标准至少与PDPA相当。
6.2APEC CBPR或APEC PRP认证的合规要求
新加坡承认APEC CBPR体系和APEC PRP体系在新加坡境内的有效性,并且修订了PDPR第12条以规定如果数据的境外接收方通过APEC CBPR认证或者APEC PRP认证,则可视为满足新加坡法律对于数据传输接收方的合规要求,即“不低于本法保护水平的个人数据保护标准”。新加坡国内的传输方可以直接将个人信息传输给已经取得认证的企业而无需满足其他的要求。
新加坡于2018年加入了亚太经合组织主导的APEC CBPR体系和APEC PRP体系。
(1)APEC CBPR体系:
根据CBPR的官方文件,CBPR的规范对象为自愿参与个人信息跨境传输业务的企业,而不包括政府。想要通过CBPR体系认证的企业需要通过CBPR体系对于企业所在国当前的隐私保护法、隐私保护执法机构、隐私信任认证机构、隐私法的评估。该评估的标准为APEC的隐私框架所规定的九项隐私政策,即:责任制,防止危害,通知,选择,收集限制,个人信息的使用,个人信息的完整性,安全保护措施以及访问和更正。
通过CBPR认证的企业,由于统一承诺并遵循APEC隐私框架提出的九项隐私政策,个人数据在CBPR认证的企业之间流动不受阻碍。由于这些公司都通过同一套原则来保护个人信息,参与CBPR的国家就不得再以保护个人信息为理由,阻碍个人信息的跨境流动。
PDPC建立了一项与CBPR认证对接的认证(IMDA Data Protection Certification)。拟申请认证的企业需要满足以下条件并向IMDA(The Info-communications Media Development Authority)提交申请:
(i)根据新加坡法律成立或认可的;
(ii)住所在新加坡,或在新加坡设有办事处或经营场所。并且不属于PDPA所定义的公共机构(Public Agency)。
新加坡境内设立了七个评估机构,评估机构的职责是以独立的身份评估一个企业的数据保护做法是否符合APEC CBPR的要求。通过该评估后,企业即可通过CBPR认证。每次认证的有效期为1年,企业需要至少在有效期届满的3个月前向IMDA再次申请认证。
(2)APEC PRP体系:CBPR体系的目标对象是数据控制者而非数据处理者,数据处理者则可通过PRP体系认证证明自身的数据处理至少符合CBPR体系对数据控制者的数据处理隐私保护要求。PRP的认证要求与CBPR相同。
7.新加坡数据跨境的实务案例
7.1Belden Singapore案
(1)案件简介
Belden Group(以下简称“Belden”)是总部位于美国的全球网络、链接和电缆产品制造商,其在新加坡设有分支机构Belden Singapore(以下简称“Belden新加坡”)。Belden的人力资源管理统一由美国总部负责,因此Belden新加坡的员工数据传输到美国总部的服务器上。Grass Valley USA(以下简称“GV美国”)原隶属于Belden。Grass Valley Singapore PTE Ltd(以下简称“GV新加坡”)是GV美国在新加坡的分支机构。2020年7月GV美国与GV新加坡一同被另一家公司X收购。为了解决并购过渡期的数据问题,Belden与GV美国签订了《数据共享协议》(Data Share Agreement,以下简称“DSA”),约定由Belden在并购交割完成之前继续负责GV美国的员工数据。因此,GV新加坡将自己员工的数据传输到了Belden美国的服务器上。
2020年11月12日,Belden美国总部IT部门发现信息系统异常,进而发现了数据泄露时间,泄露的数据包括Belden新加坡和GV新加坡总共189名员工的个人数据。
2020年11月19日、20日,Belden新加坡和GV新加坡先后向PDPC报告上述数据泄露事件。
2021年12月9日,PDPC在调查后发布公开处罚决定。
(2)处罚决定及分析
PDPC在处罚决定书中仅对Belden新加坡发出警告而并未作出任何处罚。
PDPC认为根据PDPA的规定,个人数据的跨境传输需要满足“不低于PDPA的保护水平”。为了达到这种标准,Belden新加坡除了必需确保其数据跨境传输行为遵守PDPA和PDPR的规定(取得个人的明示或默示同意)之外,还应确保接收者受“法律强制义务”的约束,即:接收国的数据保护达到与PDPA适当保护水平的法律;数据传输协议;有约束力的公司规则。
PDPC认为DSA中有关数据跨境传输的内容符合PDPA关于传输限制义务的规定,能够确保GV新加坡采取的必要措施以保障个人数据“不低于PDPA的保护水平”;同时考虑了DSA中关于识别个人数据跨境传输安全风险、协助方协助义务的条款,以及作为接收方的Belden的内部公司规则,最终确定GV新加坡未违反PDPA的传输限制义务。
此外,尽管本次数据泄露造成影响巨大,PDPC仅作出的警告处罚不符合传统意义上的比例原则,但是这种处理方式也是新加坡数据保护有别于其他国家的特殊之处。PDPC认为Belden内部的《全球数据传输协议》(Global Data Transfer Agreement)是具有约束力的集团内部合同,且其对数据跨境传输的保护范围已经达到了“不低于PDPA的保护水平”。PDPC据此认定Belden新加坡已经采取了相应的保护措施,因此仅对Belden新加坡发出警告。
7.2Toll Holdings
(1)案件简介
拓领控股有限公司(“拓领控股”)是一家总部位于澳大利亚的综合物流服务提供商。拓领物流(亚洲)有限公司(Toll Logistics),拓领环球货运(新加坡)有限公司(Toll Forwarding),拓领海洋石油服务有限公司(Toll Offshore)和拓领(TZ)有限公司(“Toll TZ”)是在新加坡注册的实体(统称“实体”),属于以拓领控股为首的跨国公司集团的一部分(“集团”)。
拓领控股使用某爱尔兰供应商提供的人力资源软件平台。集团各实体将其员工的个人数据上传到人力资源平台,数据由爱尔兰的供应商在欧洲经济区的数据中心托管。在被攻击之前,拓领控股的首席人力资源官从人力资源平台上提取了与1,748名实体的现雇员和前雇员有关的个人数据,并将它们传输到澳大利亚的一个服务器。2020年6月,拓领控股向PDPC通报了勒索软件攻击,其中澳大利亚服务器中的员工个人数据遭到泄露。
(2)处罚决定及分析
PDPC对该事件进行的调查,并认为:人力资源平台在2014年7月2日之前的数据跨境传输是正常的职能过程;2014年7月2日之后则受到《2014年个人数据保护条例》第三部分的要求的限制;2021年2月1日之后的数据跨境传输受到PDPR第三部分的限制。
根据PDPR的规定,各传输实体需要采取适当的措施,确保数据的传输,即本案中通过人力资源平台从新加坡转移到欧洲经济区存储的个人数据受到与PDPA相当的保护标准。PDPC则认为,现有证据无法证明各传输实体采取了上述PDPR规定的措施。因此,各实体被确定为违反了PDPA和PDPR的规定。
关于各实体的保护义务,PDPC认为虽然各实体签订了企业服务协议,将各种企业职能集中到拓领控股,但是企业服务协议并不涉及数据保护,因此数据保护义务仍然属于各实体。PDPC援引WTS Automotive Services Pte Ltd [2018] SGPDPC 26的判例并认为实体可以通过其他的服务提供者来履行其保护义务。企业服务协议中约定,拓领控股向各实体提供信息技术支持服务且已经实施方案保护新加坡服务器的个人数据,得益于此,新加坡的数据并没有泄露。因此PDPC认为,实体没有违反保护义务且采取了相应的保护措施。
拓领控股在集团范围内采取了一系列的补救措施,包括但不限于暂时切断互联网的连接、隔离所有受影响的服务器,聘请第三方专家协助,升级了用户访问系统并设置所有管理员密码等。此外,在PDPC的调查过程中,拓领控股表示其内部已经签署了一份《新加坡数据输出协议》(以下简称《协议》),管理集团内部各实体向拓领控股(及随后可能成为协议一方的集团其他成员)传输的个人数据,该《协议》达到了PDPA相当的保护标准。
考虑了以上所有因素,PDPC仅作出警告的处罚。
