耀时观察

跨法域隐私政策起草问答(二):新马篇

2024年6月26日江苏耀时律师事务所

当企业经营涉及个人信息处理活动时,确保隐私政策的合规性是保证企业个人信息处理合规的优先级要素;在跨境经营时,由于个人信息处理活动可能横跨多个法域,企业将面临跨法域隐私政策起草问题。

耀时所结合我们为客户起草隐私政策的经验,推出三期跨法域隐私政策起草问答,分别为“香港篇”、“新马篇”和“欧盟篇”,供有需要者使用。本篇为第二期“新马篇”。

第一部分:马来西亚

问题一、马来西亚的主要数据保护法是什么?

马来西亚的主要数据保护法律是《2010年个人数据保护法案》(Personal Data Protection Act 2010,PDPA)。该法是一部规范个人数据处理行为的综合性立法。除此之外,马来西亚数据保护法律体系还包括附属法例。

2-24062609411E52.png

注意:马来西亚的个人数据保护法规定,特定行业的数据使用者,如银行和金融业、保险业、通信数据等,必须进行强制注册登记。这种注册类似于企业工商登记,监管机构通过形式审查备案,而非实质审核,强调事后监督和信息披露的重要性。2013年发布的《个人数据保护(数据使用者)类别指令》和《个人数据保护(数据使用者注册)条例》提供了具体的登记管理细则。

问题二、负责《2010个人数据保护法案》(PDPA)执行与实施的监管机构是?

马来西亚的《2010个人数据保护法案》(PDPA)的监管机构是个人数据保护部(The Department of Personal Data Protection)和个人数据保护委员会(Personal Data Protection Commission)。这些机构负责执行和监管PDPA,确保个人数据得到妥善处理和保护。个人数据保护部隶属于马来西亚通信和多媒体部(KKMM),是PDPA的主要执行机构。

问题三、《2010个人资料保护法案》(PDPA)保护哪些类型的个人数据?

根据PDPA第4条,个人数据是指与商业交易过程有关的任何信息,可以用以识别数据主体的身份。目前PDPA难以有效规制非商业交易活动中的数据滥用行为以及政府的行政行为。

问题四、《2010个人资料保护法案》(PDPA)的基本数据保护原则有哪些?

PDPA共有7项基本保护原则,具体如下:

1) 一般原则(General Principle) – 第6条: 数据处理必须取得数据主体的同意,或在某些必要情况下进行(如履行合同、法律义务、保护数据主体的重大利益等),并且数据量应当与该目的直接相关且适当。

2) 通知和选择原则(Notice and Choice Principle) – 第7条:应以书面形式通知数据主体其数据被处理的情况,包括数据收集目的、来源、权利、以及第三方披露的类别。

3) 披露原则(Disclosure Principle) – 第8条:规定除非符合特定条件,否则不得在收集时预定的目的或与之直接相关的目的之外的任何目的下,未经数据主体同意披露其个人数据。同时,披露对象也限制在特定的第三方类别内。

4) 安全原则(Security Principle) – 第9条: 数据用户在处理个人数据时应采取实用措施保护数据,防止数据丢失、滥用、修改、未经授权的访问或泄露等。

5) 保存原则(Retention Principle) – 第10条: 个人数据不应保存超过实现其目的所需的时间,并应在不再需要时销毁或永久删除。

6) 数据完整性原则(Data Integrity Principle) – 第11条:应采取合理步骤确保个人数据的准确性、完整性,不误导并保持更新。

7) 访问原则(Access Principle) – 第12条: 数据主体有权访问和更正其个人数据。

问题五、数据主体在马来西亚享有哪些权利?

1) 知情权(第7条通知和选择原则):数据用户应告知数据主体个人数据处理目的、权利等。

2) 访问权(第30条):数据主体有权向数据用户申请获取其个人数据。

3) 更正权(第34条):数据主体认为其个人数据不准确、不完整、具有误导性或不是最新的,可向数据用户提出更正要求,数据用户应予以响应,但特殊情况除外。

4) 反对权(第38条):数据主体可随时要求数据用户在合理期限结束时,停止处理或不再开始处理个人数据,数据用户应予以响应,但特殊情况除外。

5) 撤回同意权(第42条):数据主体可以通知数据用户撤回其对处理个人数据的同意。

6) 防止直接营销(第43条):数据主体可随时要求数据用户在合理期限届满时停止或不再开始处理其个人数据以用于直接营销。

问题六、数据主体依据《2010个人数据保护法案》(PDPA)在马来西亚行使权利时有哪些注意事项?

1) 数据主体行权时应采取书面的形式;

2) 对于访问请求,数据主体应支付一定的费用;

3) 数据用户应在收到数据访问、更正请求后的21天内予以响应;如果无法在此期间内完成,应在期限届满前以书面形式通知请求者并说明原因。

问题七、马来西亚的跨境数据传输规定是什么?

根据《2010个人数据保护法案》(PDPA)第129条,数据传输需得到部长的明确指定,并满足一系列条件,包括数据主体的同意、合同履行、法律程序、保护数据主体利益等。违反这些规定的行为可能会受到罚款或监禁的处罚。此外,如果指定的地方不再符合法律规定,专员可以建议部长取消或修改指定,数据使用者也必须停止传输。

马来西亚个人资料转移的条件(必须符合以下其中一项条件):

2-240626094323644.png

问题八、违反《2010个人数据保护法案》(PDPA)可能会受到哪些处罚?

违反 PDPA(包括个人数据保护原则)将构成违法行为,可能会面临罚款和监禁。可以通过其官网访问个人数据保护部门(Department of Personal DataProtection)列出的违法行为清单。

例如:

● 违反个人数据保护原则(第5条):最高处罚为30万令吉或不超过两年的监禁,或两者兼施。

● 不遵守注册规定(第16条):最高处罚为50万令吉或不超过三年的监禁,或两者兼施。

● 未能遵守数据主体的访问请求(第30条):最高处罚为10万令吉或不超过一年的监禁,或两者兼施。

● 未能及时响应数据更正请求(第37条):最高处罚为10万令吉或不超过一年的监禁,或两者兼施。

● 未能撤回数据处理同意(第38条):最高处罚为10万令吉或不超过一年的监禁,或两者兼施。

● 未经同意非法处理敏感数据(第40条):最高处罚为20万令吉或不超过两年的监禁,或两者兼施。

● 未能防止数据用于直接营销(第43条):最高处罚为20万令吉或不超过两年的监禁,或两者兼施。

● 妨碍搜索或检查(第120条):最高处罚为2万令吉或不超过两年的监禁,或两者兼施。

● 未能遵守跨境数据传输规定(第129条):最高处罚为30万令吉或不超过两年的监禁,或两者兼施。

● 违法收集、披露或出售个人数据(第130条):最高处罚为50万令吉或不超过三年的监禁,或两者兼施。

问题九、马来西亚数据保护近期有何发展?

近期重要发展主要体现在2020年发布的PCP No.01/2020公共咨询文件中,该文件在征求利益相关方对 《2010个人数据保护法案》(PDPA) 新增的功能或条款的意见,提出了一系列新的政策见解和建议,包括任命合规官员、实施“被遗忘权”、数据可携带权、数据保护设计、个人数据泄露通知等。这些建议旨在加强个人数据的保护,提升数据主体的权利,并使PDPA与国际标准如欧盟GDPR更加一致。对组织尤其是中小型组织而言,这可能意味着需要调整数据处理流程、增加合规成本,并可能需要更多的时间和资源来适应新的法律要求。截至2023年12月,公众咨询文件中的5个问题已被选为PDPA修订的关键提案,预计修订法案将在2024年3月提交议会审议(DLA Piper Data Protection)。

第二部分:新加坡

问题一、新加坡的主要数据保护法是什么?

新加坡的主要数据保护法律是《个人数据保护法》(Personal Data Protection Act,PDPA),它于2012年制定,旨在规范组织对个人数据的处理,并在2020年进行了全面修订以加强保护措施。这项法律不仅确立了个人数据保护的标准,还平衡了数据保护与合理使用的需求,并通过分阶段实施的修正案,增强了数据泄露通知义务和提高了违规的罚款额度。

新加坡个人数据保护委员会(PDPC)负责执行这些规定,并提供相应的指导。新加坡个人数据保护委员会(Personal Data Protection Commission, PDPC)出台了一系列条例及指引。

2-24062609443A27.png

注意:新加坡各领域的监管机构还会适用包含数据保护或数据隐私内容的特定领域法律,例如《2020年医疗保健服务法》 (Healthcare Services Act 2020)或《1999年电信法》(Telecommunications Act 1999)下的具体规则和法规。如果特定领域法律和 PDPA 之间存在任何不一致,特定领域立法规定的标准和义务优先于 PDPA。

问题二、《个人数据保护法》(PDPA)保护哪些类型的个人数据?

个人数据定义:个人数据被定义为与可识别的个人相关的数据,而无论数据真实与否,包括:

1) 可通过该等数据识别;

2) 或可通过相关组织已经或可能获取的其他信息识别。

因此,个人数据包含直接标识符和间接标识符。

问题三、《个人资料保护法》(PDPA)有无规定“敏感”信息?是否有特定类别的个人数据受到特殊规则保护?

PDPA 没有具体规定“敏感”个人数据,但根据 PDPA 中有关数据泄露报告的各种规则和规定,泄露可能导致重大损害的数据,将适用更严格的标准。

此外,某些类别的个人数据在个人数据处理方面可能会受到不同的处理。例如,涉及员工个人数据时,同意义务存在某些例外情况;涉及未成年人个人数据时,存在需要采取额外保护措施的具体要求。

问题四、《个人资料保护法》(PDPA)的主要数据保护义务有哪些?

新加坡PDPA规定了以下关键义务:

1)  知情同意 – 第13-17条: 需要在收集、使用或披露个人数据之前获得数据主体的同意,并告知其目的,除非有意外情况。

注意:新加坡PDPA的同意包括视为同意。

2) 通知 – 第20条:在收集个人数据之前,必须通知数据主体收集的目的。

3) 目的限制 – 第18条:只能出于正常人在特定情况下认为适当的目的而收集、使用或披露个人数据,各组织不得将此类同意作为提供产品或服务的前提条件。

4) 访问和更正 – 第21、22条:个人有权请求访问其个人数据、有关如何使用或披露数据的其他信息,并且更正其个人数据中的任何错误或遗漏。

5) 数据准确- 第23条: 如果个人数据可能被用于做出影响个人的决策或向其他组织披露,则相关组织应尽合理努力确保所收集的个人数据准确和完整。

6) 安全 – 第24条: 应当采取合理的安全措施保护个人数据,防止未经授权的访问和泄露。

7) 保存限制 – 第25条:当任何业务或法律目的不再需要个人数据时,各类组织应停止保存或以适当方式(删除或匿名化)处置个人数据。

8) 转移限制 – 第26条:个人数据只能按照 PDPA 及其法规规定的要求转移到其他国家,并应确保当地拥有与 PDPA 相当的保护标准。

9) 数据泄露通知 – 第26C、26D条:各类组织必须评估数据泄露是否需要通报,并在需要时通知 PDPC 和受影响的个人。

10) 问责制 – 第11条:各类组织必须执行必要的政策和程序,以履行其在PDPA下的义务,并应公开有关其政策和程序的信息,具体包括:

a. 需任命数据保护官(Data Protection Officer, DPO);

b. 需制定数据保护政策和实践。

问题五、数据主体在新加坡享有哪些权利?

1) 知情权(第13-17条):虽然 PDPA 没有设定独立的知情权,但PDPA规定的多项数据保护义务变相认可了知情权。

2) 撤回同意权(第16条):数据主体向各类组织发出合理通知后撤回同意,并且该各类组织(及其数据处理中介和代理人)必须停止收集、使用或披露其个人数据。

3) 访问权(第21条):请求访问各类组织拥有或控制的个人数据,以及了解有关个人数据在此前一年内已经或可能已经使用或公开的方式的信息。

4) 更正权(第22条):请求更正个人数据中的错误和遗漏。各类组织收到请求后必须更正,除非该组织确信有拒绝此类请求的合理理由,并有额外的义务将更正后的数据发送给此前在回顾期(该期限范围是指各类组织接收到个人更正请求之日前一年之内)内收到错误数据的其他组织。

问题六、数据主体依据《个人数据保护法》(PDPA)在新加坡行使权利时有哪些注意事项?

1) 数据主体行权时应采取书面的形式且需要通过各类组织提供或认可的业务联系信息。

2) 对于访问请求,各类组织可以收取费用;

3) 组织应在收到数据访问、更正请求后的合理时间内予以响应。

问题七、新加坡的跨境数据传输规定是什么?

依据《2021年个人数据保护条例》(Personal Data Protection Regulations 2021),各类组织只有在实施了恰当措施,保证数据接收方受到法律义务或得到认证的保护机制约束,且这些措施能为转移的个人数据提供与《个人数据保护法》(PDPA)标准相当的保护时,方可将数据传输至海外。

核心问题在于,何种法律义务能确保个人数据的保护达到PDPA规定的标准。PDPA认可的解决方案包括:组织之间签订包含充分保护条款的合同、依赖具有法律约束力的集团规则、以及其他具有法律约束力的文件等。这些措施旨在确保即使数据跨境,其安全和隐私保护水平也不低于新加坡国内的标准。

2-240626094605595.png

问题八、违反《个人数据保护法》(PDPA)会受到哪些处罚?

违反 PDPA的个人和/或公司需要承担法律责任,具体在51-56条,关于企业责任的可以在52条进行查看。最高罚款可高达100万新元;如果在新加坡年营业额超过1000万新元,罚款为其在新加坡的年营业额的10%。

问题九、新加坡数据保护近期有何发展?

2024年5月30日,新加坡政府发布了《生成式人工智能治理模型框架》(Model AI Governance Framework for Generative AI ,“生成式AI框架”)。该框架以新加坡资讯通信媒体发展局(“ IMDA ”)、Aicadium (一家提供AI解决方案的公司)和 AI Verify 基金会联合发布的“关于生成式人工智能的讨论文件”中强调的政策理念为基础,并借鉴了主要司法管辖区、国际组织、研究界和领先的人工智能组织的见解和讨论,确立了数据处理的合法性和透明度要求,同时推动了数据责任的明确分配和数据保护机制的建立。

本文仅为一般性信息分享,不构成任何法律意见或建议。如您需要针对具体事项的法律意见,请与耀时律师联系。

就本文议题需要专业意见?

耀时律师提供定制化、私密性、可落地的法律服务。

预约咨询