个人资料保护法令修正案昨天在国会通过,其中,涉及个资外泄事件的机构罚款额上调。不过,为免疫情下给企业带来过重负担,政府将在新条例生效至少一年后才实施相关罚款,因此最快明年底才可能实行。
国会昨天通过个人资料保护法令修正案,未来一旦发生涉及至少500人的个资外泄事件,涉事机构除了得通知政府和受影响的用户,还可被处以更高的罚款,相当于在本地高达10%的年度营业额或100万元,以较高者为准。
不过,考虑到冠病疫情对本地公司的巨大经济冲击,政府将在新条例生效至少一年后,才实施相关罚款。修正后的条例预计今年底之前生效,换言之,罚款最快要到明年底才可能实行。
尽管罚则加重,新条例却也为企业提供更大空间使用个人数据,以鼓励创新。只要符合机构的“合法利益”,如防止诈欺和改良产品等,机构无须获取个人同意,即可收集、使用或披露个人数据,但须先进行风险和影响评估。
国会昨天三读通过《个人资料保护法令》(Personal Data Protection Act,简称PDPA)修正法案,力求从加强问责、加强执法、加强消费者自主权以及鼓励企业创新这四大面向着手,提升个人资料的潜在效益,同时降低安全风险,使我国的数据监管架构更完善。这是国会2012年通过PDPA后,政府首次修法。
法案的一项关键条文,是调高违例机构所面对的罚款,从原本的最高100万元,调高至多达10%的年度营业额或100万元,以较高者为准。政府也规定,当数据外泄事件涉及至少500人,或是会对个人造成严重影响如身份盗窃或欺诈时,机构须在三天内通知个人资料保护委员会,并尽快通知受影响者。
多名议员质疑设定通报人数门槛
然而,有国会代议士如丹戎巴葛集选区议员祖安清心认为,政府不该为强制通报设定人数门槛,机构也须在明确时限内通知受影响的用户。
对此,易华仁为辩论总结时回应说,政府是根据过去的执法案件,以及参考其他司法管辖区如澳大利亚和欧盟等地做法,设置500人的“合理”门槛。他也提到,当局制定标准时,也须考虑机构因遵行各项管制而得承担的成本。
“我们首先要意识到,这是个微妙的动态平衡,因为如果我们向一个方向过度纠正,消费者可能无法保持对制度的信心和信任。如果往另一个方向倾斜,则可能钳制我们的企业,而我们试图为消费者和经济创造的利益会随之减少。”
个人资料保护委员会去年共调查185起案件,并对其中58宗祭出处分。这当中,委员会共对39家机构开罚170万元,包括去年分别被罚款75万元和25万元的综合保健信息系统公司和新加坡保健服务集团。这两家机构前年因内部疏失,导致约150万病人的个人资料被盗。
共13名后座议员和政治职务者参与昨天的辩论。其中,工人党的盛港集选区议员蔡庆威、淡滨尼集选区议员朱倍庆等人,对企业只须符合“合法利益”,即可在不必获得个人同意的情况下,收集、使用个资提出疑问。他们质疑企业和个人之间不平等的对价关系,以及企业可能从利己的角度出发,对“合法利益”采取过于主观的定义。
易华仁指出,当局将严格监管相关程序,包括明确规范如何使用数据,并规定机构进行风险和影响评估。他也提到,消费者可随时撤销同意,个人资料保护委员会也有权要求机构销毁不当取得的数据。为强化国人对个资安全的意识,个人资料保护委员会迄今已向7万人进行相关宣导。
“虽然立法和监管很重要,但它不是万能的,更不是万无一失……我们须辅以良好做法,并随时间推移演进。”
国会今天继续开会。
赞
