2012年10月15日,新加坡颁布了《个人数据保护法》(以下简称“PDPA”),并于2014年7月2日生效。该法成为新加坡个人数据保护的关键立法,规定了包括数据控制者义务、数据主体权利与保护、同意要求、跨境传输等方面的事项。2020年11月2日,新加坡通过《个人数据保护(修正)法案》,是PDPA自2012年颁布以来的首次全面修订,PDPA修正案中最突出的关键点是其引入了强制性数据泄露通知制度,要求组织发生数据泄露事件时,必需通知PDPC以及受影响的个人。
后续,新加坡个人数据保护委员会(以下简称“PDPC”)先后出台了一系列条例及指引,包括《个人数据保护条例》、《个人数据保护(数据泄露通知)条例》、《个人数据保护(违法构成)条例》《个人数据保护(执行)条例》等。
此外,PDPC还发布了相关咨询指南,如2021年新加坡个人数据保护委员会发布《数据保护风险影响评估指南》并于当年9月14日予以修正。数据保护风险影响评估(以下简称“DPIA”)用于评估个人数据处理活动对个人隐私的潜在影响和风险。该指南介绍了组织在系统和业务流程中,开展DPIA时的主要原则和考虑事项。旨在帮助组织在实施新项目、服务或流程之前识别和评估可能存在的数据保护风险,并提供措施来减轻这些风险,以确保符合新加坡PDPA及相关条例。
DPIA两大应用场景
根据指南,DPIA适用于两大场景当中:
第一类是系统(Systems),如面向公众的网站、云存储平台、客户关系管理(CRM)系统等。
第二类是流程(Processes),如进行健康检查并收到体检报告的流程、从在线门户网站购买商品并接收快递的流程。
谁是DPIA的参与者?
指南明确,DPIA应包括组织各职能部门的相关方,例如项目经理、组织中的数据保护官(DPO)、IT部门等,必要时还包括相关外部方(如外部专家)。
此外,指南指出,DPIA应当由项目经理或者数据保护官主导。
DPIA的主要任务
· 确定系统或流程处理的个人数据以及收集个人数据的必要性
· 明确个人数据如何在系统或流程中流动
· 根据新加坡PDPA的要求,通过分析处理的个人
· 数据及其数据来源与流向,识别潜在的数据保护风险
· 通过修改系统与流程设计,或引入新的组织政策等解决方案,消除已识别的风险
· 审查已识别的风险,确保在系统或流程生效或实施之前得到充分解决
DPIA生命周期
指南将DPIA生命周期分为六个阶段,分别是第一阶段:评估DPIA需求、第二阶段:制度DPIA计划、第三阶段:识别数据与个人数据流、第四阶段:识别并评估数据保护风险、第五阶段:创设改进计划、第六阶段:实施与监督改进计划。
在第二阶段,制定DPIA计划,进行关键活动或步骤时,需涵盖以下内容:
l 项目描述:全面考察项目,例如项目的目标与背景、涉及的组织部门与职能、时间安排、为什么需要进行DPIA,以及围绕DPIA需考虑的因素
l 确定DPIA的范围:详细描述需要执行DPIA的特定系统或流程
l 定义风险评估框架或方法:包括建立风险评估标准和计算风险的方法
l 相关方:确定相关内部部门、职能部门或外部利益相关方。如专家、顾问、监管机构或客户,在咨询或访谈会议期间,必须征求他们的意见
l 明确DPIA时间表:综合评估提供关键任务所需时间,以及DPIA实施的总体时间表
在第三阶段,DPIA负责人需要整理和审查与项目相关的文档,以确定个人数据流。相关文档包括项目计划、与第三方的合同、评估报告和系统功能规格文件等。此外,DPIA负责人应咨询项目团队和相关职能部门,以确保DPIA的全面性和准确性。有必要时,还需对项目进行现场检查。
最后,指南还建议DPIA负责人:
l 确定与特定项目相关的已处理(或计划处理)各类型的个人数据,并确定组织收集、使用或披露数据的目的
l 绘制个人数据在其生命周期(从收集到存储、处置)中流经项目各个阶段或触点的方式
在第四阶段,DPIA主管可以通过以下方式识别和评估个人数据保护风险:
l 根据PDPA要求、数据保护最佳实践评估项目,完成DPIA调查问卷
l 识别个人数据流中可能导致违反PDPA,或与行业最佳实践相比存在差距的领域
l 根据预定义的风险框架,分析已识别差距和风险的潜在影响和可能性
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
