数据跨境合规｜新加坡数据保护合规要点

一、新加坡数据保护立法总结

在立法方面，2012年，新加坡颁布了《个人数据保护法》（Personal Data Protection Act，以下称PDPA），该法是一部规范个人数据的收集、使用和披露的综合性立法。为了更好地执行PDPA，新加坡还针对特定领域（如电信业、房地产行业、教育行业、医疗行业等）配套出台了各项个人数据保护指南，以指导企业更好地对个人数据进行保护。

在机构设置方面，新加坡政府于2013年成立了个人数据保护委员会（Personal Data Protection Commission，以下称PDPC），负责管理和执行《个人数据保护法》的实施，并代表新加坡政府处理有关数据保护相关的国际事务。PDPC设立于新加坡信息媒体发展局（IMDA）之下，IMDA是新加坡通信信息部（MCI）的主要分支机构，MCI的主要负责监督个人信息保护领域的事项，并负责起草相关政策。

总体来看，新加坡的数据保护立法体系较为完备。相较于其他东盟国家，其对个人数据的保护水平更高。同时，新加坡作为区域经济中心，具备诸多优势。大量国际企业及知名云服务提供商如微软、AWS、华为云、阿里云在新加坡均建设有云服务器节点，当地电力、网络设施完备，网络延迟低。种种优势使得新加坡成为众多中国出海企业在东盟地区部署云服务器的首选之地。

然而，值得注意的是，PDPA针对违反其所规定的数据保护义务的法律责任较为严苛（最高可达相关组织机构年营业额的10%）[1]。鉴于此，若中国出海企业决定在新加坡拓展业务或部署云服务器，务必要格外留意严格遵循PDPA所规定的各项数据合规义务，重视合规风险防控。

二、新加坡数据保护主要法律法规

法案

1. 《个人数据保护法》（Personal Data Protection Act，PDPA）

2013年1月2日新加坡《个人数据保护法》正式发布，并于2013年1月开始按部分生效。2020年，新加坡通信信息部（MCI）和个人数据保护委员会（PDPC）发布了PDPA的修订草案，《个人数据保护法（2020修正）》自2021年2月1日起分阶段生效，修订后的PDPA加入了更多强化数据保护和促进数据利用的条款，其中修订内容中关于数据可携权的内容尚未生效。

PDPA是新加坡个人数据保护的一部综合性法律，是对《银行法》和《保险法》等针对特定行业的立法和监管框架的补充。PDPA详细规定了机构/企业收集、使用和披露个人数据的合规要求，并赋予公民个人数据被保护的权利，确保公民的个人数据不被滥用，且在个人数据受到侵害时可寻求法律保护。另外，PDPA还设立了“谢绝来电”登记制度（Do Not Call，DNC），个人可将其新加坡电话号码在DNC Register上进行注册，以确保其只接收他们想要收到的电话营销信息。

2.《网络安全法》（Cybersecurity Act 2018）

新加坡2018年《网络安全法》为新加坡监督和维护国家网络安全建立了法律框架，旨在提升国家整体网络安全水平，保护关键信息基础设施（CII）免受网络攻击。该法案明确了CII的定义，涵盖能源、水、医疗、金融、交通、信息通信、媒体、安全与应急、政府、航空航天和海事等11个关键领域，要求CII所有者履行一系列网络安全义务，包括定期进行风险评估、实施安全审计、制定网络安全事件响应计划，并在发生重大网络安全事件时及时向新加坡网络安全局（CSA）报告。

2024年5月新加坡议会通过了《网络安全（修正）法案》，该修正法案在2018年法案的基础上，进一步扩大了《网络安全法》的适用范围，以涵盖新类别的受监管实体，包括数字基础设施服务提供商（FDIS），如云服务提供商和数据中心，以及持有敏感数据并执行重要公共功能的特殊网络安全利益实体（ESCIs），以应对不断演变的网络威胁。虽然《网络安全法》并非专门的数据保护法律，但其中包含一些涉及数据保护和信息保密的条款，主要涉及在网络安全事件监管和调查过程中，对信息（包括可能涉及个人数据的信息）的收集、使用和保护。值得注意的是，根据《网络安全（修正）法案》，新加坡网络安全局现在可处以民事处罚而非刑事处罚，可施加的最高罚款金额也大幅提高，可达相关实体在新加坡年度营业额的10%。

实施细则

为了更好地执行PDPA，包括PDPC在内的新加坡相关主管机关发布了一系列实施细则（条例），以帮助企业更好地落实PDPA的相关规定：

1. 《个人数据保护条例》（Personal Data Protection Regulations，PDPR）

2014年发布的《个人数据保护条例》是PDPA的主要附属立法规定，PDPR主要对查阅、更正及转移个人数据的行为作出了规制。

2. 《个人数据保护（违法构成）条例》（Personal Data Protection (Composition of offences) Regulations）

该条例是PDPC根据PDPA第55（4）赋予的权利，对可与PDPA第55（1）条和第55（2）条的罪名构成竞合的条款的规定。

3. 《个人数据保护（谢绝来电注册表）条例》（Personal Data Protection (Do Not Call Registry) Regulations）

该条例是在PDPA第九章内容规定的“谢绝来电”登记制度的基础上，对谢绝来电登记制度的管理、申请“谢绝来电”登记的条件与方式、根据该制度的相关规定电信服务提供商应履行的义务以及“谢绝来电”登记制度的相关期限问题作出了详细规定，有助于“谢绝来电”制度的落地实施。

4. 《个人数据保护（执行）条例》（Personal Data Protection (Enforcement) Regulations）

该条例主要对数据保护法的执行进行了细化规定，主要内容包括个人数据保护的监管机构、个人就其个人数据处理提出投诉的流程、监管机构的执法流程以及数据泄露通知义务的实施细则。

5. 《个人数据保护（数据泄露通知）条例》（Personal Data Protection (Notification of Data Breaches) Regulations）

该条例主要对组织的数据泄露通知义务的实施细则作出了约定，对如何判断是否属于应通知的数据泄露事件以及如何通知PDPC和受影响的个人进行了细化规定。

6. 《个人数据保护（上诉）条例》（Personal Data Protection (Appeal) Regulations 2021）

该条例主要规定了受到PDPC执法处置的组织应当如何依法提起上诉。

指引

除上述条例外，PDPC亦会发布一些咨询指引、针对特定行业的咨询指引以及其他适用指引，但需注意，该等指引仅属于咨询性质，并不构成法律意见，对PDPC或其他组织并不具有法律约束力。

1. 咨询指引

(1)2022年5月17日修订的《关于<个人数据保护法>主要概念的咨询指引》（Advisory Guidelines on Key Concepts in the Personal Data Protection Act）；

(2)2024年5月23日修订的《关于<个人数据保护法>特定专题的咨询指引》（Advisory Guidelines on the Personal Data Protection Act for Selected Topics）；

(3)2021年4月1日修订的《关于谢绝来电的咨询指引》（Advisory Guidelines on the Do Not Call Provisions）；

(4)2015年5月8日发布的《关于市场推广需要征得同意的咨询指引》（Advisory Guidelines on Requiring Consent for Marketing Purposes）；

(5)2022年10月1日修订的《关于数据保护规定执行的咨询指引》（Advisory Guidelines on Enforcement of Data Protection Provisions）；

(6)2023年7月28日修订的《关于将PDPA应用于选举活动的咨询指引》（Advisory Guidelines on Application of PDPA to Election Activities）；

(7)2024年12月14日修订的《关于国民身份号码及其他类别国民身份号码的<个人数据保护法>咨询指引》（Advisory Guidelines on the Personal Data Protection Act for NRIC and other National Identification Numbers）；

(8)2024年3月1日发布的《关于在人工智能推荐和决策系统中使用个人数据的咨询指南》（Advisory Guidelines on use of Personal Data in AI Recommendation and Decision Systems）；

(9)2024年3月28日发布的《数字环境下〈个人数据保护法〉关于儿童个人数据的咨询指南》（Advisory Guidelines on the PDPA for Children’s Personal Data in the Digital Environment）。

2. 针对特定行业的咨询指引

(1)2014年5月16日发布的《电信行业咨询指引》（Advisory Guidelines for the Telecommunication Sector）；

(2)2014年5月16日发布的《房地产中介行业咨询指引》（Advisory Guidelines for the Real Estate Agency Sector）；

(3)2024年4月25日修订的《教育行业咨询指引》（Advisory Guidelines for the Education Sector）；

(4)2023年9月20日修订的《医疗保健行业咨询指引》（Advisory Guidelines for the Healthcare Sector）；

(5)2024年1月18日修订的《社会服务业咨询指引》（Advisory Guidelines for the Social Service Sector）；

(6)2018年5月22日修订的《运输服务出租汽车车内录音咨询指引》（Advisory Guidelines on In-vehicle Recordings by Transport Services for Hire）；

(7)2022年5月17日发布的《公司管理咨询指引》（Advisory Guidelines for Management Corporations）。

3. 行业主导的指引

(1)2015年4月1日发布的《<个人数据保护法>下的人寿保险公司业务守则》（LIA Code of Practice for Life Insurers on the Singapore Personal Data Protection Act）；

(2)2015年4月1日发布的《<个人数据保护法>下的固定保险代理人行为守则》（LIA Code of Conduct for Tied Agents of Life Insurers on the Singapore Personal Data Protection Act）；

(3)2023年4月28日发布的《关于LockBit3.0的联合技术咨询指引》（Joint Technical Advisory on LockBit 3.0）；

(4)2024年9月9日发布的《关于GhostR联合威胁警告的指引》（Joint Threat Advisory on GhostR）。

三、新加坡数据保护监管机构

新加坡政府于2013年1月2日成立了个人数据保护委员会（Personal Data Protection Commission，PDPC）。PDPC是新加坡数据保护的主要监管机构，负责管理和执行PDPA，PDPC旨在监督个人数据保护工作，以营造企业和消费者之间的可信环境。

根据PDPA第6条的规定，PDPC的具体职能包括：

1.促进新加坡数据保护意识的提升；

2.提供与数据保护相关的咨询、建议、技术、管理或其他专业服务；

3.就与数据保护相关的各项事务向政府提供建议；

4.代表政府在国际上处理与数据保护相关的事务；

5.开展与数据保护相关的研究和学习，促进相关的教育活动，包括组织和举办相关的研讨会和座谈会，并支持其他组织开展此类活动；

6.管理与其他组织（包括外国数据保护机构以及国际或政府间组织）在数据保护领域的技术合作与交流，代表委员会或政府开展此类活动；

7.执行和实施PDPA；

8.执行根据其他法律赋予PDPC的职能，例如受理DNC申请，负责监督“谢绝来电”（DNC）登记处；

9.从事部长在政府公报上通过命令授权或委派给委员会的其他活动和职能。

四、PDPA下的基本概念

新加坡的《个人数据保护法》（PDPA）和中国的《个人信息保护法》都是两国对于个人数据保护的主要法律，但由于两国之间的法律体系与实际情况不同，数据治理的侧重与方式也存在一定的差异，因此对于中国企业来说，有必要了解PDPA的一些基本概念，以便更好地应对PDPA下的合规要求。

1.数据控制者

PDPA中并没有“数据控制者”的定义，而是使用“组织”来指代需要遵守PDPA的实体。根据PDPA第2（1）条的规定，PDPA中的组织定义广泛，包括个体、公司、协会或任何个人、法人或非法人组织形式的机构，不论其是否符合以下条件：

(1)依据新加坡法律成立或认可；

(2)系新加坡居民，或在新加坡设有办事、营业组织。

2.数据处理者

PDPA中并没有“数据处理者”的定义，而是使用“组织”和“数据中介”的概念。根据PDPA第2（1）条的规定，数据中介，是指代表另一组织处理个人数据的组织，但代表另一组织处理数据的员工不属此列。但PDPA并未对数据中介在根据以书面形式证明或订立的合同代表另一组织并为另一组织之目的处理个人数据时应承担的义务进行规定。

3.个人数据

根据PDPA第2（1）条的规定，个人数据，是指能够从该数据中识别出具体个人身份的数据，不论这些数据真实与否；或者能够通过将该数据与该组织已经或可能访问的其他信息相结合而识别出该个人的数据，一般不包括业务联系信息。其中个人指任何在世或已故的自然人。

4.敏感个人数据

新加坡PDPA中并没有对敏感个人信息作出定义，但发布的《个人数据保护（数据泄露通知）条例》中规定了一旦被泄露则视为对个人造成重大伤害的数据字段，该类数据字段的敏感程度可以理解为高于一般的个人数据。具体而言，根据PDPC发布的《个人数据保护（数据泄露通知）条例》后附的个人数据清单，PDPC表示如果这些数据发生数据泄露，将被视为对个人造成重大伤害。其中包括以下几大类个人数据：

(1)未公开披露的财务信息；

(2)可能属于弱势个体的个人数据（例如，涉及因犯罪而被捕的未成年人数据）；

(3)未公开披露的人寿、意外和健康保险信息；

(4)特定的医疗信息，包括艾滋病毒感染的评估和诊断；

(5)与收养事宜相关的信息；

(6)用于验证任何以数字方式签署电子记录或交易的私钥；以及

(7)个人账户标识符和访问个人账户的数据。

5.数据处理

根据PDPA第2（1）条的规定，个人数据的“处理”，是指对个人数据执行的一种或一系列处理活动，包括记录（recording）、保存（holding）、统编、调整或更改（organization, adaptation or alteration）、检索（retrieval）、结合（combination）、传输（transmission）、删除或销毁（erasure or destruction）。

6.数据主体权利

PDPA赋予了数据主体知情权[2]、限制或拒绝处理权[3]、访问权[4]和更正权[5]。PDPA并未明确数据主体是否享有删除权，但根据第16（4）条、第20（1）条、第22条和第25条的规定，组织应在个人数据不再服务于原收集目的，且继续保留不再出于法律或商业目的所必需时，停止保留该数据或移除可使个人数据与特定个人相关联的方法。此外，2021年修订生效的PDPA还对数据可携带权作出了规定，但相关规定尚未生效。

7.同意和推定同意

根据PDPA，组织在收集、使用或披露个人数据之前需取得个人的同意或推定同意，除非法律另有规定，具体而言：

(1)PDPA第14（2）条规定，组织不得以提供产品或服务为条件，要求个人同意组织超出该产品或服务所需的合理范围来收集、使用或披露其个人数据；组织不得通过提供虚假或误导信息或使用欺骗性或误导性做法来取得同意。

(2)PDPA第16条规定，个人有权随时撤回同意。组织应告知个人撤回同意后可能面临的后果，并在同意被撤回后停止收集、使用或披露个人数据，除非法律另有规定。

(3)PDPA第17条规定，组织有权出于保护个人重大利益、影响公众事务、保护组织或他人的重要利益、参与商业资产交易、商业改进等目的，在满足了相关条件后收集、使用和披露个人数据。

五、PDPA的主要内容

（一）适用范围

根据PDPA的第4条的规定，只要涉及处理新加坡自然人的数据，其数据处理行为均受到PDPA的管辖，无论其是否在新加坡成立、是否居住在新加坡、是否在新加坡设有办事处或营业点。换言之，PDPA的管辖范围仅以数据主体是否是新加坡自然人来确定。

PDPA第2条将个人数据定义为与在世或已故的个人相关的数据，不论数据的真实性如何，只要该数据独立或与组织已获取或可能获取的其他信息相结合后，能够识别出特定的个体即可。

适用主体：包括所有在新加坡境内收集、使用或披露的个人数据的自然人、个体工商户、合伙企业、公司或其他形式的组织。

例外[6]：

1．以个人或家庭为基础行事的个人；

2．以机构员工身份行事的个人；

3．收集、使用或披露个人数据相关的公共机构。

适用范围：所有以电子或非电子形式存储的个人数据。

例外：

1.为履行合同代表另一个组织并为该组织的目的处理个人数据的数据中介[7]；

2.业务联系信息，如个人姓名、职位或头衔、业务电话号码、业务地址、业务电子邮件、业务传真号码和类似信息，这些信息并非仅出于个人目的而提供[8]；

3.处理至少存在100年的记录中的个人数据以及已故10年以上的个人数据[9]。

（二）数据保护官的设立

根据PDPA，组织应当指派一名或多名个人负责确保该组织遵守本法，且应当向公众提供至少一名DPO的联络方式。

根据PDPC在其官网发布的信息[10]，DPO的主要职责包括但不限于：

1．确保公司对PDPA的遵守；

2．培养公司数据保护的文化；

3．高效地处理与数据有关的问询；

4．个人数据风险的预警管理；

5．需要的时候与PDPC联络。

法律对于担任DPO的资格并未作出限制，只需要确保被指定作为DPO的个人可以履行PDPA规定的各项职能即可。并且根据PDPA第11（4）条，被指定作为DPO的个人还可以将自己所被授予的职责分配给其他的个人，换言之，被指定为DPO的人还可以将其工作外包给律所等服务提供商。此外，DPO可以被设置为一个专门的岗位，也可以由公司现有的员工兼任。

企业通过ACRA Bizfile+更新/登记DPO的信息后，PDPC将为企业个人数据保护工作的开展及DPO的工作提供相应的支持。企业的DPO还可以享有包括有关PDPC的最新资讯、针对提升数据保护能力的免费研讨、对数据泄露的关键趋势的见解等。

（三）数据处理者的数据保护义务

根据PDPA[11]，如果组织开展收集、使用或披露相关个人数据有关的数据处理活动，则应当履行以下11种数据保护义务（其中数据可携性义务尚未生效）。

分类	义务	详情
个人数据的收集	告知义务	组织在收集、使用或披露个人数据前必须向个人解释收集个人数据的原因及使用目的和范围。
	同意义务	在收集、使用或披露个人数据时，各组织必须先征得个人的授权同意，并且在个人给予合理的通知后，允许个人撤销同意。在撤销同意后，各组织必须停止收集、使用和/或披露这些个人资料。
	目的限制义务	各组织只可收集、使用或披露个人同意的用途，这些个人数据只可被使用在适用于各组织提供的产品或服务的合理范围内。
个人数据的保护	准确性义务	组织需要确保所收集的个人数据的完整和准确性，尤其是在依据该个人数据作出对该个人存在影响或该个人数据将向其他组织披露时。
	保护义务	各组织应制定必要的安全措施，以保护个人数据的安全，以防止个人数据遭受未经授权的访问、收集、使用、披露、复制、更改、处置或其他类似的风险威胁。
	存储限制义务	各组织只可在法律或业务的所需的目的之下保留个人数据。如果数据储存对商业目的的实现或者收集个人资料的目的已不再是必需时，则相关组织必须停止存储这些个人数据，或移除个人数据与特定个人的关联。
	数据传输限制义务	如果各组织需要将个人数据转移到海外，需要确保数据传输的目标国可提供与PDPA同等级别的数据保护标准。
数据主体权利	访问及更正义务	在接到相关个人的请求后，组织应当向其提供其一年内其个人数据被使用和被披露的有关信息，如果个人要求更正其个人资料中的任何错误或遗漏，组织必须接受该要求并作出更正。
	数据泄露通知义务	发生数据泄露事件时，组织必须采取措施评估该事件是否需要通报。如果数据泄露有可能对个人造成重大损害，和/或泄露规模较大，那么组织需在切实可行的情况下尽快通知PDPC以及受影响的个人。
	数据可携性义务（尚未生效）	应个人要求，组织需将其掌握或控制的个人数据，以常用的机器可读格式传输给另一个组织。
问责制		组织应严格遵守PDPA所规定的义务，例如，根据要求提供企业的隐私政策、实践操作和投诉流程。同时，企业需要任命至少一位数据保护官（DPO）并向公众提供其具体联系方式。

（四）个人数据的跨境传输

根据PDPA第26条的规定，任何组织不得将任何个人数据传输至新加坡以外的国家或地区，除非相关组织确保接收方对传输的个人数据提供至少与PDPA保护水平相当的保护措施。

其中，组织是指任何个人、公司、协会或团体，无论其是法人还是非法人，无论其是否依据新加坡法律成立或受其认可或其住所地在新加坡或在新加坡设有办事处或营业场所。

数据接收方是指在新加坡以外的国家或地区接收数据传输方或代表数据传输方传输个人数据的组织，但不包括：

(1)数据传输方；

(2)数据传输方的雇员在受雇于该组织期间的行为；

(3)仅作为网络服务提供商或运营商接收个人数据的组织；或

(4)从个人数据接收方处接收个人数据的任何组织。

另外，根据《个人数据保护条例》第10-12条的规定，组织可以通过以下方式满足数据跨境传输的合规义务：

1．接收方受到与PDPA同等保护水平的法律管辖；

2．与接收方签订数据处理协议，该数据处理协议应约定个人数据可以被传输到新加坡境外的国家或地区，且该数据处理协议应约定接收方履行与PDPA同等的保护义务；

3．集团内签订具有约束力的公司规则制度，要求集团内数据接收方提供不低于新加坡法的数据保护水平；

4．取得个人关于数据跨境的同意或视为同意。

值得注意的是，新加坡的“同意”包括“视为同意”（deemed consent），根据PDPA，“视为同意”可区分成视为行为同意、依据合同必要性被视为同意以及通知视为同意三种情形。具体而言：

视为行为同意是指，个人主动提供个人信息，且该等提供行为是合理的，该等情形下，组织仍需要履行告知义务。

依据合同必要性视为同意是指，个人数据从组织A向另一组织B披露，这对于个人与组织A之间的合同或交易的缔结或履行是必要的。

通知视为同意是指，组织在通过该种方式获得个人同意时，应当履行开展DPIA、履行告知义务并为个人提供合理的选择退出期限的义务。

5．接收方取得特定的数据保护认证[12]（如果接收方是数据中介机构，则通过亚太经合组织（APEC）数据处理隐私识别体系或跨境隐私规则授予的认证，如果是其他情况，则取得亚太经合组织（APEC）跨境隐私规则授予的认证）。

此外还需注意，若企业想通过上述第3种途径满足数据跨境的合规需求，则必须满足数据接收者与传输该个人数据的机构之间有关联。即：

(1)接收方直接或间接控制该数据传输方；

(2)接收方直接或间接地受数据传输方的控制；

(3)接收方和传输方直接或间接地受同一人的控制。

在实践中，考虑到新加坡完善的数据保护环境，许多企业选择将云服务器部署在新加坡，但企业需要注意以下几点，以免因未满足新加坡的数据跨境传输合规要求而遭到处罚：

1.聘用数据中介的“连带责任”：若企业在新加坡当地的数据处理活动聘用了数据中介，且该数据中介进行的数据处理活动涉及个人数据的跨境传输，则企业需承担该数据中介进行数据跨境传输行为所对应的传输限制义务。[13]

2.第三国数据安全事件引起的“蝴蝶效应”：若企业未履行上述数据跨境传输的合规义务，即使该等个人数据已经离开新加坡存储在第三国，企业仍有可能因发生在第三国的数据安全事件而受到PDPC的处罚。

3.数据出境的例外情形：对于数据过境传输（Data in Transit）行为，企业并不需要履行前述数据跨境传输的义务。数据过境行为是指数据通过新加坡传输到新加坡以外的国家或地区，被传输的个人数据在新加坡期间不被任何组织（数据传输组织及受雇为该传输组织工作的员工除外）访问、使用或披露。

（五）个人数据本地化存储要求

PDPA并未对个人数据的本地化存储作出规定，但根据前文所述，个人数据只有在满足特定条件的情况下方被允许进行跨境传输。

（六）个人数据保护影响评估（DPIA）

根据PDPA，组织在进行收集、使用或披露个人数据的数据处理活动时，应当履行PDPA对其规定的11项义务。为了满足PDPA的合规要求，组织应当形成数据保护合规管理方案（DPMP）。为确保DPMP能够满足PDPA的合规要求，企业在进行数据处理活动前，PDPC建议企业首先进行个人数据保护影响评估（DPIA）。

根据PDPA的第15A条及附表一第三部分第1条的规定，组织在取得未经通知反对的推定同意，以及为保护组织或其他人的重要利益而收集、使用或披露个人数据前，应当进行个人数据保护影响评估（DPIA），以评估和降低对个人数据造成的潜在风险。此外，企业还应当告知个人拟开展的新的数据处理活动的意图、目的、提出反对的合理期限及方式等。

根据PDPC官网发布的指引[14]，完整的DPIA流程应当包括以下步骤：

(1)识别系统或流程所处理的个人数据，以及收集这些个人数据的目的；

(2)识别个人数据在系统或流程中的流转方式；

(3)根据PDPA要求或数据保护最佳实践，分析所处理的个人数据及其流转方式，以识别数据保护风险；

(4)通过修改系统或数据处理流程，或引入新的制度来解决已识别出的风险；

(5)在系统或流程生效或实施之前，检查以确保已充分解决识别的风险。

具体应当如何开展DPIA，例如人员选用、职责划分等，企业可登录PDPC官网，查看其发布的相关操作指引。

（七）数据泄露的通知

根据PDPA第26（A）条的规定，新加坡PDPA下的数据泄露，是指对个人数据的任何未经授权的访问、收集、使用、披露、复制、修改或处置的行为。数据泄露事件还包括对任何用于存储个人数据的存储介质或设备的丢失的情况。

根据《个人数据保护（数据泄露通知）条例》，如果组织发生了数据泄露事件，该组织必须采取合理与迅速的措施来评估该数据泄露事件根据PDPA的规定是否需要履行数据泄露事件通报义务。对数据泄露事件的评估的任何不合理的拖延都将被视为违反了数据泄露事件通报义务。发生数据泄露事件的组织应当在30天内做出上述评估。若组织无法在30天内完成该评估，那么该组织应当向PDPC解释进行有关评估所实际发生的时间或者具体到底需要多久才能完成评估。

1.个人数据泄露事件是否需要通知的判断标准[15]

(1)对个人造成伤害的严重程度

如果该数据泄露事件给受影响的个人或可能给受影响的个人造成重大损害，那么该数据泄露事件便属于应通知的数据泄露事件，涉事组织应当帮助受影响的个人采取相应的保护措施，例如及时更改密码、注销信用卡等。

(2)个人数据泄露的规模

如果该数据泄露事件涉及500名或者以上个人，即使该数据泄露事件不太可能对受到影响的个人造成重大伤害，涉事组织也必须及时向PDPC通报该个人数据泄露事件。

2.通知义务的履行期限

根据PDPA第26D条的规定，在发生数据泄露事件后，企业应对该数据泄露事件进行评估，若属于PDPA下应通知的数据泄露事件，则应当在72小时内通知PDPC，并在3天内通知受影响的个人。若涉事组织不合理地延迟通报PDPC和/或受影响的个人，则组织的行为可能被视为违反数据泄露事件的通报义务而遭到处罚。

3.通知应当包含的内容

根据《个人数据保护（数据泄露通知）条例》第5条的规定，组织向PDPC及受影响的个人通知数据泄露事件时，应当包含以下信息：

(1)数据泄露事件的详情；

(2)组织处理数据泄露事件的具体情况；

(3)组织至少一名授权代表人的联系方式（例如DPO）。

企业也可以访问PDPC官网，查看PDPC官方给出的对于数据泄露事件的应对指南。企业还可对照PDPC给出的指南[16]，自查企业目前的数据处理流程中是否存在已发生数据泄露的风险点，并据此做出相应的改进。

（八）营销信息的发送

PDPA的第九章规定了“谢绝来电”登记制度，根据该规定，企业在通过电话、短信（或传真）向新加坡号码发送营销信息时，需要做到以下几点：

1.发送营销信息前需确认目标号码不在DNC登记簿上，除非企业有证据证明向该号码发送营销信息已取得个人的明确同意（需以可查阅的书面或其他形式作出）；

2.对于以电话方式发送的营销信息，不得向接收者隐瞒来电身份；

3.向新加坡号码发送的营销信息应清晰准确，且该信息在发送后至少30天内有效。

此外，企业需注意，只要发送的营销信息与新加坡有联系，无论是信息接收方位于新加坡，还是信息发送方位于新加坡，均受到PDPA的规制。具体而言，包括以下主体：

(1)该信息源自新加坡，或该信息的发送人是：（i）信息发送时实际身处新加坡的个人；或（ii）根据新加坡法律成立或认可的实体，或在新加坡设有办事处或营业地点的实体；

(2)用于访问该信息的计算机、移动电话、服务器或设备位于新加坡；

(3)当访问该消息时，消息的接收者是：（i）实际居住在新加坡的个人；或（ii）在新加坡开展业务或活动的实体。

（九）法律责任

PDPC作为新加坡数据保护的监管机构，若其认为某组织违反了PDPA的数据保护义务，则PDPC有权要求该组织采取其认为适当的措施，以确保该组织的行为满足PDPA的规定。

根据PDPA，对于违反PDPA数据保护义务的组织，可能受到以下处罚：

1.指令（Direction）[17]

(1)停止收集、使用或披露违反PDPA的个人数据；

(2)销毁违反PDPA收集的个人数据；

(3)遵守PDPC依据PDPA第48（2）条发出的一切指示。

2.罚款（Financial Penalties）[18]

(1)对于在新加坡的年营业额超过1000万新元的组织机构—罚款不超过该组织机构年营业额的10%;

(2)对于在新加坡的年营业额超过2000万新元的组织机构，罚款不超过该组织机构年营业额的5%；

(3)对于个人，罚款不超过20万新元；

(4)在其他任何情况下，罚款不超过100万新元。

3.构成犯罪

违反PDPA对数据保护的规定，还可能构成犯罪，面临被罚款或处以监禁的风险。例如，若个人未经授权披露个人数据、不当使用个人数据和未经授权重新识别被匿名化的个人数据，可能构成犯罪，面临2年以下的监禁和/或5000新元以下的罚款。[19]

六、处罚案例

自PDPA生效以来，PDPC已对未尽到保护个人数据义务或侵犯个人数据的多家机构作出了处罚。下列是一些典型案例：

1.新加坡健康服务公司因数据泄露事件遭罚款[20]

2018年，新加坡健康服务私人有限公司（以下简称新康公司）的病例数据库系统遭到网络攻击，黑客从公司数据库中非法访问和复制近150万病人的个人数据和近160万门诊病人的处方记录，导致大规模的病人数据泄露。PDPC遂依受害人的投诉启动了调查程序，并在综合考虑证据、当事人陈述，以及公司方面事后所采取的有效补救措施等减轻情节后，认为新康公司和其数据库技术供应商（IHiS）负有主要责任，对两家公司分别作出了25万新加坡元（约125万元人民币）和75万新加坡元（约375万元人民币）的罚款指令。PDPC认为，新康公司作为医疗机构可以将部分业务外包给服务供应商，但不能将其PDPA规定的法定义务转移给他人。上述两公司最终自愿承认病历数据遭泄露的事实，接受PDPC的调查结果，同意按照PDPC的指令承担责任，并认为上述指令的处罚力度合理适当。

2.新加坡一电商企业因数据泄露事件遭罚款[21]

E-Commerce Enablers Pte. Ltd.是新加坡的一家电商企业，该组织运营一个在线平台，通过与商家合作提供购物返现服务，此外，该平台还提供优惠券、折扣码以及折扣比较功能。2020年，一黑客通过GitHub的提交历史记录发现该电商平台的AWS密钥，并利用此密钥访问了组织的AWS环境。该黑客随后对组织的数据进行了侦察，并通过更改安全设置、生成新的数据库实例等方式提取了该电商平台的客户数据。根据调查情况，PDPC认为该组织违反了PDPA第24条，即采取合理的安全措施来保护其控制的个人数据，以防止未经授权的访问、收集、使用、披露、复制、修改、处置或类似风险（数据保护义务），认为该组织对AWS的密钥管理流程存在缺陷，且未进行定期的安全审查工作，因此对该组织作出罚款74400新加坡元（约人民币398万元）的处罚指令。

3.两公司因违反数据跨境传输合规义务而遭处罚[22]

Shopify公司（以下称A公司）是一家总部位于加拿大的在线零售电子商务平台公司，Supernova公司（以下称B公司）是一家新加坡的在线零售商。B公司自2018年开始使用A公司的平台销售产品，A公司向B公司提供支付处理等服务。Shopify SG（以下称C公司）是A公司在亚太地区的数据子处理商，其主要通过平台收集客户个人数据（包括B公司的客户个人数据）并将数据从新加坡传输至加拿大的A公司，用于购买处理和平台处理。2019年7月1日，A公司与B公司间的服务协议被转让给了C公司。

2020年，两家位于菲律宾的A公司的服务承包商非法访问并窃取了A公司系统中存储的通过平台收集的用于购买处理和平台处理的客户个人数据。受影响的客户个人数据包括姓名、电子邮件地址、账单地址、邮寄地址、电话号码、银行识别号码、IP地址、顾客支付卡的最后四位数字以及23928人的购买历史。

PDPC认为当一个组织聘用一个数据中介代表其处理个人数据并用于该组织的目的时，该组织有责任就任何个人数据的跨境传输遵守传输限制义务。不论个人数据是由该组织转移给海外的数据中介，还是由新加坡的数据中介作为代表该组织处理个人数据的一部分而将个人数据传输到海外。因此，尽管B公司与C公司均不应对发生在A公司的数据安全事件负有直接责任，但两家公司均受到PDPA的约束。

根据PDPA第26（1）条的规定，组织向新加坡以外的国家或地区转移个人数据的组织必须采取适当措施，确保个人数据的接收方受到法律强制执行的义务，向被转移的个人数据提供至少与PDPA下的保护相当的保护标准。此种法律强制执行的义务可以通过合同或具有约束性的企业规则对接收方产生效力。由于B公司及C公司均未能通过合同或约束性公司规则方式履行传输限制义务，PDPC对两家公司分别做出指令，要求其在六个月内建立合规流程以确保满足传输限制义务的要求。

脚注:

[1]Cybersecurity (Amendment) Bill Article 18A(4)：

https://www.parliament.gov.sg/docs/default-source/bills-introduced/cybersecurity-(amendment)-bill-15-2024.pdf?sfvrsn=1bb05508_1

[2]Personal Data Protection Act Article 20(1):

https://sso.agc.gov.sg/Act/PDPA2012.

[3]Personal Data Protection Act Article 16(4).

[4]Personal Data Protection Act Article 21(1).

[5]Personal Data Protection Act Article 22.

[6]Personal Data Protection Act Article 4(1).

[7]Personal Data Protection Act Article 4(2).

[8]Personal Data Protection Act Article 4(5).

[9]Personal Data Protection Act Article 4(4).

[10]Responsibilities of the DPO: https://www.pdpc.gov.sg/overview-of-pdpa/data-protection/business-owner/data-protection-officers.

[11]Data Protection Obligations：https://www.pdpc.gov.sg/overview-of-pdpa/the-legislation/personal-data-protection-act/data-protection-obligations.

[12]Singapore Now Recognises APEC CBPR and PRP Certifications Under PDPA:https://www.pdpc.gov.sg/news-and-events/announcements/2020/06/singapore-now-recognises-apec-cbpr-and-prp-certifications-under-pdpa.

[13]ADVISORY GUIDELINES ON KEY CONCEPTS IN THE PERSONAL DATA PROTECTION ACT.

[14]Guide To Data Protection Impact Assessments：https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/other-guides/dpia/guide-to-data-protection-impact-assessments-14-sep-2021.pdf

[15]Personal Data Protection Act Article 26B。

[16]GUIDE ON MANAGING AND NOTIFYING DATA BREACHES UNDER THE PDPA:https://www.pdpc.gov.sg/-/media/files/pdpc/pdf-files/other-guides/guide-on-managing-and-notifying-data-breaches-under-the-pdpa-15-mar-2021.pdf

[17]Personal Data Protection Act Article 48I

[18]Personal Data Protection Act Article 48J

[19]Personal Data Protection Act Article 48D，48E, 48F

[20]https://www.pdpc.gov.sg/all-commissions-decisions/2019/01/breach-of-the-protection-obligation-by-singhealth-and-ihis

[21]https://www.pdpc.gov.sg/all-commissions-decisions/2023/08/breach-of-the-protection-obligation-by-ecommerce-enablers

[22]https://www.pdpc.gov.sg/all-commissions-decisions/2022/11/breach-of-the-transfer-limitation-obligation-by-shopify-commerce-singapore-and-supernova

-END-

本文仅代表作者个人观点，谨作学习交流之用，非商业性目的。如有侵权，敬请联系编者。所有事实描述、精确数字等均来自公开信息，包括但不限于招股书、网络新闻、法律法规等。任何仅依照本文的全部或部分内容而作出的行为或不行为而造成任何后果的，皆由行为人自行负担。若需要专业法律意见或其他专家建议的，应当向具有相关资质的专业人士寻求咨询或帮助。