出海新加坡：数据合规要点（下篇）

PDPA

PIPL

第26条

(1)组织不得将任何个人数据传输到新加坡以外的国家或地区，除非根据本法规定的要求进行传输，以确保其他组织对被传输的个人数据的保护水平与PDPA的保护标准相当。

(2)PDPC可根据任何组织的申请，以书面通知的形式豁免该组织遵守第(1)款中关于传输个人数据的任何要求。

第三十八条

个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条

个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

《个人数据保护条例

（2021）》

第10条

(1)就PDPA第26条而言，在2021年2月1日或之后向新加坡以外的国家或地区传输个人数据之前，传输组织应采取适当的措施以确定并确保个人数据接收方受依法可强制执行的义务（即根据第11条）的约束，对被传输的个人数据的保护水平至少与PDPA的保护标准相当。

(2)若传输组织将个人数据传输给新加坡以外的国家或地区的接收方，满足以下要求则视其已满足第(1)款的要求：(a)在遵守第(3)款规定的前提之下，个人同意将其个人数据传输给该国家或地区的接收方；(b)个人被推定同意了传输组织根据PDPA第15(3)、(4)、(5)、(6)、(7)或(8)条向接收方披露其个人数据；(c)将个人数据传输给接收方是根据PDPA附表1的第1部分或第2部分第2段使用或披露个人数据所必需的 （注：即为保护个人重大利益或国家利益所必需的） ，并且传输组织已采取合理措施确保被传输的个人数据不会被接收方出于任何其他目的使用或披露；(d)个人数据是过境数据；或(e)个人数据为新加坡的公开个人数据。

第11(1)条

就本条例第10(1)条而言，依法可强制执行的义务包括根据以下规定对个人数据接收方施加的义务：(a)任何法律；(b)符合本条第(2)款的任何合同；(c)符合本条第(3)款的任何有约束力的公司规则；或(d)任何其他具有法律约束力的文书。

第12条

(1)就本条例第10(1)条而言，在新加坡以外的国家或地区的个人数据接收方持有该国或地区法律承认或授予的特定认证，则视为受到依法可强制执行的义务的约束，对被传输的个人数据的保护水平至少与PDPA的保护标准相当。

(2)在本条中，就个人数据接收方而言，“特定认证”指以下认证：(a)如果接收方是数据中介，亚太经济合作组织数据处理者隐私识别体系或亚太经济合作组织跨境隐私规则授予的认证；或(b)在任何其他情况下：亚太经济合作组织跨境隐私规则授予的认证。

《促进和规范数据跨境流动规定》

第三条

国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第四条

数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供，处理过程中没有引入境内个人信息或者重要数据的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

第五条

数据处理者向境外提供个人信息，符合下列条件之一的，免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证：

（一）为订立、履行个人作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等，确需向境外提供个人信息的；

（二）按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；

（三）紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；

（四）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的。

前款所称向境外提供的个人信息，不包括重要数据。

第六条

自由贸易试验区在国家数据分类分级保护制度框架下，可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单（以下简称负面清单），经省级网络安全和信息化委员会批准后，报国家网信部门、国家数据管理部门备案。

自由贸易试验区内数据处理者向境外提供负面清单外的数据，可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

PDPA

PIPL

没有相关规定。

第四十条

关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。

PDPA

PIPL

第15A条

（注：即取得未经通知反对的推定同意）

(4)就第(2)款第(a)项而言，组织在收集、使用或披露个人数据前应：(a)进行评估，以确定拟收集、使用或披露的个人数据不太可能对个人产生不利影响；(b)采取合理措施，提请个人注意以下信息：(i)组织收集、使用或披露个人数据的意图；(ii)收集、使用或披露个人数据的目的；(iii)个人可告知组织其不同意组织拟收集、使用或披露其个人数据的合理期限及合理方式；及(c)满足任何其他规定的目的。

(5)就第(4)款第(a)项规定的评估而言，组织应：(a)识别为有关目的而拟收集、使用或披露的个人数据可能对个人产生的任何不利影响；(b)识别并实施合理措施，以：(i)消除不利影响；(ii)减少不利影响发生的可能性；或(iii)减轻不利影响；及(c)遵守任何其他规定的要求。

第五十五条

有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条

个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

附表1的第3部分第1条

（注：即为保护组织或其他人的重要利益）

(1) 在遵守第(2)、(3)和(4)款规定的前提之下：(a)收集、使用或披露（视情况而定）有关个人的个人数据是为了组织或另一个人的重要利益；及(b)组织或其他个人的重要利益超过对个人的任何不利影响。

(2)就第(1)款而言，组织应：(a)在收集、使用或披露个人数据（视情况而定）之前进行评估，以确定是否符合第(1)款…

PDPA

PIPL

第11条

(3)组织应指定一名或多名个人负责确保组织遵守本法。

(4)根据第(3)款指定的个人可以将该指定所赋予的职责委托给另一名个人。

(5)组织应向公众提供至少一名根据第(3)款指定或根据第(4)款委托的个人的业务联系信息。

(5A)在不限制第(5)款的前提下，如组织以任何规定的方式提供第(3)款所述的任何个人的业务联系信息，则组织可被视为已满足第(5)款的要求。

(6)组织根据第(3)款对个人的指定，并不免除组织在本法下的任何义务。

第五十二条

处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

PDPA

PIPL

第25条

任何组织应在合理假设出现以下情况时，停止保留其包含个人数据的文件，或移除将个人数据与特定个人相关联的方法：(a)保留该等个人数据不再符合收集该等个人数据的目的；及(b)该等保留不再是出于法律或商业目的所必需的。

第十九条

除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间。

PDPA

PIPL

第24条

组织需采取合理的安全措施，保护其持有或控制的个人数据，以防止：(a)未经授权的访问、收集、使用、披露、复制、修改或弃置，或类似风险；及(b)丢失任何存储个人数据的存储介质或设备。

第五十一条

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施。

第4(3)条

组织在本法下对于由数据中介代表其并为其目的处理的个人数据，承担与自行处理该个人数据时相同的义务。

第九条

个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

第五十九条

接受委托处理个人信息的受托人，应当依照本法和有关法律、行政法规的规定，采取必要措施保障所处理的个人信息的安全，并协助个人信息处理者履行本法规定的义务。

PDPA

PIPL

第26A条

“个人数据泄露”指的是(a)未经授权访问、收集、使用、披露、复制、修改或弃置个人数据；或(b)在很可能发生未经授权访问、收集、使用、披露、复制、修改或弃置个人数据的情况下，存储个人数据的介质或设备丢失。

没有相关定义。

第26B(1)条

数据泄露是应通知的数据泄露，如果数据泄露：(a)对受影响的个人造成或可能造成重大伤害；或(b)构成或可能构成大规模。

第五十七条

发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：

（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；

（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；

（三）个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

第26D条

(1)如组织根据第26C条评估，数据泄露属于应通知的数据泄露，组织应在切实可行的范围内尽快通知PDPC，但在任何情况下不得迟于组织作出该评估之日起的3个日历日。

(2)在遵守第(5)、(6)及(7)款规定的前提下，在根据第(1)款通知PDPC之时或之后，组织还应以在相关情况下任何合理的方式，通知每一位受第26B(1)(a)条所述的应通知的数据泄露影响的个人。

(3)根据第(1)或(2)款所作的通知，应包含在通知PDPC或受影响的个人（视情况而定）时，组织所知悉和相信的所有为此目的规定的信息。

…

(5)第(2)款不适用于与受影响的个人有关的组织，如果该组织：(a)在评估数据泄露是应通知的数据泄露之时或之后，按照任何规定的要求采取任何行动，使该应通知的数据泄露不太可能对受影响的个人造成重大伤害；或(b)在发生应通知的数据泄露之前，实施了任何技术措施，使应通知的数据泄露不太可能对受影响的个人造成重大伤害。

PDPA

PIPL

没有相关规定。

第二十四条

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

PDPA

PIPL

第48O(1)(a)条

如果个人因组织违反PDPA第4、5、6、6A或6B部分的规定而直接遭受损失或损害，其有权向法院提起民事诉讼以寻求救济。

第五十条

个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。

PDPA

PIPL

第6条

PDPC的职能包括：

(a)在新加坡推广数据保护意识；

(b)提供与数据保护有关的咨询、顾问、技术、管理或其他专业服务；

(c)向政府提供与数据保护相关的所有事项的建议；

(d)代表政府在国际上处理数据保护相关的事务；

(e)开展与数据保护相关的研究和调查，以及与数据保护相关的推广教育活动，包括组织和举办相关的研讨会、工作坊和专题讨论会，并支持其他组织开展此类活动；

(f)以自己的名义或代表政府，与其他组织，包括外国数据保护机构和国际或政府间组织，管理数据保护领域的技术合作和交流；

(g)管理和执行本法；

(h)履行任何其他成文法赋予PDPC的职能；及

(i)从事新加坡通信及信息部通过政府公报的命令所允许的或分配给PDPC的其他活动和职能。

第六十一条

履行个人信息保护职责的部门履行下列个人信息保护职责：

（一）开展个人信息保护宣传教育，指导、监督个人信息处理者开展个人信息保护工作；

（二）接受、处理与个人信息保护有关的投诉、举报；

（三）组织对应用程序等个人信息保护情况进行测评，并公布测评结果；

（四）调查、处理违法个人信息处理活动；

（五）法律、行政法规规定的其他职责。

第六十二条

国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作：

（一）制定个人信息保护具体规则、标准；

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；

（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；

（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；

（五）完善个人信息保护投诉、举报工作机制。

第六十五条

任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。

第48G条

PDPC有权在未征得投诉人和组织同意的情况下，将投诉事项交由调解解决。

（注：本概念之下的条款在此仅作总结归纳，具体细节请参阅条款原文，下同。）

第48H条

PDPC有权就投诉人的申请进行审查。

第48I条

PDPC有权向违反PDPA相关规定的组织或个人发出相关合规指令。

第48J条

PDPC有权对故意或过失违反PDPA的相关组织和个人处以罚款。

第48L条

PDPC有权接受违反了PDPA相关规定的组织或个人所提供的自愿承诺，并在其不履行自愿承诺的内容时采取处罚措施。

第48M条

PDPC有权将发出的合规指令等在法院进行登记，使其与法院的命令具备同等效力。

第48N条

对PDPC相关指令或决定不满的组织或个人可书面向PDPC申请重新审议该指令或决定。一般情况下，PDPC应重新审议。

第49条

PDPC有权发布书面咨询指南，说明其将如何解释本法的规定。

第50条

PDPC有权根据投诉或主动调查组织或个人是否遵守PDPA。

第65条

经新加坡通信及信息部批准，PDPC有权为实现本法的目的和规定，以及为规定本法可能要求或授权规定的任何事项，制定必要或适宜的条例。

附表9

PDPC有权要求组织提供特定文件或信息，并在满足一定条件后进入相关场所。

第六十三条

履行个人信息保护职责的部门履行个人信息保护职责，可以采取下列措施：

（一）询问有关当事人，调查与个人信息处理活动有关的情况；

（二）查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料；

（三）实施现场检查，对涉嫌违法的个人信息处理活动进行调查；

（四）检查与个人信息处理活动有关的设备、物品；对有证据证明是用于违法个人信息处理活动的设备、物品，向本部门主要负责人书面报告并经批准，可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责，当事人应当予以协助、配合，不得拒绝、阻挠。

PDPA

PIPL

第48J(1)(a)条

在遵守第(2)款规定的前提下，如果PDPC确信组织故意或过失违反第3、4、5、6、6A或6B部分的任何规定，可以书面通知的形式要求该组织支付罚款。

（注：本概念之下的条款在此仅作总结归纳，具体细节请参阅条款原文，下同。）

第六十六条

违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

第六十九条

处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定；个人因此受到的损失和个人信息处理者因此获得的利益难以确定的，根据实际情况确定赔偿数额。

第48J(3)条

如果组织在新加坡的年营业额超过1000万新元，则罚款不得超过其年营业额的10%；在其他情况下，罚款不得超过100万新元。

第48J(6)条

在根据第(1)款确定施加的罚款金额时，PDPC必须考虑以下所有事项，并给予其认为适当的权重：违法行为的性质、严重程度和持续时间；受影响的个人数据类型和性质；违法方是否因此获得了经济利益或避免了经济损失；违法方是否采取了减轻违法后果的措施及其及时性和有效性；违法方是否为遵守本法规定的要求采取了充分和适当的措施；违法方是否有本法之下的历史违法记录，违法方是否遵守了PDPC先前发布的合规指令，拟施加的罚款是否与实现本法的合规以及阻止不合规行为相称且有效，罚款对违法方的影响等。