出海新加坡：数据合规要点（上篇）

PDPA

PIPL

第2(1)条

个人数据指能从该数据本身或结合其他可访问的信息识别出特定个人的任何数据，不论其真实性。个人指任何在世或已故的自然人。

第四条

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

第4(1)条

第3、4、5、6、6A和6B部分并不适用于：(a)因个人或家庭事务行事的任何个人；(b)在受雇于组织期间履行职务的员工；(c)任何公共机构；或(d)根据本条所规定的任何其他组织或个人数据，或其他类别的组织或个人数据。

第七十二条

自然人因个人或者家庭事务处理个人信息的，不适用本法。

法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定。

第4(5)条

除非被明确提及，否则第3、4、5、6和6A部分不适用于业务联系信息。

第4(4)条

本法不适用于：

(a)记录中包含的已存在至少100年的个人数据；或(b)已故个人的个人数据，但与披露个人数据相关的条款和第24条（个人数据保护）会适用于离世10年或更短时间内个人的个人数据。

第四十九条

自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。

PDPA

PIPL

没有相关定义。

第二十八条

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

《个人数据保护（数据泄露通知）条例（2021）》

第3条

(1)就PDPA第26B(2)条而言，如果数据泄露涉及以下内容，则视为对个人造成重大伤害：(a)在遵守本条例附表第2部分的规定的前提下，该个人的全名、别名或身份号码，以及本条例附表第1部分所列的与该个人有关的任何个人数据或个人数据类别；或(b)与该个人在组织中的账户有关的所有以下个人数据：(i)个人的账户标识符，例如账户名称或账号；(ii)任何用于或要求访问或使用个人账户的密码、安全码、访问码、安全问题的答案、生物识别数据或其他数据。

(2)第(1)款第(b)项中的“账户标识符”包括个人在银行或金融公司等组织开设的任何账户所分配的号码。

PDPA

PIPL

第2(1)条

“组织”包括任何个人、公司、协会或团体，不论是法人或非法人组织，不论是否：(a)根据新加坡法律成立或被新加坡法律认可；或(b)在新加坡居住，或在新加坡设有办公室或营业场所。

第七十三条

本法下列用语的含义：

（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

第三条

在中华人民共和国境内处理自然人个人信息的活动，适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动，有下列情形之一的，也适用本法：（一）以向境内自然人提供产品或者服务为目的；（二）分析、评估境内自然人的行为；（三）法律、行政法规规定的其他情形。

PDPA

PIPL

第2(1)条

就个人数据的处理而言，是指对个人数据进行的任何操作或一系列操作，包括以下任何操作：(a) 记录；(b) 持有；(c) 组织、改编或修改；(d) 检索；(e) 组合；(f) 传输；(g) 删除或销毁。

第四条

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

PDPA

PIPL

第2(1)条

“数据中介”指的是代表一组织处理个人数据的另一组织，但不包括另一组织的员工。

第二十一条

个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。

未经个人信息处理者同意，受托人不得转委托他人处理个人信息。

第4(2)条

第3、4、5、6部分（除第24条和第25条外）、第6A部分（除第26C(3)(a)条和第26E条外）和第6B部分，并未规定数据中介在根据以书面形式证明或订立的合同代表另一组织并为另一组织之目的处理个人数据时应承担的义务。

PDPA

PIPL

第16(4)条

在遵守第25条的规定的前提下，如果个人撤回对组织出于任何目的收集、使用或披露个人数据的同意，组织应停止（并使其数据中介和代理人停止）收集、使用或披露个人数据（视情况而定），除非该等不需要取得个人同意的收集、使用或披露（视情况而定）是本法或其他成文法所要求或授权的。

第20(1)条

就第14(1)(a)条及第18(b)条而言，组织应通知个人以下事项：(a)在收集个人数据时或之前，收集、使用或披露个人数据（视情况而定）的目的；(b)在使用或披露个人数据之前，如果存在根据第(a)项未告知的其他目的，该等其他目的；及(c)应个人要求，能够代表组织回答个人关于收集、使用或披露个人数据问题的人的业务联系信息。

第七条

处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。

第十五条

基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十七条

个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（一）个人信息处理者的名称或者姓名和联系方式；

（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（三）个人行使本法规定权利的方式和程序；

（四）法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的，应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的，处理规则应当公开，并且便于查阅和保存。

第四十四条

个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。

第21(1)条

在遵守第(2)、(3)及(4)款规定的前提下，应个人要求，组织应在合理可行的情况下尽快向该个人提供：(a)由组织持有或控制的有关该个人的个人数据；以及(b)关于第(a)项所述的个人数据在要求提出之日前一年内被或可能被组织使用或披露的方式的信息。

第四十五条

个人有权向个人信息处理者查阅、复制其个人信息；有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径。

第22条

(1)个人可要求组织更正其持有或控制的关于该个人的个人数据中的错误或遗漏之处。

(2)除非组织有合理理由确信不应更正，否则组织应：(a)在切实可行的范围下尽快更正个人数据；及(b)在遵守第(3)款的规定的前提下，在作出更正之日起一年内，将更正后的个人数据送交所有由该组织披露过该个人数据的其他组织，除非其他组织并不需要将该更正后的个人数据用于任何法律或商业用途。

第四十六条

个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

第25条

任何组织应停止保留其包含个人数据的文件，或移除可使个人数据与特定个人相关联的方法，只要其合理假设出现下列情况：

(a)保留该个人数据不再符合收集该个人数据的目的；及(b)保留该个人数据不再出于法律或商业目的所必需。

第四十七条

有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除：

（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）个人信息处理者停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）个人信息处理者违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第22A条

(1)如果：(a)个人在2021年2月1日或之后，根据第21(1)(a)条向组织提出请求，要求组织提供所持有或控制的与其有关的个人数据；及(b)组织拒绝提供该等个人数据，组织应将该等个人数据的副本保存不少于所规定的期限。

(2)组织应确保其为第(1)款的目的而保留的个人数据副本是前述相关个人数据的完整及准确副本。

第八条

处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。

第十九条

除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

第五十条

个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。