新加坡國會於2020年11月通過個人資料保護法之修正案

  新加坡通訊暨資訊部(Ministry of Communications and Information, MCI)於2020年11月2日發布新聞稿表示,新加坡國家議會(Parliament of Singapore)通過個人資料保護法(Personal Data Protection Act, PDPA)修正案。主要由新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)擔任執行與管理機關,而新加坡個人資料保護法僅適用於私人企業、非公務機關。

  新加坡通訊暨資訊部特別強調,該個人資料保護法於2013年1月生效,而近年物聯網、人工智慧等新興科技瞬息萬變,隨著資料量急遽增長,企業組織利用個人資料進行創新,成為了社會、經濟和生活的一部分,此次修法意在因應新興科技的進步與新商業模式的發展,使該法可適應、接軌於複雜的數位經濟趨勢,同步維護消費者在數位經濟中的權益,更加符合國際框架,使總部位於新加坡的公司在擴展全球市場時,有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新,希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險,以取得平衡,修訂重點整理如下:

  1. 透過組織問責制度,加強消費者之信任;
  2. 加強組織使用個人資料開發創新產品,提供個人化服務、提高組織之營運效率;
  3. 資料外洩時的強制性通知規定、責任(可參見26A條以下);
  4. 提高企業造成資料外洩時的罰款最高額度,當企業組織年營業額超過1000萬美金者,可處以該組織在新加坡年營業額的10%,或100萬新加坡幣(約62萬歐元),以較高者為準(可參見48J條以下);
  5. 強化個人資料保護委員會的執法權限,提高執法效率;
  6. 為了強化消費者的自主權(consumer autonomy)、對其個資的控制權,規範資料可攜義務(data portability obligation),使個人能要求將其個人資料的副本傳輸到另一個組織(可參見26F條以下);
  7. 允許企業在特定合法利益(legitimate interests)、業務改善(business improvement purpose)之目的情況下,對於個資之蒐集、使用、揭露,得例外不經當事人同意,意即不需經當事人事先同意,即可蒐集、利用或揭露消費者個資,例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。(可參見附表一第三、第五部分)
  8. 允許關聯企業(related corporations)間,在基於「明確定義相關限制」(clearly defined limits)之相同目的前提下,例如透過具有拘束力的公司規則(binding corporate rules)施以一定限制時,可在彼此內部間蒐集、揭露個人資料。(可參見附表一第四部分)
  9. 針對「視為同意」(deemed consent)之相關規定,包含告知後同意(consent by notification)做進一步修訂,將允許企業組織在具契約必要性等特定情形下,在未明確徵得當事人同意之下,向另一個組織或外部承包商(contractors)揭露其個人資料,以利履行契約(fulfil contracts),但該組織與該當事人之間的契約中需有明示條款(express terms)。(可參見15A條以下)

相關連結
你可能會想參加
※ 新加坡國會於2020年11月通過個人資料保護法之修正案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8580&no=64&tp=1 (最後瀏覽日:2026/07/19)
引註此篇文章
你可能還會想看
歐盟食品安全與標示近期發展-以歐盟法院Teekanne案為例

德國聯邦內政部對歐盟部長會議「資料保護基本規則」(Datenschutz-Grundverordnung)發表意見書,並提出修法建議

  德國聯邦內政部資料保護與資訊自由委員會於2015年8月15日針對歐盟部長會議於6月15日所確立對歐盟資料保護基本規則(Datenschutz-Grundverordnung)的基本立場,若依該立場則(1)資料處理目的之變更理由將變得更寬泛(2)對資訊保有機構所提出的申請程序以有償為原則(3)蒐集個人資料應遵循之規範過於簡略等,該委員會提出批評與建議。   該委員會會議認為有必要改進歐盟「資料保護基本規則」,令其更周延,更呼籲對資料保護基本規則的修正,應循以下重點及原則進行: 1.資訊節約原則應該堅持   多年來在德國法已確立的資訊節約原則(Datensparsamkeit)和資訊避免原則(Datenvermeidung),應予維持。因此資料保護基本規則中,須清楚詳盡地規定節約原則和資訊避免原則。 2.目的明確性原則的要求不能退縮   目的明確性原則(der Grundsatz der Zweckbindung)之功能,係為資料處理之透明性和可預見性,該原則亦強化了當事人的資訊自主權,使其得以信賴個人資料之處理,僅限於所申請之目的內進行。   故若依理事會建議之規範,使資料處理目的之變更,得以更寬泛的理由進行,將背棄歐盟基本權利憲章中之目的明確性原則。 3.即令個人同意書亦不得拋棄資訊主權   資訊自決權,意謂原則上個人可以用同意的方式,決定個人資訊的使用和拋棄。但即使有清楚明確的意思表示,該同意亦僅係保障資訊主權的重要因素之一。另就同意書而言,若如歐盟部長理事會所建議者,只需清楚明確即可,則這種方式於保護上是不夠充分的。 4.個人資料建檔必須有效地限制   該會議重申,嚴格規範對個人資料的蒐集有其必要性。為個人檔案之整合與充分使用設置嚴格的界限,現有規定太過簡略而遭到批評。 5.有效的資訊保護需要歐盟層級的企業與官署的資料保護專員   對於資訊保護監督的有效性,在德國已確立之官方與私人企業的資訊保護專員制度係重要之一環。應致力於歐盟層級公/私機構資訊保護專員制度在整個歐洲的推動。 6. 資訊傳輸第三國官署和法院需要更嚴格的監督   近期的隱私醜聞之後,目前亟需對歐洲公民個人資料給予更妥善的保護,以對抗來自第三國的機構。此意見書贊同歐盟議會的建議,即以第三國法院的判決和行政機關的決議,要求對個人資訊的披露,在歐盟之中僅能基於國際公約中機關互助和法律協助之規定,原則上予以承認與執行。

澳洲政府制定ISP反垃圾郵件從業規則

  澳洲政府於 3 月 28 日 發布了反垃圾郵件( anti-spam )從業規則( code of practice ),強制網路服務提供者( ISP )採取反制措施,以防堵大量、不請自來的電子郵件;業者若未配合新法的要求,將面臨鉅額的罰款。   繼 2003 年頒布的「垃圾郵件法」( Spam Act )後,澳洲通訊及媒體局( Communications and Media Authority )此次依據垃圾郵件法規定,針對 ISP 業者進一步制定了從業規則,成為對抗垃圾郵件的另一項重要工具。新法課予 ISP 業者的主要義務包括了: (1) 向用戶提供過濾垃圾郵件的服務選項; (2) 合理限制用戶電子郵件的發送;及 (3) 設立相關的投訴機制等。   為給予業者相當的緩衝時間,新法將自今年的 7 月 16 日 實施,屆時主管機關將針對澳洲當地近 700 家 ISP 業者進行檢查。一旦發現有違規情事,澳洲聯邦法院可對之處以 1,000 萬澳幣以下的罰款。

美國線上交易方式可能在歐洲行不通

由於美國與歐洲國家消費者保護政策以及對定型化契約條款的解讀不同,在美國電子商務應用中所常見的線上契約定型化條款內容,很可能在歐洲被解釋為對消費者不公平 (unfair) 而無效。   一位在法國巴黎執業的律師表示,在 AOL Bertelsmann Online France v. Que Choisir 案件中,許多美國律師常用的定型化契約條款,例如:網際網路服務提供者擁有單方變更契約內容之權;消費者之繼續使用服務等同於默示同意新的付費條款內容;網際網路服務提供者對於網路中斷造成的損害不負任何責任;限制消費者只能依循 AOL 的服務使用約款進行損害賠償之求償;及網際網路服務提供者保有中止服務等權利之條款等,在法國法院都被解釋為不合法而無效。雖然 AOL 這個案子還在進行上訴程序,法國巴黎法院在審理另一個案件時,也將類似的條款視為無效,而該案涉案主角則是義大利網際網路服務提供者。   由於法國對於消費者保護的法規係源自於歐盟指令,而歐盟所有會員國皆須在一定期間內將指令內容納入內國法規範,一位在英國執業的律師表示, AOL 在法國法院所得到的判決,如果發生在英國甚或其他歐盟會員國,也可能得到同樣的結果。

TOP