犹太人有“十诫”要守,新加坡人和企业在收集、使用或披露个人资料时,也有“十项义务”须遵守,违反任何一项义务即触法。

Dentons瑞德律师事务所知识产权与科技业务部高级合伙人梁清龙律师说,个人资料保护法令还有尚未生效的第11项义务,允许个人要求机构将个资传输给另一个机构,称数据可移植义务。“尽管尚未生效,为谨慎起见,个人或企业应做好准备。”

梁清龙说,网络攻击日益普遍,任何处理个资的个人或企业,都必须采取保护措施和实施严格的程序。(Dentons瑞德律师事务所提供)

根据梁清龙,10项义务如下:

  • 责任义务:确保设立适当的数据保护政策和流程,以及委任资料保护官(Data Protection Officer,简称DPO),并公开他的联系。
  • 通知义务:通知个人的资料被收集、使用或披露。
  • 同意义务:只能依照个人所同意的目的收集、使用或披露资料,除非是法令明确规定的例外情况;个人应有权在合理通知的情况下撤回同意,并被告知撤回的后果。同意撤回后,机构不应再处理该个资。
  • 用途限制义务:收集、使用或披露个资的目的必须是合理的人(reasonable person)认为适当的情况,并征得同意。
  • 准确性义务:采取合理措施确保收集的任何个资完整准确。
  • 保护义务:实施合理的安全措施,防止个资遭受未经授权的访问、收集、使用、披露或类似风险。
  • 保留期限限制义务:当不再需要保留个资,则不得保留任何资料。
  • 转移限制义务:只有在得到与法令相当的保护下,才能将个资转移出新加坡。
  • 查阅和更正义务:应要求提供个人查阅个资,以及一年内个资如何被使用或披露的资料;更正个资的任何错误或遗漏。
  • 数据泄露通知义务:若发生数据泄露,评估是否须要进行通知。若须要,须在规定时间内通知个人资料保护委员会(Personal Data Protection Commission,PDPC)和受影响的个人。

根据个人资料保护法令,“个人资料”是可识别当事人身份的数据,不论数据真实或虚假,或机构持有或可能取得、足以识别当事人身份的数据。

个资包括身份证号码照片等

王律师事务所知识产权、科技和数据部门主管蓝仲年律师说,个人资料包括身份证号码、全名、照片、录音等。“在定义什么能构成个人资料时,应考虑资料是否与个人相关,以及相关者是否可从机构持有或可能取得的数据和其他信息中被辨别。”

王律师事务所知识产权、科技和数据部门主管蓝仲年律师说,发生数据泄露事件不一定意味着有关机构违反法令,得视每宗个案的情况而定。(王律师事务所提供)

Covenant Chambers副董事黄芊慧指出,个资不包括已存在至少100年、死亡满十年的死者的个资,以及业务联系,如一个人的姓名、职衔、工作电话号码、工作地址、以及工作电邮。

Covenant Chambers副董事黄芊慧指出,个人资料保护委员会调查数据泄露原因,看是否违反任何义务,如是否有人为牟利未经授权披露个资等。(Covenant Chambers提供)

梁清龙说,这项法令主要管理个人资料收集、使用、披露、处理和保护,于2012年首次颁布,2014年生效。

法令曾在2020年修正,包括调高违例机构所面对的罚款,从原本的最高100万元,调高至多达10%的年度营业额或100万元,以较高者为准;以及引入与严重不当处理个资有关的新罪行,若被定罪,个人可能被判不超过5000元的罚款、或最长两年监禁,或两者兼施。

一旦资料外泄 该如何处理?

一旦发生资料外泄,如遭勒索软件攻击,机构应采取四个步骤,即迅速遏制数据泄露、评估资料泄露、若有需要,通知个人资料保护委员会和受影响个人,以及评定对资料泄露的反应,并考虑可采取的措施以防止进一步的泄露。

Covenant Chambers副董事黄芊慧说,个资保护委员会调查数据泄露原因,看是否违反任何义务,如为牟利未经授权披露个资,或措施是否不足等。

她举例,新加坡在2018年7月发生历来最大规模的网络袭击,新加坡保健服务集团属下的多家医院、专科诊所和综合诊疗所共150万病人个资被盗,其中16万人的门诊配药记录泄露,受害者还包括总理李显龙。

调查显示,黑客是先从新保集团的一台前端用户电脑侵入,植入恶意软件后,再查找集团数据库中的病患个资。综合保健信息系统公司(IHiS)和新保集团分别被罚款75万元和25万元。

延伸阅读

新加坡个资保护委员会 与澳洲墨西哥签订谅解备忘录
个人资料保护委员会专员柳俊泓(左)在悉尼出席第60届亚太隐私机构论坛期间,与澳大利亚信息专员福尔克(Angelene Falk)更新新澳两国的谅解备忘录。(个人资料保护委员会提供)
网络陷阱多保护个资免遭盗用
插图/李利群

王律师事务所知识产权、科技和数据部门合伙人白颖之律师建议,机构应采取整体机构协作的方法积极管理数据和网络安全风险,包括制定和实施数据保护政策,以及培养员工保护数据的意识和文化。

王律师事务所知识产权、科技和数据部门合伙人白颖之律师建议,机构应采取整体机构协作的方法积极管理数据和网安风险,包括制定和实施数据保护政策。(王律师事务所提供)

她也说,机构应与可能处理机构数据的服务商,或其他业务伙伴签署合同,适当加入数据保护条款,以及在开发涉及处理个人数据的信息和通信技术系统时,考虑并内置数据保护措施。

2023年7月,新加坡专科医学院的服务器遭勒索软件攻击,导致部分会员的个资外泄,外泄的资料包括姓名、住址、电邮、电话号码、身份证或护照号码、生日以及信用卡和银行户头信息。

蓝仲年说,据他们了解,新加坡专科医学院已将事件通报个资保护委员会,目前调查正在进行中。“发生数据泄露不一定意味着有关机构违反法令,得视每宗个案的情况而定,包括机构根据法令采取的措施,以及管理资料外泄实施的步骤等。”

公寓收集访客资料 应妥善保管与处理 

日常生活不时遇到必须提供个人资料的情况,例如到公寓探访亲友,或到商业大厦办事,保安人员会要求登记资料,这方面公寓也须采取措施保障访客资料,避免收集过多资料。

梁清龙指出,物业管理应避免收集过多资料,采取合理措施保护个资。一旦收集个资的目的不再适用,就不应继续保留资料。

他说,网络攻击日益普遍,任何处理个资的个人或企业,都必须采取保护措施和实施严格的程序。除了遵守法令,拥有完善的个资保障和管理措施与程序,也有助于企业、客户及合作伙伴之间建立信任。

梁清龙举例,个资保护委员会曾接获投诉,指一个公寓用于记录访客个资的簿子多次敞开,且无人看管。簿子上有访客的姓名、手机号码和前往的单位。

调查发现,保安公司没有做出合理安排,防止访客个资在未经授权的情况下被翻阅。由于没有证据显示资料曾因此外泄,为公寓提供保安服务的公司接到警告,公司后来也采取措施补救。

白颖之说,公寓出于安全考量,查看访客的身份证件,并记录访客的姓名和联系方式一般是合理的。只有在分层地契管理委员会认为可能构成重大安全风险,且能够证明合理的特殊情况下,才能够记录访客的身份证号码。

房地产管理和咨询服务公司Deesolo International Pte Ltd执行董事萨尼(Sani Ismail),就经常看到步行的访客被要求登记姓名和联系方式,而车辆出入一般无须提供信息。“我认为,分层地契管理委员会应在政策中明确说明如何收集访客的个资。”

房地产管理和咨询服务公司Deesolo International Pte Ltd执行董事萨尼认为,分层地契管理委员会应该在政策中明确说明如何收集访客的个资。(受访者提供)

他说,分层地契管理委员会的成员也能够取得居民的个人数据。建筑维修与分层地契管理法令规定成员进行财务利益披露,若在个人数据方面让成员签署协议,确保他们遵守规定也是不错的做法。